2021年对区块链来说是一个重大里程碑，无论是对用户数量还是组织来说都是被接受的。 连锁资产的比重远大于历史上任何其他时期。

与此同时被称为终极未来的元宇宙、边玩边赚钱的GameFi、链条互信的交叉链等，兴起了各种各样的东西。 各种传统的Defi Dapp也加快步伐迎来了新的升级，例如Uniswap V3、Aave V3等新协议出现了。 这些不仅给区块链生态带来了活力，也带来了新的安全挑战。 现在跟随了解创宇区块链安全实验室的视角，回顾2021区块链安全生态及各月典型安全事件。

2021区块链安全生态系统列表

创宇区块链实验室【黑客事件档案库】不完全统计数据显示，截至本文发稿，2021年区块链可查询相关安全事件312起，直接损失超过100亿美元。

与往年的数据相比，依然是心悸的上升态势。 蓬勃发展的多链系统、链条互信的交叉链需求、新链条上的花式模仿盘，为这个巨大的数字做出了相应的“贡献”。

在安全事件中，使用交易所、DeFi、行驶道路、钱包、公共链和其他6个纬度进行了统计。 其中DeFi安全尤其达到141起。

究其原因，主要在于区块链基础技术日趋成熟但合同实现规范还不够完善、系统化，审计还没有得到充分执行。 特别是合同具备直接负责资金载体和运营逻辑的功能，越来越多的黑客将目标瞄准这一领域。

另一方面攻击者利用电击信贷和链上监控越来越成熟。 在攻击面充分暴露的同时，各项目方在协议的实现上存在很大差异，这些种种无疑助长了该攻击的广泛性和频繁性。

在资金损失方面，跑步/诈骗尤为严重，损失总额超过64亿美元。 与DeFi安全事件的多发性相比，行驶/诈骗给人们带来的经济损失更为明显。

owner权限太大，可以升级合同，DAO比例控制等原因，无法避免退路。 另外，由于区块链的可追溯性，这种行为风险非常低，有些行为项目方会直接在群里公开声明自己的行驶很多用户失去了信心。

交易所的清退诈骗、链条上的蜜罐、假钱包、转账钓鱼等花样繁多的攻击方式也给链条安全带带来了新的挑战。 当然，这不应该只依赖安全公司更多的人要期待集体安全意识的提高落地。

2021月度典型安全事件回顾:挑战伊始

关键词：权限控制、手续费

1月27日，SushiSwap因收取手续费的函数存在权限控制缺陷，被黑客操作了DIGG/WETH交易对的滑块，收取了WBTC/DIGG交易对的手续费。

安全月度风险评估：低

月度评估：新年伊始，但不应该是新漏洞的开始

:风雨初现

关键词：电击贷，无限授权

、黑客通过电击贷操作3pool令牌平衡，在y Dai保险库中扩大差异，获利280万美元，保险库损失超过1100万美元。

安全月度风险评估：中

月度评估：同类漏洞层出不穷，安全预警

:花式危险

关键词

去中心化交易所的DODO不进行对init的权限控制，黑客将进行电击贷返还操作时需要通过init函数返还的令牌修改为自己事先加入pool的垃圾令牌，检查可以二次充电损失超过了200万美元。 [ xy 002 ] [ xy001 ] PAID网络传输功能中存在漏洞，被用于铸造6000多万个paid令牌。

Filecoin根据节点的特性存在“双花交易”的漏洞。

安全月度风险评估：高

月度评估：漏洞类型百出，核心均为资金安全

:经典再现

关键词：漏洞类型

Uniswap上的imBTC池被黑客入侵。 漏洞的原因是Uniswap和ERC777协议的兼容性问题，发生交易时，ERC777的迭代调用tokensToSend可用于实现损失超过30万美元的再入攻击。

安全月度风险评估：低

月度评估：经典漏洞以全新的方式出现、展示安全理念永不停滞，需要时时进步

:八方风雨

关键词：再入攻击、协议冲突、滑坡、电击贷[ xy 002 ]、流动性新增/删除存在滑点修正机制差异导致套期保值，损失3050万美元

机枪池项目Value DeFi因协议组合中存在的冲突隐患被攻击，损失1000万美元两天后再次被攻击，损失了1100万美元；

PancakeBunny遭电击信用攻击，因LP令牌价格计算问题对冲，损失约4500万美元；

BurgerSwap受到电击信贷攻击，因漏洞和体系结构问题导致套期保值，损失约330万美元；

安全月度风险评估：高

月度评估：本月为电击信贷攻击多发月、造成的损害也非常重大，因此必须不放过可能存在漏洞的细节，避免不可挽回的后果。

:风雨依旧

关键词：薅羊毛，错误变量，address(this，电击贷

以太体DeFi项目Alchemix的alETH合同存在安全问题，部署脚本错误地创建了vault值，并在调用中使用了错误的索引，导致用户报酬过高[

BSC链上的DeFi协议xWin Finance受到电击，由于合同没有检查推荐者的地址，同一地址的推荐者的奖励现在可以累计。

安全月度风险评估：中

月度评估：本月电击信贷攻击依然高发，控制变量值得反复核查。

:逻辑合理性

关键词：私钥，双花攻击，tx.origin，逻辑漏洞

以链间事务协议Anyswap为中心被攻击。 漏洞的原因是在V3路由器的MPC帐户下存在两个v3 router事务，这两个事务具有相同的r值签名攻击者可以解密MPC账户的私钥，损失约800万美元。

BSV网络受到恶意攻击，多个块被重组，攻击者由此进行了双花攻击。

去中心化交叉链交易合同THORChain多次受到攻击，由于令牌特性tx.origin可用于钓鱼，损失约2500万美元。

收益耕作协议PolyYeld Finance受到攻击，存在转账时实际收款少于转账的缺陷，迫使黑客控制MasterChef合同中的令牌，实现超额奖励。

安全月度风险评估：中高

月度评估：本月存在各类型逻辑漏洞，涉及私钥、已转账功能特性等需要更全面的考虑。

VIII :危险最多的

关键词：年损失最多、再入攻击、同类协议攻击、电击信贷

以太体上的DeFi协议Popsicle Finance遇到了电击信贷攻击。 漏洞的原因是PLP池合同手续费奖励的计算存在缺陷、损失070万美元；

交叉链协议Poly Network被攻击，函数缺陷导致keeper可以修复。 这次攻击被称为年度最大的黑客事件，损失了约6亿1000万美元；

BSC链上的DeFi项目Dot.Finance遭到电击信贷攻击，此次攻击为PancakeBunny同类协议攻击，造成近43万美元损失，迄今为止，这样的攻击已经损失超过了000万美元；

以太网上的DeFi协议Cream Finance遭到严重漏洞袭击，损失1800万美元以上；

安全月度风险评估：高

月度评估：本月各类攻击损失非常大，还有年度损失最大的Poly Network攻击。 这个月的攻击不仅给新兴的链间项目敲响了警钟，也给同类协议敲响了警钟，这种影响延续了整个区块链的安全生态。

:问题依然

关键词：初始化攻击、定数检查、预言机操控、电击贷

NFT赛马项目DeRac被攻击，其漏洞的原理是，由于Vesting合同没有init未初始化保护，黑客在init中初始化了想要的参数，最后通过紧急提款函数提取合同资金，损失了约400万美元。

去中心化交易所的NowSwap被黑客入侵，且未更改swap函数的参数，导致电击信贷的固定乘积检查逻辑失效，攻击者返还部分电击信贷金额将被视为完全返还，从而实现攻击损失额超过了100万美元。

贷款合同Vee.Finance，3500多万美元的资产被盗。 官方调查显示，小数点不准确，很可能是权限检查问题导致了预言机价格的操纵。

中心化贷款协议Compound出现变量设置错误导致COMP令牌迁移更多，该漏洞导致约28万个COMP令牌丢失。

安全月度风险评估：高

月度评估：虽然本月各类攻击损失仍然巨大，但与新型漏洞相比，绝大多数漏洞是可追溯性漏洞，即已经出现的漏洞。

:漏洞多样化

关键词：价值描述，修补方案，多次攻击

以太网上的被动利益协定Indexed Finance被攻击。 其脆弱性的原因是协定通过令牌表达了整个矿山的价值，损失了约1600万美元。

去中心化贷款合同Compound在社区提案中尝试修复流动性开采令牌分发合同中包含的漏洞的同时，通过drip ()函数的调用向漏洞合同中打入了20万张comp令牌由此，该协定已经面临1.58亿美元的潜在损失。

以太坊上的DeFi贷款协议Cream Finance再次受到攻击此次攻击产生的核心代码的原因是，价格因子pricePerShare通过简单的资产额占有率动态定价，损失了约1.3亿美元。

安全月度风险评估：高

月度评估：各种漏洞的出现情况也各不相同，有矿山功能问题、兑换功能问题、甚至铸造功能问题等，但Cream Finance在这一年多次受到攻击，但实际上应该加以防护。

问题的多样性

关键词：预言机操作、管理攻击、私钥泄露

以太网上的DeFi协议VesperFi Fianance遇到预言机操作攻击

Curve.Finance被Mochi稳定货币USDM团队“统治攻击”，损失了3000多万美元。

安全月度风险评估：高

月度评估：当月同样问题严重传统的预言机安全问题、私钥泄露问题，甚至还有项目方违抗矿工的操作。

:经典再现

关键词：电击贷，重入

Fantom链上的复合收益平台GrimFinance遭遇了电击信贷攻击。 攻击者利用depoistFor函数不存在token检查，通过将token地址指向自己的攻击合同实现了再入攻击损失超过了3000万美元。

Definer遇到了预言机的操纵攻击。 问题是OEC链上预言机的实现存在问题，使用单个流池以某一时间点池内令牌余额为价格源引发了事故。

安全月度风险评估：中

月度评估：虽然是传统的预言机安全问题和再安全问题，但杀伤力仍然巨大。

总结

过去都是序章。

2021注定会是不平凡的一年。 对于区块链来说，在各种新事物层出不穷的同时，也出现了许多安全问题，同时也带来了新的安全挑战。

这些安全事件中最亮的名词是电击信贷，在上述经典攻击事件中使用了数十次电击信贷工具。 也发生了攻击难度低、收益高的跑垒员和诈骗。 每年，区块链安全造成的损失也在增加，不会有暂时的犹豫。

在这些攻击中，DeFi仍然是块链安全的重灾区，由于各项目方实现的多样性和对二维码的理解不同，造成了这么多经济损失，值得大家深思。 这不是某个人或组织的事，而是全行业大众普遍安全意识的提高。

最后，希望大家在新的一年里，以此为参考，砥砺前行。