相較 2020 年上半年,中心化交易所安全事故明顯減少,黑客似乎把注意力轉向了 DeFi。

原文標題:《通告 | 2021 上半年安全事件回顧:被黑、騙局和停機》
撰文:Harry Denley
翻譯:阿劍

想了解我們這個系列的風格,可以看我們的上一篇文章:2020 年回顧(中文譯本)。

通告 | 2021 上半年安全事件回顧:被黑、騙局和停機

密碼貨幣的世界是前所未有地兇險,讓人很難視而不見。在詳細列出這些安全事件之前,先來看看我們爲了行業的安全做了什麼貢獻?

在 2021 年上半年,我們:

  • 放出了新版的 MyCrypto,提高了用戶體驗,讓用戶能更容易、更直接地_使用_和監控自己的密碼學貨幣

  • 披露了濫用 ERC20 授權方法來偷竊用戶資產的惡意項目(授權方法是用戶使用的一環,但很容易被盲目信任)

  • 拓展了我們的業務範圍,幫助遭遇了清道夫機器人的用戶取回質押的資產

  • 出版了一份幫助用戶提高 MyCrypto 隱私體驗的指南

  • 在 NFT 市場爆發時,我們也推出了針對 NFT 買家的反詐騙教育材料

  • 與 CryptoScamDB 繼續我們的反詐騙、反釣魚活動

提高整個行業的意識和防止詐騙、攻擊都是任重道遠,但我們在堅持。

我們先來深入瞭解下行業的整體態勢,看看我們是否從 2020 年學到了教訓,是否有所提升。

以下是 2021 年第一第二季度的主要安全事件清單。我們不會列出所有的跑路及類似事件,因爲太多了,實在是數也數不清……

通告 | 2021 上半年安全事件回顧:被黑、騙局和停機

2021 年第一季度出現了一些有趣的事件,從整個協議的突然停擺到 DeFi 合約被黑,再到黑客被捕,都有。我們也看到了完全針對個人的攻擊,這讓整個行業感到震驚,因爲這些壞人可能爲了一筆錢而不擇手段。

與去年相比,第一季度的密碼貨幣交易所被黑事件有所減少。這既是因爲黑客的注意力都在別的地方,也是因爲交易所已經從去年的失敗中學到了教訓、調整了安全控制。

故事:Yearn 被盜 1100 萬美元

摘要:最大 / 最老牌 的自動化流動性挖礦協議之一,Yearn,其某個 v1 金庫遭遇爆破,被盜金額總計 1100 萬美元,而金庫的用戶遭遇了 280 萬美元的直接損失。Yearn 團隊在 10 分 14 秒內成功地緩解了此次爆破,包括 Tether 凍結了 170 萬 USDT 來防止攻擊者轉移資產。

故事:DMM DAO 因 SEC 調查而停擺

摘要:DMM DAO 是一個使用 Chainlink 信息傳輸機制把現實世界資產搬到鏈上的 DAO,因爲美國證監會對他們的調查而停止了運營。

故事:Blockfolio 遭到劫持後輸出了帶有攻擊性的內容

摘要:今年 2 月,一名惡意人士獲得了 Blockfolio 所用的內容推送系統的權限,然後向所有的 Blockfolio 用戶推送了帶有攻擊性的內容。不久之後,SBF 確認並解釋了此事,然後他們把責任推到了競爭對手身上,聲稱 「惡意內容乃是我們的交易所同行炮製和發佈的」。

故事:T-Mobile 因用戶遭遇 SIM 攻擊損失價值 45 萬美元的比特幣而遭起訴

摘要:SIM 卡被盜在密碼貨幣的世界裏太常見了!(我們甚至爲此寫了一篇大文章!)這個受害人在因爲 SIM 卡被盜而損失了 15 個比特幣之後,起訴了其通信服務商。

(注:SIM 卡 「被盜」 是指攻擊者通過各種攻擊手段瞭解目標受害者的個人信息之後,賊喊捉賊,向服務商表示自己的 SIM 卡被盜或遺失,從而獲得目標的 SIM 卡控制權。)

故事:DeFi 協議 Cream Finance Alpha 版遭遇閃電貸攻擊,損失了 3750 萬美元

摘要:一次巧妙的閃電貸攻擊讓操作者得以吸乾 AlphaFinance 的金庫合約。FrankResearcher 以長推特的形式披露了整個事件。不久之後, AlphaFinance 暗示,他們知道攻擊者是誰。

故事:一個 MetaMask 實例的本地漏洞導致 800 萬美元被盜

摘要:這件事情警醒了整個社區盲目信任一個 UI 的危險性,也學會了接收你曾經認爲可信的東西有一天也可能變得不安全。這份事後報告展示了一個攻擊者想通過劫持你的電腦來獲得你的資金時有多麼努力。在檢查了惡意行爲之後,我們確信,這是經過 「深思熟慮」 的。

故事:Roll (社交代幣)被盜 3000 ETH/570 萬美元

摘要:一個發行社交代幣的平臺 Roll 遭遇了一個事故,一個熱錢包的私鑰被劫持,而攻擊者把所有的社交代幣都賣成了 ETH (這也打壓了這些社交代幣的市場價格)並把 ETH 通過 TornadoCash 遷移到了另一個地址。

故事:Twitter 黑客認罪,被判三年

摘要:去年推特上出現了一次大規模的賬戶被黑事件,許多高價值賬戶被推特的內部工具發佈消息,爲騙局推波助瀾。一年不到,這個黑客 —— 只有 18 歲 —— 就被捕並且判了刑。

故事:Filecoin 在幣安上被多重花費 —— 涉及 460 萬美元

摘要:據開發者披露,幣安交易所會把一筆合法的存款處理兩次,並在鏈下計入雙倍的金額。這個錯誤是因爲 Filecoin RPC 代碼裏面的一個 bug 而導致的。

通告 | 2021 上半年安全事件回顧:被黑、騙局和停機

故事:GitHub Actions 被主動濫用在 GitHub 服務器上挖礦

摘要:GitHub 允許服務器運行代碼,以幫助測試。一些別有用心的人就利用這個(免費)的服務器來挖礦 —— 他們完全沒有電力支出和維護費用,純賺區塊獎勵。

故事:xFORCE 被白帽子(和其他人)攻破

摘要:xFORCE 合約沒有嚴格遵循 ERC20 標準,這讓他們的存入機制出了一個漏洞,而存入機制與 xFORCE 代幣鑄造是綁定的。只要你擁有 xFORCE 代幣(都不需要實際存入),你就可以取出 FORCE 代幣(等於是免費拿走)。

故事:驗證者從 Stellar 網絡掉線

摘要:因爲一個軟件上的 bug,Stellar 網絡上的一組驗證者突然掉線,導致事務處理中斷了。在 10 多個小時後,問題根源找出並且得到了修復,而驗證者們也回到了線上。

故事:針對 Legder 和 Shopify 在 2020 年泄露用戶數據的集體訴訟

摘要:在 2020 年,一個包含大約 30 萬 Ledger 客戶記錄的數據庫(有詳細的客戶郵件地址、收件地址和全名)出現在了一個叫做 RaidForums 的論壇上並且是免費下載。在 2021 年 4 月 6 日,一些人發起了一項集體訴訟。

故事:更多地址因爲轉移 USDC 而上了黑名單

摘要:儘管這種情況不多,但 Circle (USDC 背後的權威機構)發佈了 7 個以上的黑名單。這些地址裏的 USDC 因此可以被充公,Circle 也可以防止用戶使用這些幣 (見合約的 「transfer()」 函數)。這是因爲美國金融局把這些地址加入了 OFEC 的 SDN 名單。

故事:規模達到 20 億美元的騙局,土耳其交易所 Thodex 關停,遭到用戶抗議

摘要:一家土耳其的交易所突然停止服務。據猜測,其 CEO 攜帶交易所的私鑰(掌控交易所用戶價值 20 億美元的密碼學貨幣)逃到了泰國。此後,一份聲明取代了 Thodx 的主頁,詳細說明了他們正在跟商業夥伴談判以及一次攻擊修改了 tameness 的一些後端數據。他們也聲稱,媒體關於 20 億美元的數字是錯的,實際的數額要低得多。

故事:UraniumFinance 遷移活動遭爆破,潛在損失 500 萬美元

摘要:在 UraniumFinance 變更交易手續費率的過程中出了一個數學錯誤,導致了一個意料之外的計算錯誤,影響到了實際的交易手續費率。合約中的一個字符導致智能合約的健全性檢查的餘額檢查被利用,UraniumFinance 的儲備金被吸乾。

故事:美國司法部門承認逮捕了 Roman Sterlingov (BitcoinFog 的運營者)

摘要:BitcoinFog 是一個流行的混幣器,可以爲比特幣交易添加一些模糊性。據稱,BitcoinFog 在過去的 10 年裏賺到了約 120 萬 btc。

故事:xTokenMarket 流動性池子被吸乾,損失 2500 萬美元

摘要:又是一次聰明的閃電貸攻擊,攻擊者吸乾了 xTokenMarket 的流動性池子,辦法是操縱 SNX 和 BNT 在多個 DEX 的價格。攻擊者是使用叫做 「Flashbots」 的 MEV 軟件發動的攻擊。

故事:DeFi 100 攜帶 3200 萬美元跑路

摘要:一個 DeFi 協議用公開的消息嘲諷用戶並表示自己要跑路:「我們騙了你!而你什麼也做不了!」第二天,他們發佈了一份聲明,表示他們沒有跑路,並且把網站恢復到了先前的狀態。

故事:針對 Ledger 的實體釣魚活動

摘要:在 2020 年的數據泄露和 2021 年初對 Ledger 的集體訴訟之後,用戶開始報告更多試圖竊取用戶密鑰的實體釣魚活動。有人向他們的收件地址快遞了經過修改的設備。

故事:IronFinance 遭遇擠兌,代幣價格在 24 小時之內從 60 美元跌到零

摘要:根據一份正式的聲明,擠兌始於一些大戶從 IRON/USDC 池子中撤出流動性並賣出 $TITAN -> $IRON -> $USDC,而不贖回 IRON,導致後者的價格脫錨。

故事:對 THORChain 的第一次已知的惡意攻擊

摘要:因爲用於處理重複符號的邏輯中有個 bug,一次攻擊導致 THORChain 損失了 14 萬美元。網絡被節點中斷,在 6 個小時後打上了補丁並恢復了功能。THORChain 很快知曉了這次攻擊,並聲稱他們會全額補償損失。

觀察

如果我們比較在 2020 年觀察到的情形,似乎整個行業還是有很大的提升空間,甚至可能永遠都有。我們需要持續教育大家關於 DeFi 「梭哈」、DeFi admin key、釣魚的風險,以及把你的資產存入中心化交易所的固有風險。

比較 2020 年上半年的情形,我們可以看到,中心化交易所和他們的安全性確實進步了,至少爆出來在他們的基礎設施上發生的黑客事件變少了。這是一件好事,但也提出了一個問題:那些壞蛋都把心思放哪裏去了?一個簡單並且可能也是合理的猜測是,他們把注意力轉向了 DeFi 協議,並混進了社區,搞起了容易的跑路,畢竟這沒有太高的技術門檻,而獲利卻非常可觀。

我們也看到了人們對 NFT 的興趣正在興起,包括那些大名鼎鼎的公司也在接收 NFT (Christies、eBay 和蘇富比)。我們可以預言,會有一些殘酷的 NFT 搶劫 —— 不是正在發生,就是沒有爆出來。

希望 2021 年剩下的時間能風平浪靜!

來源鏈接:blog.mycrypto.com