黑客不问牛熊，别拿技术漏洞作为挡箭牌

作者 | 布兰   出品 | 奔跑财经

2022年是加密市场步入漫长寒冬的一年，在绝大多数投资者还在想方设法如何生存下去的时候，黑客们并未停下手中的活计。根据区块链分析公司Chainalysis发布的数据显示，黑客们在今年里狂盗超30亿美元。

这一数据已与去年加密大牛市行情下的被盗金额接近，但可怕的是现在距离年底却还剩两个半月时间。

同时，报告中还提到今年已发生125起黑客攻击事件。分析显示，2022年黑客攻击主要发生在DeFi协议上，通常这些协议都是基于公链部署智能合约。而黑客则利用了加密投资者在数字分类账上进行交易、贷款和借款等金融行为时的漏洞进行的攻击。

值得一提的是，从今年10月份开始，至少已有7.18亿美元被盗。按照此前速度，即使后续黑客攻击行为有所减少，今年加密市场被盗总价值也极有可能创下历史最高记录。

此外，前几日发生的Solana生态DeFi平台Mango遭遇黑客攻击事件，不仅让平台损失超1亿美元，更连带也让其它项目和投资者受到影响，如Tulip Protocol、UXD Protocol 等。

可见，黑客的攻击频率已经无法预估，而且完全不会因加密市场行情的好坏停止对资金的攫取。

通常黑客攻击事件发生后，项目方会把原因归咎于项目编码和结构等技术层面上存在的安全漏洞，甚至会把矛头引向安全审计公司，以此搪塞外界质疑声音和蒙受损失的投资人群。

但是项目存在安全漏洞不是借口，安全审计公司也不应成为黑客攻击事件的背锅者。

项目方给审计公司的审计代码是多少，是完整的吗？正式部署后的审计进行了吗？审计后就可以高枕无忧？项目方自我技术的防范和安全措施呢？

以上问题都是当前加密生态普遍存在的隐藏现象，而这些则都需要项目方来面对和解答。

1、安全漏洞普遍存在

现实中，因安全漏洞而被黑客攻击的项目遍布加密行业各个领域。几乎各生态的DApp、DeFi项目、NFT、交易平台等都会成为黑客的攻击目标，基本只要有利可图，黑客都会如约而至。

例如Chainalysis曾在Twitter上发文表示，10月有3个跨链桥遭到攻击，近 6 亿美元被盗，占到本月加密损失的 82% 和全年损失的 64%。

另外在今年前十大加密货币攻击中，跨链桥的被盗资金规模也是最高的，如RoninNetwork被盗5.4亿美元，Wormhole被盗3.25亿美元，NomadBridge被盗1.9亿美元,Hormony Bridge被盗1亿美元。

再如SlowMist Hacked不完全统计的数据显示，整个2021年区块链生态被公开的区块链安全事件共 236 起，损失超98.86亿美元。其中，黑客攻击事件127起，占绝大多数。

此外，查看安全审计公司的audit report 会发现，几乎每一个项目都能找出1个严重漏洞，2-4个高风险漏洞，还有若干中等或更低级别的漏洞。

因此，仅把全部过错归因于项目安全漏洞并不能成为项目方唯一脱责理由。毕竟在众多存在安全漏洞的项目中，被黑客所选中，只能说明自身的技术安全性能不够强大，并且未能持续更新补强，这才造成漏洞缺口过大的情形。

2、审计公司之困

基本项目在通过Beta版后都会请安全审计公司进行技术安全排查，以此作为背书来获得市场和投资者的信任。

但是一旦当项目遭受黑客攻击后，许多项目方则会甩锅给审计公司，并向外界告知是由于审计公司的漏洞安全检查工作没有做到位才给了黑客可乘之机。

听起来似乎合情合理，专业的人负责专业的事。可是事实真的如此吗？

首先，虽然项目会被安全审计公司筛查出漏洞，并联合项目团队对其进行修复，但这并不意味着项目不会再有新的漏洞产生。

要知道区块链生态存在项目之间的交叉互动，如开源与非开源间、已审计与未审计间。当新的交互方式发生时，算法系统之间也会产生新的协议需求。也因此跨链桥项目最易成为被黑客攻击的对象。

其次，很多项目方对于项目本身的安全投入过少，寻找的安全审计公司要么不够专业、要么仅仅只让审查某一部分或者某一阶段，以此来获取“安全背书”。

但是项目的技术安全需要在系统防御、加固、应急响应等多个方面进行资金投入，越是运行规模庞大的项目所需要的资金越多，这对于一些普通项目来说，宁愿会多把钱花在安全之外的其它地方了。

最后，由于缺乏第三方审查和监督机制，项目方会将黑客攻击所造成的损失转嫁给普通投资者，有的甚至会串通黑客，联合砸盘收割韭菜。如今年6月发生的2000万枚OP被盗事件，二级市场砸盘后，项目方不仅没有第一时间停止空投，反而低价收购黑客手中的代币。

所以，有些项目方不仅不全力防止黑客攻击行为，反而通过安全事件从中进行牟利。这些深度加密市场经济行为根本不是安全审计公司所能干预，反而应该交给类似金融市场安全监督委员会之类的职能部门。

3、修补加密生态短板

加密行业安全问题自比特币创世以来就一直存在，未来也将依然会是一大挑战。去中心化在具有抗审查特性的同时，也不可避免要承受一些非法犯罪行为。

不过对于加密生态，我们可以采取相应的手段措施来降低和减少黑客攻击行为的产生的损失。

项目方层面

项目方自身要树立用户至上意识，在全力打造产品内容的同时，也要定期加强项目系统安全防护，并注意对投资者资金安全的保证。如建立项目安全财政库，用于赔偿用户的资金损失。也可仿照中心化证券交易所的保险机制，为用户提供保单服务。

第三方安全审计及监督审查

为了避免项目方仅凭一份安全审计证书脱责的行为，审计公司的审查应该更加颗粒化。如审过哪个合约就只给哪个合约审查背书，在链上则以SBT的形式给合约发放审计证明。

此外，也要引入第三方监管惩处程序。不能只对黑客追究刑事责任，也要根据事件情况对相应责任人进行处罚。无论是资金层面还是法律层面，都要对项目内部人员起到威慑作用，防止监守自盗。

用户层面

用户自身要提高安全意识，分辨项目真伪。同时在安全事件发生后，要联合起来进行维权。加密行业安全生态是一个长期问题，因此需要每一个参与者的共同监督维护。

结语

技术漏洞不是项目方拿来解释一切的理由，而是应该与时俱进，在发展自身项目建设的同时，提高项目自身系统安全的强度。

如果因为自身实力条件不允许，也应该建立相应的安全保障机制，以此来保护用户的利益不受损失，而不是让用户来承担项目被盗的损失。如果连最基本的项目安全、用户安全都保障不了，又何谈发展DeFi、元宇宙、web3呢？

总有人将加密行业比作黑暗森林，因为这个领域里也确实充满了各种陷阱，cx项目、庞氏骗局、黑客攻击、内幕交易等等。

但是区块链的发展建设不能总以培养提高用户加密投资水平为铺路石，而不去检验项目建设者的成色。