黑客事件频发，请收下这篇加密防盗指南 _加密

文章插图
黑客今年从加密应用程序中窃取了 20 多亿美元。国庆期间，行业又经历了 TokenPocket 闪兑服务商被盗（损失超 2100 万美元）和 BNB Chain 跨链桥 BSC Token Hub 遭攻击（损失约 5.66 亿美元）的加密盗窃事件。
随着加密生态系统的发展，安全攻防战只会越演越烈。因此，本文将：

提出加密安全事件的分类法；
列举出迄今为止让黑客最赚钱的攻击手段；
回顾当前用于防止黑客攻击的工具的优缺点；
讨论加密安全的未来。

黑客类型
加密应用生态系统由互操作协议组成，由智能合约支持，依赖于链和互联网的底层基础设施。此堆栈的每一层都有其独有的漏洞。我们可以根据利用的堆栈层和使用的方法对加密黑客进行分类。

文章插图
攻击基础设施
对基础设施层的攻击利用了加密应用程序的底层系统中的弱点：依赖用于达成共识的区块链、用于前端的互联网服务和用于私钥管理的工具。
【黑客事件频发，请收下这篇加密防盗指南】攻击智能合约语言
这一层的黑客利用了智能合约语言（如 Solidity）的弱点和漏洞，例如可重入性（reentrancy）和实现委托调用（delegatecall）的危险，这些可以通过遵循安全规范来规避。
攻击协议逻辑
这类攻击利用单个应用程序业务逻辑中的错误。如果黑客发现了一个错误，他们可以利用这个错误触发应用程序开发者没有预料到的行为。
例如，如果一个新的 DEX 在决定用户从交易中获得多少钱的数学方程中出现了错误，那么这个错误就可以被利用，使用户从交易中获得比本应可能获得的更多的钱。
协议逻辑级攻击还可以利用用于控制应用程序参数的治理系统。
攻击生态系统
许多知名的加密黑客利用了多个应用程序之间的交互。最常见的是黑客利用一个协议中的逻辑错误，利用从另一个协议借来的资金来扩大攻击规模。
通常，用于生态系统攻击的资金是通过闪电贷（flashloan）借来的。在执行闪电贷时，你可以从 Aave 和 dYdX 等协议的流动性池中借到你想要的金额。
数据分析
我收集了 2020 年以来 100 起规模最大的加密货币黑客攻击的数据集，被盗资金总计 50 亿美元。
生态系统受到的攻击最为频繁。他们占 41% 。

文章插图
协议逻辑漏洞导致了最多的金钱损失。
金额最大的三个攻击：Ronin 跨链桥攻击（6.24 亿美元）， Poly.NETwork 攻击（6.11 亿美元）和 BSC 跨链桥攻击（5.7 亿美元）。

文章插图
如果排除前三大攻击，则针对基础设施的被盗案件是损失资金最多的类别。

文章插图
黑客是如何下手的？
基础设施
在 61% 的基础设施漏洞中，私钥是通过未知的方式泄露的。黑客可能通过网络钓鱼邮件和虚假招聘广告等社会攻击获得这些私钥。

文章插图
智能合约语言
可重入性攻击是智能合约语言级别上最热门的攻击类型。
在可重入攻击中，易受攻击的智能合约中的函数调用恶意合约上的一个函数。或者，当易受攻击的合约向恶意的合约发送代币时，可以触发恶意合约中的函数。然后，在合约更新其余额之前，恶意函数在递归循环中回调易受攻击的函数。
例如，在 Siren Protocol 黑客攻击中，提取质押品代币的函数很容易被重入，并被反复调用（每次恶意合约接收代币时），直到所有质押品耗尽。