区块链是一片鼓励创新的热土，在某种角度上因其安全风险也成为了滋生犯罪的温床。

　　当年众筹超过1.5亿美金的The DAO被黑客盗币后，进行了硬分叉操作，由此产生了如今的以太坊。

　　自区块链创世以后，各种针对交易所、钱包以及Dapp的黑客盗币事件频发。

　　那么，2021年区块链安全领域又经历了何种波澜，后续的处理工作又是如何的呢？

　　2021年区块链黑客盗币事件整理

　　由于2021年市场情绪热烈，黑客盗币的金额打破了往年的历史记录。

　　截至三季度，统计一共有32起黑客入侵事件导致了15亿美金的资产被盗，而去年全年这个数字是1.8亿美金。

　　Uranium Finance——逻辑漏洞

　　2021年4月份流动性挖矿协议Uranium受到了攻击，被攻击的智能合约是MasterChief的修改版本（MasterChief是用于创建质押池并向用户返还质押奖励的智能合约）。

　　其中，用于执行“质押奖励”的代码出现了逻辑漏洞，使得黑客可以获得比别人多的挖矿奖励。黑客抽干了RAD/sRADS的池子，并将它换成了价值130万美元的BUSD以及BNB。

　　CREAM Finance——预言机操纵

　　10月27日，Cream Finance预言机受到操纵。攻击者从MakerDAO借用DAI来创建大量yUSD代币，同时通过操纵多资产流动性池（包含yDAI、yUSDC、yUSDT和YTUUSD）来操纵预言机对yUSD的报价。

　　在提高了yUSD的价格后，攻击者的yUSD价格被人为提高，从而创造了足够的借款限额以借走Cream Finance在以太坊v1借贷市场的绝大部分资金。而Cream.Finance于8月30日也曾遭到闪电贷攻击。

　　BADGER DAO——前端恶意代码注入

　　攻击者获取了项目方在Cloudflare后台的API KEY，以此在网站的前端代码里面注入一系列的恶意代码。

　　当用户访问前端网站时，触发恶意代码后会发起交易让用户去确认。假如用户确认了那笔恶意交易，就会将通证使用权给到攻击者。攻击者就可以通过托管使用权将钱全部转走。

　　Anyswap——后台签名

　　出事是因为后台签名时采用了不恰当的值，攻击者通过两笔交易来推导出了它签名的私钥。

　　举个比特币钱包Electrum的例子，当用户旧版本并连接到攻击者的节点时，攻击者通过节点向这个钱包发送钓鱼信息。当用户看见钓鱼信息并下载带有后门的钱包时，黑客便轻松掌握了用户的私钥。

　　交易所

　　不同于项目方一旦出事，人们可以通过链上公开的交易记录进行分析，交易所出事只有内部人员知道发生了什么，那些信息也不会被公开。

　　一般交易所出事来自于这几个方面：交易所的服务器被黑了，攻击者访问到了服务器里面存在热钱包的私钥。交易所的工作人员被钓鱼攻击，然后攻击者通过工作人员的账号访问到内部系统，接触到了热钱包的私钥等等。 (责任编辑：admin)