CAP:2020 年度回顾：区块链 密码学货币行业主要安全事故_RES

.new_summary,blockquote{position:relative;font-size:16px;letter-spacing:1px;line-height:28px;margin-bottom:40px;padding:20px;background:#f0f2f5;color:#333}.new_summary:after,blockquote:after{position:absolute;content:"\300D";right:6px;bottom:12px;color:#333}.new_summary:before,blockquote.before{position:absolute;content:"\300D";top:10px;left:2px;transform:rotate(180deg);color:#333}#postlist.post-contentp{font-weight:400;letter-spacing:.5px;line-height:30px;color:#333;font-family:opensans,PingFangSC,LantingheiSC,HelveticaNeue,Helvetica,Arial,MicrosoftYaHei,sans-serif}#postlist.post-contentpa{font:16px/150%"MicrosoftYahei",Arial}#postlist.post-contentpem{font-style:italic}#postlist.post-contentp*{font-size:16px}

2020年区块链安全领域发生了什么？可以从中学到什么教训？

在经历了动荡的2019年之后，2020年情况如何？一起来回顾一下。

要了解我们的写作思路，请查看我们之前写的2019年度回顾。

Cardano创始人：2021年最大目标是最大化生态系统的参与:Cardano创始人、IOHK首席执行官Charles Hoskinson表示，Cardano在2021年的最大目标是最大化生态系统的参与，其中ADA持有人可投票、注册和创建提案，因此，2021年的主要目标是将这些功能纳入Daedalus本身。Cardano目前有两种投票系统，即Treasury所在的链下系统及目前尚不活跃的链上系统。为了开发这些链上机制，已扩大了正在构建此链上系统的团队，到2021年，成熟的全面投票机制可能会生效。（Ambcrypto）[2021/1/1 16:11:55]

如果2019年可以概括为一次狂野之旅，那么2020年则完全是不按常理出牌。

在这一年里，我们发表了许多文章，聊到了从钓鱼者那里追回资产的白帽、推动恶意浏览器插件扩散的大型活动、防止密码货币资产丢失的十大行动指南，以及RiskyBusiness：DeFi。我们发表的每篇文章都提到了用户在使用密码学货币时应当注意的各种威胁要素，并附有现实生活中的实例。这些文章所分享的信息不仅适用于MyCrypto和以太坊用户——这些经验教训可以被应用到整个行业，无论你喜欢哪条链、交易所或者钱包。

让我们再深入地回顾一下这些事故，看看发生了什么，以及我们作为一个行业可以从中学到什么教训。

以下清单列出了2020年发生的主要安全事故。然而，我们不会把所有事故都一一列出来，因为数量实在太多了……

2020年第一季度开始时有一些好消息和一些坏消息。我们揪出了一些坏蛋，也研究了攻击硬件钱包的方法，但黑客攻击和金钱损失也有所增加。

ECOC于2020年12月9日17:00开启对DEFI合约延期产品GPT的挖矿:据官方消息，近日，ECOC官方推出的新DEFI产品GPT，EFG持有者可以通过质押EFG来进行挖矿，从而获得GPT。质押挖矿活动在其官网通过智能合约进行，并于2020年12月9日17:00 （UTC+8）正式开始。 ?

据了解， GPT（宽限期令牌）是用于延迟抵押资产结算的令牌。 总量及流通量： token总量为10,000枚。 首期流通1000枚。 挖矿产出方式及周期： 100万枚EFG质押 90天产出总量为 9000枚GPT。不足基础质押数量，合约将自动延长挖矿周期。详情点击原文链接。[2020/12/9 14:41:37]

故事：密码学货币交易所Poloniex发出密码重置警告

概要：Poloniex在2019年12月末的电子邮件中发布了一份PSA，宣布一些用户必须重置密码，因为推特上泄漏了一份包含邮件地址和密码的列表。

故事：YouTube账号被劫持用于密码学货币

概要：尽管这算不上新的手段，但这种作案手法正变得越来越流行。子们事先录制好有名人参与的密码学货币大会的视频片段，然后劫持Youtube账号来广播虚假的赠送密码学货币的视频。

故事：Upbit在遭到5千万美金的攻击后升级ETH钱包的安全措施

概要：一家韩国交易所公开表示他们的热钱包在2019年11月被盗，损失了342,000ETH。

故事：少年通过SIM卡交换取区块链专家超5千万美金

概要：SIM卡交换在行业中是一个瘤。许多人认为在他们的账户上使用短信来做2FA认证会更安全。一位少年利用了这一点，从多个受害对象处获利超过5千万美金。这名18岁的少年已经被逮捕，并面临多项刑事指控。

故事：Kraken发现Trezor硬件钱包中的关键缺陷

观点：BTC在2020年创下历史新高的可能性为5％:6月27日消息，有文章分析称，比特币在2020年达到历史新高的可能性正在降低。加密分析师Tone Vays表示，比特币在2020年将继续在10000美元以下波动，创下历史新高的可能性为5％。（EthereumWorldNews）[2020/6/27]

概要：Kraken交易所发现并披露了一种物理攻击方法，可以从Trezor的大部分产品中提取出助记词。

故事：密码学货币IOTA在官方钱包软件被黑后关停了整个网络

概要：由于黑客利用了官方IOTA钱包中的一个漏洞来窃取用户资金，IOTA在相当长的一段时间内关停了他们的网络。

故事：RiskyBusiness：DeFi，以太坊还要继续成长

概要：MyCrypto的创始人TaylorMonahan整理了她在ETHDenver2020上关于DeFi及其风险的演讲。Taylor讨论了潜在的陷阱和此前的攻击，我们从过去的错误中学到了什么和没学到什么，以及我们在该领域该如何改进。

故事：BZx闪电贷攻击是否意味着DeFi的终结？

概要：一个热门DeFi协议在短时间内遭到了两次闪电贷攻击。第一次攻击损失了1,193ETH，第二次攻击结束时又损失了2,378ETH。

故事：子继续在英国利用Covid-19混乱比特币

概要：伴随着由冠状病导致全球大流行的新闻，一些不法分子通过伪装成来自CDC的研究组织来请求比特币捐款，大发恐慌之财。

BZx再一次遭受攻击

尽管这是故技重施，但黑客在几天时间内利用闪电贷对BZx协议发动了第二次攻击。

https://twitter.com/dsearch3r/status/1228657292792549383

于佳宁：2020年区块链行业面临五大历史性机遇:5月16日，“区块链卓越人才特训营（第三期）“再次开课。本次课程在前两期基础上进行升级，特别开设了区块链卓越人才交流沙龙、“区块链+”案例课、5G时代的产业区块链选修课等，通过讲师与优秀学员连麦互动的形式，进行行业干货的深度分享。目前，火币大学区块链卓越人才特训营（第四期）课程已经开通报名通道，将于2020年6月13日开课。

火币大学校长于佳宁认为，2020年区块链行业面临五大历史性机遇，分别是区块链被纳入新基建；央行数字货币DC/EP研发进程加快；数据要素化、要素市场化；比特币第三次减半产生长期性影响；全球无接触经济发展。这些机遇都将加速区块链应用的集中爆发，引爆数字经济时代。因此，每个人都需要真正意义上明白区块链开启的时代机遇。[2020/5/18]

在第二季度，我们看到更多的智能合约漏洞被利用，以及一个恶意浏览器扩展程序的大规模扩散活动引发了人们的关注，该恶意扩展模仿业内知名品牌以获取用户的密钥。

故事：黑客利用去中心化比特币交易所Bisq的漏洞窃取了25万美金

概要：在发现攻击者利用软件盗取用户资金后，Bisq采取了「前所未有」的应对措施并停止了交易。据报道，攻击者盗走了3BTC和4000XMR。

故事：发现针对Ledger、Trezor、MEW、Metamask等目标用户的假冒浏览器扩展

概要：MyCrypto和PhishFort发表了一篇研究报告，关于利用谷歌广告来推送的、模仿知名品牌的恶意浏览器扩展，如何狩猎密码学货币用户。

故事：Etherscan启动「ETHProtect」来识别和标记受污染的ETH地址

概要：最常用的区块链浏览器之一——Etherscan推出了一款产品，为用户提供关于一个地址的更多信息，并快速显示它们是否从一个已知的不良地址收到过密码学货币。

现场 | 蒋国飞：2020年会看到更好的发展，更多行业会拥抱区块链技术:金色财经现场报道，今日，蚂蚁金服智能科技事业群总裁蒋国飞在现场首先总结了过去一年的发展。他指出，过去一年区块链行业有非常大的变化，区块链成为了中国的国家战略，得到很多的关注，其次，产业区块链开始出现，现在进入了区块链的实际应用，同时，国际上的Libra等将大众的关注提到了一个新的高度。对于蚂蚁金服，蒋国飞指出蚂蚁金服的专利数量很多，约1000个，在实际应用中，有大批应用出现，在产业规模方面，蚂蚁金服做了好的开放平台，区块链云服务已经有很多客户在其上开发应用，同时为了降低门槛，蚂蚁金服开放联盟链，帮助中小企业开发自己的应用。蒋国飞还认为，2019年看到了希望，2020年会看到更好的发展，更多行业会拥抱区块链技术，挖掘其价值，技术会做的更深，会有更好的生态连接。[2020/1/8]

故事：dForce因DeFi智能合约漏洞损失2500万美金

概要：借贷协议dForce据称是修改了Compound代码的一个分叉，遭到了类似于Uniswap流动池的攻击。该攻击利用了imBTC合约所用的一个标准。

故事：「邪恶天才少年」被指控窃取了价值数百万的密码学货币

概要：MichaelTerpin提交的一份备受瞩目的SIM卡交换控告的信息已经公布。在攻击发生时，主要的不法分子之一只有15岁。据称他通过交换多人的SIM卡窃取了超过2300万美金。

故事：欧洲各地多台超级计算机被入侵用于密码学货币挖矿

概要：英国、德国和瑞士的多台超级计算机感染了密码学货币恶意挖矿软件，通过破解的SSH登陆来挖取门罗——一种偏重隐私保护的密码学货币。

dForce/Lendf

Lendf的黑客很有趣，因为被用于实施重入攻击的ERC777标准几天前刚刚在Uniswap的imBTC流动池中被爆破。但是dForce没有审计他们的系统，尽管他们也支持imBTC。一条来自defiprime的长推特很好地点评了此事——有证据表明这些代码是从CompoundFinance分叉而来的，即便在开源世界里，这也是另一个棘手的问题。

故事：从钓鱼事件中拦截并保卫价值5000美金的密码学货币

概要：当我们扫描网络钓鱼工具时，我们发现了一个活跃行动的公开端口，我们也监控了它们以防止用户的私钥被泄露。在极少数情况下，我们成功拦截了从受害者那里窃取的密码学货币资产。我们抢在不法分子之前清理了这些资产，并归还给了经过验证的所有者。

故事：推特攻击事后回顾

概要：2020年7月15日，Twitter平台上发生了一场大规模的账号接管活动，其中包括利用经过验证的账号来「信用交易」/预付费的比特币局。总体而言，「仅」有15万美金被盗，相较于不法分子从他们接管的账号中所获得的广泛曝光而言，这个数字有点微不足道。

故事：与币安合作将1万美金的被盗密码学货币返还给受害者

概要：我们研究了更多的网络钓鱼活动，然后发现另一个通往不法分子所用服务器的公开端口。我们再一次混入他们的钓鱼前端和不法分子的通信渠道之间，来清理那些被钓鱼的资产使其不落入坏人的口袋。

故事：做好这10件事，和丢币说再见

概要：MyCrypto发表了一篇简短的最佳实践十步法，其中包含了如何保护您的密码学货币资产和关联账户的明确行动指南。我们利用自己在密码学货币被盗方面的丰富知识，编写了一份可操作的行动清单。

故事：黑客利比特币钱包漏洞盗走1600万美金的比特币

概要：一名用户没有为他的Electrum钱包安装关键的安全更新，然后成为了一个攻击方法的受害者，导致1,400BTC被盗。这名用户被连接到一个恶意的Electrum服务器，该服务器允许在其错误弹出窗口中显示富文本。返回的错误提示用户更新他们的Electrum软件，但却链接到了恶意软件的下载地址。

故事：逃离黑暗森林

概要：Samczsun在一次白帽活动中成功地从一个有漏洞的合约里拯救了960万美金。这个故事很有意思，因为Samczsun解释了他们是如何击败抢跑机器人的。他们私底下将已签名的交易直接发给了矿工，而不是广播到交易池。

故事：KuCoin交易所被盗2.8亿美金

概要：颇受欢迎的一家亚洲交易所KuCoin热钱包被盗，并接连收到大量比特币和以太坊被提走的警报。KuCoin正在与国际执法部门进行调查，并承诺使用他们的保险基金弥补客户资金的全部损失。

Ledger的数据泄漏

Ledger是行业领先的硬件钱包之一，在这个领域积累了非常多的客户。2020年7月，他们发表了一份声明，称其电子商务平台和营销平台的数据遭到了泄漏。2020年7月14日，他们收到了来自其赏金计划的潜在数据泄漏的警报。经过内部调查，Ledger发现此次数据泄漏发生在2020年6月25日，其部分客户受到影响。2020年5月，推特用户UnderTheBreach发了一条关于潜在数据泄漏的推特。

KuCoin

KuCoin存在的一个安全漏洞致使其私钥被盗。总价值281,000,000美金的资产被盗。值得注意的是，在这次攻击中多个项目协助了找回资金的行动，其中包括Ocean协议，它们分叉了自己的合约，移除了攻击者盗走的代币。

故事：密码学货币交易所Liquid确认被黑

概要：Liquid确认其域名和电子邮件账户已遭到入侵。该交易所认为，黑客可能已经获得了包括邮箱地址、姓名、配送地址和加密口令在内的用户个人信息。

故事：黑客利用GoDaddy雇员来攻击密码学货币网站：Liquid和NiceHash

概要：一份公开的报告指出，有确凿的数据表明NiceHash和Liquid遭到了其服务商GoDaddy的侵害。

故事：土狗智能合约抽走1080万美金

概要：一个流动性挖矿协议的智能合约存在一个隐藏的后门，允许开发者直接提走该合约内的wBTC、ETH、DAI。

故事：被黑后，Ledger增加了比特币赏金和新的数据安全措施

概要：Ledger声称最近发生的客户数据泄漏源于一家流氓代理商Shopify。Ledger新任的首席信息安全官MattJohnson建立了新的程序和政策，来防止未来发生数据泄漏，并宣布悬赏10BTC来获取任何可以助其逮捕黑客的信息。

故事：密码学货币交易所EXMO声称总资产的5%被盗

概要：EXMO在其热钱包中检测到可疑行为，并暂停提款以进行调查。结果是他们的冷钱包未受影响，但5%的热钱包被盗了。

我们的观察

如果比较一下我们在19年的观察结果，你会这个行业有很大进步空间。100%的安全当然是不存在的，但那句话怎么说来着，历史也会押韵。

即使你将资产存储在一个「合法」的交易所中，你仍然面临风险

像往常一样，今年也充斥着对持有用户资产的密码学货币交易所的攻击。我们看到越来越多的交易所使用保险基金来弥补损失，尽管这对于那些使用交易所的人而言最终结果是好的，但这并不值得依赖。

去中心化和安全并不划等号

虽然去中心化产品可能遭受得攻击各不相同，且损失引发的关注远远小于大交易所受到的攻击，但攻击者仍有多种诡计从你的手中走数字资产。网络钓鱼活动，尤其是那些鼓励用户在网站上输入私钥的玩意儿，日益猖獗。随着去中心化交易所的崛起，用户在「登入」后资产被席卷一空的情况愈发普遍。

信任第三方来使用你的个人信息并不安全

即便信任这个领域最知名的一些品牌来使用你的个人信息，也是靠不住的。这些数据可以通过流氓雇员或软件漏洞获取，然后在地下市场出售。虽然利用这些个人信息的大多数威胁几乎不会采取任何行动，但切不可掉以轻心，尤其是那些已知有大量持仓的人。你最好的方式是设置一个带有假名的邮政信箱，用来收取现实世界中的密码学货币相关物品——理想情况下，你也不会希望你的家庭地址和密码学货币联系到一起。

我们在2021年的目标和2020年相同：让我们做得更好。

标签：CAPAPITURRESUCAP价格Fortem CapitalBlock CreaturesRetrogression

DAI热门资讯