DeFi史上第二大黑客攻击事件：虫洞损失逾3.2亿美元，区块链安全问题日益凸显

记者赵奕 胡金华 上海报道

2月3日，作为区块链之间最大的桥梁之一，连接以太坊和Solana两大区块链的主要桥梁——虫洞（Wormhole）遭黑客攻击被盗取12万ETH，约3.2亿美元。

记者了解到，最新消息显示，Wormhole团队宣布漏洞已经修复，且协议恢复运行，但是并没有对这些被盗资金做出明确答复。值得注意的是，这是目前DeFi第二大黑客攻击事件。

针对此次事件，人民大学货币所研究员陈佳向《华夏时报》记者表示，虽然在攻击发生后，以太坊等相关项目迅速调动资金和技术支持开展救助行动，短期内跨链交易的技术影响已经降到最低，但考虑到类似wormhole跨链新兴平台众多，并非每个都能得到及时资助，对从业者和投资者信心的影响难以估量。

DeFi史上第二大黑客攻击事件

公开信息显示，Wormhole是一种允许用户跨区块链桥接资产的协议。它锁定的总价值超过10亿美元，并支持六个区块链：Terra、Solana、Ethereum、Binance Smart Chain、Avalanche和Polygon。

2月5日，Wormhole发布针对该事件的报告中指出，此次事件中Wormhole的漏洞具体是Solana端核心Wormhole合约的签名验证代码存在错误，允许攻击者伪造来自“监护人”的消息来铸造Wormhole包装的ETH。目前已通过添加缺少的核查来修复该漏洞。

记者了解到，在漏洞攻击后，Wormhole向黑客发送了一条链上消息，表示愿意向其提供一份白帽协议，及1000万美元的漏洞赏金，以获取漏洞攻击细节。

值得注意的是，本次事件是目前DeFi领域第二大黑客攻击事件，同时也是针对Solana的黑客攻击中造成的最大损失规模。2021年8月10日，跨链互操作协议Poly Network遭受攻击，按事件发生时相关资产的市场价计算，黑客就窃取了价值6.1亿美元的加密货币，使其不仅成为DeFi历史上，更是整个加密货币历史上涉案金额最大的黑客事件。

记者注意到，自DeFi诞生以来，就伴随着无数的风险。尽管现在许多DeFi项目价值一直在爆炸式的翻倍增长，但被黑事件也愈演愈烈。Rekt数据显示，2021年DeFi领域共发生了161次黑客攻击事件，损失金额高达18.6亿美元，同比增幅近1000%。经慢雾统计，DeFi通常存在以下攻击方式：闪电贷攻击；合约漏洞；兼容性或架构问题；私钥泄露或前端攻击以及内部作案、跑路。

慢雾科技团队认为，对用户来说，随着区块链领域的玩法愈发多样化，用户在进行投资前认真了解项目背景，查看该项目是否有开源、是否经过审计，在参与项目时需要提高警惕，注意项目风险。

区块链安全问题日益凸显

事实上，在区块链技术快速发展的同时，区块链安全问题也逐渐凸显，黑客攻击时有发生，利用加密货币进行洗钱、诈骗等案件也逐渐增多。

“区块链安全事件频发一方面表明伴随着区块链与经济、金融领域的不断交织，其应用价值与日俱增，从而遭到不法分子的觊觎；另一方面也表明目前各区块链机构在安全方面的布防实力不足，亟待引进相关领域的高级人才，及时构建起安全防火墙。”易观高级分析师苏筱芮向本报记者表示。

据慢雾科技区块链被黑档案数据不完全统计，2021年区块链生态被公开的区块链安全事件共231起，损失超98亿美元。其中各生态DApp、DeFi等安全事件170起，交易所安全事件15起，公链安全事件8起，钱包安全事件3起，其他类型安全事件35起。

对此，陈佳表示，关于区块链的安全性问题，从业者和投资者包括大众的看法是比较分裂的。从业者在架构设计和交易过程中有所失误是毫无疑问的；投资者和大众的看法则深远的多：包括盗窃和骗术在内的安全问题在金融市场里属于常见的道德悖论，成熟市场往往需要利用机制设计去治标，用道德法治去治本，打磨配套整套风控体系需要时间的沉淀。

陈佳认为，对当前区块链社区来说，尚且还没走到风控体系时间沉淀的阶段，道德悖论的机制设计在币圈的交易层面还是非常粗放；丛林法则比比皆是，这种原生态原则上是某种“投机机会”，但这种“机会”催生的道德风险肯定不是纯技术能解决的。

高级数据分析师、乡村振兴建设委副秘书长袁帅向《华夏时报》记者表示，区块链安全形势愈发严峻，要推动区块链发展首先就应秉持“安全先行”的发展理念，积极进行前瞻性战略布局，实现政府主导下的技术创新与安全应用的协同发展，打造安全可信的产业生态体系，保障区块链安全有序发展。要完善区块链应用安全监管机制，加快推动区块链安全技术研究，加快建立区块链安全标准和测评能力，培育区块链安全复合型人才。

袁帅认为，区块链安全事关公链平台、项目方、投资者等众多主体。对于区块链安全来讲，建议相关企业与专业区块链安全研究组织合作，及时发现、修复系统漏洞，避免大规模资金被盗事件发生；对于普通用户及投资者来讲，应充分了解可能存在的风险，在电脑端、手机端使用腾讯电脑管家可避免掉进网络钓鱼陷阱，避免数字虚拟币钱包被盗事件发生。同时应防止电脑中毒成为“矿工”，谨慎使用游戏外挂、破解软件、视频网站客户端破解工具；对于云端网站、服务器资源的管理者，应部署企业级网络安全防护系统，防止企业服务器被入侵安装挖矿病毒，防止受到勒索病毒侵害。

责任编辑：徐芸茜 主编：公培佳

标签： 区块链 wormhole 漏洞 安全事件 事件 defi 货币 华夏时报