DEFI:2021 上半年安全事件回顧：被黑、騙局和停機_Deflyball

密碼貨幣的世界是前所未有地兇險，讓人很難視而不見。在詳細列出這些安全事件之前，先來看看我們為了行業的安全做了什么貢獻？

在2021年上半年，我們：

放出了新版的MyCrypto，提高了用戶體驗，讓用戶能更容易、更直接地?使用?和監控自己的密碼學貨幣

披露了濫用ERC20授權方法來偷竊用戶資產的惡意項目

拓展了我們的業務范圍，幫助遭遇了清道夫機器人的用戶取回質押的資產

出版了一份幫助用戶提高MyCrypto隱私體驗的指南

在NFT市場爆發時，我們也推出了針對NFT買家的反詐騙教育材料

與?CryptoScamDB?繼續我們的反詐騙、反釣魚活動

提高整個行業的意識和防止詐騙、攻擊都是任重道遠，但我們在堅持。

我們先來深入了解下行業的整體態勢，看看我們是否從2020年學到了教訓，是否有所提升。

以下是2021年第一第二季度的主要安全事件清單。我們不會列出所有的跑路及類似事件，因為太多了，實在是數也數不清……

美聯儲埃文斯：預計到2023年初，利率將略高于4.5%:10月10日消息，美聯儲埃文斯：加息結束后一段時間內需要采取限制性貨幣政策。預計到2023年初，利率將略高于4.5%。過度加息會造成經濟損失。(金十)[2022/10/11 10:30:17]

2021年第一季度出現了一些有趣的事件，從整個協議的突然停擺到DeFi合約被黑，再到黑客被捕，都有。我們也看到了完全針對個人的攻擊，這讓整個行業感到震驚，因為這些壞人可能為了一筆錢而不擇手段。

與去年相比，第一季度的密碼貨幣交易所被黑事件有所減少。這既是因為黑客的注意力都在別的地方，也是因為交易所已經從去年的失敗中學到了教訓、調整了安全控制。

故事：Yearn被盜1100萬美元

摘要：最大/最老牌的自動化流動性挖礦協議之一，Yearn，其某個v1金庫遭遇爆破，被盜金額總計1100萬美元，而金庫的用戶遭遇了280萬美元的直接損失。Yearn團隊在10分14秒內成功地緩解了此次爆破，包括Tether凍結了170萬USDT來防止攻擊者轉移資產。

故事：DMMDAO因SEC調查而停擺

摘要：DMMDAO是一個使用Chainlink信息傳輸機制把現實世界資產搬到鏈上的DAO，因為美國證監會對他們的調查而停止了運營。

澳大利亞金融監管機構計劃在2025 年實施加密監管:金色財經報道，澳大利亞審慎監管局 (APRA)周四發布了一份政策路線圖，用于對從事加密資產活動的金融實體實施監管。APRA 計劃于 2023 年就加密資產的財務處理要求進行磋商，在此期間還將考慮對支付穩定幣進行審慎監管的可能方法，監管措施將從2025年開始生效。此外，APRA 打算在控制有效性、業務連續性和服務提供商管理等領域從事加密活動時，提高對操作風險管理的要求，標準草案將在未來幾個月內發布。網站 Finder 進行的一項研究發現，澳大利亞人是加密貨幣最熱情的采用者之一，近 18% 的人擁有加密貨幣。相比之下，全球平均水平為 11.4%。[2022/4/22 14:40:38]

故事：Blockfolio遭到劫持后輸出了帶有攻擊性的內容

摘要：今年2月，一名惡意人士獲得了Blockfolio所用的內容推送系統的權限，然后向所有的Blockfolio用戶推送了帶有攻擊性的內容。不久之后，SBF確認并解釋了此事，然后他們把責任推到了競爭對手身上，聲稱“惡意內容乃是我們的交易所同行炮制和發布的”。

故事：T-Mobile因用戶遭遇SIM攻擊損失價值45萬美元的比特幣而遭起訴

摘要：SIM卡被盜在密碼貨幣的世界里太常見了！這個受害人在因為SIM卡被盜而損失了15個比特幣之后，起訴了其通信服務商。

GalaxyChaos將于2022年Q1推出NFT預售和游戲:1月3日消息，星系主題MMOSLG區塊鏈游戲GalaxyChaos表示，其NFT預售和游戲將于2022年Q1推出。與此同時，DeFi、代幣和NFT都將被添加到游戲生態系統，并將分三個階段逐步發布。據悉，GalaxyChaos是一款基于EVM的區塊鏈游戲，玩家可以在其中購買戰艦，參與游戲內挖礦，體驗PvP和PvE戰斗，最終目標是通過戰略和大規模戰斗來鞏固自己的戰艦。（Globenewswire）[2022/1/3 8:20:45]

故事：DeFi協議CreamFinanceAlpha版遭遇閃電貸攻擊，損失了3750萬美元

摘要：一次巧妙的閃電貸攻擊讓操作者得以吸干AlphaFinance的金庫合約。FrankResearcher以長推特的形式披露了整個事件。不久之后，AlphaFinance暗示，他們知道攻擊者是誰。

故事：一個MetaMask實例的本地漏洞導致800萬美元被盜

摘要：這件事情警醒了整個社區盲目信任一個UI的危險性，也學會了接收你曾經認為可信的東西有一天也可能變得不安全。這份事后報告展示了一個攻擊者想通過劫持你的電腦來獲得你的資金時有多么努力。在檢查了惡意行為之后，我們確信，這是經過“深思熟慮”的。

彭博分析師：美國將在 2022 年通過適當的監管擁抱加密貨幣:金色財經報道，彭博資訊（BI）上周發布了 2022 年加密貨幣前景報告。彭博資訊的分析師 Mike McGlone 分享了他對加密貨幣市場未來的展望。 McGlone表示，受到中國禁令以及加密美元和NFT等革命性技術擴散的激勵，我們預計美國將在 2022 年接受加密貨幣，并有適當的監管和相關的看漲價格影響，比特幣似乎處于 10 萬美元的軌道上，我們可能會看到暫停、修正和更新的牛市。法定貨幣的無限供應應該會維持價格上漲，特別是在供應有限的比特幣和以太坊中，我們預計更廣泛的采用將占上風并克服大多數波動，比如 2021 年接近 50% 的修正。此外，股市回報的一些正常化和美國國債收益率的持續下降可能會影響投資組合中的比特幣和以太坊。

接近 2022 年開始時，比特幣面臨的關鍵問題是它是達到頂峰還是繼續鞏固牛市。我們相信是后者，并且在這樣的世界中，基準加密貨幣正朝著成為全球數字抵押品的方向發展。2022 年的關鍵支撐位可能在 50,000 美元左右，阻力位在 100,000 美元左右。（news.bitcoin）[2021/12/14 7:37:55]

故事：Roll被盜3000ETH/570萬美元

摘要：一個發行社交代幣的平臺Roll遭遇了一個事故，一個熱錢包的私鑰被劫持，而攻擊者把所有的社交代幣都賣成了ETH并把ETH通過TornadoCash遷移到了另一個地址。

鐘庚發：19年下半年到2020年合約主導二級市場:8月5日消息，BiKi 2周年|乘風破浪之夜私人酒會今日在深圳隆重開啟。

在以2020年區塊鏈行業的創新和發展趨勢為主題的圓桌論壇期間，鏈上ChainUP創始人兼CEO鐘庚發認為：19年的時候現貨市場是主導，在19年下半年到2020年，整個二級市場的主導是合約領域。從交易平臺的角度看，從現貨轉向了合約，而做好合約的重點是社群和流量。其他的方向也有一些新的產品，例如DeFi、多幣種的ETF和交割型的ETF，這個方向也非常有潛力的，今年會持續有很多的產品推出。[2020/8/5]

故事：Twitter黑客認罪，被判三年

摘要：去年推特上出現了一次大規模的賬戶被黑事件，許多高價值賬戶被推特的內部工具發布消息，為騙局推波助瀾。一年不到，這個黑客——只有18歲——就被捕并且判了刑。

故事：Filecoin在幣安上被多重花費——涉及460萬美元

摘要：據開發者披露，幣安交易所會把一筆合法的存款處理兩次，并在鏈下計入雙倍的金額。這個錯誤是因為FilecoinRPC代碼里面的一個bug而導致的。

故事：GitHubActions被主動濫用在GitHub服務器上挖礦

摘要：GitHub允許服務器運行代碼，以幫助測試。一些別有用心的人就利用這個的服務器來挖礦——他們完全沒有電力支出和維護費用，純賺區塊獎勵。

故事：xFORCE被白帽子攻破

摘要：xFORCE合約沒有嚴格遵循ERC20標準，這讓他們的存入機制出了一個漏洞，而存入機制與xFORCE代幣鑄造是綁定的。只要你擁有xFORCE代幣，你就可以取出FORCE代幣。

故事：驗證者從Stellar網絡掉線

摘要：因為一個軟件上的bug，Stellar網絡上的一組驗證者突然掉線，導致事務處理中斷了。在10多個小時后，問題根源找出并且得到了修復，而驗證者們也回到了線上。

故事：針對Legder和Shopify在2020年泄露用戶數據的集體訴訟

摘要：在2020年，一個包含大約30萬Ledger客戶記錄的數據庫出現在了一個叫做RaidForums的論壇上并且是免費下載。在2021年4月6日，一些人發起了一項集體訴訟。

故事：更多地址因為轉移USDC而上了黑名單

摘要：盡管這種情況不多，但Circle發布了7個以上的黑名單。這些地址里的USDC因此可以被充公，Circle也可以防止用戶使用這些幣。這是因為美國金融局把這些地址加入了OFEC的SDN名單。

故事：規模達到20億美元的騙局，土耳其交易所Thodex關停，遭到用戶抗議

摘要：一家土耳其的交易所突然停止服務。據猜測，其CEO攜帶交易所的私鑰逃到了泰國。此后，一份聲明取代了Thodx的主頁，詳細說明了他們正在跟商業伙伴談判以及一次攻擊修改了tameness的一些后端數據。他們也聲稱，媒體關于20億美元的數字是錯的，實際的數額要低得多。

故事：UraniumFinance遷移活動遭爆破，潛在損失500萬美元

摘要：在UraniumFinance變更交易手續費率的過程中出了一個數學錯誤，導致了一個意料之外的計算錯誤，影響到了實際的交易手續費率。合約中的一個字符導致智能合約的健全性檢查的余額檢查被利用，UraniumFinance的儲備金被吸干。

故事：美國司法部門承認逮捕了RomanSterlingov

摘要：BitcoinFog是一個流行的混幣器，可以為比特幣交易添加一些模糊性。據稱，BitcoinFog在過去的10年里賺到了約120萬btc。

故事：xTokenMarket流動性池子被吸干，損失2500萬美元

摘要：又是一次聰明的閃電貸攻擊，攻擊者吸干了xTokenMarket的流動性池子，辦法是操縱SNX和BNT在多個DEX的價格。攻擊者是使用叫做“Flashbots”的MEV軟件發動的攻擊。

故事：DeFi100攜帶3200萬美元跑路

摘要：一個DeFi協議用公開的消息嘲諷用戶并表示自己要跑路：“我們騙了你！而你什么也做不了！”第二天，他們發布了一份聲明，表示他們沒有跑路，并且把網站恢復到了先前的狀態。

故事：針對Ledger的實體釣魚活動

摘要：在2020年的數據泄露和2021年初對Ledger的集體訴訟之后，用戶開始報告更多試圖竊取用戶密鑰的實體釣魚活動。有人向他們的收件地址快遞了經過修改的設備。

故事：IronFinance遭遇擠兌，代幣價格在24小時之內從60美元跌到零

摘要：根據一份正式的聲明，擠兌始于一些大戶從IRON/USDC池子中撤出流動性并賣出$TITAN->$IRON->$USDC，而不贖回IRON，導致后者的價格脫錨。

故事：對THORChain的第一次已知的惡意攻擊

摘要：因為用于處理重復符號的邏輯中有個bug，一次攻擊導致THORChain損失了14萬美元。網絡被節點中斷，在6個小時后打上了補丁并恢復了功能。THORChain很快知曉了這次攻擊，并聲稱他們會全額補償損失。

觀察

如果我們比較在2020年觀察到的情形，似乎整個行業還是有很大的提升空間，甚至可能永遠都有。我們需要持續教育大家關于DeFi“梭哈”、DeFiadminkey、釣魚的風險，以及把你的資產存入中心化交易所的固有風險。

比較2020年上半年的情形，我們可以看到，中心化交易所和他們的安全性確實進步了，至少爆出來在他們的基礎設施上發生的黑客事件變少了。這是一件好事，但也提出了一個問題：那些壞蛋都把心思放哪里去了？一個簡單并且可能也是合理的猜測是，他們把注意力轉向了DeFi協議，并混進了社區，搞起了容易的跑路，畢竟這沒有太高的技術門檻，而獲利卻非常可觀。

我們也看到了人們對NFT的興趣正在興起，包括那些大名鼎鼎的公司也在接收NFT。我們可以預言，會有一些殘酷的NFT搶劫——不是正在發生，就是沒有爆出來。

希望2021年剩下的時間能風平浪靜！

Tags：NFTEFIDEFDEFIapenft幣價格DeFiSocial GamingDeflyballDeFiAI

歐易交易所app官網下載