2021年区块链安全事件年度总结

时间：2022-01-06|浏览：384

2021 年对于区块链来说是一个巨大的里程碑，无论是对于用户量还是对于机构接受程度。链资产比重都远超历史上的任何其他时期。
与此同时，兴起了许多多元化的事物如号称终极未来的元宇宙、边玩边赚的 GameFi 以及链链互信的跨链等。而各类传统 Defi Dapp 也加速了步伐迎来了全新的升级，如 Uniswap V3, Aave V3 等新版协议问世。
种种这些，不仅为区块链生态带来了活力，同时也带来了全新的安全挑战。现在请跟随知道创宇区块链安全实验室的视角一起回顾2021区块链安全生态以及各月份的典型安全事件。

2021年区块链安全事件年度总结

2021各月份典型安全事件回顾
Ⅰ：挑战伊始
关键词：权限控制，手续费
安全月度风险评估：低
月度评价：新年伊始，但不应该是新漏洞的开始
Ⅱ：风雨初现
关键词：闪电贷，无限授权
安全月度风险评估：中
月度评价：同类型漏洞相继爆发，需做好安全预警
Ⅲ：花式危险
关键词：双花交易，错误铸币，权限控制
安全月度风险评估：高
月度评价：漏洞类型花样百出，但核心都是资金安全
Ⅳ：经典重现
关键词：重入攻击，协议兼容性
安全月度风险评估：低
月度评价：经典漏洞以全新方式体现，说明安全理念并不会停滞，需要时刻进步
1月27日，SushiSwap 因收取手续费的函数存在权限控制缺陷，被黑客利用操控了 DIGG/WETH 交易对的滑点，从而套取了 WBTC/DIGG 交易对的手续费。
Yearn Finance 被攻击，黑客利用闪电贷操控 3pool 代币平衡，并通过y Dai保险库放大差异，获利 280 万美元，而保险库损失超1100 万美元。
以太坊协议组合工具 Furucombo 智能合约被爆出存在请求授权权限过高问题，黑客可通过向 Furucombo 代理添加攻击合约，从而获得影响用户账户的权限，该漏洞影响超 1400 万美元。
去中心化交易所 DODO 因未对init进行权限控制，导致黑客在进行闪电贷归还操作时通过init函数将需要归还的代币修改为自己提前加入pool的垃圾代币，从而规避校验以次充好，损失超 200 万美元。
Paid Network 铸币功能存在漏洞，被利用铸造超 6000 万枚PAID代币。
Filecoin 由于节点特性出现“双花交易”漏洞。
Uniswap 上的 imBTC 池遭到黑客攻击，漏洞原因是 Uniswap 与 ERC777 协议出现兼容性问题，当交易产生时，ERC777 中的迭代调用 tokensToSend 可以被用来实现重入攻击，损失超 30 万美元。
Ⅴ：八方风雨
关键词：重入攻击，协议冲突，滑点，闪电贷
安全月度风险评估：高
月度评价：本月是闪电贷攻击多发月份，造成的损害也及其重大，所以必须不放过任意可能存在漏洞的细节，避免无法挽回的结果。
Ⅵ：风雨依旧
关键词：薅羊毛，错误变量，address(this)，闪电贷
安全月度风险评估：中高
月度评价：本月闪电贷攻击依然多发，其提醒着控制变量值得反复审计。
Ⅶ：逻辑理性
关键词：私钥，双花攻击，tx.origin，逻辑漏洞
安全月度风险评估：中高
月度评价：本月存在各类型的逻辑漏洞，涉及私钥、转账已经功能特性等，需做更全面的考虑。
Ⅷ：危险之最
关键词：年度损失之最，重入攻击，同类型协议攻击，闪电贷
安全月度风险评估：高
月度评价：本月各类攻击损失都十分巨大，还有着堪称全年损失之最的Poly Network攻击，该月份攻击不仅影响到新兴的跨链项目也对同类型的协议敲响警钟，这份影响持续着整个区块链安全生态。
Ⅸ：问题依旧
关键词：初始化攻击，恒定乘积校验，预言机操控，闪电贷
安全月度风险评估：高
月度评价：本月各类攻击损失依然巨大，但相较于新型漏洞，大多数漏洞都属于可追溯漏洞即已经出现过的漏洞。
Ⅹ：漏洞多样化
关键词：价值描述，修补方案，多次攻击
安全月度风险评估：高
月度评价：各种漏洞产生的情况也是各有不同，有矿池功能存在问题、有兑换功能存在问题、甚至有铸币功能存在问题等，但是 Cream Finance 该年度已经多次遭受攻击实属应该做好防护。
Ⅺ：问题多元化
关键词：预言机操控，治理攻击，私钥泄露
安全月度风险评估：高
月度评价：该月份同样问题严重，有传统的预言机安全问题、私钥泄露问题甚至还有着项目方反撸矿工的操作。
Ⅻ：经典再现