華夏時報記者 盧夢雪 冉學(xué)東 北京報道

　　幣圈再現(xiàn)黑客攻擊，本次事件主角為智能合約平臺幣安鏈（BNB Chain）。

　　北京時間10月7日凌晨，智能合約平臺幣安鏈（BNB Chain）遭遇黑客攻擊，短短2小時，200萬枚幣安幣被洗劫一空。隨后，幣安首席執(zhí)行官趙長鵬在社交平臺表示，目前受損金額估計為1億美元（約合人民幣7.1億元）。

　　“今天的事件是BNB Chain在去中心化道路上經(jīng)受的一次挑戰(zhàn)。”10月8日，BNB Chain社區(qū)對《華夏時報》記者回應(yīng)稱，“跨鏈橋的技術(shù)發(fā)展正處于早期階段，我們相信，只有發(fā)現(xiàn)問題才能解決問題。”盡管如此，BNB Chain社區(qū)同時表示，BNB Chain會繼續(xù)在去中心化的道路上往前發(fā)展，包括繼續(xù)增加更多驗證節(jié)點(diǎn)。

　　200萬枚BNB被盜

　　“這個問題目前已經(jīng)得到控制，客戶的資金是安全的。對于給投資者帶來的不便，我們深表歉意，未來將提供進(jìn)一步的系統(tǒng)更新。”攻擊事件發(fā)生后，幣安首席執(zhí)行官趙長鵬在社交平臺表示。

　　據(jù)媒體報道，10月7日凌晨，BNB Chain遭遇了黑客攻擊，200萬枚幣安幣被洗劫一空。對此，BNB Chain在社交平臺表示，由于活動異常，目前正在維護(hù)中，暫時暫停所有通過BNB Chain的存取交易，直到有進(jìn)一步的更新。

　　“BSC驗證者正在協(xié)調(diào)在一個小時內(nèi)啟用最新版本，一是阻止黑客帳戶之間采取行動，二是BNB Beacon Chain和BNB Smart Chain之間的原生跨鏈通信被禁用。”10月8日，BNB Chain社區(qū)回應(yīng)《華夏時報》記者時表示，同時，他們正要求所有節(jié)點(diǎn)運(yùn)行者嘗試升級到上述最新版本，“驗證者和社區(qū)也將討論進(jìn)一步升級以徹底解決這種情況”。

　　據(jù)BNB Chain社區(qū)介紹，該事件源于黑客對跨鏈橋BSC Token Hub的攻擊，導(dǎo)致增發(fā)了更多的BNB，黑客從BSC提取的資金初步估計在7000萬美元到8000萬美元之間，“我們已要求所有驗證者暫停運(yùn)營BSC，同時通過BNB社區(qū)和多家安全合作伙伴的共同努力，估計有700萬美元已經(jīng)被凍結(jié)。”

　　“之所以客戶的資金是安全的，一方面是因為鏈停掉了，然后把增發(fā)的幣刪除了；另一方面，流出去的資金已經(jīng)被鎖定了，無法交易，所以實際上屬于無效攻擊，對市場的影響有限。”一位區(qū)塊鏈技術(shù)安全人員向《華夏時報》記者分析稱。

　　據(jù)悉，BNB Chain原名BSC（幣安智能鏈）。BSC公鏈早期冠名Binance Smart Chain，幣安曾參與幣安鏈和幣安智能鏈BSC，前者在2019年4月上線，曾主要開設(shè)去中心化交易所Binance Dex；后者在2020年9月上線，支持智能合約編寫功能。2022年2月，幣安發(fā)布消息，原幣安智能鏈（BSC）將更名為BNB Chain。同時，BNB是幣安交易所的平臺幣，以及幣安智能鏈的生態(tài)代幣。截至發(fā)稿，BNB價格約281美元。

　　黑客攻擊事件頻發(fā)

　　DeFi是黑客攻擊事件的高發(fā)領(lǐng)域。

　　根據(jù)Chainalysis發(fā)布的報告，2021年，攻擊者從投資者那里竊取了總計32億美元的加密貨幣。The Block·Research統(tǒng)計顯示，2020年也有15起針對DeFi平臺的黑客攻擊事件，被盜資金高達(dá)1.2億美元，僅有4560萬美元被追回。

　　今年3月份，知名區(qū)塊鏈游戲Axie Infinity的以太坊側(cè)鏈Ronin Network遭遇黑客攻擊，造成了約6.25億美元（17.36萬枚以太坊和2550萬USDC）的損失，堪稱有史以來最大的一次DeFi黑客攻擊。

　　自2020年以來，DeFi項目獲得了高速發(fā)展，而同時，其也因安全問題頻頻引起關(guān)注。幣安研究院高級分析師江金澤在接受《華夏時報》記者采訪時認(rèn)為，DeFi項目常見的安全問題主要有7種，包括機(jī)制缺陷；代碼邏輯漏洞；第三方代碼庫/服務(wù)漏洞（包括通信安全）；私鑰泄露，或被釣魚攻擊；內(nèi)部風(fēng)控不足；項目方主觀作惡捐款跑路；市場參與者導(dǎo)致的安全影響（如科學(xué)家搶跑、三明治攻擊、閃電貸攻擊等）。

　　DeFi項目之所以頻頻被黑客盯上，Muse Labs理事長、宋雙杰博士在接受《華夏時報》記者采訪時分析，一方面，DeFi項目往往涉及金額比較高，攻擊的潛在收益高；另一方面，DeFi協(xié)議脆弱，DeFi協(xié)議幾乎全部圍繞著金融構(gòu)建，發(fā)展一兩年以來，交易、借貸等DeFi協(xié)議相互嵌套，無限放大風(fēng)險，同時，DeFi還與NFT、Metaverse等鏈上產(chǎn)品交織，整個生態(tài)的復(fù)雜度急劇上升，使得把握體系內(nèi)外蘊(yùn)含的風(fēng)險難度極高；此外，由于DeFi匿名性、開放性的特點(diǎn)，經(jīng)常不進(jìn)行準(zhǔn)入審核，使得黑客的身份很難識別，這就使得對黑客的誘惑大，攻擊成本低。

　　“而且DeFi幾乎沒有‘監(jiān)管’。即使通過技術(shù)鎖定了匿名攻擊者的真實身份，當(dāng)下也很難對攻擊者給予任何懲罰，所以黑客攻擊的成本過低，即使攻擊被發(fā)現(xiàn)，也幾乎沒有什么損失。更可怕的是，一些國家，系統(tǒng)性的組建了自己的黑客團(tuán)隊，成規(guī)模、長周期的攻擊DeFi協(xié)議。”宋雙杰表示。

　　隨著DeFi項目的發(fā)展，相比早期的區(qū)塊鏈應(yīng)用，DeFi項目的復(fù)雜度大幅度提升，江金澤認(rèn)為，隨著DeFi更深入地發(fā)展，這個復(fù)雜度還會進(jìn)一步提升，而軟件出現(xiàn)漏洞的概率與復(fù)雜度的平方成正比。

　　“項目自身設(shè)計存在的缺陷是很難完全被消除的，合約漏洞引起的攻擊是大額安全事件的主要來源。尤其是智能合約權(quán)限過大和追求效率之間存在矛盾，很難兩全齊美。”江金澤分析稱，以幣安鏈這次的安全事件來看，問題就是跨鏈橋這個App可以自行根據(jù)在一條鏈上接受到的存款在另外一條鏈放款，如果為了安全增加大額人工審核或者延時釋放那勢必會影響效率。

　　但同時應(yīng)該看到，江金澤指出，有些權(quán)限漏洞的初衷也是為了保護(hù)用戶，比如賦予項目方權(quán)限，使其發(fā)現(xiàn)了問題可以自主改動合約做相關(guān)治理及風(fēng)險應(yīng)急，“這樣的權(quán)限如果移除了，也不一定更好。”

　　責(zé)任編輯：孟俊蓮 主編：張志偉

海量資訊、精準(zhǔn)解讀，盡在新浪財經(jīng)APP

責(zé)任編輯：張文