DEF:2021 上半年安全事件回顾：被黑、局和停机_NCE

密码货币的世界是前所未有地凶险，让人很难视而不见。在详细列出这些安全事件之前，先来看看我们为了行业的安全做了什么贡献？

在2021年上半年，我们：

放出了新版的MyCrypto，提高了用户体验，让用户能更容易、更直接地?使用?和监控自己的密码学货币

披露了滥用ERC20授权方法来偷窃用户资产的恶意项目

拓展了我们的业务范围，帮助遭遇了清道夫机器人的用户取回质押的资产

出版了一份帮助用户提高MyCrypto隐私体验的指南

在NFT市场爆发时，我们也推出了针对NFT买家的反教育材料

与?CryptoScamDB?继续我们的反、反钓鱼活动

提高整个行业的意识和防止、攻击都是任重道远，但我们在坚持。

我们先来深入了解下行业的整体态势，看看我们是否从2020年学到了教训，是否有所提升。

以下是2021年第一第二季度的主要安全事件清单。我们不会列出所有的跑路及类似事件，因为太多了，实在是数也数不清……

数据：2023年共有620万枚BTC回归盈利，占供应量32.3%:金色财经报道，区块链分析公司Glassnode数据显示，在过去的12个月里，我们发现了一个有趣的现象：比特币价格的表现与黄金（传统的稳健货币的避风港）之间的相关性增加。在30天、90天和365天的基础上，这两种资产之间展现出高度的正相关性，在几周前最近的美国银行业危机期间仍然保持高涨。在2023年，总共有620万枚BTC回归盈利（占供应量的32.3%）。[2023/4/22 14:19:52]

2021年第一季度出现了一些有趣的事件，从整个协议的突然停摆到DeFi合约被黑，再到黑客被捕，都有。我们也看到了完全针对个人的攻击，这让整个行业感到震惊，因为这些坏人可能为了一笔钱而不择手段。

与去年相比，第一季度的密码货币交易所被黑事件有所减少。这既是因为黑客的注意力都在别的地方，也是因为交易所已经从去年的失败中学到了教训、调整了安全控制。

故事：Yearn被盗1100万美元

摘要：最大/最老牌的自动化流动性挖矿协议之一，Yearn，其某个v1金库遭遇爆破，被盗金额总计1100万美元，而金库的用户遭遇了280万美元的直接损失。Yearn团队在10分14秒内成功地缓解了此次爆破，包括Tether冻结了170万USDT来防止攻击者转移资产。

波卡聚合身份协议Litentry将在2022年推出Litentry App等产品:官方消息，波卡聚合身份协议Litentry展望2022年表示：

1. 推出Litentry移动应用程序的第一个版本，并使其成为首选治??理平台；

2. 将推出Drop3平台的第一个版本，并将其扩展为Web3项目的首选社区参与工具；

3. 对于My Crypto置文件，将对其进行迭代，为Web3提供最先进的身份即服务解决方案；

4. 进一步扩展Web3Go的分析能力，以发现和突出有价值的链上数据；

5. Project Loyalty NFT允许项目通过使用身份以前的历史活动以NFT的形式发放忠诚度奖励，预计将于2022年推出；

6. Litentry通过Substrate和Ethereum等各种网络的身份数据聚合API预计将于2022年推出；

7. 研究PolkaSignIn的单点登录可能性，希望启用此功能后，用户可以登录任何web2或web3服务；

8. 计划增加隐私、去中心化和改进测试策略；

9. 将完善产品设计以提供友好的用户体验。[2022/2/11 9:45:29]

故事：DMMDAO因SEC调查而停摆

报告：2020年虚拟货币和勒索损失超32亿美元 反形势严峻:据PeckShield派盾发布的《2020年年度数字货币反报告》显示，2020年涉及虚拟货币的事件和勒索攻击近300起，造成经济损失逾32亿美元。虚拟货币案件持续高发，勒索案件快速增长，全球虚拟货币反形势严峻。[2021/1/12 15:59:58]

摘要：DMMDAO是一个使用Chainlink信息传输机制把现实世界资产搬到链上的DAO，因为美国证监会对他们的调查而停止了运营。

故事：Blockfolio遭到劫持后输出了带有攻击性的内容

摘要：今年2月，一名恶意人士获得了Blockfolio所用的内容推送系统的权限，然后向所有的Blockfolio用户推送了带有攻击性的内容。不久之后，SBF确认并解释了此事，然后他们把责任推到了竞争对手身上，声称“恶意内容乃是我们的交易所同行炮制和发布的”。

故事：T-Mobile因用户遭遇SIM攻击损失价值45万美元的比特币而遭起诉

摘要：SIM卡被盗在密码货币的世界里太常见了！这个受害人在因为SIM卡被盗而损失了15个比特币之后，起诉了其通信服务商。

故事：DeFi协议CreamFinanceAlpha版遭遇闪电贷攻击，损失了3750万美元

实力派 | 谢纬：2020年娄底将把区块链应用推向更多领域:在今日的金色实力派上，“链城”娄底国家级区块链研究和应用示范推进领导小组办公室副主任谢纬发言指出：2019年（区块链行业）用焦灼，意外和惊喜来形容比较贴切的。针对“公链与联盟链”，谢纬指出：我是属于坚决看好联盟链的；如果我们把公链系统看成未来的”操作系统，那么当前做公链的企业尚不成熟，也存在抄袭别人代码的现象。此外，他还指出：一旦真正运用区块链思维，很多传统领域都会有机会。在我眼里，区块链真的能改变世界。2020年娄底将跨区域，跨产业，把区块链应用推向更多领域，除了传统的政务领域外，我们会延伸到优势产业领域应用。[2020/1/22]

摘要：一次巧妙的闪电贷攻击让操作者得以吸干AlphaFinance的金库合约。FrankResearcher以长推特的形式披露了整个事件。不久之后，AlphaFinance暗示，他们知道攻击者是谁。

故事：一个MetaMask实例的本地漏洞导致800万美元被盗

摘要：这件事情警醒了整个社区盲目信任一个UI的危险性，也学会了接收你曾经认为可信的东西有一天也可能变得不安全。这份事后报告展示了一个攻击者想通过劫持你的电脑来获得你的资金时有多么努力。在检查了恶意行为之后，我们确信，这是经过“深思熟虑”的。

声音 | Jimmy Song：预计比特币的市值占比将在2020年底超过75%:比特币核心开发者Jimmy Song在推特发布其关于2020年预测的第1部分：1. 比特币的主导地位（即市值占比）将在年底达到75%以上；2. Taproot将在没有太大争议的情况下被激活；3. 比特币价格的顶部和底部差异至少为100%；4. 减半将是主要的叙事。[2019/12/31]

故事：Roll被盗3000ETH/570万美元

摘要：一个发行社交代币的平台Roll遭遇了一个事故，一个热钱包的私钥被劫持，而攻击者把所有的社交代币都卖成了ETH并把ETH通过TornadoCash迁移到了另一个地址。

故事：Twitter黑客认罪，被判三年

摘要：去年推特上出现了一次大规模的账户被黑事件，许多高价值账户被推特的内部工具发布消息，为局推波助澜。一年不到，这个黑客——只有18岁——就被捕并且判了刑。

故事：Filecoin在币安上被多重花费——涉及460万美元

摘要：据开发者披露，币安交易所会把一笔合法的存款处理两次，并在链下计入双倍的金额。这个错误是因为FilecoinRPC代码里面的一个bug而导致的。

故事：GitHubActions被主动滥用在GitHub服务器上挖矿

摘要：GitHub允许服务器运行代码，以帮助测试。一些别有用心的人就利用这个的服务器来挖矿——他们完全没有电力支出和维护费用，纯赚区块奖励。

故事：xFORCE被白帽子攻破

摘要：xFORCE合约没有严格遵循ERC20标准，这让他们的存入机制出了一个漏洞，而存入机制与xFORCE代币铸造是绑定的。只要你拥有xFORCE代币，你就可以取出FORCE代币。

故事：验证者从Stellar网络掉线

摘要：因为一个软件上的bug，Stellar网络上的一组验证者突然掉线，导致事务处理中断了。在10多个小时后，问题根源找出并且得到了修复，而验证者们也回到了线上。

故事：针对Legder和Shopify在2020年泄露用户数据的集体诉讼

摘要：在2020年，一个包含大约30万Ledger客户记录的数据库出现在了一个叫做RaidForums的论坛上并且是免费下载。在2021年4月6日，一些人发起了一项集体诉讼。

故事：更多地址因为转移USDC而上了黑名单

摘要：尽管这种情况不多，但Circle发布了7个以上的黑名单。这些地址里的USDC因此可以被充公，Circle也可以防止用户使用这些币。这是因为美国金融局把这些地址加入了OFEC的SDN名单。

故事：规模达到20亿美元的局，土耳其交易所Thodex关停，遭到用户抗议

摘要：一家土耳其的交易所突然停止服务。据猜测，其CEO携带交易所的私钥逃到了泰国。此后，一份声明取代了Thodx的主页，详细说明了他们正在跟商业伙伴谈判以及一次攻击修改了tameness的一些后端数据。他们也声称，媒体关于20亿美元的数字是错的，实际的数额要低得多。

故事：UraniumFinance迁移活动遭爆破，潜在损失500万美元

摘要：在UraniumFinance变更交易手续费率的过程中出了一个数学错误，导致了一个意料之外的计算错误，影响到了实际的交易手续费率。合约中的一个字符导致智能合约的健全性检查的余额检查被利用，UraniumFinance的储备金被吸干。

故事：美国司法部门承认逮捕了RomanSterlingov

摘要：BitcoinFog是一个流行的混币器，可以为比特币交易添加一些模糊性。据称，BitcoinFog在过去的10年里赚到了约120万btc。

故事：xTokenMarket流动性池子被吸干，损失2500万美元

摘要：又是一次聪明的闪电贷攻击，攻击者吸干了xTokenMarket的流动性池子，办法是操纵SNX和BNT在多个DEX的价格。攻击者是使用叫做“Flashbots”的MEV软件发动的攻击。

故事：DeFi100携带3200万美元跑路

摘要：一个DeFi协议用公开的消息嘲讽用户并表示自己要跑路：“我们了你！而你什么也做不了！”第二天，他们发布了一份声明，表示他们没有跑路，并且把网站恢复到了先前的状态。

故事：针对Ledger的实体钓鱼活动

摘要：在2020年的数据泄露和2021年初对Ledger的集体诉讼之后，用户开始报告更多试图窃取用户密钥的实体钓鱼活动。有人向他们的收件地址快递了经过修改的设备。

故事：IronFinance遭遇挤兑，代币价格在24小时之内从60美元跌到零

摘要：根据一份正式的声明，挤兑始于一些大户从IRON/USDC池子中撤出流动性并卖出$TITAN->$IRON->$USDC，而不赎回IRON，导致后者的价格脱锚。

故事：对THORChain的第一次已知的恶意攻击

摘要：因为用于处理重复符号的逻辑中有个bug，一次攻击导致THORChain损失了14万美元。网络被节点中断，在6个小时后打上了补丁并恢复了功能。THORChain很快知晓了这次攻击，并声称他们会全额补偿损失。

观察

如果我们比较在2020年观察到的情形，似乎整个行业还是有很大的提升空间，甚至可能永远都有。我们需要持续教育大家关于DeFi“梭哈”、DeFiadminkey、钓鱼的风险，以及把你的资产存入中心化交易所的固有风险。

比较2020年上半年的情形，我们可以看到，中心化交易所和他们的安全性确实进步了，至少爆出来在他们的基础设施上发生的黑客事件变少了。这是一件好事，但也提出了一个问题：那些坏蛋都把心思放哪里去了？一个简单并且可能也是合理的猜测是，他们把注意力转向了DeFi协议，并混进了社区，搞起了容易的跑路，毕竟这没有太高的技术门槛，而获利却非常可观。

我们也看到了人们对NFT的兴趣正在兴起，包括那些大名鼎鼎的公司也在接收NFT。我们可以预言，会有一些残酷的NFT抢劫——不是正在发生，就是没有爆出来。

希望2021年剩下的时间能风平浪静！

标签：DEFNANNCEDEFIDEFILANCER价格Helmet.insure Governance TokenXYfinanceXDEFI Governance Token

BNB热门资讯