密码货币的世界是前所未有地凶险,让人很难视而不见。在详细列出这些安全事件之前,先来看看我们为了行业的安全做了什么贡献?
在2021年上半年,我们:
放出了新版的MyCrypto,提高了用户体验,让用户能更容易、更直接地?使用?和监控自己的密码学货币
披露了滥用ERC20授权方法来偷窃用户资产的恶意项目
拓展了我们的业务范围,帮助遭遇了清道夫机器人的用户取回质押的资产
出版了一份帮助用户提高MyCrypto隐私体验的指南
在NFT市场爆发时,我们也推出了针对NFT买家的反教育材料
与?CryptoScamDB?继续我们的反、反钓鱼活动
提高整个行业的意识和防止、攻击都是任重道远,但我们在坚持。
我们先来深入了解下行业的整体态势,看看我们是否从2020年学到了教训,是否有所提升。
以下是2021年第一第二季度的主要安全事件清单。我们不会列出所有的跑路及类似事件,因为太多了,实在是数也数不清……
彭博分析师:比特币价格到2024年将达到5万美元:金色财经报道,彭博行业研究分析师Jamie Douglas Coutts表示,基于以前的周期,即将到来的减半目前已有大约50%在市场报价中得到体现。Coutts预测,到2024年4月,比特币可能达到5万美元。[2023/4/24 14:22:46]
2021年第一季度出现了一些有趣的事件,从整个协议的突然停摆到DeFi合约被黑,再到黑客被捕,都有。我们也看到了完全针对个人的攻击,这让整个行业感到震惊,因为这些坏人可能为了一笔钱而不择手段。
与去年相比,第一季度的密码货币交易所被黑事件有所减少。这既是因为黑客的注意力都在别的地方,也是因为交易所已经从去年的失败中学到了教训、调整了安全控制。
故事:Yearn被盗1100万美元
摘要:最大/最老牌的自动化流动性挖矿协议之一,Yearn,其某个v1金库遭遇爆破,被盗金额总计1100万美元,而金库的用户遭遇了280万美元的直接损失。Yearn团队在10分14秒内成功地缓解了此次爆破,包括Tether冻结了170万USDT来防止攻击者转移资产。
故事:DMMDAO因SEC调查而停摆
摘要:DMMDAO是一个使用Chainlink信息传输机制把现实世界资产搬到链上的DAO,因为美国证监会对他们的调查而停止了运营。
PROOF联创:正在积极开发代币,Pass持有者将会在2025年后转换为Moonbirds Elders:3月3日消息,据NFT项目Moonbirds在社交媒体披露,PROOF联合创始人Kevin Rose和Justin Mezzell在最新直播中称,PROOF通行证将于2025年1月1日结束,届时当前持有者将成为Moonbirds Elders(这是一个暂定名称),他们将拥有“boosters(助推器)”,以在未来获得独家代币投放等活动中获得独家权限。对于潜在的代币发行,Kevin Rose表示目前正在积极开发中,他强调未来推出的代币必须要能支持PROOF生态系统。[2023/3/3 12:40:24]
故事:Blockfolio遭到劫持后输出了带有攻击性的内容
摘要:今年2月,一名恶意人士获得了Blockfolio所用的内容推送系统的权限,然后向所有的Blockfolio用户推送了带有攻击性的内容。不久之后,SBF确认并解释了此事,然后他们把责任推到了竞争对手身上,声称“恶意内容乃是我们的交易所同行炮制和发布的”。
故事:T-Mobile因用户遭遇SIM攻击损失价值45万美元的比特币而遭起诉
摘要:SIM卡被盗在密码货币的世界里太常见了!这个受害人在因为SIM卡被盗而损失了15个比特币之后,起诉了其通信服务商。
北京红枣科技CEO何亦凡:预计2024年BSN源代码将会开源:9月28日,由杭州市拱墅区人民政府、区块链服务网络发展联盟主办的2021年区块链服务网络(BSN)全球合作伙伴大会昨日在杭州举行,北京红枣科技CEO何亦凡出席并发表演讲。
何亦凡表示,BSN的核心理念是致力于建设一个基于数据广播式传输协议的互联网新一代通讯层,以及相关的标准协议、云环境、开发工具和操作系统。今年10月份BSN将会在新加坡成立一个BSN基金会,这个基金会是非盈利的组织,主要核心是管理BSN的代码。希望将来在这种广播式通讯层,大家可以自由去开发,任意在上面搭建自己的东西。何亦凡还提到,预计2023年到2024年,BSN的源代码将会开源,届时任何人都可以自己下载搭一个BSN的数据中心,或者通过BSN去销售自己的云资源和提供云资源服务,服务你的终端用户。[2021/9/28 17:12:15]
故事:DeFi协议CreamFinanceAlpha版遭遇闪电贷攻击,损失了3750万美元
摘要:一次巧妙的闪电贷攻击让操作者得以吸干AlphaFinance的金库合约。FrankResearcher以长推特的形式披露了整个事件。不久之后,AlphaFinance暗示,他们知道攻击者是谁。
故事:一个MetaMask实例的本地漏洞导致800万美元被盗
Coinbase在2020年下半年共收到执法机构2313次信息申请:Coinbase周三发布了第二份透明度报告,报告显示,去年几乎所有政府向Coinbase提出的获取客户信息的请求均来自刑事当局。在Coinbase去年收到的4227份此类请求中,只有165份来自民事当局。然而,在H1和H2之间有一个急剧上升,请求数量从66个上升到99个,这表明民事当局可能对加密活动越来越感兴趣。这并不完全令人意外,因为美国国税局(IRS)等税务当局最近一直在更积极地审查加密货币交易所。但即便是在H2,Coinbase收到的所有请求中刑事当局提交了95.7%。值得注意的是这些请求的地理来源。与之前一样,美国、英国和德国政府对Coinbase用户活动的兴趣处于全球领先地位。这三个国家加起来的请求约占Coinbase所有请求的90%。(TheBlock)[2021/5/6 21:27:53]
摘要:这件事情警醒了整个社区盲目信任一个UI的危险性,也学会了接收你曾经认为可信的东西有一天也可能变得不安全。这份事后报告展示了一个攻击者想通过劫持你的电脑来获得你的资金时有多么努力。在检查了恶意行为之后,我们确信,这是经过“深思熟虑”的。
故事:Roll被盗3000ETH/570万美元
摘要:一个发行社交代币的平台Roll遭遇了一个事故,一个热钱包的私钥被劫持,而攻击者把所有的社交代币都卖成了ETH并把ETH通过TornadoCash迁移到了另一个地址。
NOVA《2020 区块链投资研究分析报告》:中美两国是区块链行业最活跃的两个国家:金色财经现场报道,8月5日2020 Cointelegraph中文大湾区·国际区块链周在深圳举行。NOVA联合创始人、Cointelegraph中文联合创始人李翔敏在会上发布了NOVA《2020 区块链投资研究分析报告》。报告显示,在全球化视角下,中美两国是区块链行业最活跃的两个国家。在产业区块链领域,中美两国是专利申请最多的国家,美国专利申请占中国的一半。在投融资领域,技术类项目西方国家占优势。而在传统行业与区块链结合的产业,中国占优势。[2020/8/5]
故事:Twitter黑客认罪,被判三年
摘要:去年推特上出现了一次大规模的账户被黑事件,许多高价值账户被推特的内部工具发布消息,为局推波助澜。一年不到,这个黑客——只有18岁——就被捕并且判了刑。
故事:Filecoin在币安上被多重花费——涉及460万美元
摘要:据开发者披露,币安交易所会把一笔合法的存款处理两次,并在链下计入双倍的金额。这个错误是因为FilecoinRPC代码里面的一个bug而导致的。
故事:GitHubActions被主动滥用在GitHub服务器上挖矿
摘要:GitHub允许服务器运行代码,以帮助测试。一些别有用心的人就利用这个的服务器来挖矿——他们完全没有电力支出和维护费用,纯赚区块奖励。
故事:xFORCE被白帽子攻破
摘要:xFORCE合约没有严格遵循ERC20标准,这让他们的存入机制出了一个漏洞,而存入机制与xFORCE代币铸造是绑定的。只要你拥有xFORCE代币,你就可以取出FORCE代币。
故事:验证者从Stellar网络掉线
摘要:因为一个软件上的bug,Stellar网络上的一组验证者突然掉线,导致事务处理中断了。在10多个小时后,问题根源找出并且得到了修复,而验证者们也回到了线上。
故事:针对Legder和Shopify在2020年泄露用户数据的集体诉讼
摘要:在2020年,一个包含大约30万Ledger客户记录的数据库出现在了一个叫做RaidForums的论坛上并且是免费下载。在2021年4月6日,一些人发起了一项集体诉讼。
故事:更多地址因为转移USDC而上了黑名单
摘要:尽管这种情况不多,但Circle发布了7个以上的黑名单。这些地址里的USDC因此可以被充公,Circle也可以防止用户使用这些币。这是因为美国金融局把这些地址加入了OFEC的SDN名单。
故事:规模达到20亿美元的局,土耳其交易所Thodex关停,遭到用户抗议
摘要:一家土耳其的交易所突然停止服务。据猜测,其CEO携带交易所的私钥逃到了泰国。此后,一份声明取代了Thodx的主页,详细说明了他们正在跟商业伙伴谈判以及一次攻击修改了tameness的一些后端数据。他们也声称,媒体关于20亿美元的数字是错的,实际的数额要低得多。
故事:UraniumFinance迁移活动遭爆破,潜在损失500万美元
摘要:在UraniumFinance变更交易手续费率的过程中出了一个数学错误,导致了一个意料之外的计算错误,影响到了实际的交易手续费率。合约中的一个字符导致智能合约的健全性检查的余额检查被利用,UraniumFinance的储备金被吸干。
故事:美国司法部门承认逮捕了RomanSterlingov
摘要:BitcoinFog是一个流行的混币器,可以为比特币交易添加一些模糊性。据称,BitcoinFog在过去的10年里赚到了约120万btc。
故事:xTokenMarket流动性池子被吸干,损失2500万美元
摘要:又是一次聪明的闪电贷攻击,攻击者吸干了xTokenMarket的流动性池子,办法是操纵SNX和BNT在多个DEX的价格。攻击者是使用叫做“Flashbots”的MEV软件发动的攻击。
故事:DeFi100携带3200万美元跑路
摘要:一个DeFi协议用公开的消息嘲讽用户并表示自己要跑路:“我们了你!而你什么也做不了!”第二天,他们发布了一份声明,表示他们没有跑路,并且把网站恢复到了先前的状态。
故事:针对Ledger的实体钓鱼活动
摘要:在2020年的数据泄露和2021年初对Ledger的集体诉讼之后,用户开始报告更多试图窃取用户密钥的实体钓鱼活动。有人向他们的收件地址快递了经过修改的设备。
故事:IronFinance遭遇挤兑,代币价格在24小时之内从60美元跌到零
摘要:根据一份正式的声明,挤兑始于一些大户从IRON/USDC池子中撤出流动性并卖出$TITAN->$IRON->$USDC,而不赎回IRON,导致后者的价格脱锚。
故事:对THORChain的第一次已知的恶意攻击
摘要:因为用于处理重复符号的逻辑中有个bug,一次攻击导致THORChain损失了14万美元。网络被节点中断,在6个小时后打上了补丁并恢复了功能。THORChain很快知晓了这次攻击,并声称他们会全额补偿损失。
观察
如果我们比较在2020年观察到的情形,似乎整个行业还是有很大的提升空间,甚至可能永远都有。我们需要持续教育大家关于DeFi“梭哈”、DeFiadminkey、钓鱼的风险,以及把你的资产存入中心化交易所的固有风险。
比较2020年上半年的情形,我们可以看到,中心化交易所和他们的安全性确实进步了,至少爆出来在他们的基础设施上发生的黑客事件变少了。这是一件好事,但也提出了一个问题:那些坏蛋都把心思放哪里去了?一个简单并且可能也是合理的猜测是,他们把注意力转向了DeFi协议,并混进了社区,搞起了容易的跑路,毕竟这没有太高的技术门槛,而获利却非常可观。
我们也看到了人们对NFT的兴趣正在兴起,包括那些大名鼎鼎的公司也在接收NFT。我们可以预言,会有一些残酷的NFT抢劫——不是正在发生,就是没有爆出来。
希望2021年剩下的时间能风平浪静!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。