華夏時報記者 盧夢雪 冉學東 北京報道

　　幣圈再現黑客攻擊，本次事件主角為智能合約平臺幣安鏈（BNB Chain）。

　　北京時間10月7日凌晨，智能合約平臺幣安鏈（BNB Chain）遭遇黑客攻擊，短短2小時，200萬枚幣安幣被洗劫一空。隨后，幣安首席執行官趙長鵬在社交平臺表示，目前受損金額估計為1億美元（約合人民幣7.1億元）。

　　“今天的事件是BNB Chain在去中心化道路上經受的一次挑戰。”10月8日，BNB Chain社區對《華夏時報》記者回應稱，“跨鏈橋的技術發展正處于早期階段，我們相信，只有發現問題才能解決問題。”盡管如此，BNB Chain社區同時表示，BNB Chain會繼續在去中心化的道路上往前發展，包括繼續增加更多驗證節點。

　　200萬枚BNB被盜

　　“這個問題目前已經得到控制，客戶的資金是安全的。對于給投資者帶來的不便，我們深表歉意，未來將提供進一步的系統更新。”攻擊事件發生后，幣安首席執行官趙長鵬在社交平臺表示。

　　據媒體報道，10月7日凌晨，BNB Chain遭遇了黑客攻擊，200萬枚幣安幣被洗劫一空。對此，BNB Chain在社交平臺表示，由于活動異常，目前正在維護中，暫時暫停所有通過BNB Chain的存取交易，直到有進一步的更新。

　　“BSC驗證者正在協調在一個小時內啟用最新版本，一是阻止黑客帳戶之間采取行動，二是BNB Beacon Chain和BNB Smart Chain之間的原生跨鏈通信被禁用。”10月8日，BNB Chain社區回應《華夏時報》記者時表示，同時，他們正要求所有節點運行者嘗試升級到上述最新版本，“驗證者和社區也將討論進一步升級以徹底解決這種情況”。

　　據BNB Chain社區介紹，該事件源于黑客對跨鏈橋BSC Token Hub的攻擊，導致增發了更多的BNB，黑客從BSC提取的資金初步估計在7000萬美元到8000萬美元之間，“我們已要求所有驗證者暫停運營BSC，同時通過BNB社區和多家安全合作伙伴的共同努力，估計有700萬美元已經被凍結。”

　　“之所以客戶的資金是安全的，一方面是因為鏈停掉了，然后把增發的幣刪除了；另一方面，流出去的資金已經被鎖定了，無法交易，所以實際上屬于無效攻擊，對市場的影響有限。”一位區塊鏈技術安全人員向《華夏時報》記者分析稱。

　　據悉，BNB Chain原名BSC（幣安智能鏈）。BSC公鏈早期冠名Binance Smart Chain，幣安曾參與幣安鏈和幣安智能鏈BSC，前者在2019年4月上線，曾主要開設去中心化交易所Binance Dex；后者在2020年9月上線，支持智能合約編寫功能。2022年2月，幣安發布消息，原幣安智能鏈（BSC）將更名為BNB Chain。同時，BNB是幣安交易所的平臺幣，以及幣安智能鏈的生態代幣。截至發稿，BNB價格約281美元。

　　黑客攻擊事件頻發

　　DeFi是黑客攻擊事件的高發領域。

　　根據Chainalysis發布的報告，2021年，攻擊者從投資者那里竊取了總計32億美元的加密貨幣。The Block·Research統計顯示，2020年也有15起針對DeFi平臺的黑客攻擊事件，被盜資金高達1.2億美元，僅有4560萬美元被追回。

　　今年3月份，知名區塊鏈游戲Axie Infinity的以太坊側鏈Ronin Network遭遇黑客攻擊，造成了約6.25億美元（17.36萬枚以太坊和2550萬USDC）的損失，堪稱有史以來最大的一次DeFi黑客攻擊。

　　自2020年以來，DeFi項目獲得了高速發展，而同時，其也因安全問題頻頻引起關注。幣安研究院高級分析師江金澤在接受《華夏時報》記者采訪時認為，DeFi項目常見的安全問題主要有7種，包括機制缺陷；代碼邏輯漏洞；第三方代碼庫/服務漏洞（包括通信安全）；私鑰泄露，或被釣魚攻擊；內部風控不足；項目方主觀作惡捐款跑路；市場參與者導致的安全影響（如科學家搶跑、三明治攻擊、閃電貸攻擊等）。

　　DeFi項目之所以頻頻被黑客盯上，Muse Labs理事長、宋雙杰博士在接受《華夏時報》記者采訪時分析，一方面，DeFi項目往往涉及金額比較高，攻擊的潛在收益高；另一方面，DeFi協議脆弱，DeFi協議幾乎全部圍繞著金融構建，發展一兩年以來，交易、借貸等DeFi協議相互嵌套，無限放大風險，同時，DeFi還與NFT、Metaverse等鏈上產品交織，整個生態的復雜度急劇上升，使得把握體系內外蘊含的風險難度極高；此外，由于DeFi匿名性、開放性的特點，經常不進行準入審核，使得黑客的身份很難識別，這就使得對黑客的誘惑大，攻擊成本低。

　　“而且DeFi幾乎沒有‘監管’。即使通過技術鎖定了匿名攻擊者的真實身份，當下也很難對攻擊者給予任何懲罰，所以黑客攻擊的成本過低，即使攻擊被發現，也幾乎沒有什么損失。更可怕的是，一些國家，系統性的組建了自己的黑客團隊，成規模、長周期的攻擊DeFi協議。”宋雙杰表示。

　　隨著DeFi項目的發展，相比早期的區塊鏈應用，DeFi項目的復雜度大幅度提升，江金澤認為，隨著DeFi更深入地發展，這個復雜度還會進一步提升，而軟件出現漏洞的概率與復雜度的平方成正比。

　　“項目自身設計存在的缺陷是很難完全被消除的，合約漏洞引起的攻擊是大額安全事件的主要來源。尤其是智能合約權限過大和追求效率之間存在矛盾，很難兩全齊美。”江金澤分析稱，以幣安鏈這次的安全事件來看，問題就是跨鏈橋這個App可以自行根據在一條鏈上接受到的存款在另外一條鏈放款，如果為了安全增加大額人工審核或者延時釋放那勢必會影響效率。

　　但同時應該看到，江金澤指出，有些權限漏洞的初衷也是為了保護用戶，比如賦予項目方權限，使其發現了問題可以自主改動合約做相關治理及風險應急，“這樣的權限如果移除了，也不一定更好。”

　　責任編輯：孟俊蓮 主編：張志偉

海量資訊、精準解讀，盡在新浪財經APP

責任編輯：張文