2022年DeFi安全事件回顧

作者：某安全專家

近期，一位資深安全專家爲社區成員分享了一堂DeFi安全課。他回顧了過去一年多Web3行業遭遇的重大安全事件,探討了這些事件的原因及預防措施,總結了智能合約常見安全漏洞,並給出了一些安全建議。本文將其分享內容整理如下,供DeFi愛好者參考。

根據統計,2022年發生了300多起區塊鏈安全事件,總涉及金額達43億美元。

以下是8個典型案例的詳細分析,這些案例損失金額大多超過1億美元。

Ronin Bridge

事件回顧:

• 2022年3月23日,Axie Infinity側鏈Ronin Network被入侵,導致17.36萬枚ETH和2550萬USD被盜,價值約5.9億美元。
• 美國財政部指出朝鮮黑客組織Lazarus與此事件有關。
• 據報道,黑客通過領英聯繫並誘騙了Sky Mavis公司的一名員工,獲取了系統訪問權限。

這次攻擊屬於典型的APT(高級持續性威脅)。黑客團體通過社會工程學等方法,先控制目標組織內的一臺電腦作爲跳板,進一步滲透,最終達成攻擊目的。

事件暴露出公司員工安全意識薄弱,內部安全體系存在問題。

Wormhole

事件回顧:

• Wormhole的Solana端核心合約的籤名驗證代碼存在錯誤,允許攻擊者僞造"監護人"消息鑄造Wormhole包裝的ETH,造成約12萬枚ETH損失。
• Jump Crypto投入12萬枚ETH彌補損失。

Wormhole遇到的主要是代碼層面的問題,使用了一些廢棄的函數。建議開發者使用最新版本,避免類似問題。

Nomad Bridge

事件回顧:

• Nomad橋Replica合約初始化時可信根被設爲0x0,且未及時失效舊根,導致攻擊者可構造任意消息竊取資金,造成超1.9億美元損失。
• 多個地址參與攻擊,包括MEV機器人、黑客和白帽黑客等。

這是一個典型案例。初始化設置存在問題,導致有效交易可被重復執行。MEV機器人等發現後大量廣播攻擊交易,造成搶錢事件。

智能合約生態的開源特性,使黑客更容易分析和發現漏洞。項目一旦出現漏洞,基本就宣告失敗。

Beanstalk

事件回顧:

• Beanstalk Farms遭受閃電貸攻擊,損失約1.82億美元。
• 攻擊者獲利超8000萬美元,包括約24830枚ETH和3600萬枚BEAN。
• 攻擊原因是提案投票與執行間無時間間隔,攻擊者可直接執行惡意提案。

攻擊過程:

1. 提前購買代幣獲取提案資格,創建惡意提案合約
2. 通過閃電貸獲取大量代幣投票
3. 惡意合約直接執行,完成套利

這個案例暴露了純去中心化治理機制的潛在風險。建議項目設置提案審核機制、投票門檻和時間鎖等安全措施。

Wintermute

事件回顧:

2022年9月21日,Wintermute確認遭遇黑客攻擊。他們曾使用Profanity工具創建靚號錢包地址以優化手續費。雖然得知Profanity存在漏洞後加速棄用舊密鑰,但由於內部錯誤未完全刪除受影響地址的籤名權限,導致資金被盜。

使用開源工具時應充分評估安全風險。尤其是涉及密鑰管理的工具,更需謹慎。

Harmony Bridge

事件回顧:

• Horizon跨鏈橋損失超1億美元,包括1.3萬多枚ETH和5000枚BNB。
• Harmony創始人稱攻擊由私鑰泄露導致。
• 區塊鏈分析公司認爲朝鮮黑客組織Lazarus Group可能是幕後黑手。

如果確實是朝鮮黑客組織所爲,攻擊手法可能與Ronin Bridge事件類似。近年來朝鮮黑客組織針對加密貨幣行業的攻擊活動十分活躍。

Ankr

事件回顧:

• Ankr合約被更新後,攻擊者通過鑄幣方法憑空鑄造10萬億枚aBNBc。
• 攻擊者將部分aBNBc兌換500萬USDC,導致aBNBc價格暴跌。
• 套利者利用借貸協議Helio的價格延遲機制套利超1700萬美元。
• Ankr承諾補償1500萬美元。

後續調查顯示,事件由一名離職員工作惡所致。暴露的問題包括:

• 關鍵合約由EOA帳戶而非多籤控制
• 核心員工可掌控Deployer私鑰
• 內部安全管理存在缺陷

Mango

事件回顧:

• 攻擊者利用1000萬USDT在Mango平台做多空對敲,同時在其他平台拉升MNGO價格。
• MNGO價格從0.0382美元拉升至0.91美元,攻擊者獲利4.2億美元。
• 攻擊者最終借出近1.15億美元資產。
• 攻擊者提議用國庫資金償還協議壞帳,條件是不進行刑事調查。
• 2022年12月,自稱攻擊者的Avraham Eisenberg在波多黎各被捕。

這既可視爲安全事件,也可視爲套利行爲。主要問題在於業務模式漏洞,小幣種價格易被操縱,導致平台頭寸管理困難。

項目方應充分考慮各種極端場景進行測試。用戶參與項目時也要全面評估風險,不能只關注收益。