Back to Blog

如何讓區塊鏈攻擊可被阻擋:5 種實證策略

Phalcon SecurityCode Auditing
March 7, 2022
3 min read
Key Insights

在區塊鏈攻擊進行時將其阻斷,將會徹底改變整個安全結構。在 DeFi 領域中,審計固然重要,但僅靠審計並不能保證所有智能合約漏洞都已被消除。這就是為什麼更主動的區塊鏈安全至關重要。

BlockSec 長期以來認為,DeFi 安全需要的不仅仅是事後分析。它還需要能夠檢測即時威脅,並在損失擴大前採取行動的系統。一次真實世界中成功阻斷攻擊的案例顯示,這個方向並非紙上談兵,而是已經可以實現的。

在過去幾年中,DeFi 生態系統經歷了許多事件,其中包括一些已被多家公司審計過的合約遭到攻擊的案例。這並不是說審計沒有幫助,而是意味著審計只是防禦層級之一,而非整個防禦模型。

一個更強大的模式應當結合智能合約審查與即時監控及響應。這正是區塊鏈攻擊在實踐中變得更可阻斷的方式。

對主動式區塊鏈安全的需求

傳統的安全工作通常專注於在部署前發現漏洞,這點依然至關重要。但一旦協議上線,威脅模型就會發生變化。攻擊者不會等待完美的條件。他們會測試假設、利用時機,並在找到路徑後迅速採取行動。

這就是 DeFi 安全需要主動防禦的原因。專案不應該僅僅依賴於在攻擊完成後才去補救。它還應該考慮是否能在攻擊發生的過程中檢測並中斷它。

2022 年 3 月 5 日下午 04:35:19 (UTC),BlockSec 的內部系統檢測到一筆待處理的攻擊交易(0xc161973ed0e43db78763aa178be311733d4ffb77948d824ed00443803d22739c),該交易由攻擊者錢包(0xC711374BaC07Df9bB9dbAC596451517cEcBf0F0f)發起。系統立即發送了一筆響應交易(0xf3bd801f5a75ec8177af654374f2901b5ad928abcc0a99432fb5a20981e7bbd1)並成功阻斷了該次攻擊。

隨後,救援出的代幣通過此交易歸還給了專案部署者的帳戶(0x67368f4c89dda2a82d12d3a703c32c35ff343bf6)。

儘管與重大 DeFi 事件造成的損失相比,救援金額並不算巨大,但這並非重點。真正的關鍵在於攻擊確實被阻斷了。這證明了區塊鏈安全解決方案可以超越被動監控,邁向主動防禦。

開始使用 Phalcon Security

檢測每一個威脅,針對重要事項發出警報,並阻斷攻擊。

立即免費試用

加強智能合約安全與防範攻擊

DeFi 安全的長期解決方案並非單一工具,而是一個分層的安全模型。

第一層是預防。這包括強大的架構審查、安全的編碼實踐,以及在上線前對智能合約漏洞進行深入評估。這也是智能合約審計仍然發揮核心作用的地方。強大的審計有助於在代碼投入生產環境前降低風險。

第二層是即時保護。即使是經過完整審計的系統,也可能因新的攻擊技術、隱藏的假設、整合錯誤或治理邊緣情況而面臨風險。主動監控與阻斷系統有助於在這些情況出現在真實世界時將其捕獲。

第三層是持續改進。每一次被阻斷的攻擊、險些發生的事故或漏洞分析,都有助於整個生態系統了解未來如何更有效地防止區塊鏈駭客攻擊。

這也是技術挑戰依然存在的地方。攻擊阻斷系統仍需提高成功率、適應不同的鏈模型,並適應傳統執行模式以外的環境。但關鍵結論已經很明確:當建立正確的安全模型時,區塊鏈攻擊是能夠變得更可阻斷的。

這一方向對整個生態系統至關重要。專案需要的不仅仅是能見度,他們還需要能夠在關鍵時刻做出響應的安全系統。

Web3 的最佳安全審計服務

在上線前驗證設計、代碼及業務邏輯

關於 BlockSec

BlockSec 專注於區塊鏈生態系統的安全,並與領先的 DeFi 專案合作以保護其產品。團隊成員包括頂尖的安全研究人員以及來自學術界和工業界的資深專家。

BlockSec 已在知名會議上發表了多篇區塊鏈安全論文,報告了數個 DeFi 應用中的零日(zero-day)漏洞,並針對高影響力的安全事件發布了詳細的分析報告。

相關資源

Sign up for the latest updates
電子報 - 2026年6月
Security Insights

電子報 - 2026年6月

本月報告涵蓋2026年6月三起最大安全事件,確認損失合計約2200萬美元。一次精密蜜罐攻擊利用未受檢查的代幣授權,從JaredFromSubway的MEV機器人抽走約1500萬美元。兩個舊版Aztec rollup部署因證明結算邊界漏洞損失約435萬美元。SecondFi的Ed25519實現缺陷暴露錢包私鑰,導致374個錢包共損失約240萬美元。三起事件共同模式:表面完整但從未真正執行的安全保證。

~$400萬損失:Taiko、SecondFi遭攻擊 | BlockSec週報
Security Insights

~$400萬損失:Taiko、SecondFi遭攻擊 | BlockSec週報

本週區塊鏈安全報告涵蓋2026年6月22-28日兩起重大事件,以太坊和Cardano確認損失約410萬美元。Taiko橋接漏洞結合了外洩的SGX飛地簽名密鑰與不完整的認證策略,未能拒絕調試飛地,使攻擊者註冊惡意證明者並偽造L2狀態證明。SecondFi錢包漏洞源於Ed25519隨機數派生中的密碼學實現缺陷,移除了秘密輸入,可從Cardano公開交易數據離線恢復私鑰。

~$18M損失:jaredFromSubway、Aztec及更多 | BlockSec每週快報
Security Insights

~$18M損失:jaredFromSubway、Aztec及更多 | BlockSec每週快報

本週區塊鏈安全報告涵蓋2026年6月15日至21日,以太坊與BNB Chain共發生3起重大事件,總損失約1830萬美元。重點分析兩起事件:jaredFromSubway事件揭示反向授權攻擊模式——MEV機器人主動將資產授權給不可信第三方合約套利,攻擊者構造假包裝代幣與交易池,發出真實事件但從未消耗授權額度,損失約1500萬美元。Aztec三日內第二次漏洞:逃生艙ZK電路中`old_data_root`兩個見證值缺少相等約束,致使攻擊者可用偽造Merkle樹證明虛假票據所有權並通過鏈上驗證。

Get Real-Time Protection with Phalcon Security

Audits alone are not enough. Phalcon Security detects attacks in real time and blocks threats mid-flight.

phalcon security

Best Security Auditor for Web3

Validate design, code, and business logic before launch. Aligned with the highest industry security standards.

BlockSec Audit