據慢霧數據統計,2020 年區塊鏈生態公開的安全事件共 122 起:其中智能合約及代幣 54 起,交易所 29 起,公鏈 12 起,錢包 12 起。

普通用戶如何保護加密資產安全與隱私?請閱讀:《鏈聞精選|加密原住民安全與隱私必備指南

原文標題:《慢霧回顧:2020 年度區塊鏈安全與隱私大事件》
撰文:慢霧科技

2020 年,無論從哪個角度來講,對區塊鏈和數字貨幣來說都是非凡的一年。我們見證了 DeFi 和開放金融生態系統的爆炸性增長。我們見證了作爲新技術基礎設施代表之一的區塊鏈被納入「新基建」,我們見證了中國推出央行數字貨幣 (CBDC) 的同時,更多的國家地區開始關注並發展區塊鏈,全球性區塊鏈的「競賽」已經開始。

據慢霧科技區塊鏈被黑檔案庫(hacked.slowmist.io)數據統計,2020 年區塊鏈生態被公開的區塊鏈安全事件共 122 起:其中智能合約及代幣安全事件 54 起,交易所安全事件 29 起,公鏈攻擊事件 12 起,錢包攻擊事件 12 起,其他攻擊事件 15 起。

慢霧:覆盤 2020 DeFi、交易所和公鏈領域安全與隱私大事件慢霧區塊鏈被黑檔案庫攻擊事件累計

隨着各種應用落地,區塊鏈數字資產引發的安全問題總體呈上升趨勢,數字貨幣犯罪五花八門,盜幣、詐騙、非法集資、洗錢、暗網非法交易、犯罪等案件頻發,各種原因造成的「黑天鵝」事件層出不窮。通過數據統計,可以看到今年智能合約安全事件明顯增多,交易所攻擊事件也是佔比較大,數字貨幣詐騙、勒索、洗錢事件幾乎每月都會發生。

慢霧:覆盤 2020 DeFi、交易所和公鏈領域安全與隱私大事件

慢霧科技將通過這篇文章梳理 2020 年區塊鏈安全與隱私生態發生的影響重大的事件,爲讀者回顧事件詳解,同時對每類事件附上慢霧觀點。雖然本文列舉的僅是冰山一角,但具有很大的代表性,讓我們通過本文一起來窺見 2020 年區塊鏈生態世界的「不平凡」。

DApp 及 DeFi 安全事件

bZx 遭遇兩次閃電貸攻擊

2 月 15 日,DeFi 貸款協議 bZx 遭受攻擊,攻擊者同時跨多個協議完成了一筆閃電貸槓桿套利交易,導致價值 35 萬美元的 ETH 被盜。2 月 18 日,bZx 再次遭受閃電貸攻擊,攻擊者通過控制預言機價格獲利 2388 個 ETH,約 64.4 萬美金。(詳解參閱:慢霧:詳解 DeFi 協議 bZx 二次被黑

MakerDAO 清算機制異常

3 月 12 日,由於以太坊 ETH 的價格暴跌,MakerDAO 的大量抵押債倉跌破清算門檻,引發了清算程序執行。原本應該參與到清算過程中的清算機器人 (Keeperbot) 因爲設置了較低的 gas 值,導致出價受阻,一位清算人 (Keeper) 在沒有競爭者的情況下,以 0DAI 的出價贏得了拍賣。

Uniswap 的 ERC777 重入風險

4 月 18 日,黑客利用 DeFi 平臺 Uniswap 和 ERC777 標準的兼容性問題缺陷,對 Uniswap 實施了重入攻擊。具體而言,黑客在交易 ETH-imBTC 時,利用 ERC777 標準中進行轉賬的 tokensToSend 回調函數實現了重入攻擊,總獲利 34 萬美元。(詳解參閱:慢霧:詳解 Uniswap 的 ERC777 重入風險

DeFi 平臺 Lendf.Me 遭受重入漏洞攻擊

4 月 19 日,以太坊 DeFi 平臺 Lendf.Me 遭受重入漏洞攻擊,損失約 2500 萬美元。後慢霧安全團隊協助追回了被盜資產。(詳解參閱:慢霧:DeFi 平臺 Lendf.Me 被黑細節分析及防禦建議

DeFi 項目 Hegic 代碼出現漏洞致用戶資產被永久鎖定

4 月 27 日,DeFi 項目 Hegic 代碼出現漏洞導致用戶資產被用戶永久鎖定。在該項目上線幾小時後,其代碼中的一個錯誤鎖定了該平臺智能合約價值 2.8 萬美元的用戶資金,由於該漏洞將資金鎖定在了過期合約中,使其無法被訪問。

Bancor 新合約出現安全漏洞

6 月 18 日,由於新的 Bancor Network 合約上未經驗證的 safeTransferFrom () 函數,用戶資金即將被耗盡。Bancor 團隊表示:1. 兩天前發佈的新 Bancor Network v0.6 合約中發現了一個安全漏洞;2. 在發現漏洞之後團隊進行了白帽攻擊,以將資金轉移到安全地址;3. 智能合約已完成審覈。但還有 135,229 美元的資金被兩個未知套利機器人搶先交易了。

Balancer 流動性池兩次遭黑客閃電貸攻擊

6 月 29 日,知名 DeFi 平臺 Balancer 流動性池遭黑客閃電貸攻擊,損失 50 萬美金。Balancer 流動性池遭閃電貸攻擊,損失 50 萬美金,Balancer 上遭遇損失的爲 STA 和 STONK 兩個代幣池,目前這兩個代幣池的流動性已枯竭。6 月 30 日,黑客再次利用 dYdX 的閃電貸攻擊了 Balancer 部分流動性礦池中的 COMP 交易對,將池子中未領取的 COMP 獎勵抽走,獲利 10.8 ETH,約合 2408 美金。(詳解參閱:慢霧:Balancer 第一次被黑詳細分析

Vether (VETH) 遭黑客攻擊

7 月 1 日,VETH 在去中心化交易所 Uniswap 遭遇黑客攻擊。黑客僅使用 0.9ETH 就盜走了 919,299 VETH (價值 90 萬美元)。攻擊事件發生後,VETH 官方表示,「該合約被其放置在 transferForm() 中的 UX 改進所利用,這是我們的過錯。我們將重新部署 vether4,並將補償所有受影響的 Uniswap 質押者。」(詳解參閱:慢霧:VETH 合約被黑分析

Opyn 看跌期權被外部參與者惡意利用

8 月 5 日,鏈上期權平臺 Opyn 披露其以太坊看跌期權被外部參與者惡意利用。Opyn 指出,除以太坊看跌期權外的所有其他 Opyn 合約均不受此漏洞的影響。攻擊者雙重利用 oToken 並竊取了看跌期權賣方的抵押資產。據 Opyn 統計,截至目前共有 371,260 枚 USDC 被盜。Opyn 團隊根據 Convexity Protocol 進行的白帽黑客攻擊,成功從未償付的保險庫中收回了 439,170 USDC,以進一步減輕損失。(詳解參閱:慢霧:Opyn 合約被黑詳細分析

DeFi 項目 YAM 合約存在漏洞

8 月 13 日,知名以太坊 DeFi 項目 YAM 官方通過 Twitter 發文表明發現合約中存在漏洞,24 小時內價格暴跌 99% ,導致了治理合約被「永久破壞」,價值 75 萬美元的 Curve 代幣被鎖定而無法使用。(詳解參閱:DeFi YAM,一行代碼如何蒸發數億美元?

DeFi 項目 YFValue 在 YFV 質押池中發現漏洞

8 月 25 日,DeFi 項目 YFValue(YFV) 官方發佈公告稱,團隊於昨日在 YFV 質押池中發現一個漏洞,惡意參與者藉此漏洞對質押中的 YFV 計時器單獨重置,1.7 億美元資金存在被鎖定風險。目前已有一名惡意參與者正試圖以此漏洞勒索團隊。(詳解參閱:慢霧:YFValue,一行代碼如何鎖定上億資產

EOS 項目 EMD 跑路

9 月 9 日,據慢霧區情報,EOS 項目 EMD 疑似跑路。截至目前,項目合約 emeraldmine1 已向賬號 sji111111111 轉移 78 萬 USDT、49 萬 EOS 及 5.6 萬 DFS,並有 12.1 萬 EOS 已經轉移到 changenow 洗幣平臺。當前損失總市值:2,468,838 美金 = 17,281,866 人民幣。

DeFi 流動性挖礦項目「珊瑚」遭攻擊

9 月 10 日,EOS 生態 DeFi 流動性挖礦項目「珊瑚」的 wRAM 遭到黑客攻擊,損失逾 12 萬 EOS。

Bantiample 團隊砸盤套現跑路

9 月 19 日,幣安智能鏈上的項目 Bantiample 團隊已砸盤套現 3000 個 BNB 跑路,團隊的主要開發者已經刪除 Telegram 賬號,項目代幣 BMAP 單日跌幅超過 90%。

以太坊挖礦項目 LV Finance 項目跑路

9 月 20 日,據慢霧區情報,以太坊挖礦項目 LV Finance 項目疑似跑路,不到一個小時已有 400 萬被轉走,該項目通過僞造虛假審計網站並提供虛假審計信息誘騙投資者進行投資,待一段時間後資金池內金額足夠大時進行跑路。目前,該項目網站 lv.finance 已無法訪問。

SushiSwap 仿盤項目 GemSwap 跑路

9 月 26 日,名爲 GemSwap 的 SushiSwap 仿盤項目被曝跑路,LP 被捲走。查詢發現,該項目在 15 點左右發佈推特自曝其遭受了「 whatitdobb」開發者的攻擊,據瞭解,該項目早些時候完成了流動性遷移,但發起攻擊的開發者在遷移之前就獲得了相關許可,能夠將流動池中的代幣取走,目前尚不清楚此次攻擊造成的具體損失。

Eminence (EMN) 遭遇閃電貸攻擊

9 月 29 日,yearn.finance 創始人 Andre Cronje 剛推出的遊戲項目 Eminence(ENM) 遭遇閃電貸攻擊,黑客將 800 萬美元的資金返還給了 yearn 部署者合約。官方將重新分配受攻擊的 800 萬美元。

DeFi Saver 交易所漏洞致 31 萬 DAI 被盜

10 月 8 號,去中心化錢包 imToken 發推表示,用戶報告稱 31 萬枚 DAI 被盜,這與 DeFi Saver Exchange 漏洞有關。DeFi Saver 對此迴應稱,被盜資金仍舊安全,正在聯繫受害用戶。截至目前,資金已全部歸還受害用戶。(詳解參閱:慢霧:DeFi Saver 用戶的 31 萬枚 DAI 是如何被盜的?

以太坊項目 WLEO 合約遭到黑客攻擊

10 月 11 日,以太坊項目 WLEO 合約遭到黑客攻擊,導致價值 4.2 萬美元的資金被盜。黑客通過將向自己鑄造 WLEO,並將其換成以太坊,從去中心化交易所 Uniswap 的池中竊取了以太坊。

Harvest.finance 遭閃電貸攻擊,被鉅額套利

10 月 26 日,有用戶發現 DeFi 挖礦項目 Harvest.finance 被使用閃電貸功能實現了鉅額套利。Harvest 官方發推解釋稱,這次套利攻擊起源於一筆鉅額閃電貸,並通過多次操縱 Curve y Pool 的價格,以套取 fUSDT、fUSDC 的價差進而獲利。(詳解參閱:慢霧:Harvest.Finance 被黑事件簡析

SharkTron 匿名開發者跑路

11 月 10 日,基於 Tron 區塊鏈的 DeFi 項目、JustSwap 白名單項目 SharkTron 的匿名開發者 Daniel Wood 跑路,儘管目前不清楚具體損失,但推特用戶報告稱損失了 3.66 億至 4 億枚 TRX (價值約 1000 萬美元)。

Akropolis 合約遭多次連續重入攻擊

11 月 13 日,黑客利用 Akropolis 項目存在的存儲資產校驗缺陷,向合約發起連續多次的重入攻擊,致使 Akropolis 合約在沒有新資產注入的情況下,憑空增發了大量的 pooltokens,進而再利用這些 pooltokens 從 YCurve 和 sUSD 池子中提取 DAI,最終導致項目合約損失了 203 萬枚 DAI。(詳解參閱:無中生有?DeFi 協議 Akropolis 重入攻擊簡析

Value DeFi 協議遭閃電貸攻擊

11 月 15 日,Value DeFi 協議週六遭到了閃電貸攻擊。據悉,攻擊者從 Aave 協議借了 80000 ETH,執行了一次閃電貸攻擊,在 DAI 和 USDC 之間進行套利。攻擊者在利用 740 萬美元 DAI 後,向 Value DeFi 退還了 200 萬美元,保留了 540 萬美元。隨後,Value DeFi 團隊發推證實其 MultiStables vault 遭到了「一次複雜的攻擊,淨損失達 600 萬美元。(詳解參閱:如何使用閃電貸從 0 撬動百萬美元?Value DeFi 協議閃電貸攻擊簡要分析

Cheese Bank 遭攻擊損失 330 萬美元

11 月 16 日,基於以太坊的去中心化自治數字銀行平臺 Cheese Bank 因黑客攻擊遭受了 330 萬美元的損失。黑客通過利用基於自動做市商 (AMM) 的預言機在 dYdX、Uniswap 等平臺上進行了一系列惡意借貸操作,共導致價值超 330 萬美元的損失,其中包括 200 萬美元的 USDC。

OUSD 遭閃電貸+重入攻擊

11 月 17 日,DeFi 協議 Origin Protocol 穩定幣 OUSD 遭到攻擊,攻擊者利用 dYdX 的閃電貸進行重入攻擊,造成價值 770 萬 美元的 ETH 和 DAI 的損失。(詳解參閱:閃電貸+重入攻擊,OUSD 損失 700 萬美金技術簡析

Pickle Finance 未經審覈的合約漏洞被利用

11 月 22 日,曾被 V 神 發推文讚賞的 DeFi 項目 Pickle Finance (酸黃瓜),因被黑客攻擊未經審覈新創建的智能合約漏洞,損失近 2000 萬 美元的 DAI。(詳解參閱:假錢換真錢,揭祕 Pickle Finance 被黑過程

Compound 喂價錯誤致 9000 萬美元資產遭清算

11 月 26 日,Compound 9000 萬美元資產遭清算。Debank 創始人 hongbo 表示,此次 Compound 鉅額清算事件其實是因預言機數據源 Coinbase Pro 的 DAI 價格劇烈波動而導致,通過操控預言機所依賴的信息源可以實現短時間的價格操縱,以誤導鏈上價格。

SushiSwap 遭到流動性提供者攻擊

11 月 30 日,據慢霧區情報,以太坊 AMM 代幣兌換協議 SushiSwap 遭到流動性提供者攻擊,損失約 1.5 萬美元。(詳解參閱:以小博大,簡析 Sushi Swap 攻擊事件始末

Warp Finance 遭遇閃電貸攻擊

12 月 18 日,流動性 LP 代幣抵押借貸 DeFi 協議 Warp Finance 遭遇閃電貸攻擊,約 800 萬美元被盜。後 Warp Finance 針對遭到的閃電貸攻擊發布聲明。據稱,閃電貸攻擊者最多可盜走價值 770 萬美元的穩定幣,不過 Warp Finance 團隊已擬定計劃來追回仍在抵押金庫中的價值約 550 萬美元的穩定幣,這 550 萬美元將按比例分給遭受損失的用戶。(詳解參閱:採用延時喂價還被黑?Warp Finance 被黑詳解

Cover 合約漏洞遭黑客攻擊

推特網友表示,由於獎勵合同中的一個漏洞,Cover Protocol 損失了 300 萬美元。此外,鏈上數據顯示,已有攻擊者 (0xf05Ca...943DF) 利用 Cover 合約共增發了約 1 萬枚 COVER,並且已將其換成了 WBTC 和 DAI 等資產。後區塊瀏覽器顯示,此前通過增發 COVER 獲利 300 萬美元的攻擊者 (地址標籤爲 Grap Finance: Deployer) 將 4350 枚 ETH 返還給標籤爲 YieldFarming.insure: Deployer 的地址。Cover Protocol 官方發推文宣佈,將根據漏洞被濫用之前的快照提供全新的 COVER 代幣。並且攻擊者退還的 4350 ETH 也將通過快照處理歸還給 LP 代幣持有者。(詳解參閱:一次由存儲狀態引發的慘案 — Cover 協議被黑簡要分析

慢霧觀點

由於 DeFi 項目的火熱,針對 DeFi 項目的釣魚攻擊活動越來越頻繁,手法也越來越高級。投資者在進行項目投資時應注意項目風險,要注意平臺用的智能合約有沒有開源、平臺本身有沒有安全審計、智能合約有沒有問題,同時任何 DeFi 項目上線前都應該經過專業安全團隊的充分審計。

交易所安全事件

Altsbit 交易所遭攻擊後關閉

2 月 5 日,意大利加密貨幣交易所 Altsbit 存放熱錢包私鑰的服務器被入侵,導致損失了 6.929 個比特幣、23 個 ETH,以及其他數量的加密貨幣,隨後交易所宣佈於 5 月 8 日關閉。

VBITEX 交易所被入侵

2 月 17 日,VBITEX 交易平臺發佈公告稱被黑客入侵,導致平臺數據被惡意篡改、虛擬資產被盜。

加密貨幣交易所 Bisq 被盜

4 月 9 日,加密貨幣交易所 Bisq 被盜,攻擊者利用 Bisq 交易協議中的一個缺陷,針對單筆交易來竊取交易資金。7 名受害者共損失 3 個 BTC 和 4,000 個 XMR。

LMEX 聯交所遭黑客入侵

5 月 27 日,LMEX 聯交所在社羣發佈關於交易所運營調整通知稱:平臺遭黑客入侵被盜損失了 15 萬枚 USDT,致使平臺資不低債,目前已關閉充提。

加密貨幣交易所 Cashaa 被盜

7 月 12 日,英國加密貨幣交易所 Cashaa 表示,黑客從其中一個錢包中竊取了超過 336 枚比特幣。目前,該交易所已停止所有與加密有關的交易。

西班牙加密貨幣支付應用 2gether 被盜

7 月 31 日,西班牙加密貨幣支付應用 2gether 宣佈被黑客盜取了 140 萬美元。

暗網市場 Empire Market 騙取資金後關閉運營

8 月 30 日,著名暗網市場 Empire Market 已關閉運營,退出時該網站共騙取了 130 萬用戶的約 2638 枚比特幣,價值近 3000 萬美元。

歐洲交易所 ETERBASE 部分熱錢包被盜

9 月 8 日,歐洲加密交易所 ETERBASE 遭遇黑客攻擊,導致部分熱錢包被盜,包括 BTC、ETH 及 ERC-20 代幣、XRP、TRX、XTZ 和 ALGO。損失逾 500 萬美元資產。其中,ETH 和 ERC-20 代幣地址損失的資金最多,達約 390 萬美元,其次是 XTZ 地址,損失約 47.1 萬美元。

Kucoin 交易所遭黑客攻擊

9 月 26 日,Kucoin 庫幣交易所遭到黑客攻擊,大量 ETH 和 ERC20 代幣被轉移,其中包括 11,486 枚以太坊、19,788,586 枚 USDT、525,405 枚 Gladius (GLA)、77,874 枚 Hawala (HAT)、21,660,274 枚 Ocean Token (OCEAN)、8,893,428 枚 Chroma (CHR)、30,452,178 枚 Ampleforth (AMPL)、198,678,919 枚 Ankr Network (ANKR) 等。此後,該黑客跑路資金遭到各個大交易所聯合封堵。

Liquid 數據泄露

加密貨幣交易所 Liquid 首席執行官 Mike Kayamori 在官網發佈通知說,11 月 13 日交易所發生了一起數據泄漏安全事件。管理一個核心域名的域名託管提供商錯誤地將該帳戶和域名的控制權轉移給了一個惡意入侵者,使其可以改變 DNS 記錄,進而控制大量的內部電子郵件帳戶,並且能夠部分破壞交易所的基礎設施並獲得存儲文檔的訪問權限。

英國交易所 Exmo 發生重大安全漏洞

12 月 21 日,英國加密貨幣交易所 Exmo 發生重大安全漏洞,導致平臺已凍結所有提款。根據 The Block 的研究分析師的說法,Exmo 似乎損失了 1,050 萬美元的資金。

俄羅斯交易平臺 Livecoin 遭攻擊

12 月 24 日,俄羅斯加密貨幣交易平臺 Livecoin 遭遇黑客攻擊,平臺上的代幣價格已被操控。

慢霧觀點

交易所資金量巨大,很容易引來黑客的攻擊,一旦出現問題幾乎所有用戶都會受到影響,交易所應加大防範。同時。黑客也會惡意入侵交易所使其數據泄露藉此獲利,平臺在早期架構設計時應做好所有安防措施,避免此類信息泄露事件的發生。此外還有一些平臺方暴雷跑路的惡意行爲,畢竟在金錢面前,人性經不住考驗。

公鏈安全事件

Bitcoin Gold 遭兩次 51% 攻擊

1 月 28 日,Bitcoin Gold 遭遇兩次 51% 算力攻擊,兩筆對交易所的充值交易均被撤銷,涉及約 1900 個 BTG 和 5267 個 BTG,接近 9 萬美元。

Cocos-BCX 映射錢包信息遭盜取

4 月 3 日,Cocos-BCX 經與交易所覈實和內部調查,由於映射錢包信息遭惡意盜取,所以出現了資產丟失和惡意拋售。與交易所覈實確認後,本次被盜取的代幣總額爲 1,087,522,819.2 個 COCOS,交易所確認該總額已被拋售完畢。

Filecoin 代碼漏洞可實現 Filecoin 無限增發

5 月 28 日,石榴礦池技術人員發現 Filecoin 代碼中的嚴重漏洞,通過該漏洞可以實現 Filecoin 的無限增發。石榴礦池表示,爲了證明漏洞的有效性,6 Block 旗下的三個礦工賬號 t01043、t027999、t0234783 通過該漏洞已實現 16 億 Filecoin 的增發,佔據了 Filecoin 富豪榜前三名。

Ravencoin (RVN) 區塊鏈存在漏洞

7 月 3 日,CryptoScope 團隊發現 Ravencoin (RVN) 區塊鏈存在漏洞,經過 rvn 首席開發團隊確認後已發佈了緊急更新。據悉,該漏洞可生成額外的 RVN,但是不會影響或控制已經存在的 RVN 資產。由於該漏洞造成了 RVN 總量比原計劃多出了 1.5%,並且漏洞產生的 RVN 已經流入市場,因此無法進行回滾等操作。

ETC 連遭三次大規模攻擊

8 月 1 日,Bitfly 發推稱,ETC 區塊鏈在區塊高度 10904146 經歷了一次 3693 個區塊的鏈重組。這導致所有狀態修建節點停止同步。ETC 鏈近 6 小時沒有出塊,隨後出塊恢復正常。8 月 6 日,Bitfly 官方發推稱,今日 ETC 又遭遇了一次大規模 51% 攻擊。攻擊已導致 4000 多個區塊發生重組。報告顯示,此次攻擊的發起者與第一次攻擊事件的發起者是同一名礦工。攻擊者從本次攻擊中獲利了至少 168 萬美元。8 月 30 日,Bitfly 官方發推稱,今日 ETC 又遭遇了一次大規模 51% 攻擊,導致 7000 多個區塊發生重組,相當於大約兩天的挖礦時間。所有丟失的區塊將從未到期的餘額中移除,其將檢查所有支出以查找丟失的交易。

Chainlink 節點運營商遭垃圾郵件攻擊

9 月 5 日,九個 Chainlink 節點運營商遭到所謂「垃圾郵件攻擊」,攻擊者從他們的「熱錢包」中獲取了大約 700 枚 ETH。

Grin 網絡遭 51% 攻擊

11 月 10 日,Grin 網絡最近遭受 51% 攻擊。一個未知實體在週六控制了超過 57% 的網絡算力。

Aeternity(AE) 遭 51% 攻擊

12 月 8 日,據 Aeternity 官方推特證實,Aeternity(AE) 昨日遭到了黑客 51% 攻擊,據 Aeternity 社區核心成員披露,此次 51% 攻擊造成的損失超過 3900 萬枚 AE 代幣,官方團隊正在解決問題,此次受損的主要是交易所和礦池,交易所集中於 OKEx、Gate、Binance。

慢霧觀點

公鏈一旦出現漏洞就會影響整個鏈,所以公鏈在上線前一定要經過專業的安全審計。建議公鏈團隊與可信且職業的安全團隊進行深入合作,部署因地制宜的安全建議,提升安全維度。

錢包安全事件

Electrum 多次遭遇釣魚攻擊

1 月 19 日,Electrum 遭遇「釣魚」盜幣行爲。8 月 30 日,GitHub 用戶 」1400 BitcoinStolen「 表示其比特幣鉅額款項消失在黑客攻擊中。該用戶使用的是比特幣錢包 Electrum 軟件,該用戶一直沒有安全更新此軟件,因此當他轉移比特幣時提示更新和修補潛在問題,但當他根據提示操作時,該軟件利用了一個漏洞連接了黑客的服務器,1400 枚比特幣 (價值 1600 萬美元) 被存入了黑客的錢包。10 月 12 日,ZDNet 一項調查顯示,黑客通過引誘用戶安裝假軟件更新,從比特幣錢包 Electrum 的用戶那裏竊取了 2200 萬美元。而該手法最高出現在 2018 年。而自兩年前首次發現這種攻擊以來,Electrum 團隊已經採取了一些措施來防止這種攻擊。但這種攻擊仍然適用於使用舊版本應用程序的用戶。

IOTA 官方錢包應用 Trinity 出現漏洞

2 月 12 日,黑客利用 IOTA 官方錢包應用 Trinity 的漏洞竊取資金,官方之後宣佈關閉整個網絡。

EtherCrash 冷錢包被盜

10 月 30 日,網絡犯罪情報公司 HudsonRock 首席技術官 AlonGal 發推表示,10 月 27 日,自稱「以太坊最成熟、規模最大的菠菜遊戲 」EtherCrash「 冷錢包被盜,損失約 250 萬美元,疑似爲內部人員所爲。

Ledger 遭數據泄露

12 月 21 日,包含 270,000 多個 Ledger 客戶個人信息的數據庫在 RaidForums 上泄漏,這些被泄露的信息包括 Ledger 硬件錢包購買者的電子郵件、實際地址和電話號碼。RaidForums 是一個買賣、共享和共享被黑信息的市場。此次被泄漏的 Ledger 信息是由今年 6 月遭受數據泄露導致,包含超過 100 萬 Ledger 客戶的電子郵件。Ledger CEO 隨後表示不會爲遭到數據泄露的用戶提供補償。

慢霧觀點

用戶在選擇錢包時儘量選擇國際知名、一流的錢包,同時注意看錢包 App 的代碼是否開源、代碼是否經過安全審計、團隊內是否有 CSO 或安全負責人,這些都可能影響到錢包不斷迭代、升級過程中的安全是否有保障。同時,作爲用戶一定要從錢包的官網下載 App,避免誤入釣魚網站下載到被植入了後門的錢包 App。

其他類型安全事件

SIM 卡被黑導致被盜

2 月 22 日,Bitcoin Builder 創始人、Mt.Gox 第二大債權人 Josh Jones SIM 卡被黑,導致價值 $45,000,000 的數字貨幣被盜。

Trident Crypto Fund 被攻擊致數據泄露

3 月 5 日,加密基金 Trident Crypto Fund 遭黑客攻擊,26.6 萬名用戶數據被泄露。

加密貨幣挖礦組織 BitClub Network 電信欺詐

7 月 10 日,根據美國新澤西州聯邦檢察局發佈的公告顯示,程序員 Silviu Catalin Balaci 承認參與建立了加密貨幣挖礦組織 BitClub Network,並進行電信欺詐,出售未經註冊的證券。Balaci 確認,在該計劃實施的五年過程中,BitClub 從投資者手中共騙取至少 7.22 億美元的比特幣。

多個推特賬號被黑

7 月 16 日凌晨,多位名人政要以及一些公司的推特賬號被黑客襲擊,這些推特賬戶都發布了相關的數字貨幣釣魚騙局信息。不過,這些釣魚信息在發佈幾分鐘後就被刪除。截至目前,詐騙者共收到 12.86 枚比特幣。

CWT 被劫持並同意支付比特幣

8 月 1 日,美國第五大旅遊公司 CWT 同意向劫持其計算機系統的黑客支付價值 450 萬美元的比特幣。

以色列無線芯片和攝像頭傳感器製造商遭勒索軟件攻擊

9 月 7 日,黑客向以色列納斯達克上市無線芯片和攝像頭傳感器製造商 Tower Semiconductor Ltd (TSEM) 進行勒索軟件攻擊,並索要數十萬美元比特幣贖金。爲了安全起見,TSEM 關閉了一些正在運行的服務器,並暫停了部分工廠的生產。

富士康遭勒索軟件攻擊

12 月 8 日,富士康遭到了勒索軟件的攻擊,短暫地導致其在墨西哥的生產設施出現問題,並導致數據被盜。 對此,富士康回應稱,其美洲工廠近日確實遭受網絡勒索病毒攻擊,目前其內部資安團隊已完成軟件以及作業系統安全性更新,同時提高了資安防護層級。同時,受影響的廠區的正在恢復網絡,對集團整體營運影響不大。

DeFi 保險協議 Nexus Mutual 創始人個人地址被攻擊

12 月 14 日,DeFi 保險協議 Nexus Mutual 在推特上表示,其創始人 Hugh Karp 的個人地址被一位平臺用戶攻擊,被盜 37 萬 NXM,損失超過 800 萬美元。官方表示這是一次具有針對性的攻擊,只有 Karp 的地址收到影響,Nexus Mutual 或其他成員沒有後續風險。官方稱,Karp 使用的是硬件錢包,攻擊者獲得了對他電腦的遠程訪問權限,並修改了錢包插件 MetaMask,欺騙他簽署了交易,將資金轉移到攻擊者自己的地址。

OneCoin 加密貨幣龐氏騙局

12 月 14 日,阿根廷科爾多瓦市檢察院起訴了涉及 OneCoin 加密貨幣龐氏騙局案件的 12 名詐騙者,並於上週四下令逮捕,目前其中八人已被捕。此前報道,OneCoin 龐氏騙局使相關投資者在從 2014 年 4 月至 2018 年 3 月期間因投資該項目遭受了共 44 億美元的財務損失。

慢霧觀點

最近市場變熱,隨之而來的是勒索、詐騙、傳銷、釣魚事件層出不窮。針對平臺或個人的各類攻擊形勢嚴峻,目前已經造成大量個人百萬到千萬級別的損失!請大家務必提高警惕,加強自身安全意識,務必開啓二次認證 (短信或 GA,不推薦使用郵箱驗證碼),謹慎保管好各類私密信息。

2020 年是跌宕起伏的一年,疫情黑天鵝、比特幣從 3.12 事件低谷恢復並於近期漲至接近歷史高點、流動性挖礦 DeFi 繁榮增長並快速落地等。區塊鏈既是未知的,又是充滿可能性的,希望區塊鏈新的一年能迸發出更大的能量,創造出更多元化的產業。慢霧也將不負各位的期待,繼續爲區塊鏈生態安全保駕護航!