原文標題:《慢霧回顧:2020 年度區塊鏈安全與隱私大事件》撰文:慢霧科技
2020 年,無論從哪個角度來講,對區塊鏈和數字貨幣來說都是非凡的一年。我們見證了 DeFi 和開放金融生態系統的爆炸性增長。我們見證了作為新技術基礎設施代表之一的區塊鏈被納入「新基建」,我們見證了中國推出央行數字貨幣 (CBDC) 的同時,更多的國家地區開始關注并發展區塊鏈,全球性區塊鏈的「競賽」已經開始。
據慢霧科技區塊鏈被黑檔案庫(hacked.slowmist.io)數據統計,2020 年區塊鏈生態被公開的區塊鏈安全事件共 122 起:其中智能合約及代幣安全事件 54 起,交易所安全事件 29 起,公鏈攻擊事件 12 起,錢包攻擊事件 12 起,其他攻擊事件 15 起。
慢霧區塊鏈被黑檔案庫攻擊事件累計
隨著各種應用落地,區塊鏈數字資產引發的安全問題總體呈上升趨勢,數字貨幣犯罪五花八門,盜幣、詐騙、非法集資、洗錢、暗網非法交易、犯罪等案件頻發,各種原因造成的「黑天鵝」事件層出不窮。通過數據統計,可以看到今年智能合約安全事件明顯增多,交易所攻擊事件也是占比較大,數字貨幣詐騙、勒索、洗錢事件幾乎每月都會發生。
慢霧科技將通過這篇文章梳理 2020 年區塊鏈安全與隱私生態發生的影響重大的事件,為讀者回顧事件詳解,同時對每類事件附上慢霧觀點。雖然本文列舉的僅是冰山一角,但具有很大的代表性,讓我們通過本文一起來窺見 2020 年區塊鏈生態世界的「不平凡」。
bZx 遭遇兩次閃電貸攻擊
2 月 15 日,DeFi 貸款協議 bZx 遭受攻擊,攻擊者同時跨多個協議完成了一筆閃電貸杠桿套利交易,導致價值 35 萬美元的 ETH 被盜。2 月 18 日,bZx 再次遭受閃電貸攻擊,攻擊者通過控制預言機價格獲利 2388 個 ETH,約 64.4 萬美金。
MakerDAO 清算機制異常
3 月 12 日,由于以太坊?ETH 的價格暴跌,MakerDAO 的大量抵押債倉跌破清算門檻,引發了清算程序執行。原本應該參與到清算過程中的清算機器人 (Keeperbot) 因為設置了較低的 gas 值,導致出價受阻,一位清算人 (Keeper) 在沒有競爭者的情況下,以 0DAI 的出價贏得了拍賣。
Uniswap?的 ERC777 重入風險
4 月 18 日,黑客利用 DeFi 平臺 Uniswap 和 ERC777 標準的兼容性問題缺陷,對 Uniswap 實施了重入攻擊。具體而言,黑客在交易 ETH-imBTC 時,利用 ERC777 標準中進行轉賬的 tokensToSend 回調函數實現了重入攻擊,總獲利 34 萬美元。
DeFi 平臺 Lendf.Me 遭受重入漏洞攻擊
4 月 19 日,以太坊 DeFi 平臺 Lendf.Me 遭受重入漏洞攻擊,損失約 2500 萬美元。后慢霧安全團隊協助追回了被盜資產。
DeFi 項目?Hegic?代碼出現漏洞致用戶資產被永久鎖定
4 月 27 日,DeFi 項目 Hegic 代碼出現漏洞導致用戶資產被用戶永久鎖定。在該項目上線幾小時后,其代碼中的一個錯誤鎖定了該平臺智能合約價值 2.8 萬美元的用戶資金,由于該漏洞將資金鎖定在了過期合約中,使其無法被訪問。
主力數據復盤:火幣ETH主力在下跌過程中買入超過2600萬美元:AlCoin PRO版K線主力大單統計顯示:8月15日10:00-8月16日20:15,ETH從442美元跌至最低412美元。這一過程中,火幣ETH/USDT出現并成交了大量委托買單。
其中,成交了70筆,總價值超過2600萬美元的大額委托買單(單筆委托金額20萬美元以上),買入均價426美元。[2020/8/17]
Bancor?新合約出現安全漏洞
6 月 18 日,由于新的 Bancor Network 合約上未經驗證的 safeTransferFrom () 函數,用戶資金即將被耗盡。Bancor 團隊表示:1. 兩天前發布的新 Bancor Network v0.6 合約中發現了一個安全漏洞;2. 在發現漏洞之后團隊進行了白帽攻擊,以將資金轉移到安全地址;3. 智能合約已完成審核。但還有 135,229 美元的資金被兩個未知套利機器人搶先交易了。
Balancer?流動性池兩次遭黑客閃電貸攻擊
6 月 29 日,知名 DeFi 平臺 Balancer 流動性池遭黑客閃電貸攻擊,損失 50 萬美金。Balancer 流動性池遭閃電貸攻擊,損失 50 萬美金,Balancer 上遭遇損失的為 STA 和 STONK 兩個代幣池,目前這兩個代幣池的流動性已枯竭。6 月 30 日,黑客再次利用 dYdX 的閃電貸攻擊了 Balancer 部分流動性礦池中的 COMP 交易對,將池子中未領取的 COMP 獎勵抽走,獲利 10.8 ETH,約合 2408 美金。
Vether (VETH) 遭黑客攻擊
7 月 1 日,VETH 在去中心化交易所 Uniswap 遭遇黑客攻擊。黑客僅使用 0.9ETH 就盜走了 919,299 VETH (價值 90 萬美元)。攻擊事件發生后,VETH 官方表示,「該合約被其放置在 transferForm() 中的 UX 改進所利用,這是我們的過錯。我們將重新部署 vether4,并將補償所有受影響的 Uniswap 質押者。」
Opyn?看跌期權被外部參與者惡意利用
8 月 5 日,鏈上期權平臺 Opyn 披露其以太坊看跌期權被外部參與者惡意利用。Opyn 指出,除以太坊看跌期權外的所有其他 Opyn 合約均不受此漏洞的影響。攻擊者雙重利用 oToken 并竊取了看跌期權賣方的抵押資產。據 Opyn 統計,截至目前共有 371,260 枚 USDC 被盜。Opyn 團隊根據 Convexity Protocol 進行的白帽黑客攻擊,成功從未償付的保險庫中收回了 439,170 USDC,以進一步減輕損失。
DeFi 項目 YAM 合約存在漏洞
8 月 13 日,知名以太坊 DeFi 項目 YAM 官方通過 Twitter 發文表明發現合約中存在漏洞,24 小時內價格暴跌 99% ,導致了治理合約被「永久破壞」,價值 75 萬美元的 Curve 代幣被鎖定而無法使用。
DeFi 項目 YFValue 在 YFV 質押池中發現漏洞
8 月 25 日,DeFi 項目 YFValue(YFV) 官方發布公告稱,團隊于昨日在 YFV 質押池中發現一個漏洞,惡意參與者借此漏洞對質押中的 YFV 計時器單獨重置,1.7 億美元資金存在被鎖定風險。目前已有一名惡意參與者正試圖以此漏洞勒索團隊。
EOS 項目 EMD 跑路
9 月 9 日,據慢霧區情報,EOS 項目 EMD 疑似跑路。截至目前,項目合約 emeraldmine1 已向賬號 sji111111111 轉移 78 萬 USDT、49 萬 EOS 及 5.6 萬 DFS,并有 12.1 萬 EOS 已經轉移到 changenow 洗幣平臺。當前損失總市值:2,468,838 美金 = 17,281,866 人民幣。
主力復盤:BitMEX主力平空買入1.32億美元推高價格:AICoin PRO版K線主力成交數據顯示:昨天21:50~今天05:15,BitMEX XBT永續合約上出現大量主力成交單(即市價大額成交) 。其中,一共出現67筆,共計1.326億美元主力買入單,買入均價9331.7美元;一共出現24筆,共計3227.65萬美元主力賣出單,賣出均價9347.3美元,成交差1億美元。
這一過程中,Al-PD-持倉差值大多為較高紅柱,即持倉量下降明顯,可判斷這些成交單大多為主力買入平空。
此外,此次拉升過程中大額買入堆積的地方為趨勢線附近。[2020/6/16]
DeFi 流動性挖礦項目「珊瑚」遭攻擊
9 月 10 日,EOS 生態 DeFi 流動性挖礦項目「珊瑚」的 wRAM 遭到黑客攻擊,損失逾 12 萬 EOS。
Bantiample 團隊砸盤套現跑路
9 月 19 日,幣安智能鏈上的項目 Bantiample 團隊已砸盤套現 3000 個 BNB 跑路,團隊的主要開發者已經刪除 Telegram 賬號,項目代幣 BMAP 單日跌幅超過 90%。
以太坊挖礦項目 LV Finance 項目跑路
9 月 20 日,據慢霧區情報,以太坊挖礦項目 LV Finance 項目疑似跑路,不到一個小時已有 400 萬被轉走,該項目通過偽造虛假審計網站并提供虛假審計信息誘騙投資者進行投資,待一段時間后資金池內金額足夠大時進行跑路。目前,該項目網站 lv.finance 已無法訪問。
SushiSwap 仿盤項目 GemSwap 跑路
9 月 26 日,名為 GemSwap 的 SushiSwap 仿盤項目被曝跑路,LP 被卷走。查詢發現,該項目在 15 點左右發布推特自曝其遭受了「 whatitdobb」開發者的攻擊,據了解,該項目早些時候完成了流動性遷移,但發起攻擊的開發者在遷移之前就獲得了相關許可,能夠將流動池中的代幣取走,目前尚不清楚此次攻擊造成的具體損失。
Eminence (EMN) 遭遇閃電貸攻擊
9 月 29 日,yearn.finance 創始人 Andre Cronje 剛推出的游戲項目 Eminence(ENM) 遭遇閃電貸攻擊,黑客將 800 萬美元的資金返還給了 yearn 部署者合約。官方將重新分配受攻擊的 800 萬美元。
DeFi Saver 交易所漏洞致 31 萬 DAI 被盜
10 月 8 號,去中心化錢包 imToken 發推表示,用戶報告稱 31 萬枚 DAI 被盜,這與 DeFi Saver Exchange 漏洞有關。DeFi Saver 對此回應稱,被盜資金仍舊安全,正在聯系受害用戶。截至目前,資金已全部歸還受害用戶。
以太坊項目 WLEO 合約遭到黑客攻擊
10 月 11 日,以太坊項目 WLEO 合約遭到黑客攻擊,導致價值 4.2 萬美元的資金被盜。黑客通過將向自己鑄造 WLEO,并將其換成以太坊,從去中心化交易所 Uniswap 的池中竊取了以太坊。
Harvest.finance 遭閃電貸攻擊,被巨額套利
10 月 26 日,有用戶發現 DeFi 挖礦項目 Harvest.finance 被使用閃電貸功能實現了巨額套利。Harvest 官方發推解釋稱,這次套利攻擊起源于一筆巨額閃電貸,并通過多次操縱 Curve y Pool 的價格,以套取 fUSDT、fUSDC 的價差進而獲利。
SharkTron 匿名開發者跑路
11 月 10 日,基于 Tron 區塊鏈的 DeFi 項目、JustSwap 白名單項目 SharkTron 的匿名開發者 Daniel Wood 跑路,盡管目前不清楚具體損失,但推特用戶報告稱損失了 3.66 億至 4 億枚 TRX (價值約 1000 萬美元)。
主力成交數據復盤:638萬張主力買單確認15分鐘周期三角突破:AICoin PRO版K線主力成交數據顯示:BitMEX XBT永續合約在5月10日09:00~11日19:00的15分鐘周期中做三角形震蕩。
18:40,價格接近平臺上沿壓力線,并于18:41向上突破。期間,共計有5筆,共計638萬張主力買入;有2筆,共計200萬張主力賣出,成交差438萬張。較多的主力買入跟進可以判斷該周期的三角形突破為真突破。[2020/5/11]
Akropolis 合約遭多次連續重入攻擊
11 月 13 日,黑客利用 Akropolis 項目存在的存儲資產校驗缺陷,向合約發起連續多次的重入攻擊,致使 Akropolis 合約在沒有新資產注入的情況下,憑空增發了大量的 pooltokens,進而再利用這些 pooltokens 從 YCurve 和 sUSD 池子中提取 DAI,最終導致項目合約損失了 203 萬枚 DAI。
Value DeFi 協議遭閃電貸攻擊
11 月 15 日,Value DeFi 協議周六遭到了閃電貸攻擊。據悉,攻擊者從 Aave 協議借了 80000 ETH,執行了一次閃電貸攻擊,在 DAI 和 USDC 之間進行套利。攻擊者在利用 740 萬美元 DAI 后,向 Value DeFi 退還了 200 萬美元,保留了 540 萬美元。隨后,Value DeFi 團隊發推證實其 MultiStables vault 遭到了「一次復雜的攻擊,凈損失達 600 萬美元。
Cheese Bank 遭攻擊損失 330 萬美元
11 月 16 日,基于以太坊的去中心化自治數字銀行平臺 Cheese Bank 因黑客攻擊遭受了 330 萬美元的損失。黑客通過利用基于自動做市商 (AMM) 的預言機在 dYdX、Uniswap 等平臺上進行了一系列惡意借貸操作,共導致價值超 330 萬美元的損失,其中包括 200 萬美元的 USDC。
OUSD 遭閃電貸+重入攻擊
11 月 17 日,DeFi 協議 Origin Protocol 穩定幣 OUSD 遭到攻擊,攻擊者利用 dYdX 的閃電貸進行重入攻擊,造成價值 770 萬 美元的 ETH 和 DAI 的損失。
Pickle Finance 未經審核的合約漏洞被利用
11 月 22 日,曾被 V 神 發推文贊賞的 DeFi 項目 Pickle Finance (酸黃瓜),因被黑客攻擊未經審核新創建的智能合約漏洞,損失近 2000 萬 美元的 DAI。
Compound?喂價錯誤致 9000 萬美元資產遭清算
11 月 26 日,Compound 9000 萬美元資產遭清算。Debank 創始人 hongbo 表示,此次 Compound 巨額清算事件其實是因預言機數據源 Coinbase Pro 的 DAI 價格劇烈波動而導致,通過操控預言機所依賴的信息源可以實現短時間的價格操縱,以誤導鏈上價格。
SushiSwap 遭到流動性提供者攻擊
11 月 30 日,據慢霧區情報,以太坊 AMM 代幣兌換協議 SushiSwap 遭到流動性提供者攻擊,損失約 1.5 萬美元。
Warp Finance 遭遇閃電貸攻擊
12 月 18 日,流動性 LP 代幣抵押借貸 DeFi 協議 Warp Finance 遭遇閃電貸攻擊,約 800 萬美元被盜。后 Warp Finance 針對遭到的閃電貸攻擊發布聲明。據稱,閃電貸攻擊者最多可盜走價值 770 萬美元的穩定幣,不過 Warp Finance 團隊已擬定計劃來追回仍在抵押金庫中的價值約 550 萬美元的穩定幣,這 550 萬美元將按比例分給遭受損失的用戶。
復盤:兩條趨勢線突破均有主力買入成交確認:AICoin PRO版K線主力成交數據顯示:23日20:35~23日21:35,比特幣價格運行至4月19~23日四小時周期的下降趨勢線(7305-7189)以及4月7日~23日四小時周期的下降趨勢線(7475-7189)附近,并分別于20:35和21:35完成突破。
20:35第一條趨勢線突破,突破前后,有4筆,共計950萬美元主力買入成交;21:35第二條趨勢線突破,突破前后,有7筆,共計1003萬美元的主力買入成交。主力大單的迅速跟進確認了兩條下降趨勢線的突破。
隨后,不斷有大買單跟進說明了趨勢還在持續,直到22:25分出現一筆500萬美元的大賣單,趨勢告一段落。[2020/4/24]
Cover 合約漏洞遭黑客攻擊
推特網友表示,由于獎勵合同中的一個漏洞,Cover Protocol 損失了 300 萬美元。此外,鏈上數據顯示,已有攻擊者 (0xf05Ca...943DF) 利用 Cover 合約共增發了約 1 萬枚 COVER,并且已將其換成了 WBTC 和 DAI 等資產。后區塊瀏覽器顯示,此前通過增發 COVER 獲利 300 萬美元的攻擊者 (地址標簽為 Grap Finance: Deployer) 將 4350 枚 ETH 返還給標簽為 YieldFarming.insure: Deployer 的地址。Cover Protocol 官方發推文宣布,將根據漏洞被濫用之前的快照提供全新的 COVER 代幣。并且攻擊者退還的 4350 ETH 也將通過快照處理歸還給 LP 代幣持有者。
慢霧觀點
由于 DeFi 項目的火熱,針對 DeFi 項目的釣魚攻擊活動越來越頻繁,手法也越來越高級。投資者在進行項目投資時應注意項目風險,要注意平臺用的智能合約有沒有開源、平臺本身有沒有安全審計、智能合約有沒有問題,同時任何 DeFi 項目上線前都應該經過專業安全團隊的充分審計。
Altsbit 交易所遭攻擊后關閉
2 月 5 日,意大利加密貨幣交易所 Altsbit 存放熱錢包私鑰的服務器被入侵,導致損失了 6.929 個比特幣、23 個 ETH,以及其他數量的加密貨幣,隨后交易所宣布于 5 月 8 日關閉。
VBITEX 交易所被入侵
2 月 17 日,VBITEX 交易平臺發布公告稱被黑客入侵,導致平臺數據被惡意篡改、虛擬資產被盜。
加密貨幣交易所 Bisq 被盜
4 月 9 日,加密貨幣交易所 Bisq 被盜,攻擊者利用 Bisq 交易協議中的一個缺陷,針對單筆交易來竊取交易資金。7 名受害者共損失 3 個 BTC 和 4,000 個 XMR。
LMEX 聯交所遭黑客入侵
5 月 27 日,LMEX 聯交所在社群發布關于交易所運營調整通知稱:平臺遭黑客入侵被盜損失了 15 萬枚 USDT,致使平臺資不低債,目前已關閉充提。
加密貨幣交易所 Cashaa 被盜
7 月 12 日,英國加密貨幣交易所 Cashaa 表示,黑客從其中一個錢包中竊取了超過 336 枚比特幣。目前,該交易所已停止所有與加密有關的交易。
西班牙加密貨幣支付應用 2gether 被盜
7 月 31 日,西班牙加密貨幣支付應用 2gether 宣布被黑客盜取了 140 萬美元。
暗網市場 Empire Market 騙取資金后關閉運營
8 月 30 日,著名暗網市場 Empire Market 已關閉運營,退出時該網站共騙取了 130 萬用戶的約 2638 枚比特幣,價值近 3000 萬美元。
主力成交復盤:火幣上的主力先砸盤,幣安現貨主力成交活躍:AICoin PRO版K線主力成交數據顯示:13:00,火幣BTC現貨出現了一筆價格為7122.12美元,數量為253.66BTC的大單賣出;隨后,幣安BTC現貨相繼出現13筆,總額超過1132BTC的大額賣出,主力成交活躍。 可見,這輪下跌中,火幣上的主力最先砸盤。另外,因主力成交活躍我們需要密切關注幣安BTC現貨的主力成交情況。[2020/4/10]
歐洲交易所 ETERBASE 部分熱錢包被盜
9 月 8 日,歐洲加密交易所 ETERBASE 遭遇黑客攻擊,導致部分熱錢包被盜,包括 BTC、ETH 及 ERC-20 代幣、XRP、TRX、XTZ 和 ALGO。損失逾 500 萬美元資產。其中,ETH 和 ERC-20 代幣地址損失的資金最多,達約 390 萬美元,其次是 XTZ 地址,損失約 47.1 萬美元。
Kucoin 交易所遭黑客攻擊
9 月 26 日,Kucoin 庫幣交易所遭到黑客攻擊,大量 ETH 和 ERC20 代幣被轉移,其中包括 11,486 枚以太坊、19,788,586 枚 USDT、525,405 枚 Gladius (GLA)、77,874 枚 Hawala (HAT)、21,660,274 枚 Ocean Token (OCEAN)、8,893,428 枚 Chroma (CHR)、30,452,178 枚 Ampleforth (AMPL)、198,678,919 枚 Ankr Network (ANKR) 等。此后,該黑客跑路資金遭到各個大交易所聯合封堵。
Liquid 數據泄露
加密貨幣交易所 Liquid 首席執行官 Mike Kayamori 在官網發布通知說,11 月 13 日交易所發生了一起數據泄漏安全事件。管理一個核心域名的域名托管提供商錯誤地將該帳戶和域名的控制權轉移給了一個惡意入侵者,使其可以改變 DNS 記錄,進而控制大量的內部電子郵件帳戶,并且能夠部分破壞交易所的基礎設施并獲得存儲文檔的訪問權限。
英國交易所 Exmo 發生重大安全漏洞
12 月 21 日,英國加密貨幣交易所 Exmo 發生重大安全漏洞,導致平臺已凍結所有提款。根據 The Block 的研究分析師的說法,Exmo 似乎損失了 1,050 萬美元的資金。
俄羅斯交易平臺 Livecoin 遭攻擊
12 月 24 日,俄羅斯加密貨幣交易平臺 Livecoin 遭遇黑客攻擊,平臺上的代幣價格已被操控。
交易所資金量巨大,很容易引來黑客的攻擊,一旦出現問題幾乎所有用戶都會受到影響,交易所應加大防范。同時。黑客也會惡意入侵交易所使其數據泄露借此獲利,平臺在早期架構設計時應做好所有安防措施,避免此類信息泄露事件的發生。此外還有一些平臺方暴雷跑路的惡意行為,畢竟在金錢面前,人性經不住考驗。
Bitcoin Gold 遭兩次 51% 攻擊
1 月 28 日,Bitcoin Gold 遭遇兩次 51% 算力攻擊,兩筆對交易所的充值交易均被撤銷,涉及約 1900 個 BTG 和 5267 個 BTG,接近 9 萬美元。
Cocos-BCX 映射錢包信息遭盜取
4 月 3 日,Cocos-BCX 經與交易所核實和內部調查,由于映射錢包信息遭惡意盜取,所以出現了資產丟失和惡意拋售。與交易所核實確認后,本次被盜取的代幣總額為 1,087,522,819.2 個 COCOS,交易所確認該總額已被拋售完畢。
Filecoin?代碼漏洞可實現 Filecoin 無限增發
5 月 28 日,石榴礦池技術人員發現 Filecoin 代碼中的嚴重漏洞,通過該漏洞可以實現 Filecoin 的無限增發。石榴礦池表示,為了證明漏洞的有效性,6 Block 旗下的三個礦工賬號 t01043、t027999、t0234783 通過該漏洞已實現 16 億 Filecoin 的增發,占據了 Filecoin 富豪榜前三名。
Ravencoin (RVN) 區塊鏈存在漏洞
7 月 3 日,CryptoScope 團隊發現 Ravencoin (RVN) 區塊鏈存在漏洞,經過 rvn 首席開發團隊確認后已發布了緊急更新。據悉,該漏洞可生成額外的 RVN,但是不會影響或控制已經存在的 RVN 資產。由于該漏洞造成了 RVN 總量比原計劃多出了 1.5%,并且漏洞產生的 RVN 已經流入市場,因此無法進行回滾等操作。
ETC 連遭三次大規模攻擊
8 月 1 日,Bitfly 發推稱,ETC 區塊鏈在區塊高度 10904146 經歷了一次 3693 個區塊的鏈重組。這導致所有狀態修建節點停止同步。ETC 鏈近 6 小時沒有出塊,隨后出塊恢復正常。8 月 6 日,Bitfly 官方發推稱,今日 ETC 又遭遇了一次大規模 51% 攻擊。攻擊已導致 4000 多個區塊發生重組。報告顯示,此次攻擊的發起者與第一次攻擊事件的發起者是同一名礦工。攻擊者從本次攻擊中獲利了至少 168 萬美元。8 月 30 日,Bitfly 官方發推稱,今日 ETC 又遭遇了一次大規模 51% 攻擊,導致 7000 多個區塊發生重組,相當于大約兩天的挖礦時間。所有丟失的區塊將從未到期的余額中移除,其將檢查所有支出以查找丟失的交易。
Chainlink?節點運營商遭垃圾郵件攻擊
9 月 5 日,九個 Chainlink 節點運營商遭到所謂「垃圾郵件攻擊」,攻擊者從他們的「熱錢包」中獲取了大約 700 枚 ETH。
Grin 網絡遭 51% 攻擊
11 月 10 日,Grin 網絡最近遭受 51% 攻擊。一個未知實體在周六控制了超過 57% 的網絡算力。
Aeternity(AE) 遭 51% 攻擊
12 月 8 日,據 Aeternity 官方推特證實,Aeternity(AE) 昨日遭到了黑客 51% 攻擊,據 Aeternity 社區核心成員披露,此次 51% 攻擊造成的損失超過 3900 萬枚 AE 代幣,官方團隊正在解決問題,此次受損的主要是交易所和礦池,交易所集中于 OKEx、Gate、Binance。
公鏈一旦出現漏洞就會影響整個鏈,所以公鏈在上線前一定要經過專業的安全審計。建議公鏈團隊與可信且職業的安全團隊進行深入合作,部署因地制宜的安全建議,提升安全維度。
Electrum 多次遭遇釣魚攻擊
1 月 19 日,Electrum 遭遇「釣魚」盜幣行為。8 月 30 日,GitHub 用戶 」1400 BitcoinStolen「 表示其比特幣巨額款項消失在黑客攻擊中。該用戶使用的是比特幣錢包 Electrum 軟件,該用戶一直沒有安全更新此軟件,因此當他轉移比特幣時提示更新和修補潛在問題,但當他根據提示操作時,該軟件利用了一個漏洞連接了黑客的服務器,1400 枚比特幣 (價值 1600 萬美元) 被存入了黑客的錢包。10 月 12 日,ZDNet 一項調查顯示,黑客通過引誘用戶安裝假軟件更新,從比特幣錢包 Electrum 的用戶那里竊取了 2200 萬美元。而該手法最高出現在 2018 年。而自兩年前首次發現這種攻擊以來,Electrum 團隊已經采取了一些措施來防止這種攻擊。但這種攻擊仍然適用于使用舊版本應用程序的用戶。
IOTA 官方錢包應用 Trinity 出現漏洞
2 月 12 日,黑客利用 IOTA 官方錢包應用 Trinity 的漏洞竊取資金,官方之后宣布關閉整個網絡。
EtherCrash 冷錢包被盜
10 月 30 日,網絡犯罪情報公司 HudsonRock 首席技術官 AlonGal 發推表示,10 月 27 日,自稱「以太坊最成熟、規模最大的菠菜游戲 」EtherCrash「 冷錢包被盜,損失約 250 萬美元,疑似為內部人員所為。
Ledger 遭數據泄露
12 月 21 日,包含 270,000 多個 Ledger 客戶個人信息的數據庫在 RaidForums 上泄漏,這些被泄露的信息包括 Ledger 硬件錢包購買者的電子郵件、實際地址和電話號碼。RaidForums 是一個買賣、共享和共享被黑信息的市場。此次被泄漏的 Ledger 信息是由今年 6 月遭受數據泄露導致,包含超過 100 萬 Ledger 客戶的電子郵件。Ledger CEO 隨后表示不會為遭到數據泄露的用戶提供補償。
用戶在選擇錢包時盡量選擇國際知名、一流的錢包,同時注意看錢包 App 的代碼是否開源、代碼是否經過安全審計、團隊內是否有 CSO 或安全負責人,這些都可能影響到錢包不斷迭代、升級過程中的安全是否有保障。同時,作為用戶一定要從錢包的官網下載 App,避免誤入釣魚網站下載到被植入了后門的錢包 App。
SIM 卡被黑導致被盜
2 月 22 日,Bitcoin Builder 創始人、Mt.Gox 第二大債權人 Josh Jones SIM 卡被黑,導致價值 $45,000,000 的數字貨幣被盜。
Trident Crypto Fund 被攻擊致數據泄露
3 月 5 日,加密基金 Trident Crypto Fund 遭黑客攻擊,26.6 萬名用戶數據被泄露。
加密貨幣挖礦組織 BitClub Network 電信欺詐
7 月 10 日,根據美國新澤西州聯邦檢察局發布的公告顯示,程序員 Silviu Catalin Balaci 承認參與建立了加密貨幣挖礦組織 BitClub Network,并進行電信欺詐,出售未經注冊的證券。Balaci 確認,在該計劃實施的五年過程中,BitClub 從投資者手中共騙取至少 7.22 億美元的比特幣。
多個推特賬號被黑
7 月 16 日凌晨,多位名人政要以及一些公司的推特賬號被黑客襲擊,這些推特賬戶都發布了相關的數字貨幣釣魚騙局信息。不過,這些釣魚信息在發布幾分鐘后就被刪除。截至目前,詐騙者共收到 12.86 枚比特幣。
CWT 被劫持并同意支付比特幣
8 月 1 日,美國第五大旅游公司 CWT 同意向劫持其計算機系統的黑客支付價值 450 萬美元的比特幣。
以色列無線芯片和攝像頭傳感器制造商遭勒索軟件攻擊
9 月 7 日,黑客向以色列納斯達克上市無線芯片和攝像頭傳感器制造商 Tower Semiconductor Ltd (TSEM) 進行勒索軟件攻擊,并索要數十萬美元比特幣贖金。為了安全起見,TSEM 關閉了一些正在運行的服務器,并暫停了部分工廠的生產。
富士康遭勒索軟件攻擊
12 月 8 日,富士康遭到了勒索軟件的攻擊,短暫地導致其在墨西哥的生產設施出現問題,并導致數據被盜。 對此,富士康回應稱,其美洲工廠近日確實遭受網絡勒索病攻擊,目前其內部資安團隊已完成軟件以及作業系統安全性更新,同時提高了資安防護層級。同時,受影響的廠區的正在恢復網絡,對集團整體營運影響不大。
DeFi 保險協議 Nexus Mutual 創始人個人地址被攻擊
12 月 14 日,DeFi 保險協議 Nexus Mutual 在推特上表示,其創始人 Hugh Karp 的個人地址被一位平臺用戶攻擊,被盜 37 萬 NXM,損失超過 800 萬美元。官方表示這是一次具有針對性的攻擊,只有 Karp 的地址收到影響,Nexus Mutual 或其他成員沒有后續風險。官方稱,Karp 使用的是硬件錢包,攻擊者獲得了對他電腦的遠程訪問權限,并修改了錢包插件 MetaMask,欺騙他簽署了交易,將資金轉移到攻擊者自己的地址。
OneCoin 加密貨幣龐氏騙局
12 月 14 日,阿根廷科爾多瓦市檢察院起訴了涉及 OneCoin 加密貨幣龐氏騙局案件的 12 名詐騙者,并于上周四下令逮捕,目前其中八人已被捕。此前報道,OneCoin 龐氏騙局使相關投資者在從 2014 年 4 月至 2018 年 3 月期間因投資該項目遭受了共 44 億美元的財務損失。
最近市場變熱,隨之而來的是勒索、詐騙、傳銷、釣魚事件層出不窮。針對平臺或個人的各類攻擊形勢嚴峻,目前已經造成大量個人百萬到千萬級別的損失!請大家務必提高警惕,加強自身安全意識,務必開啟二次認證 (短信或 GA,不推薦使用郵箱驗證碼),謹慎保管好各類私密信息。
2020 年是跌宕起伏的一年,疫情黑天鵝、比特幣從 3.12 事件低谷恢復并于近期漲至接近歷史高點、流動性挖礦 DeFi 繁榮增長并快速落地等。區塊鏈既是未知的,又是充滿可能性的,希望區塊鏈新的一年能迸發出更大的能量,創造出更多元化的產業。慢霧也將不負各位的期待,繼續為區塊鏈生態安全保駕護航!
本期由金色財經和加密視界聯合推出,授權金色財經獨家發布。Bitcoin Master成為荷蘭足球俱樂部AZ獨家加密合作伙伴,部分贊助金額以比特幣支付:荷蘭銀行注冊的加密貨幣提供商Bitcoin.
1900/1/1 0:00:00區塊鏈或許是人類歷史近期內最有可能的財富轉移方式之一,而我仍然相信,2021年或許是ETH最有機會的一年,我們或許將見證加密貨幣歷史上最偉大的一年.
1900/1/1 0:00:001.COSMOS是在加速嗎?從2019年3月COSMOS主網上線后,整個生態進展略顯遲緩,但因為COSMOS模塊化的設計,有廣泛的應用趨勢.
1900/1/1 0:00:00首個免費制作和出售 NFT 的途徑上個月來,我們一直在 OpenSea 上測試一項新技術,幫助用戶創建非同質代幣(NFT)而且無需支付 gas 費.
1900/1/1 0:00:00資深金融顧問Neil Liversidge呼吁英國政府禁止比特幣(BTC)等加密貨幣的交易。獨立金融咨詢公司West Riding Personal Financial Solutions的所有.
1900/1/1 0:00:00新年伊始,數字人民幣首批試點城市之一的深圳開啟了第二輪數字人民幣大規模試點,福田區出資2000萬元向在深個人發放了10萬個數字人民幣紅包.
1900/1/1 0:00:00