链资讯 链资讯
Ctrl+D收藏链资讯
首页 > 比特币 > 正文

2021 上半年安全事件回顾:被黑、局和停机

作者:

时间:

密码货币的世界是前所未有地凶险,让人很难视而不见。在详细列出这些安全事件之前,先来看看我们为了行业的安全做了什么贡献?

在 2021 年上半年,我们:

放出了新版的 MyCrypto,提高了用户体验,让用户能更容易、更直接地 使用 和监控自己的密码学货币

披露了滥用 ERC20 授权方法来偷窃用户资产的恶意项目(授权方法是用户使用的一环,但很容易被盲目信任)

拓展了我们的业务范围,帮助遭遇了清道夫机器人的用户取回质押的资产(中文译本)

出版了一份帮助用户提高 MyCrypto 隐私体验的指南

在 NFT 市场爆发时,我们也推出了针对 NFT 买家的反教育材料

与 CryptoScamDB 继续我们的反、反钓鱼活动

提高整个行业的意识和防止、攻击都是任重道远,但我们在坚持。

我们先来深入了解下行业的整体态势,看看我们是否从 2020 年学到了教训,是否有所提升。

以下是 2021 年第一第二季度的主要安全事件清单。我们不会列出所有的跑路及类似事件,因为太多了,实在是数也数不清……

2021 年第一季度出现了一些有趣的事件,从整个协议的突然停摆到 DeFi 合约被黑,再到黑客被捕,都有。我们也看到了完全针对个人的攻击,这让整个行业感到震惊,因为这些坏人可能为了一笔钱而不择手段。

俄罗斯FinNet市场负责人:到2025年,各国可能要求加密货币持有人进行强制性身份验证:俄罗斯国家技术倡议组织FinNet市场负责人、金融科技公司Ckassa创始人谢尔盖·舍夫科夫预测说,到2025年,各国可能要求加密货币持有人进行强制性身份验证。他在大诺夫哥罗德举行的“群岛2121”项目期间说:“到2025年,世界上将不再有广泛流通的匿名加密货币,各国将要求所有数字货币持有人进行身份验证。”舍夫科夫认为,公众对其资金和资源安全的要求,推动了透明度和国家控制的趋势。存款和储蓄的“隐私区域”将会保留,但数字货币作为流通工具将会非匿名化。(俄罗斯卫星通讯社)[2021/8/2 1:29:23]

与去年相比,第一季度的密码货币交易所被黑事件有所减少。这既是因为黑客的注意力都在别的地方,也是因为交易所已经从去年的失败中学到了教训、调整了安全控制。

摘要:最大/最老牌 的自动化流动性挖矿协议之一,Yearn,其某个 v1 金库遭遇爆破,被盗金额总计 1100 万美元,而金库的用户遭遇了 280 万美元的直接损失。Yearn 团队在 10 分 14 秒内成功地缓解了此次爆破,包括 Tether 冻结了 170 万 USDT来防止攻击者转移资产。

摘要:DMM DAO 是一个使用 Chainlink 信息传输机制把现实世界资产搬到链上的 DAO,因为美国证监会对他们的调查而停止了运营。

摘要:今年 2 月,一名恶意人士获得了 Blockfolio 所用的内容推送系统的权限,然后向所有的 Blockfolio 用户推送了带有攻击性的内容。不久之后,SBF 确认并解释了此事,然后他们把责任推到了竞争对手身上,声称 “恶意内容乃是我们的交易所同行炮制和发布的”。

Upbit等4家加密交易所同意成立引入旅行规则的合资公司:Upbit、Bithumb、Coinone、Korbit等4家加密交易所表示,就设立共同应对虚拟资产“旅行规则”的合作法人达成了协议(MOU)。在9月份完成虚拟资产业务报告后,距离明年3月生效的旅行规则的适用时间不多,所以前四家已经出面遵守与国际接轨。将最大限度地提前共同旅行规则开发时间,以便在今年内正式启动。今后被认可为虚拟资产事业者的企业如果想利用4公司合作法人的旅行规则服务,也将开放门户。据悉,旅行规则是一项法规,要求负责发送虚拟资产的虚拟资产提供商,在转移虚拟资产时向接收资产的虚拟资产提供商,提供发送方和接收方信息。预计FATF修正案将包含有关旅行规则应用的详细信息。(韩联社)[2021/6/30 0:16:12]

摘要:SIM 卡被盗在密码货币的世界里太常见了!(我们甚至为此写了一篇大文章!)这个受害人在因为 SIM 卡被盗而损失了 15 个比特币之后,起诉了其通信服务商。

(注:SIM 卡 “被盗” 是指攻击者通过各种攻击手段了解目标受害者的个人信息之后,贼喊捉贼,向服务商表示自己的 SIM 卡被盗或遗失,从而获得目标的 SIM 卡控制权。)

摘要:一次巧妙的闪电贷攻击让操作者得以吸干 AlphaFinance 的金库合约。FrankResearcher 以长推特的形式披露了整个事件。不久之后, AlphaFinance 暗示,他们知道攻击者是谁。

摘要:这件事情警醒了整个社区盲目信任一个 UI 的危险性,也学会了接收你曾经认为可信的东西有一天也可能变得不安全。这份事后报告展示了一个攻击者想通过劫持你的电脑来获得你的资金时有多么努力。在检查了恶意行为之后,我们确信,这是经过 “深思熟虑” 的。

ETH 24小时资金净流出66.06亿元人民币:金色财经监测数据显示,加密货币市场24小时资金净流出排名前三分别为[2020/12/31 16:07:11]

摘要:一个发行社交代币的平台 Roll 遭遇了一个事故,一个热钱包的私钥被劫持,而攻击者把所有的社交代币都卖成了 ETH(这也打压了这些社交代币的市场价格)并把 ETH 通过 TornadoCash 迁移到了另一个地址。

摘要:去年推特上出现了一次大规模的账户被黑事件,许多高价值账户被推特的内部工具发布消息,为局推波助澜。一年不到,这个黑客 —— 只有 18 岁 —— 就被捕并且判了刑。

摘要:据开发者披露,币安交易所会把一笔合法的存款处理两次,并在链下计入双倍的金额。这个错误是因为 Filecoin RPC 代码里面的一个 bug 而导致的。

摘要:GitHub 允许服务器运行代码,以帮助测试。一些别有用心的人就利用这个(免费)的服务器来挖矿 —— 他们完全没有电力支出和维护费用,纯赚区块奖励。

摘要:xFORCE 合约没有严格遵循 ERC20 标准,这让他们的存入机制出了一个漏洞,而存入机制与 xFORCE 代币铸造是绑定的。只要你拥有 xFORCE 代币(都不需要实际存入),你就可以取出 FORCE 代币(等于是免费拿走)。

摘要:因为一个软件上的 bug,Stellar 网络上的一组验证者突然掉线,导致事务处理中断了。在 10 多个小时后,问题根源找出并且得到了修复,而验证者们也回到了线上。

摘要:在 2020 年,一个包含大约 30 万 Ledger 客户记录的数据库(有详细的客户邮件地址、收件地址和全名)出现在了一个叫做 RaidForums 的论坛上并且是免费下载。在 2021 年 4 月 6 日,一些人发起了一项集体诉讼。

摘要:尽管这种情况不多,但 Circle(USDC 背后的权威机构)发布了 7 个以上的黑名单。这些地址里的 USDC 因此可以被充公,Circle 也可以防止用户使用这些币 (见合约的 “transfer()” 函数)。这是因为美国金融局把这些地址加入了 OFEC 的 SDN 名单。

摘要:一家土耳其的交易所突然停止服务。据猜测,其 CEO 携带交易所的私钥(掌控交易所用户价值 20 亿美元的密码学货币)逃到了泰国。此后,一份声明取代了 Thodx 的主页,详细说明了他们正在跟商业伙伴谈判以及一次攻击修改了 tameness 的一些后端数据。他们也声称,媒体关于 20 亿美元的数字是错的,实际的数额要低得多。

摘要:在 UraniumFinance 变更交易手续费率的过程中出了一个数学错误,导致了一个意料之外的计算错误,影响到了实际的交易手续费率。合约中的一个字符导致智能合约的健全性检查的余额检查被利用,UraniumFinance 的储备金被吸干。

摘要:BitcoinFog 是一个流行的混币器,可以为比特币交易添加一些模糊性。据称,BitcoinFog 在过去的 10 年里赚到了约 120 万 btc。

摘要:又是一次聪明的闪电贷攻击,攻击者吸干了 xTokenMarket 的流动性池子,办法是操纵 SNX 和 BNT 在多个 DEX 的价格。攻击者是使用叫做 “Flashbots” 的 MEV 软件发动的攻击。

摘要:一个 DeFi 协议用公开的消息嘲讽用户并表示自己要跑路:“我们了你!而你什么也做不了!”第二天,他们发布了一份声明,表示他们没有跑路,并且把网站恢复到了先前的状态。

摘要:在 2020 年的数据泄露和 2021 年初对 Ledger 的集体诉讼之后,用户开始报告更多试图窃取用户密钥的实体钓鱼活动。有人向他们的收件地址快递了经过修改的设备。

摘要:根据一份正式的声明,挤兑始于一些大户从 IRON/USDC 池子中撤出流动性并卖出 $TITAN -> $IRON -> $USDC,而不赎回 IRON,导致后者的价格脱锚。

摘要:因为用于处理重复符号的逻辑中有个 bug,一次攻击导致 THORChain 损失了 14 万美元。网络被节点中断,在 6 个小时后打上了补丁并恢复了功能。THORChain 很快知晓了这次攻击,并声称他们会全额补偿损失。

如果我们比较在 2020 年观察到的情形,似乎整个行业还是有很大的提升空间,甚至可能永远都有。我们需要持续教育大家关于 DeFi “梭哈”、DeFi admin key、钓鱼的风险,以及把你的资产存入中心化交易所的固有风险。

比较 2020 年上半年的情形,我们可以看到,中心化交易所和他们的安全性确实进步了,至少爆出来在他们的基础设施上发生的黑客事件变少了。这是一件好事,但也提出了一个问题:那些坏蛋都把心思放哪里去了?一个简单并且可能也是合理的猜测是,他们把注意力转向了 DeFi 协议,并混进了社区,搞起了容易的跑路,毕竟这没有太高的技术门槛,而获利却非常可观。

我们也看到了人们对 NFT 的兴趣正在兴起,包括那些大名鼎鼎的公司也在接收 NFT(Christies、eBay 和苏富比)。我们可以预言,会有一些残酷的 NFT 抢劫 —— 不是正在发生,就是没有爆出来。

希望 2021 年剩下的时间能风平浪静!

标签:DEFIDEFTONLEGInfiniityDeFiDeFinomicston币总量Anito Legends

比特币热门资讯
巴塞尔协议与加密资产监管

2021年6月10日,巴塞尔委员会(BCBS)发布咨询文件《对加密资产敞口的审慎处理》,将银行类金融机构对加密资产的敞口纳入巴塞尔协议的监管框架。这份咨询文件扩大了加密资产定义,建立了加密资产分类标准,并围绕巴塞尔协议的三大支柱——最低资本要求、监管审查和市场纪律讨论如何处理加密资产敞口。

金色观察|《中国数字人民币的研发进展》白皮书摘要

金色财经讯,7月16日,中国人民银行发布了《中国数字人民币的研发进展》白皮书,该白皮书详细阐述了数字人民币的研发背景、定义、设计原则、进展。 以下为《中国数字人民币的研发进展》白皮书重点摘要。 背景: 1.中国人民银行(以下简称人民银行)高度重视法定数字货币的研究开发。

浅析火遍全网的Layer 2项目 New era究竟是什么?

前言 如果你在过去几年中一直在关注加密货币领域,那么对于“区块链”一定不会陌生。但大多时候你对它其实了解的少之又少。区块链的发展是迅速且显而易见的,但其可承载的网络运行效率已经无法满足链上不断增长的各类需求。主流区块链网络以太坊尽管今天已经有 6 年的历史,但以太坊在其所有荣耀中仍然面临着可扩展性和小额汽油费等问题。

95后入局币圈 为暴利“交学费”

币圈的“套路”远不止通过论坛忽悠散户“入局买币”这么简单。“币圈”还有专职忽悠散户“挖矿”的“工作人员”。 币圈的暴利神话,吸引了一波又一波95后入局。他们坚信几万元的成本投入能至少翻10倍,有人在暴利诱惑下每天坚持1-2小时深夜盯盘,但更多的人交了一笔不菲的学费。

在虚拟世界“炒房”?元宇宙的想象力究竟在哪?

“在人类的面前有两条路:一条向外,通往星辰大海,一条对内,通往虚拟现实。” ---刘慈欣 欢迎来到这个由代码、像素、仿真形象创造的虚拟世界:这里是光怪陆离、是故障沮丧、同时也是刺激未知的。元宇宙这个词源于1992年尼尔·斯蒂芬森的《雪崩》,这本书描述了一个平行于现实世界的虚拟世界,Metaverse,所有现实生活中的人都有一个网络分身Avatar。

金色早报 | 美国比特币算力占比现已升至16.8% 近两年增长超4倍

头条 ▌央行:数字人民币可通过智能合约实现可编程性 7月16日消息,中国人民银行发布《中国数字人民币的研发进展》白皮书,其中提到,“数字人民币通过加载不影响货币功能的智能合约实现可编程性,使数字人民币在确保安全与合规的前提下,可根据交易双方商定的条件、规则进行自动支付交易,促进业务模式创新。