2021 年第一季度虛擬貨幣⾏業共發⽣重⼤安全事件共 162 起,其中⿊客攻擊近 100 起,詐騙事件逾 56 起,勒索攻擊近 10 起。

2021Q1 區塊鏈安全事件 162 起,DeFi 攻擊損失逾 6 億美元,同比增長 94%

*Peck Shield *

黑客攻擊

從細分賽道來看,在 2021 年第一季度⿊客攻擊事件中,⿊客攻擊仍主要集中在離交易最近的地⽅,包括交易所、智能合約 & DApp、DeFi、理財錢包等多個領域。

2021Q1 區塊鏈安全事件 162 起,DeFi 攻擊損失逾 6 億美元,同比增長 94%

2021 年 第一季度,除了以太坊以外,新生態也正處於快速發展期。尤其是中心化交易所都在發力建設底層公鏈設施並深入打造 DeFi 生態,但其成熟度仍然不高,這爲以後安全事件頻發留下了隱患。

2021Q1 區塊鏈安全事件 162 起,DeFi 攻擊損失逾 6 億美元,同比增長 94%

據 PeckShield 「派盾」統計,2021 年第一季度 DeFi 安全事件達到 43 件,造成損失逾 6.12 億美元,同比增長 94%。

2021Q1 區塊鏈安全事件 162 起,DeFi 攻擊損失逾 6 億美元,同比增長 94%

其中出現單個損失逾上億美元的安全事件有 2 件,即火幣 Heco 鏈上的 DeFi 項目 HBO 因減產測試誤將 500 萬枚幣轉進了 LP 池導致價格閃崩,損失逾 2 億美元;幣安智能鏈(BSC)上的跨鏈穩定幣 True Seigniorage Dollar (TSD)因攻擊者利用 TSD DAO 在其賬戶中鑄造 118 億枚 TSD 代幣,導致其價格短時跌至 0.000000012 BUSD,並全部在去中心化交易所 PancakeSwap 中拋售,造成損失約 1.18 億美元。

此外,3 月 15 日,幣安智能鏈(BSC)上多個 DeFi 項目遭遇 DNS 劫持攻擊,其中包括借貸平臺 Cream Finance 和 BSC 頭部 DEX PancakeSwap,雖未造成經濟損失,但讓一些投資者一度陷入恐慌。

DNS 劫持通過攻擊域名解析服務器(DNS),或僞造域名解析服務器(DNS)的方法,把目標網站域名解析到錯誤的 IP 地址從而實現用戶無法訪問目標網站的目的或者蓄意或惡意要求用戶訪問指定 IP 地址(網站)的目的。在此次攻擊中,很多用戶在被劫持的網站中連接錢包(如 MetaMask)時,會彈出頁面,要求用戶提交個人私鑰或者助記詞,一旦用戶提交信息,就會面臨財產被盜的損失。

*Peck Shield *

欺詐事件

2021 年第一季度,造成經濟損失的涉及虛擬貨幣的欺詐安全事件數 56 件,其中假借“Elon Musk”(特斯拉創始人)的名義實施數字貨幣詐騙的錢包地址,已陸續接收數百萬美元的比特幣打款(近 140 萬美元)。

面對迅猛發展的數字貨幣產業所帶來的網絡安全問題和挑戰,全球執法部門也在加速輸出有效方案,聯合各方力量進行積極探索,在實踐中突破部分技術難點並積累相關經驗。

經 PeckShield 「派盾」監控發現,除了利用虛擬貨幣進行非法吸收公衆存款、電信詐騙、網絡賭博等違法犯罪行爲,隨着執法機關加大對此類在涉及虛擬貨幣案件的打擊力度,也倒逼相關團伙升級出新的洗錢、盜竊等手段。以下是 PeckShield 「派盾」收集、觀察到的典型案例。

最高檢披露虛擬貨幣洗錢案例:購買比特幣礦工密鑰轉移非法資產

2021Q1 區塊鏈安全事件 162 起,DeFi 攻擊損失逾 6 億美元,同比增長 94%

最高人民檢察院、央行聯合發佈的一例虛擬貨幣洗錢案細節曝光。

2015 年 8 月至 2018 年 10 月間,陳某波註冊成立某金融信息服務公司,未經國家有關部門批准,以公司名義向社會公開宣傳定期固定收益理財產品,自行決定漲跌幅。他還開設數字貨幣交易平臺發行虛擬幣,通過虛假宣傳誘騙客戶在該平臺充值、交易,虛構交易數據,並拖延甚至拒絕提現。

2018 年 11 月,陳某波以涉嫌集資詐騙罪被立案偵查,涉案金額 1200 餘萬元,陳某波潛逃境外。陳某波除了利用虛擬幣非法集資,還教唆妻子陳某枝利用銀行轉賬、兌換比特幣的方式,將贓款匯往境外,並通過“假離婚”逃避監管。

檢察院審查認定陳某枝以幫助陳某波向境外轉移集資詐騙款,構成洗錢罪。

虛擬貨幣上漲帶動顯卡價格瘋漲 男子偷換電競酒店顯卡

2021Q1 區塊鏈安全事件 162 起,DeFi 攻擊損失逾 6 億美元,同比增長 94%

隨着虛擬貨幣價格的上漲,用來“挖礦”的顯卡,無論在二手市場,還是已經殘舊的老系列顯卡,其價格都和新顯卡一樣水漲船高。

重慶一男子卓某,在得知顯卡行情後,就對顯卡動起了歪心思。

據悉,3 月 1 日,卓某入住了某家電競酒店,這類酒店往往都配置着數臺性能較高的電腦。爲了防止被發現,他還用自己 300 元收的二手 GTX 650 TI 顯卡調包了酒店的 GTX 2070 顯卡,在將顯卡偷到手之後,卓某以 2900 元的價格迅速將顯卡出手,爲了防止酒店人員起疑,他回到酒店住到第二天才退房。

在民警的調查中,卓某交代這並不是第一次“偷樑換柱”了,在 2 月 23 日他曾在另一家電競酒店實施過顯卡盜竊。

*Peck Shield *

勒索事件

雖然 2021 年第一季度所發生的涉虛擬貨幣的勒索攻擊時間數量不多,但勒索金額巨大。

其中較典型的事件爲,3 月,知名電腦廠商宏碁(Acer)遭遇勒索軟件團伙 REvil 攻擊,要求支付高達 5000 萬美元的門羅幣, REvil 加密了宏碁公司的文件。據悉,宏碁是全球最大的個人電腦製造商之一,市場份額約佔全球總銷售額的 6%。該公司在 2020 年第四季度的總收入約爲 30 億美元,該筆勒索贖金需求創下了新紀錄。

據統計,截至 2020 年 10 月,REvil 黑客的年收入超過 1 億美元。

*Peck Shield *

防範與提示

2021 年 第一季度,除了以太坊以外,其他多個公鏈,尤其是中心化交易所都在發力建設 DeFi 生態,但新生態的發展成熟度仍然不高,這爲安全事件頻發留下了隱患。

PeckShield 「派盾」提示投資者在參與 DeFi 項目前需做好盡調工作,例如,查詢、驗證項目是否開展過全面和專業的安全審計工作,如果該項目沒有通過任何安全審計,在參與時需要提高警惕,注意風險;如果項目通過安全審計,也不能放鬆警惕,需時刻懷揣理性。

由於虛擬貨幣和傳統⾦融的區別大,具備天然的匿名性、複雜性和跨國性等特點,傳統⾦融的監管思路、技術⼿段和⼯具都需要新⼯具⽀持。

除了需要完善相關的法律法規,也急需引⼊新的監管⼯具和技術。相關執法部門應當用好區塊鏈技術之利、克服區塊鏈技術之弊,既要夯實自身技術基礎,也要整合多方技術力量,從宣傳防範、偵查取證、嚴厲打擊等各方面設立完整的處置流程,在辦理案件中總結、積累經驗,不斷調研歸納理論,提煉相關偵查取證技戰法,全方位地爲區塊鏈產業健康發展提供堅實保障。

2021Q1 區塊鏈安全事件 162 起,DeFi 攻擊損失逾 6 億美元,同比增長 94%