2021年度DeFi行业安全报告.pdf

《2021年度DeFi行业安全报告.pdf》由会员分享，可在线阅读，更多相关《2021年度DeFi行业安全报告.pdf（22页珍藏版）》请在咨信网上搜索。

1、2021年DeFi安全现状 12021年度DeFi行业安全报告 2021年DeFi安全现状 22021年造成黑客攻击最常见的原因是中心化风险，在因此产生的44起DeFi黑客攻击事件中，总资产损失高达13亿美元。“”执行摘要CertiK的客户项目总市值超过900亿美元。2021年，DeFi的增长速度高于以往任何时期。DEX交易量翻了三倍，总锁定价值翻了四番，以太坊的交易费用飙升。2021年CertiK共审计了1737个项目，其中以太坊项目（42%）和币安智能链的 项目（36%）占了其中绝大部分。能提供更快速更低价交易的一些Layer1协议区块链，作为以太坊的竞争对手，在一年内削减了后者三分之一以

2、上的市场份额。NFT和区块链游戏等新概念成为主流，同时Web3也让很多新用户尝到了甜头。随着DeFi飞跃式的发展，区块链安全变得比以往任何时候都重要。目前，因黑客 攻击的损失金额虽逐渐上升，但损失额在DeFi市场的市值占比却在逐年下降。中心化风险成为了被攻击最常见的原因。在44起DeFi黑客事件中，因该问题 产生的损失高达13亿美元。这也使得对于项目来说，去中心化的重要性更为突出，而实现这一目标任重而道远。13572462021年DeFi安全现状 3作为区块链安全领域的领军者，CertiK致力于提高加密货币及DeFi的安全和透明等级。然而，往往是当资金受到损失后大众才会提高对安全的重视，此时哪

3、怕补救也为时已晚。在这份报告中，CertiK将与大家分析2021年的安全形势变化、解读随DeFi的增长其应用频率和复杂性提高而出现的最新漏洞以及探讨CertiK对安全领域的期望。2020年，因黑客攻击、漏洞和项目方欺诈而受到损失的加密货币价值约5亿美元。在2021年，这个数字飙升至13亿美元，但这一数字占总加密货币市值的百分比则相对下降为 0.05%，相较于2020年同比下降了17%。2021年，CertiK共审计了1737个项目，同比增长超过1000%。这个数字也反映出了加密领域在快速发展的过程中对安全解决方案的持续性需求。CertiK的业务增长受益于币安智能链的快速崛起。自2021年1月1

4、日至今，BSC的总锁仓价值(TVL）从6200万美元增至210亿美元，增幅高达31000%。这一与EVM兼容的区块链通过活跃的生态系统和具备优势的交易费用吸引了源源不断的用户。CertiK的使命是提高加密领域包括所有加密货币和DeFi在内的透明度及安全标准。我们为此所做的工作已经发展到代码审计、实时链上监控、创建可访问的教育内容以及提供关键的基础设施服务。为了与2021年获得关注的各个Layer1协议区块链的发展相呼应，CertiK安全排行榜（Security Leaderboard）在2021年底根据链上和链下安全分析对1861个不同的项目做出了排名。DeFi总价值的上涨毫无疑问会使黑客获得

5、的不当收益增加，同时更强的跨链互操作性也给黑客提供了新的攻击载体。由于各个Layer1区块链获得成功，以太坊Layer2扩容方案的发布以及以太坊2.0即将问世，跨链互操作性也只会更加重要和复杂。不同Layer1区块链之间的桥梁在2021年被黑客数次攻击获利。然而这些“小插曲”并没有打消DeFi用户对新生态系统的好奇与向往，特别是当新生态系统相比于以太坊具备更快的交易速度和更低廉的交易费用时。可以看出其他Layer1区块链成为了2021年的大赢家，我们将在报告中探究它们的演变及发展过程。总而言之，尽管在发展中伴随着阵痛，2021年仍是令人兴奋的一年。加密货币领域充满了重大创新，也伴随着更多创新应

6、用的出现。本报告将探究并解析过去一年该领域的演变、遇到过的障碍以及随着加密货币作为着眼未来的资产类别会愈加重要的宏观趋势。概述2021年DeFi安全现状 4攻击的载体1CertiK拥有丰富的审计经验，因此形成了对常见智能合约漏洞的独到 见解。这些常见漏洞占据了攻击事件起因的大部分比例，同时也说明了项目所有者在合约部署前充分解决漏洞并进行全面审计的必要性。到目前为止，中心化风险是CertiK发现的最常见的安全风险。2021年，CertiK在1737个审计项目中发现了286个不同的中心化风险。很明显，这与DeFi去中心化的宗旨相悖。因中心化而形成的单一薄弱点可以被黑客和具有恶意的内部人员轻易利用。

7、比如DeFi协议bZx因私钥管理不善于2021年11月被恶意攻击导致损失高达5500万美元这个典型事件。而类似的某密钥可控制所有合约从而产生的特权风险在2021年的审计项目中出现了多达76次。2021年DeFi安全现状 42021年DeFi安全现状 5由于一个简单的钓鱼邮件就可以轻而易举地破坏整个协议，因此单一的、非多签名的管理方式远远不够。我们对此给出的建议是添加时间锁或是采用DAO、多签名钱包等方式来避免此类攻击。除了中心化风险，缺少事件触发的风险（missing event emission）是发现的第二个最常见的漏洞(共211例)。如果合约改变了敏感变量的状态或调用了重要进程，应当采用

8、setOracleAddress()和setLiquidityFeePercent()一类的函数向用户及时发出通知。另一个常见的代码错误是使用了未锁定的编译器版本（共176例）。在合约的源代码中，未锁定的编译器版本允许用户以特定版本或更高版本进行编译，这反过来又会导致编译之间生成的字节码产生差异。CertiK遇到过整整104行都缺乏正确输入验证代码的情况。验证输入（例如，确保函数中的某个变量大于零）能将可执行文件的功能限制在一组已知的可能性中。特别是当用户能够灵活地与整个智能合约中的所有变量交互时，限制在智能合约上创建未知或潜在恶意事件的能力变得至关重要。继中心化风险之后缺少事件触发的风险（m

9、issing event emission）是下一个最常见的漏洞”“2021年DeFi安全现状 52021年DeFi安全现状 6此外，对第三方的过度依赖（共102例）也需要尽可能避免。开发者只能控制他们自己代码的安全性，但无法确保与其交互的的外部合约安全。虽然像安全预言机这样的工具可以确保外部合约在交互批准之前达到预定的安全标准，以此作为风险保护，但别忘了DeFi的本质其是消除所有形式的中心化。互操作性放大了系统中每个智能合约的力量和潜力，但它也要求合约都满足一定的安全标准和去中心化标准。CertiK将漏洞风险的调查结果分为六个等级：严重、主要、中等、次要、信息性和讨论。严重型的风险会危及整个

10、项目的运作，而信息性或讨论型风险的发现往往涉及到到智能合约开发的最佳实践。因此除了在严重和主要风险出现时尽快解决外，CertiK提高生态系统安全标准的使命还包括建立安全规范和最佳实践。Solidity作为EVM智能合约的编写语言至今只有7年的历史，开发者们仍在探索智能合约代码的可能性。而现在，正是使安全成为根本，以在未来保护用户的最佳时机。2021年DeFi安全现状 62021年DeFi安全现状 72021年因黑客和漏洞造成的损失超过了10亿美元，这足以表明确保行业安全性仍然是一个极大的挑战。仓促的项目抄袭、未经审计的部署和彻头彻尾的项目方欺诈导致加密世界遭受了数亿美元的非必要损失。即便如此，

11、2021年大多数遭受攻击的DeFi协议仍未接受安全审计。这也是一个重要的警示：要想DeFi成为一个安全的投资和创新领域，我们任重而道远。再来看一个例子Uranium Finance是Uniswap（部署于BSC）的一个未经审计的拷贝项目分叉，由于其源代码中的一个字符错误，导致了高达5700万美元的用户资金损失。黑客耍新花样？不过是“新瓶装旧酒”22021年DeFi安全现状 8这是经过审计的原始Uniswap代码：以及Uranium Finance的拷贝代码：Uranium Finance将balance0和balance1从1000更改为10000，但忽略了更新第三行中的一个数字，导致攻击者能

12、够用1wei的输入代币换取代币对中98%的余额储备。尽管这种匆忙的拷贝项目使得黑客攻击变得“唾手可得”，还有一些漏洞会出现在例如Alchemix和Compound这样行业前沿平台这两个备受瞩目的DeFi平台由于其代码中的错误遭受了数百万美元的损失。因此，对平台代码的任何微小的修改都需要进行安全审计和审查。正如我们所见，一段字节大小的代码关系着数百万美元的资产安全。一段字节大小的代码可以造成数百万美元的损失”“来源:rekt2021年DeFi安全现状 82021年DeFi安全现状 9为表示社区的诚意，Alchemix协议错误发放的2262个ETH中有超过55%在公众呼吁后被返还。100%归还被错

13、误认领的aIETH代币的用户能够得到奖励每归还一个ETH或alETH都会得到1个ALCX代币，外加一个Alchemix Legend NFT。尽管此次事件造成的后果被平息，但这次闹剧本不该靠社区的善意来解决。最好的安全保护应是在部署前进行全面审计，并结合链上监控工具对合约进行实时监控分析和保护。2021年DeFi安全现状 92021年DeFi安全现状 10Alchemix目前使用CertiK Skynet天网动态扫描系统来保护其链上协议活动，并为用户和投资者提供易于阅读的项目安全和整体运行概况报告。尽管在对DeFi无限可能的探索过程中往往会出现风险，但维护安全性并不需要以牺牲创新为代价。事实上

14、，两者可以并驾齐驱。DeFi的开源和协作性质能使不同项目的开发者一起合作，在发现漏洞的情况下“协同作战”，从而为所有用户提供更安全的体验和更强大的生态系统。CertiK的安全产品在去年也取得了长足的进步提供给包括普通用户和专业人士在内所有用户的安全工具正在迅速拓展。2021年DeFi安全现状 11CertiK安全排行榜截至2021年底已收录了1861个已完成或刚加入的项目。安全排行榜让DeFi用户能够利用CertiK的审计和安全团队的专业知识，对投资项目的安全风险有更深入的了解。这些用户将整个生态系统推向了新的高度，而我们提供的安全数据可以帮助他们做出更明智的决定。Skynet天网动态扫描系统

15、可主动实时监测数百个DeFi项目及平台，并结合链上交易监控和如社区治理、舆论舆情等链下数据对项目及平台输出全面的安全分析。Skynet Premium由CertiK于2021年正式推出，其威胁检测模型会通过机器学习与不断变化的智能合约风险环境同步进化。这也意味着，随着威胁情报库和智能合约漏洞库的不断积累，这一平台也会变得愈发先进。目前Premium平台有一个功能较全面的分析仪表板，可帮助企业客户实时监控和管理其项目风险。CertiK安全预言机允许开发者利用去中心化的节点网络提供的实时安全评分，确保他们的合约与其他智能合约的交互达到安全标准。这使开发者在利用DeFi强大互操作性的同时，保护自己的

16、合约免受过度依赖第三方的影响。SkyTrace则是一种智能、直观的追踪工具，可帮助分析以太坊和BSC钱包的交易数据并使其可视化。该工具为识别和追踪进出自己的个人钱包或项目团队钱包的可疑流量提供了深入的分析。2021年DeFi安全现状 112021年DeFi安全现状 12以太坊在过去一年中获得了巨大的成功。以太坊网络的收益超过了比特币网络的60倍，这可被视为比特币与以太坊的第一次大反转。撰写本报告时，以太坊平均每日的费用收益为5300万美元，而比特币的日收益刚刚突破100万美元大关。目前以太坊每天处理的交易量也是比特币网络的4倍多128万笔，比特币网络则为29.3万笔。三个主要基于以太坊的应用在

17、交易费用上也击败了比特币进入了前五名。Uniswap在以太坊上的交易量占99.2%，SushiSwap占85.4%，而AAVE占66.9%。来源:cryptofees“ETH之死”还是 多链世界的诞生32021年DeFi安全现状 132020年末，比特币的收益大约是以太坊的两倍。自那以后，以太坊增长了50多倍，而比特币的日收益却下降了66%。过去一年中以太坊的惊人增长可见一斑。虽然比特币仍然是加密世界无可争议的领导者和名义上的龙头，但人们显然对由以太坊实现的并由智能合约驱动的去中心化应用有着更大的需求。DeFi、NFT和ENS（以太坊域名服务）等其他应用程序都为该增长做出了贡献。然而，这种需求

18、导致以太坊的区块空间溢价而日益昂贵，收益的大幅增加意味着用户支付的费用同样大幅增加。以太坊的平均交易费用在5月份达到了68.72美元的历史新高，而这仅仅是最基础的代币转移的平均交易费用。若与支持DeFi协议的复杂智能合约互动，所产生的费用可数倍于此。以太坊令人咂舌的交易成本促使许多用户另寻途径。2021年初，以太坊区块链上的应用尚占据了DeFi总锁仓价值(TVL)的98.2%。而截止撰写本报告时，这一数字已下降了三分之一以上，降至67%。按TVL 1 来看，目前最大赢家是币安智能链，其后是Solana、Terra、Avalanche、Fantom和Polygon。1 https:/ 14以太坊

19、2021年1月1日，42.6万个活跃地址，目前55.8万个。5月份达到峰值：80万个。TVL达到1530亿美元。2021年统计数据：地址数量同比增长42021年DeFi安全现状 15币安智能链（BSC）2021年1月1日，4.95万个活跃地址，目前为131.3万个。10月中旬达到的峰值：162.4万个。TVL达到190.7亿美元。POLYGON2021年1月1日，759个活跃地址，目前为36.7万个。10月达到峰值：56.6万个。TVL达到45.9亿美元。2021年DeFi安全现状 16AVALANCHE2021年1月1日，22个活跃地址，目前为6.7万个。TVL达到82亿美元。与以太坊相比，

20、每一个新的Layer1都有着自己的优势和不足。目前，速度、安全和去中心化的区块链三难困境依旧无解，即三者不可兼得，往往需要牺牲一个来满足其他两个条件。以太坊通常会牺牲速度速度不仅显著影响交易吞吐量，也影响交易成本以实现安全性和去中心化。以太坊约有2500个主网节点使用工作量证明共识机制（PoW）挖矿以确保网络的安全性，这极大提高了破坏区块链的成本。币安智能链采取了不同的方法采用21个受信任的验证者实施权益证明共识机制(PoSA），其结果是大大提高了速度，降低了交易费用，但代价是增加了中心化程度。2021年DeFi安全现状 172021年9月，Solana遭受分布式拒绝服务(DDoS)攻击并被迫

21、离线超过18个小时，这无疑证明了增加中心化会降低安全性。即便如此，当系统恢复正常时，用户仍蜂拥而至再次“上线”，因为对于很多用户来说，廉价、快速的交易是他们选择Layer1的首要动机。人们对各个区块链在设计上的取舍存在很多争论，但多个彼此竞争的Layer1依旧各自蓬勃发展，这足以表明每一种设计或选择在市场上都有一席之地。重视以太坊的去中心化和安全记录的用户会甘愿支付高额的交易费用而进行交易，而那些青睐快速交易和低廉交易费用的用户将寻求共识机制更新颖的区块链。2021年，以太坊在DeFi领域的主导地位显著下降，但其手续费收入和TVL却大幅增长。这对于整个行业的健康发展以及竞争下的持续创新而言，是

22、一个积极的信号。所有人的NFT非同质化代币(NFT)和区块链游戏在2021年成为了主流。2021年2月，佳士得拍卖行将数码艺术家Beeple的NFT作品每一天：前5000天以约6900万美元的高价成交，刷新了数码艺术拍品的最高价纪录，并以此登上了头条新闻。这意味着艺术界迈出了进入NFT领域的第一步。与此同时，实体艺术市场萎缩了22%，部分原因是全球的新冠疫情影响，但也可能是因为大众对数字艺术形式的兴趣日益浓厚 2。NFT有望彻底改变真实性、所有权、出处和稀缺性证明而这些要素在数字世界中毫无疑问是必不可少的。此外，区块链游戏也大行其道，Axie Infinity等游戏和Immutable等平台吸

23、引了数百万用户。其中许多用户成功利用了区块链游戏的“即玩即赚”模式获利，因为NFT技术和代币奖励让游戏中的资产得以变现。过去几年，堡垒之夜和反恐精英中的武器和皮肤等游戏内资产的价格一直是媒体关注的焦点，而这些资产仅限于游戏世界中。NFT技术允许用户将他们花了无数时间在游戏中获得的数字资产保存至游戏外的区块链钱包，并在Web3中使用。对于所持有的NFT皮肤或Immutable X等平台上的物品及道具，用户可以自由交易或收集展示。随着游戏和区块链技术进一步集成，更多的应用将会涌现。2 https:/ Word的现场讨论，认为比特币是一种社会赋权的工具。马斯克表明：一旦网络由至少50%的可再生能源提

24、供动力，特斯拉将恢复接受比特币作为支付手段。这再次体现了环境、社会和治理(ESG)问题仍然是许多组织的首要考虑因素。从中期来看，以太坊即将过渡到权益证明共识机制(Proof of Stake)，而比特币挖矿中越来越多地使用可再生能源，这都将持续推动该行业的未来更加环保绿色。今年一些以可再生能源为重点的比特币矿商已上市，并从这个行业不可阻挡的未来发展中获利。192021年DeFi安全现状2021年DeFi安全现状 20监管压力迫在眉睫加密货币的持续崛起引起了世界各地监管机构和主流金融机构的关注。虽然各个国家的监管方式各不相同从萨尔瓦多成为第一个让比特币成为法定货币的主权国家，到世界领先的比特币开

25、采地之一俄罗斯央行提议禁止加密货币，再到印尼监管机构全面禁止金融服务公司进行加密货币交易。美国当局也对DeFi表现出了浓厚的兴趣。2021年4月，美国证券交易委员会任命了一位精通区块链技术的新主席加里金斯勒。此前（2018年），他在麻省理工学院教授过一门有关区块链的研究生课程。他最近有关加密货币的言论表明，在不久的将来，证券法的适用范围可能会扩大。金斯勒明确表示美国证券交易委员会的职权范围并不包括直接禁止加密货币的权力，但他同时重点强调许多代币，尤其是那些通过首次代币发行(ICO)推出的代币实际上是 证券 3。另一个备受瞩目的话题是稳定币。Tether和Bitfinex与商品期货交易委员会(C

26、TFC)达成了4250万美元的和解，结束了针对他们的民事诉讼。该诉讼指控这两家加密货币公司“对 tether代币稳定币做出了不真实或误导性的陈述，并遗漏了重要事实”4。此前，Tether和Bitfinex还于2月就纽约总检察长办公室提起的1800万美元诉讼达成和解，两家公司均未 承认有任何不当行为。在缺乏监管机构明确指导的情况下，加密行业推动了自我监管。Paxos、TrustToken和 EURS都实施了加密储量证明(PoR)，以证明其稳定币是由真实银行账户中的真实资产 所支持 5。3 https:/en.cryptonomist.ch/2021/10/06/gary-gensler-cryp

27、tocurrencies-are-securities/4 https:/www.cftc.gov/PressRoom/PressReleases/8450-215 https:/data.chain.link/ethereum/mainnet/reserves2021年DeFi安全现状 212021年是DeFi所有事物创纪录增长的一年。在这一年中，几乎每一个行业的指标都增长了许多倍。以太坊网络现在的收益是比特币的64倍以上，每日交易数量是比特币的4倍以上。以太坊与新一代Layer1的激烈竞争可能促进了2021年全年的增长，而他们共同的增长与成功证明了世界需要多个区块链生态系统，因为每个生态系

28、统都有自己独特的价值主张。尽管2021年加密世界总锁仓价值的上升导致因黑客攻击和漏洞利用而损失的资产价值高于2020年，但其占总市值的百分比有所下降。这固然体现了加密世界安全领域的进步，但也同样表明，在DeFi领域，若要令人安心部署资产，其生态系统仍有优化的空间：正因为2021年有绝大部分的项目在上线前都没有经过审计。CertiK在2021年对1737个项目的审计揭示了本报告中概述的一些趋势。安全的未来即是DeFi的未来。如果没有有效的安全措施来保护用户和平台，那么DeFi发展中的创新和收益均会受到较大的影响。幸运的是，大众对DeFi需求的正面影响远远大于少量黑客和漏洞被利用所带来的恶性后果。

29、让安全审计成为所有项目的标准程序之一，是DeFi保持现状并精益求精的必要手段之一。2021年被攻击的项目中，绝大部分并没有经过安全审计。除此之外，代码部署后，实时监控和加入链上分析等工具也可以帮助提高代码安全性。总结62021年DeFi安全现状 22随着加密世界步入多链，跨链互操作性将变得更加重要。这也是将安全最佳实践纳入新的跨链协议基础的最佳时机。而CertiK希望在中短期内，可以实现这一目标。尽管数字资产在安全性、应用和监管批准方面取得了长足的进步，但它仍然是一个新兴市场。此刻，未来正渐渐成形。若能借此机会从设计上改良并增进区块链的安全性，或许能让这项技术在未来继续为大众源源不断地创造机遇。回顾2021年，CertiK可以很自豪地说：今年的历史新高不仅在于价格，更在于万众瞩目的热点，百家争鸣的创新和广纳良策的精进。2021年DeFi安全现状 22