DeFi 行業 2022 年重大安全事件回顧

2022 年區塊鏈行業共發生 300 多起安全事件,涉及金額高達 43 億美元。本文將詳細分析八個典型案例,這些案例大多損失超過 1 億美元,具有重要參考意義。

Ronin Bridge 事件

2022 年 3 月,Axie Infinity 側鏈 Ronin Network 遭到入侵,損失約 6 億美元。黑客通過社交工程手段入侵了一名員工的電腦,最終控制了 5 個驗證節點,成功發起攻擊。這起事件暴露出員工安全意識薄弱以及公司內部安全體系存在缺陷等問題。

Wormhole 事件

Wormhole 跨鏈橋的 Solana 端合約存在籤名驗證漏洞,導致黑客僞造"監護人"消息,鑄造了約 12 萬枚 ETH。這主要是由於使用了一些過時的函數所致。開發者應及時更新使用最新版本,避免類似問題。

Nomad Bridge 事件

Nomad 橋合約初始化時可信根被錯誤設置,且修改時未使舊根失效,使攻擊者可構造任意消息竊取資金。黑客利用此漏洞反復發送構造好的交易數據,導致近 2 億美元資金被盜。這個案例也引發了大規模"搶錢"行爲。

Beanstalk 事件

穩定幣項目 Beanstalk 遭受閃電貸攻擊,損失約 1.82 億美元。主要原因是提案投票與執行間無時間間隔,攻擊者可在投票後立即執行惡意提案。這暴露出去中心化治理機制中的潛在風險,需要設置合理的時間鎖等安全措施。

Wintermute 事件

做市商 Wintermute 使用存在漏洞的靚號生成工具,導致合約 Owner 私鑰被破解,損失超過 1.6 億美元。這提醒我們使用開源工具時需充分評估安全性,並做好風險應對準備。

Harmony Bridge 事件

Horizon 跨鏈橋遭攻擊損失超 1 億美元,疑似由朝鮮黑客組織 Lazarus Group 所爲。攻擊手法與 Ronin Bridge 事件類似,凸顯出跨鏈橋一直是黑客的重點攻擊目標。

Ankr 事件

Ankr 合約管理員私鑰泄露,導致 10 萬億枚代幣被惡意鑄造。這暴露出項目內部權限管理存在嚴重問題。此外,相關 DeFi 項目也因此遭受連鎖反應,造成更大損失。

Mango 事件

黑客利用 Mango 平台的業務模式漏洞,通過操縱小幣種價格獲利約 1 億美元。這提醒項目方要充分考慮各種極端場景,用戶也需警惕高風險項目。

這些案例反映了 DeFi 行業面臨的多重安全挑戰,包括代碼漏洞、權限管理、治理機制、業務模型等方面。項目方和用戶都需提高安全意識,採取有效措施降低風險。