1 月 DeFi 方面共發生 3 起典型安全事件,但區塊鏈詐騙事件數量依然居高不下。

原文標題:《盤點 | 成都鏈安:1 月發生典型安全事件超 25 起,整體風險評級爲「中」》
撰文:成都鏈安

據成都鏈安【鏈必安-區塊鏈安全態勢感知平臺(Beosin-Eagle Eye)】安全輿情監控數據顯示:2021 年 1 月,據不完全統計,整個區塊鏈生態發生的典型安全事件超 25 起,所造成的經濟損失依然主要覆蓋在交易所、DeFi、詐騙跑路 / 加密騙局、勒索軟件 / 挖礦木馬、暗網、其他等幾個方面。總的來看,2021 年 1 月整體安全風險評級爲【中】,仍然不可掉以輕心。

相較於 2020 年 12 月,1 月所發生的典型安全事件的數量有所減少;然而,在【詐騙跑路 / 加密騙局方面】,事件數量依然居高不下,值得行業各方從業者重點關注。隨着區塊鏈技術與虛擬資產的普及程度不斷上升,而大衆的相關知識儲備卻並未得到同等程度的提高,導致不少投機者及詐騙者開始炮製各類騙局,進而導致該領域安全事件數量呈高發態勢

以下爲本月安全月報的詳細事項。

交易所方面共發生 「2」 起典型安全事件

俄羅斯虛擬資產交易所 Livecoin 宣佈將終止其服務,並敦促其客戶繼續提款。

日本虛擬資產交易所 Liquid 近日公佈針對去年 11 月因遭入侵而用戶數據泄漏的最終調查結果。Liquid 表示,包括電子郵件地址,名稱,加密密碼,API 密鑰等 169782 項用戶數據信息已泄漏。

DeFi 方面共發生 「3」 起典型安全事件

1 月 2 日,推特用戶 NourHaridy 發推表示,yCredit 的智能合約容易受到攻擊,或導致所有用戶資金受到損失;並建議已使用 ETH 存入合約或在 Sushiswap 上購買了 yCredit 的用戶立即將其撤回或出售,隨後其將發佈漏洞利用程序。

pickle pDAI 池的黑客地址(0x701781...7a4E08)繼 1 月 8 日異動後,再次於 1 月 14 日發生異動。此前黑客地址轉移了 1500 萬 DAI 到 5 個新地址,現除了地址(0x64bA3e...fF62DB),其餘四個地址均發生異動,共轉入 400 萬 DAI

1 月 27 日,SushiSwap 的 DIGG-WBTC 交易對的手續費被攻擊者通過特殊的手段盜取。

詐騙跑路 / 加密騙局方面共發生 「6」 起典型安全事件

1 月 1 日,印度警方於英迪拉·甘地國際機場逮捕一名 60 歲男子 Umesh Verma,罪名是通過加密騙局詐騙至少 45 人,詐騙金額共計 2.5 億盧比(約 350 萬美元)。

美國聯邦調查局(FBI)正在調查一起龐氏騙局,3 名嫌疑人通過承諾虛擬資產和其他投資回報從投資者處竊取了約 2800 萬美元

1 月 9 日,西班牙警方拘留了 4 名不同國籍的人,因其涉嫌實施一起價值約 1500 萬美元的加密龐氏騙局。

在過去幾周內,假冒特斯拉首席執行官埃隆·馬斯克(Elon Musk)個人資料的推特虛擬資產贈品騙局有所增加。到目前爲止,這些騙局已經獲得了超過 58 萬美元的 BTC。

加利福尼亞州一男子聲稱,在 SIM 交換加密騙局中損失了約 27000 美元的 BTC。

近日,網傳多名流動性“礦工”稱幣安智能鏈上又一個 DeFi“土礦”popcornswap 跑路,項目方捲走近 48000 個 BNB,價值約 215 萬美金。數日內還有 3 個項目(Zap Finance 和 Tin Finance、SharkYield)跑路。目前 SharkYield 跑路疑似帶走了 6000 個 BNB

盤點 | 成都鏈安:1 月發生典型安全事件超 25 起,整體風險評級爲「中」

Beosin 評論:從近幾個月的安全形勢來看,【詐騙跑路 / 加密騙局方面】所發生的事件數量呈現出穩步爬升的走向,並且所造成的經濟損失遠遠超於來自黑客的攻擊行爲和盜竊行爲。與此同時,無論是詐騙行爲,還是跑路行爲,涉案範圍都通過互聯網進而波及全球。針對如此嚴峻的安全形勢,作爲用戶和投資者,更需要擦亮雙眼,謹慎甄別

勒索軟件 / 挖礦木馬方面共發生 「5」 起典型安全事件

某網站所有者收到電子郵件威脅稱,需要發表對於 coinmama.com 的 5 星評論,並要點贊或分享兩次。如果收件人在 48 小時內不完成這些事情,勒索者聲稱將從色情網站創建數以百萬計的反向鏈接到收件人網站,破壞其聲譽。

在世界各地的公司遭到入侵後,據稱 Ryuk 勒索軟件的運營者從贖金支付中賺取價值超過 1.5 億美元的 BTC。

網絡安全公司 Intezer 發現了一種新型惡意病毒 ElectroRAT,該病毒可以在 Windows,Linux 和 macOS 上運行以竊取虛擬資產。該惡意程序已經活躍了 1 年多,並通過專門的論壇和市場營銷活動進行推廣,Intezer 估計下載了該惡意軟件的受害者數量約爲 6500 人。

1 月 11 日,美國密歇根州警方稱,一名匿名人士向州長 Gretchen Whitmer 和該州僱員郵寄死亡威脅信,試圖收取價值約 200 萬美元的 BTC。

智能化解決方案供應商 Radware 的 5 名客戶在去年 12 月和今年 1 月收到了勒索信。威脅稱,如果他們不向一個組織支付 5 個 BTC (價值約 16 萬美元),就會遭到 DDoS 攻擊。

暗網方面共發生 「4」 起典型安全事件

暗網論壇 Dread 的管理員 Hugbunter 稱,目前所有 v3 洋蔥地址均已無法訪問,事故發生原因未知,但可能會對整個網絡造成巨大攻擊。

1 月 11 日,德國警方切斷並關閉了被認爲是世界上最大的暗網交易平臺服務器“黑市”(DarkMarket),該非法交易平臺上賣家超過 2400 個,客戶近 50 萬

網絡安全公司 Check Point 在暗網上發現了許多銷售 Covid-19 疫苗的賣家,賣方要求用比特幣進行付款;但在付款後,並沒有交付貨物。

暗網 Joker's Stash 將於下個月關閉,暗網網絡安全公司 Gemini Advisory 的報告顯示,該網站過去一年的比特幣收入超過 10 億美元

盤點 | 成都鏈安:1 月發生典型安全事件超 25 起,整體風險評級爲「中」

Beosin 評論:本月,【暗網方面】所發生的事件數量有所提升,對從事網絡安全及區塊鏈安全的各方從業者敲響警鐘,不能忽視整個行業生態的安全建設。長久以來,暗網充斥着各類非法犯罪行爲,無形中威脅着國際社會的穩定與安全。加強暗網治理有關技術,提升全球治理和管理暗網的整體實力,是必須採取的高效措施。

其他方面共發生 「5」 起典型安全事件

英國一 IT 工程師不小心將藏有 7500 個 BTC 私鑰的硬盤當垃圾扔掉,按照 3.2 萬美元估算約爲 2.4 億美元

據 Financial Tribune 一份報告顯示,伊朗當局關閉了 1620 個非法虛擬資產礦場,在過去 18 個月中,這些礦場共消耗了 250 兆瓦的電力。

因極右翼極端分子在 BitTorrent 旗下流媒體平臺 DLive 直播美國國會大廈的暴力暴動事件,DLive 遭到抨擊。有用戶指控稱,DLive 自成立以來,已經通過將虛擬資產內置在網站提供的服務中,向極端分子支付了數十萬美元資金。

去中心化虛擬遊戲平臺沙盒遊戲 The Sandbox 表示,The Sandbox ASSET 智能合約很容易出現重複問題,目前還沒有惡意用戶利用該漏洞進行攻擊,其他所有智能合約均不受影響,SAND 和 LAND 智能合約也沒有風險。

1 月 27 日,Coinbase 錢包工程主管 Pete Kim 發推稱,如果在蘋果 iOS 設備上使用移動加密錢包,一定要儘快更新 iOS 系統。因爲 iOS 系統更新包含一個遠程代碼執行漏洞的修復。該漏洞可能會威脅移動加密錢包的安全。

盤點 | 成都鏈安:1 月發生典型安全事件超 25 起,整體風險評級爲「中」

鑑於當前區塊鏈生態的安全態勢,「成都鏈安」在此總結:

儘管 2021 辛丑牛年的新春佳節來臨在即,但黑客、詐騙者、攻擊者等犯罪分子並不會因爲春節到來而減緩非法行爲的推進步伐。相反,愈逢佳節,犯罪分子愈將抓住大衆疏於防範的心態,潛藏的安全風險也很有可能集中性爆發。

因此,越是臨近春節,越要築牢安全防線。雖然整體上來看,2021 年 1 月的區塊鏈整個生態的典型安全事件較 2020 年 12 月呈有所下降,整體安全風險也從【高】回落到【中】,但依然可以清楚地看到,在【詐騙跑路 / 加密騙局方面】、【勒索軟件 / 挖礦木馬方面】、【其他方面】仍舊態勢嚴峻

尤其是,【詐騙跑路 / 加密騙局方面】涉案人員多、涉案範圍廣、涉案金額高,全球範圍內各國都已開始重視詐騙跑路及加密騙局所造成的惡劣影響,並相繼發佈關於虛擬資產安全監管和合規的政策法規,以推動整個區塊鏈生態監管進程建設。

在此,成都鏈安提醒廣大用戶和投資者在項目選擇階段,切記一定要謹慎,不要被所謂的“利益”矇蔽了雙眼,天下沒有免費的午餐,餡餅也不會不偏不倚地恰好掉進自己的嘴裏,切莫因小失大。在春節期間,更要提高自身安全防騙意識,拋棄不切實際的心態。