2022年DeFi安全事件回顧

作者：一位Web3安全專家

近期,一位資深安全專家爲社區成員分享了一堂DeFi安全課。該專家回顧了2022年Web3行業遭遇的重大安全事件,探討了這些事件的原因及防範措施,總結了常見的智能合約安全漏洞,並爲項目方和用戶提供了安全建議。

據統計,2022年發生了300多起區塊鏈安全事件,涉及金額高達43億美元。

本文將詳細介紹8個典型案例,這些案例大多損失超過1億美元,其中Ankr雖然損失相對較小,但也很具代表性。

Ronin Bridge事件

2022年3月,Axie Infinity的側鏈Ronin Network遭到入侵,損失17.36萬枚ETH和2550萬美元。

攻擊者通過社交工程手段獲取了員工信任,安裝了惡意軟件,最終控制了5個驗證節點中的4個,實現了攻擊。這暴露出公司內部安全意識和管理存在問題。

Wormhole事件

Wormhole跨鏈橋在Solana端的合約驗證代碼存在漏洞,導致攻擊者僞造"監護人"消息鑄造了12萬枚ETH。

這主要是因爲使用了一些已被廢棄的函數。建議開發者使用最新版本,避免類似問題。

Nomad Bridge事件

Nomad跨鏈橋的Replica合約初始化時可信根被設爲0x0,且未將舊根失效,導致攻擊者可構造任意消息竊取資金,損失約1.9億美元。

這個典型案例顯示,初始化設置的問題可能帶來嚴重後果。當發現有效交易可重復執行時,許多參與者都來搶奪資金,最終演變成一場"搶錢大戰"。

Beanstalk事件

算法穩定幣項目Beanstalk遭受閃電貸攻擊,損失約1.82億美元。

攻擊者利用項目機制漏洞,通過閃電貸獲取大量代幣投票通過惡意提案並立即執行。這暴露出純去中心化治理的一些問題,如提案審核、投票機制、時間鎖等都需要謹慎設計。

Wintermute事件

做市商Wintermute使用存在漏洞的靚號生成工具Profanity,導致合約owner私鑰被破解,資金被轉走。

這提醒我們使用開源工具時要充分評估安全風險。

Harmony Bridge事件

Harmony跨鏈橋Horizon損失超1億美元,疑似由朝鮮黑客組織所爲。攻擊手法可能與Ronin Bridge事件類似。

Ankr事件

Ankr遭遇內部員工作惡,導致大量代幣被鑄造並拋售,進而引發連鎖反應。

這暴露出項目內部權限管理和安全體系存在嚴重問題。

Mango事件

攻擊者通過操縱小幣種MNGO價格,在永續合約平台獲利並借出大量資金。

這反映出某些DeFi項目的業務模式存在漏洞。項目方需要充分測試各種極端場景,用戶也要關注本金安全而非僅看收益。