DeFi 行业 2022 年重大安全事件回顾

2022 年区块链行业共发生 300 多起安全事件,涉及金额高达 43 亿美元。本文将详细分析八个典型案例,这些案例大多损失超过 1 亿美元,具有重要参考意义。

Ronin Bridge 事件

2022 年 3 月,Axie Infinity 侧链 Ronin Network 遭到入侵,损失约 6 亿美元。黑客通过社交工程手段入侵了一名员工的电脑,最终控制了 5 个验证节点,成功发起攻击。这起事件暴露出员工安全意识薄弱以及公司内部安全体系存在缺陷等问题。

Wormhole 事件

Wormhole 跨链桥的 Solana 端合约存在签名验证漏洞,导致黑客伪造"监护人"消息,铸造了约 12 万枚 ETH。这主要是由于使用了一些过时的函数所致。开发者应及时更新使用最新版本,避免类似问题。

Nomad Bridge 事件

Nomad 桥合约初始化时可信根被错误设置,且修改时未使旧根失效,使攻击者可构造任意消息窃取资金。黑客利用此漏洞反复发送构造好的交易数据,导致近 2 亿美元资金被盗。这个案例也引发了大规模"抢钱"行为。

Beanstalk 事件

稳定币项目 Beanstalk 遭受闪电贷攻击,损失约 1.82 亿美元。主要原因是提案投票与执行间无时间间隔,攻击者可在投票后立即执行恶意提案。这暴露出去中心化治理机制中的潜在风险,需要设置合理的时间锁等安全措施。

Wintermute 事件

做市商 Wintermute 使用存在漏洞的靓号生成工具,导致合约 Owner 私钥被破解,损失超过 1.6 亿美元。这提醒我们使用开源工具时需充分评估安全性,并做好风险应对准备。

Harmony Bridge 事件

Horizon 跨链桥遭攻击损失超 1 亿美元,疑似由朝鲜黑客组织 Lazarus Group 所为。攻击手法与 Ronin Bridge 事件类似,凸显出跨链桥一直是黑客的重点攻击目标。

Ankr 事件

Ankr 合约管理员私钥泄露,导致 10 万亿枚代币被恶意铸造。这暴露出项目内部权限管理存在严重问题。此外,相关 DeFi 项目也因此遭受连锁反应,造成更大损失。

Mango 事件

黑客利用 Mango 平台的业务模式漏洞,通过操纵小币种价格获利约 1 亿美元。这提醒项目方要充分考虑各种极端场景,用户也需警惕高风险项目。

这些案例反映了 DeFi 行业面临的多重安全挑战,包括代码漏洞、权限管理、治理机制、业务模型等方面。项目方和用户都需提高安全意识,采取有效措施降低风险。