2022年DeFi安全事件回顾

作者：某安全专家

近期，一位资深安全专家为社区成员分享了一堂DeFi安全课。他回顾了过去一年多Web3行业遭遇的重大安全事件,探讨了这些事件的原因及预防措施,总结了智能合约常见安全漏洞,并给出了一些安全建议。本文将其分享内容整理如下,供DeFi爱好者参考。

根据统计,2022年发生了300多起区块链安全事件,总涉及金额达43亿美元。

以下是8个典型案例的详细分析,这些案例损失金额大多超过1亿美元。

Ronin Bridge

事件回顾:

• 2022年3月23日,Axie Infinity侧链Ronin Network被入侵,导致17.36万枚ETH和2550万USD被盗,价值约5.9亿美元。
• 美国财政部指出朝鲜黑客组织Lazarus与此事件有关。
• 据报道,黑客通过领英联系并诱骗了Sky Mavis公司的一名员工,获取了系统访问权限。

这次攻击属于典型的APT(高级持续性威胁)。黑客团体通过社会工程学等方法,先控制目标组织内的一台电脑作为跳板,进一步渗透,最终达成攻击目的。

事件暴露出公司员工安全意识薄弱,内部安全体系存在问题。

Wormhole

事件回顾:

• Wormhole的Solana端核心合约的签名验证代码存在错误,允许攻击者伪造"监护人"消息铸造Wormhole包装的ETH,造成约12万枚ETH损失。
• Jump Crypto投入12万枚ETH弥补损失。

Wormhole遇到的主要是代码层面的问题,使用了一些废弃的函数。建议开发者使用最新版本,避免类似问题。

Nomad Bridge

事件回顾:

• Nomad桥Replica合约初始化时可信根被设为0x0,且未及时失效旧根,导致攻击者可构造任意消息窃取资金,造成超1.9亿美元损失。
• 多个地址参与攻击,包括MEV机器人、黑客和白帽黑客等。

这是一个典型案例。初始化设置存在问题,导致有效交易可被重复执行。MEV机器人等发现后大量广播攻击交易,造成抢钱事件。

智能合约生态的开源特性,使黑客更容易分析和发现漏洞。项目一旦出现漏洞,基本就宣告失败。

Beanstalk

事件回顾:

• Beanstalk Farms遭受闪电贷攻击,损失约1.82亿美元。
• 攻击者获利超8000万美元,包括约24830枚ETH和3600万枚BEAN。
• 攻击原因是提案投票与执行间无时间间隔,攻击者可直接执行恶意提案。

攻击过程:

1. 提前购买代币获取提案资格,创建恶意提案合约
2. 通过闪电贷获取大量代币投票
3. 恶意合约直接执行,完成套利

这个案例暴露了纯去中心化治理机制的潜在风险。建议项目设置提案审核机制、投票门槛和时间锁等安全措施。

Wintermute

事件回顾:

2022年9月21日,Wintermute确认遭遇黑客攻击。他们曾使用Profanity工具创建靓号钱包地址以优化手续费。虽然得知Profanity存在漏洞后加速弃用旧密钥,但由于内部错误未完全删除受影响地址的签名权限,导致资金被盗。

使用开源工具时应充分评估安全风险。尤其是涉及密钥管理的工具,更需谨慎。

Harmony Bridge

事件回顾:

• Horizon跨链桥损失超1亿美元,包括1.3万多枚ETH和5000枚BNB。
• Harmony创始人称攻击由私钥泄露导致。
• 区块链分析公司认为朝鲜黑客组织Lazarus Group可能是幕后黑手。

如果确实是朝鲜黑客组织所为,攻击手法可能与Ronin Bridge事件类似。近年来朝鲜黑客组织针对加密货币行业的攻击活动十分活跃。

Ankr

事件回顾:

• Ankr合约被更新后,攻击者通过铸币方法凭空铸造10万亿枚aBNBc。
• 攻击者将部分aBNBc兑换500万USDC,导致aBNBc价格暴跌。
• 套利者利用借贷协议Helio的价格延迟机制套利超1700万美元。
• Ankr承诺补偿1500万美元。

后续调查显示,事件由一名离职员工作恶所致。暴露的问题包括:

• 关键合约由EOA账户而非多签控制
• 核心员工可掌控Deployer私钥
• 内部安全管理存在缺陷

Mango

事件回顾:

• 攻击者利用1000万USDT在Mango平台做多空对敲,同时在其他平台拉升MNGO价格。
• MNGO价格从0.0382美元拉升至0.91美元,攻击者获利4.2亿美元。
• 攻击者最终借出近1.15亿美元资产。
• 攻击者提议用国库资金偿还协议坏账,条件是不进行刑事调查。
• 2022年12月,自称攻击者的Avraham Eisenberg在波多黎各被捕。

这既可视为安全事件,也可视为套利行为。主要问题在于业务模式漏洞,小币种价格易被操纵,导致平台头寸管理困难。

项目方应充分考虑各种极端场景进行测试。用户参与项目时也要全面评估风险,不能只关注收益。