揭秘2021区块链黑客攻击的原因

小编：记得

来源：CertiK

区块链是一片鼓励创新的热土，在某种角度上因其安全风险也成为了滋生犯罪的温床。当年众筹超过1.5亿美金的TheDAO被黑客盗币后，进行了硬分叉操作，由此产生了如今的以太坊。

自区块链创世以后，各种针对交易所、钱包以及Dapp的黑客盗币事件频发。那么，2021年区块链安全领域又经历了何种波澜，后续的处理工作又是如何的呢？

2021年区块链黑客盗币事件整理由于2021年市场情绪热烈，黑客盗币的金额打破了往年的历史记录。

截至三季度，统计一共有32起黑客入侵事件导致了15亿美金的资产被盗，而去年全年这个数字是1.8亿美金。

■DeFi协议

①UraniumFinance——逻辑漏洞

2021年4月份流动性挖矿协议Uranium受到了攻击，被攻击的智能合约是MasterChief的修改版本（MasterChief是用于创建质押池并向用户返还质押奖励的智能合约）。

其中，用于执行“质押奖励”的代码出现了逻辑漏洞，使得黑客可以获得比别人多的挖矿奖励。黑客抽干了RAD/sRADS的池子，并将它换成了价值130万美元的BUSD以及BNB。

②CreamFinance——预言机操纵1

0月27日，CreamFinance预言机受到操纵。

攻击者从MakerDAO借用DAI来创建大量yUSD代币，同时通过操纵多资产流动性池（包含yDAI、yUSDC、yUSDT和YTUUSD）来操纵预言机对yUSD的报价。

在提高了yUSD的价格后，攻击者的yUSD价格被人为提高，从而创造了足够的借款限额以借走CreamFinance在以太坊v1借贷市场的绝大部分资金。而Cream.Finance于8月30日也曾遭到闪电贷攻击。

③BadgerDAO——前端恶意代码注入

攻击者获取了项目方在Cloudflare后台的APIKey，以此在网站的前端代码里面注入一系列的恶意代码。当用户访问前端网站时，触发恶意代码后会发起交易让用户去确认。

假如用户确认了那笔恶意交易，就会将通证使用权给到攻击者。攻击者就可以通过托管使用权将钱全部转走。

④Anyswap——后台签名

出事是因为后台签名时采用了不恰当的值，攻击者通过两笔交易来推导出了它签名的