Bishop Fox 发布报告，分析了 2021 年 DeFi 和区块链安全事件。

过去 1 年，区块链和 defi 项目数量激增，数量的增长也引发了大量的攻击。5 月，网络安全公司 Bishop Fox 发布 2021 年发生的有影响力的区块链和 defi 项目进行了分析。

分析发现 2021 年针对区块链和 Defi 项目的主要攻击事件有 65 起，造成约 18 亿美元损失，其中 90% 的攻击为非复杂攻击。

平均来看，每个月 defi 项目遭受攻击 5 次，其中 5 月和 12 月数量最多。

从攻击向量来看：

智能合约漏洞约占 51%；

协议和设计漏洞约占 18%；

钱包入侵约占 10%；

Rug pull 和垃圾邮件占 6%；

密钥泄露约占 4%；

前端攻击约占 4%；

套现相关约占 3%

加密货币相关漏洞约占 2%。

从中可以看出，攻击主要来自于智能合约和协议的设计逻辑漏洞。

智能合约和协议漏洞

研究人员攻击智能合约和协议涉及的安全事件发现，利用的主要是已知的漏洞、fork 漏洞和复杂攻击。

已知漏洞和 fork

研究人员分析发现大多数攻击事件来源于有漏洞的代码或有漏洞的项目的 fork。未对项目代码进行检查和安全审计，导致最终的项目代码存在漏洞。

比如，2021 年 5 月 28 日，BurgerSwap Dex 项目被黑，造成 720 万美元的损失。攻击者使用的结束和漏洞包括：

Flash loans；

使用虚假 token 对；

在攻击中，BurgerSwap 的代码是从 UniswapV2Pair 的代码 fork 的，但原代码中的 x*y ≥ k 检查被删除了。

缺乏深度审计

许多区块链和 defi 项目都没有经过适当的审计。一些审计报告也非常简单，自动化代码扫描中没有添加真实的值，因此会造成项目非常安全的假象。此外，研究人员还发现：

智能合约没有进行任何审计；

智能合约被排除到审计的范围外；

代码更新未审计。