NFT和DeFi是近年區(qū)塊鏈領域最值得關注的兩大熱點，但在新技術(shù)蓬勃發(fā)展的同時，與之同步爆發(fā)的安全隱患也成了其鮮為人知的一面。

根據(jù)歐科云鏈鏈上大師統(tǒng)計數(shù)據(jù)，僅2022年一季度發(fā)生的十大安全事件就一共損失了11.5億美元資產(chǎn)，其中僅Ronin這一起安全事件就損失了6.24億美元，成為目前金額最大的黑客攻擊事件。

4月6日，Ronin母公司宣布Sky Mavis籌集了 1.5 億美元的融資，由幣安、A16z等頭部機構(gòu)參投，和其他公司融資不一樣的是，該輪融資的用途是補償半個月受黑客影響的用戶資金。這也意味著截至目前Ronin損失的6.24億美元無法追回。

不僅DeFi，近期頻頻出圈的NFT也出現(xiàn)了隱患，就在一周前，NFT社區(qū)出現(xiàn)了一起黑客攻擊事件，華語歌手周杰倫在社交媒體上發(fā)文稱，其持有的無聊猿“BAYC #3738 ”NFT 已被盜。這件事也迅速登上熱搜，成為NFT出圈的一部分，人們一方面驚訝該系列NFT價值已經(jīng)達到數(shù)百萬人民幣，一方面又加大了對其技術(shù)安全的擔憂。

那么在這個新領域中，關于鏈上安全到底如何保障，區(qū)塊鏈安全公司歐科云鏈給出了長遠的思考。

損失6.24億的區(qū)塊鏈游戲

自2021年8月跨鏈協(xié)議O3損失6.11億美元資產(chǎn)后，時隔半年區(qū)塊鏈領域再次出現(xiàn)一起夸張的黑客攻擊事件。

3月29日，東南亞最火熱的區(qū)塊鏈游戲Axie Infinity母公司Sky Mavis開發(fā)的以太坊側(cè)鏈Ronin遭到黑客攻擊，損失約6.16億美元，超去年8月DeFi協(xié)議Poly Network案件被黑的6.11億美元，成為DeFi歷史上最大盜竊案。

據(jù)Ronin官方表示，其實該漏洞發(fā)生于3月23日，卻因29日一名用戶反饋提取5000ETH失敗才被發(fā)現(xiàn)。此次攻擊，預計將導致?lián)p失173600枚ETH（約5.9億美元）和價值2550萬美元USDC。

如果是現(xiàn)實世界中有公司損失6億美元資產(chǎn)，將會掀起巨大沖擊，但由于是在鏈上世界發(fā)生，很多人其實并不了解到底發(fā)生了什么，黑客如何盜走了如此多資產(chǎn)？

首先，Axie Infinity是一款基于元宇宙概念下的NFT游戲，以玩家可以在游戲中賺取加密貨幣（P2E）的模式爆火，一度成為排名第一的GameFi游戲。

由于Axie Infinity 的團隊Sky Mavis想要一個可靠、快速且廉價的網(wǎng)絡，從而為游戲的發(fā)展提供保障，于是，Ronin 便是為支持游戲 Axie Infinity 而構(gòu)建的以太坊側(cè)鏈，使得用戶能夠自由地將資產(chǎn)轉(zhuǎn)移到其他鏈上。所有Axie玩家需要將加密資產(chǎn)跨鏈到Ronin側(cè)鏈上才能參與Axie游戲。

根據(jù)歐科云鏈鏈上天眼分析，一名黑客早就盯上了這個全球最火的區(qū)塊鏈游戲，并在在 3 月 23 日就已獲利，并將獲利的 2550 萬枚 USDC 轉(zhuǎn)出，接著兌換為 ETH，而在北京時間3月28 日的凌晨，黑客才開始轉(zhuǎn)移資金。據(jù)官方稱是在用戶報告無法從跨鏈橋中提取 5000ETH 后才發(fā)現(xiàn)這次攻擊。

那么黑客是如何完成攻擊過程的呢？

歐科云鏈鏈上天眼分析，此次攻擊者是通過Ronin的RPC節(jié)點找到后門，設法控制了Sky Mavis的四個Ronin驗證節(jié)點和一個由Axie DAO運行的第三方節(jié)點，從而實現(xiàn)資產(chǎn)盜竊。因Ronin鏈由9個驗證節(jié)點組成，9個驗證者簽名中的5個同意，方可存取款。

隨后攻擊者從側(cè)鏈Ronin盜取資產(chǎn)后，將資產(chǎn)跨鏈轉(zhuǎn)移到以太坊地址：0x098B716B8Aaf21512996dC57EB0615e2383E2f96，這個地址也就成為了黑客可能的身份標識。

盜竊資金后，黑客接下來就會使用專業(yè)的技術(shù)手法講資金轉(zhuǎn)移到難以追蹤的地址，這個過程使用的技術(shù)就被成為“混幣”。

據(jù)了解，混幣的過程是指許多人匿名聚在一起，把他們的資金混在一起。然后把所有的資金發(fā)送到這些人的地址，把他們各自發(fā)送的資金記錄下來。

所以黑客經(jīng)常使用不要求提供身份信息的交易所，或者使用他們購買的身份信息。對于黑客來講，只要可以達到他們的目的，任何有可能的工具都會被使用。

雖然Ronin官網(wǎng)以新一輪融資來緩解壓力，但損失的資金并未被追回。據(jù)歐科云鏈，截止目前，黑客獲利地址已被歐科云鏈鏈上天眼團隊打上“Hack“標簽，成為歐科云鏈2億地址標簽庫之一，為日后的案件追溯提供底層基礎。由于鏈上地址的透明性，黑客地址往往不會輕易轉(zhuǎn)帳，所以不排除最后返還的可能性。

周杰倫損失的“無聊猿”NFT

無獨有偶，除了DeFi，NFT圈也發(fā)生了安全事件。

4月1日愚人節(jié)當天，華語歌手周杰倫在社交媒體上發(fā)文稱“哥被偷了”，據(jù)悉，其持有的無聊猿“BAYC #3738 ”NFT 已被盜。周杰倫稱剛接到電話被告知其友人贈與他的無聊猿NFT被釣魚網(wǎng)站攻擊而失竊，并強調(diào)這不是“愚人節(jié)玩笑”。

隨后該事件在社區(qū)中引起廣泛關注。據(jù)歐科云鏈提供數(shù)據(jù)，除1枚“無聊猿”之外，周杰倫持有的其他兩個項目“MAYC”和“Doodles”也相繼被盜，數(shù)量共3枚 ，這兩個NFT也是排名最為靠前的火熱NFT之一。

截至目前，周杰倫一共損失了四枚價值不菲的NFT頭像。

隨后，根據(jù)歐科云鏈鏈上數(shù)據(jù)追蹤，這四枚NFT已經(jīng)被攻擊者售賣，獲利約54萬美元。據(jù) Etherscan 數(shù)據(jù)顯示，黑客已將周杰倫被盜的四枚 NFT 出售，獲利 166.69枚 ETH，其中僅一枚“無聊猿”就售出111ETH，約合39萬美元。

據(jù)悉，就在3月底，就有黑客趁著 NFT交易平臺OpenSea 合約升級之時，給所有用戶的郵箱發(fā)送了一條釣魚郵件，而不少用戶錯把其當作官方郵件而將自己的錢包授權(quán)，進而導致錢包被盜。

據(jù)統(tǒng)計，這釣魚郵件至少導致 3 個 BAYC、37 個 Azuki、25 個 NFT Worlds 等 NFT 被盜，按照地板價計算，黑客收入便已高達 416 萬美元。

而在4月1日，“無聊猿”的官方Discord遭遇短暫黑客攻擊，黑客利用機器人賬號在頻道內(nèi)發(fā)布虛假鏈接，周杰倫的失竊NFT或在該次攻擊中損失。

不難看出，只要是有大量資金沉淀的領域，黑客的身影就會隨時出現(xiàn)。

如何保障鏈上安全？

要想保障鏈上資產(chǎn)的安全，就得先了解技術(shù)攻擊的本質(zhì)。

以Ronin事件為例，歐科云鏈分析稱其原因是由于跨鏈橋去中心化程度不高導致的，DeFi不斷遭受攻擊不斷的原因主要還有對智能合約審計工作的重視度不高，成為黑客尋找漏洞成功率最高的方向之一。從安全角度來說，當一個系統(tǒng)足夠復雜又承載了大量資金時，一定會有黑客盯上，嘗試攻擊獲利。

又恰恰因為Ronin控制的私鑰錢包配置在服務器上，并且可被第三方服務訪問，所以才導致服務器存在被盜私鑰可能性。

隨著DeFi在多個公鏈生態(tài)逐漸繁榮，普遍存在合規(guī)性、流動性風險，項目同質(zhì)化程度較高，部分項目的產(chǎn)品結(jié)構(gòu)和經(jīng)濟模型設計也有待提升。

那么如何從技術(shù)角度防范此類事件的發(fā)生？

歐科云鏈相關負責人稱：“針對加密資產(chǎn)的匿名性，鏈上天眼通過構(gòu)建地址標簽系統(tǒng)為案件偵查提供支持。地址標簽系統(tǒng)包括多達近2億的鏈上地址標簽，囊括區(qū)塊鏈主流網(wǎng)絡、主要數(shù)字資產(chǎn)和上千種代幣，以及國內(nèi)外的暗網(wǎng)、錢包等諸多類別的實體標簽。這些數(shù)據(jù)支持“以點帶面”的破案，從一個線索源地址出發(fā)，通過地址畫像和交易特征識別，配合數(shù)據(jù)碰撞和比對，自動化的繪制平臺資金鏈路拓撲結(jié)構(gòu)，有效追查資金藏匿點?！?/p>

“總而言之，保障鏈上安全是一切鏈上應用發(fā)展的前提，也是“鏈上天眼”誕生的初衷，亦是業(yè)內(nèi)專業(yè)人士共同努力的目標?！睔W科云鏈相關負責人補充道。