NFT和DeFi是近年區塊鏈領域最值得關注的兩大熱點，但在新技術蓬勃發展的同時，與之同步爆發的安全隱患也成了其鮮為人知的一面。

根據歐科云鏈鏈上大師統計數據，僅2022年一季度發生的十大安全事件就一共損失了11.5億美元資產，其中僅Ronin這一起安全事件就損失了6.24億美元，成為目前金額最大的黑客攻擊事件。

4月6日，Ronin母公司宣布Sky Mavis籌集了 1.5 億美元的融資，由幣安、A16z等頭部機構參投，和其他公司融資不一樣的是，該輪融資的用途是補償半個月受黑客影響的用戶資金。這也意味著截至目前Ronin損失的6.24億美元無法追回。

不僅DeFi，近期頻頻出圈的NFT也出現了隱患，就在一周前，NFT社區出現了一起黑客攻擊事件，華語歌手周杰倫在社交媒體上發文稱，其持有的無聊猿“BAYC #3738 ”NFT 已被盜。這件事也迅速登上熱搜，成為NFT出圈的一部分，人們一方面驚訝該系列NFT價值已經達到數百萬人民幣，一方面又加大了對其技術安全的擔憂。

那么在這個新領域中，關于鏈上安全到底如何保障，區塊鏈安全公司歐科云鏈給出了長遠的思考。

損失6.24億的區塊鏈游戲

自2021年8月跨鏈協議O3損失6.11億美元資產后，時隔半年區塊鏈領域再次出現一起夸張的黑客攻擊事件。

3月29日，東南亞最火熱的區塊鏈游戲Axie Infinity母公司Sky Mavis開發的以太坊側鏈Ronin遭到黑客攻擊，損失約6.16億美元，超去年8月DeFi協議Poly Network案件被黑的6.11億美元，成為DeFi歷史上最大盜竊案。

據Ronin官方表示，其實該漏洞發生于3月23日，卻因29日一名用戶反饋提取5000ETH失敗才被發現。此次攻擊，預計將導致損失173600枚ETH（約5.9億美元）和價值2550萬美元USDC。

如果是現實世界中有公司損失6億美元資產，將會掀起巨大沖擊，但由于是在鏈上世界發生，很多人其實并不了解到底發生了什么，黑客如何盜走了如此多資產？

首先，Axie Infinity是一款基于元宇宙概念下的NFT游戲，以玩家可以在游戲中賺取加密貨幣（P2E）的模式爆火，一度成為排名第一的GameFi游戲。

由于Axie Infinity 的團隊Sky Mavis想要一個可靠、快速且廉價的網絡，從而為游戲的發展提供保障，于是，Ronin 便是為支持游戲 Axie Infinity 而構建的以太坊側鏈，使得用戶能夠自由地將資產轉移到其他鏈上。所有Axie玩家需要將加密資產跨鏈到Ronin側鏈上才能參與Axie游戲。

根據歐科云鏈鏈上天眼分析，一名黑客早就盯上了這個全球最火的區塊鏈游戲，并在在 3 月 23 日就已獲利，并將獲利的 2550 萬枚 USDC 轉出，接著兌換為 ETH，而在北京時間3月28 日的凌晨，黑客才開始轉移資金。據官方稱是在用戶報告無法從跨鏈橋中提取 5000ETH 后才發現這次攻擊。

那么黑客是如何完成攻擊過程的呢？

歐科云鏈鏈上天眼分析，此次攻擊者是通過Ronin的RPC節點找到后門，設法控制了Sky Mavis的四個Ronin驗證節點和一個由Axie DAO運行的第三方節點，從而實現資產盜竊。因Ronin鏈由9個驗證節點組成，9個驗證者簽名中的5個同意，方可存取款。

隨后攻擊者從側鏈Ronin盜取資產后，將資產跨鏈轉移到以太坊地址：0x098B716B8Aaf21512996dC57EB0615e2383E2f96，這個地址也就成為了黑客可能的身份標識。

盜竊資金后，黑客接下來就會使用專業的技術手法講資金轉移到難以追蹤的地址，這個過程使用的技術就被成為“混幣”。

據了解，混幣的過程是指許多人匿名聚在一起，把他們的資金混在一起。然后把所有的資金發送到這些人的地址，把他們各自發送的資金記錄下來。

所以黑客經常使用不要求提供身份信息的交易所，或者使用他們購買的身份信息。對于黑客來講，只要可以達到他們的目的，任何有可能的工具都會被使用。

雖然Ronin官網以新一輪融資來緩解壓力，但損失的資金并未被追回。據歐科云鏈，截止目前，黑客獲利地址已被歐科云鏈鏈上天眼團隊打上“Hack“標簽，成為歐科云鏈2億地址標簽庫之一，為日后的案件追溯提供底層基礎。由于鏈上地址的透明性，黑客地址往往不會輕易轉帳，所以不排除最后返還的可能性。

周杰倫損失的“無聊猿”NFT

無獨有偶，除了DeFi，NFT圈也發生了安全事件。

4月1日愚人節當天，華語歌手周杰倫在社交媒體上發文稱“哥被偷了”，據悉，其持有的無聊猿“BAYC #3738 ”NFT 已被盜。周杰倫稱剛接到電話被告知其友人贈與他的無聊猿NFT被釣魚網站攻擊而失竊，并強調這不是“愚人節玩笑”。

隨后該事件在社區中引起廣泛關注。據歐科云鏈提供數據，除1枚“無聊猿”之外，周杰倫持有的其他兩個項目“MAYC”和“Doodles”也相繼被盜，數量共3枚 ，這兩個NFT也是排名最為靠前的火熱NFT之一。

截至目前，周杰倫一共損失了四枚價值不菲的NFT頭像。

隨后，根據歐科云鏈鏈上數據追蹤，這四枚NFT已經被攻擊者售賣，獲利約54萬美元。據 Etherscan 數據顯示，黑客已將周杰倫被盜的四枚 NFT 出售，獲利 166.69枚 ETH，其中僅一枚“無聊猿”就售出111ETH，約合39萬美元。

據悉，就在3月底，就有黑客趁著 NFT交易平臺OpenSea 合約升級之時，給所有用戶的郵箱發送了一條釣魚郵件，而不少用戶錯把其當作官方郵件而將自己的錢包授權，進而導致錢包被盜。

據統計，這釣魚郵件至少導致 3 個 BAYC、37 個 Azuki、25 個 NFT Worlds 等 NFT 被盜，按照地板價計算，黑客收入便已高達 416 萬美元。

而在4月1日，“無聊猿”的官方Discord遭遇短暫黑客攻擊，黑客利用機器人賬號在頻道內發布虛假鏈接，周杰倫的失竊NFT或在該次攻擊中損失。

不難看出，只要是有大量資金沉淀的領域，黑客的身影就會隨時出現。

如何保障鏈上安全？

要想保障鏈上資產的安全，就得先了解技術攻擊的本質。

以Ronin事件為例，歐科云鏈分析稱其原因是由于跨鏈橋去中心化程度不高導致的，DeFi不斷遭受攻擊不斷的原因主要還有對智能合約審計工作的重視度不高，成為黑客尋找漏洞成功率最高的方向之一。從安全角度來說，當一個系統足夠復雜又承載了大量資金時，一定會有黑客盯上，嘗試攻擊獲利。

又恰恰因為Ronin控制的私鑰錢包配置在服務器上，并且可被第三方服務訪問，所以才導致服務器存在被盜私鑰可能性。

隨著DeFi在多個公鏈生態逐漸繁榮，普遍存在合規性、流動性風險，項目同質化程度較高，部分項目的產品結構和經濟模型設計也有待提升。

那么如何從技術角度防范此類事件的發生？

歐科云鏈相關負責人稱：“針對加密資產的匿名性，鏈上天眼通過構建地址標簽系統為案件偵查提供支持。地址標簽系統包括多達近2億的鏈上地址標簽，囊括區塊鏈主流網絡、主要數字資產和上千種代幣，以及國內外的暗網、錢包等諸多類別的實體標簽。這些數據支持“以點帶面”的破案，從一個線索源地址出發，通過地址畫像和交易特征識別，配合數據碰撞和比對，自動化的繪制平臺資金鏈路拓撲結構，有效追查資金藏匿點。”

“總而言之，保障鏈上安全是一切鏈上應用發展的前提，也是“鏈上天眼”誕生的初衷，亦是業內專業人士共同努力的目標。”歐科云鏈相關負責人補充道。