今天8月14日，Acala遭到了黑客攻击，增发超过12亿的生态稳定币AUSD，导致AUSD严重脱锚，价格下跌了70%，官方宣布紧急投票，暂停Acala的运营。另外，近日美国财政部对隐私协议-Tornado Cash进行了制裁，这是美国政府首次对智能合约应用进行制裁。这次制裁，在圈内引起了大家关于网络隐私的争论，更深层的影响是，它关乎以太坊去中心化金融生态的复原力问题。

结合近期SlowMist慢雾推出的2022上半年区块链安全及反洗钱报告，让我们一起来看看在2022年上半年发生的各大安全事件，和分析一下Tornado Cash为何会被制裁的原因吧。本期视频我们将分为五个方面，分别是Defi安全事件、NFT安全事件、跨链桥安全事件、洗钱资金流向分析、攻击手法分析，以及我个人的一些被盗经历来展开。

1、DEFI安全事件

根据慢雾SlowMist 统计，截至 6 月 30 日 DeFi 安全事件大约发生了 100 多起，损失超过16.3 亿美元。我们来看这张图表，把安全事故的数量，按照从高到低的顺序来看， BSC上发生47起，ETH上发生29起，其次是Fantom、Solana、Polygon等Avalanche，所造成损失，以跨链桥最为巨大，达10.43亿美金，其次是ETH上损失3.08 亿美元、BSC达1.4亿美金不等。

2、NFT安全事件

截至 6 月 30 日， NFT 赛道上发生的安全事件约为 48起，损失达 6281 万 美元。其中 33.4%（16起） 源于项目自身存在的漏洞被攻击者利用，20.8% （10起）源于 Rug Pull， 而钓鱼攻击占了大部分，占比为 45.8%（22 起），多数都是由于 Discord/Twitter 等媒体平台被黑后 黑客发布的钓鱼链接。

3、跨链桥安全事件

据我们开始提到的数据，跨链桥上造成的损失最大，它一直是黑客眼中的“香饽饽”，为什么呢？由于跨链桥的流动资金量大，去中心化程度低，权限几乎都掌握在多签钱包中等这些特性所致。截至 2022年6 月 30 日，跨链桥安全事件共7 起，损失高达 10.43 亿美元，占比 DeFi 上半年总损失的 64%，占到今年上半年总损失的 53%。值得我们注意的是，上半年 损失金额上亿美元的事件里，4 起就有 3 起来自跨链桥。这说明，作为多链生态的重要基础设施，跨链桥一 方面承担着巨量的资金流动，为用户带来了极大的便利，另一方面在安全性和去中心化水平上，更面临许多挑战，这很需要项目方去重点提升安全、风控等能力，保护我们这些投资者的基本安全。

4、洗钱资金流向分析

我们以被盗资金的ETH为例来看看相关资金的流向，根据典型安全事件中ETH 的资金流向图，可以看出74.6% 洗钱资金流向 Tornado.Cash，资金量高达 30万枚 ETH；其中，23.7% 的洗钱资金保留在黑客地址，资金量约为 95,570 ETH；1.5% 洗钱资金流向交易平台，资金量有 6,250 ETH。

我们可以看到Tornado Cash为被盗资金最大的流向，所以难怪美国财政部对其进行制裁，这也不足为奇了。

5、攻击手法分析

在2022年的这187起安全事件中，总结下来，黑客的攻击手法主要分为四类：一是由项目自身设计缺陷和各种合约漏洞引起的攻击；二是包含Rug Pull、钓鱼攻击等手法的 Scam；三是由于私钥泄露引起的资产损失；四是前端恶意攻击，这四种主要攻击手法占比安全事件总数量的 95%。

对于项目自身存在漏洞而被攻击者利用的安全事件，身为普通用户，我们很难避免。但是对于项目方Rug Pull或钓鱼攻击等手法的诈骗方式，我们或许可以找到避免损失的方法。 对于我们每个投资者来说，进行币圈的资金操作无非就是受到贪婪和恐惧两种心态的驱使，为了赚快钱而贪婪，为了避免损失或已受到损失而恐惧。

我自己在最早期刚入圈时，也是严重的受害人。2020年第一次使用Uniswap就遇到了钓鱼网站，当时我为了体验一个叫做Nexus Mutual的Defi保险龙头项目，它需要通过ETH购买NXM，当天第一次下载使用metamask小狐狸钱包，从交易所里买了几十个ETH提到钱包里准备到Uni上交互；谁知，当时完全没有任何安全意识的傻白甜，就在微信群里点开一个未知群友发的Uniswap的链接，界面让我输入私钥和助记词，自己也乖乖地都填上，结果瞬间凉凉，不仅钱包里的几十个ETH被洗劫一空，NXM的投资计划也打了水漂；除此以外，因为第一次链上交易就这么惨痛的经历，导致自己一朝被蛇咬、十年怕井绳，很长一段时间都没有到DEX上去玩。事后反思到，当遇到欺诈事件之前，其实我们很少有人会去有意地评估风险而采取一些风控操作，大家都是沉浸在即将暴富的美好想象之中，可是当欺诈事件发生之后，无不都是恐惧万分、悔不当初啊。

为什么欺诈事件会屡屡发生，而人们总是会落入陷阱呢？我想这是欺诈者对人性深刻地理解和运用，因为我们每个人的人性中，贪婪是很难很难去克服的，有时候大大地战胜了恐惧。回想一下，比起自己亏钱，有时候看到其他人赚到钱而自己踏空可能会更气。因此当欺诈者这时发出一些极具诱惑的信息时，为了害怕错过产生FOMO情绪，我们很多人就迫不及待地说我要上；而且还有一点容易被大家忽视的地方，即欺诈者发出的信息都是用心仔细琢磨的，而对大多数用户来说我们并不会耗费过多的精力去分辨真伪，因此在贪婪地怂恿下就这样被骗了。人在江湖飘，哪能不挨刀；就算挨了刀，还得江湖飘；那就告诉我自己，吃一堑智一长。