復盤2020DeFi、交易所和公鏈領域安全與隱私大事件
慢霧科技
5分鐘前
1693
原文標題:《慢霧回顧:2020年度區塊鏈安全與隱私大事件》撰文:慢霧科技
2020年,無論從哪個角度來講,對區塊鏈和數字貨幣來說都是非凡的一年。我們見證了DeFi和開放金融生態系統的爆炸性增長。我們見證了作為新技術基礎設施代表之一的區塊鏈被納入「新基建」,我們見證了中國推出央行數字貨幣(CBDC)的同時,更多的國家地區開始關注并發展區塊鏈,全球性區塊鏈的「競賽」已經開始。
據慢霧科技區塊鏈被黑檔案庫(hacked.slowmist.io)數據統計,2020年區塊鏈生態被公開的區塊鏈安全事件共122起:其中智能合約及代幣安全事件54起,交易所安全事件29起,公鏈攻擊事件12起,錢包攻擊事件12起,其他攻擊事件15起。
慢霧區塊鏈被黑檔案庫攻擊事件累計
隨著各種應用落地,區塊鏈數字資產引發的安全問題總體呈上升趨勢,數字貨幣犯罪五花八門,盜幣、詐騙、非法集資、洗錢、暗網非法交易、犯罪等案件頻發,各種原因造成的「黑天鵝」事件層出不窮。通過數據統計,可以看到今年智能合約安全事件明顯增多,交易所攻擊事件也是占比較大,數字貨幣詐騙、勒索、洗錢事件幾乎每月都會發生。
慢霧科技將通過這篇文章梳理2020年區塊鏈安全與隱私生態發生的影響重大的事件,為讀者回顧事件詳解,同時對每類事件附上慢霧觀點。雖然本文列舉的僅是冰山一角,但具有很大的代表性,讓我們通過本文一起來窺見2020年區塊鏈生態世界的「不平凡」。
DApp及DeFi安全事件
bZx遭遇兩次閃電貸攻擊
2月15日,DeFi貸款協議bZx遭受攻擊,攻擊者同時跨多個協議完成了一筆閃電貸杠桿套利交易,導致價值35萬美元的ETH被盜。2月18日,bZx再次遭受閃電貸攻擊,攻擊者通過控制預言機價格獲利2388個ETH,約64.4萬美金。
MakerDAO清算機制異常
3月12日,由于以太坊?ETH的價格暴跌,MakerDAO的大量抵押債倉跌破清算門檻,引發了清算程序執行。原本應該參與到清算過程中的清算機器人(Keeperbot)因為設置了較低的gas值,導致出價受阻,一位清算人(Keeper)在沒有競爭者的情況下,以0DAI的出價贏得了拍賣。
Uniswap?的ERC777重入風險
4月18日,黑客利用DeFi平臺Uniswap和ERC777標準的兼容性問題缺陷,對Uniswap實施了重入攻擊。具體而言,黑客在交易ETH-imBTC時,利用ERC777標準中進行轉賬的tokensToSend回調函數實現了重入攻擊,總獲利34萬美元。
DeFi平臺Lendf.Me遭受重入漏洞攻擊
4月19日,以太坊DeFi平臺Lendf.Me遭受重入漏洞攻擊,損失約2500萬美元。后慢霧安全團隊協助追回了被盜資產。
DeFi項目?Hegic?代碼出現漏洞致用戶資產被永久鎖定
4月27日,DeFi項目Hegic代碼出現漏洞導致用戶資產被用戶永久鎖定。在該項目上線幾小時后,其代碼中的一個錯誤鎖定了該平臺智能合約價值2.8萬美元的用戶資金,由于該漏洞將資金鎖定在了過期合約中,使其無法被訪問。
萬卉復盤Yam事件:反饋周期將是未來線上治理的關鍵參數:8月13日消息,Primitive Ventures創始合伙人萬卉在微博復盤Yam事件,她提到反饋周期將是未來線上治理的關鍵參數,此外,項目方不應通過軟性賄賂影響博弈結構。萬卉還表示,在溝通過程中沒有把復雜的信息做到社區可以消化的轉述(這個確實很難,但是未來的社區治理要吸取經驗教訓),并且合約寫死的時間線過于緊湊,導致出事沒有足夠的協調時間,這個當年在312的時候MAKER拍賣也發生過,當時也是時間太緊張導致流拍。這個反饋周期是未來線上治理一個很關鍵的參數,不能太短,也不能太長。
在號召投票的時候,不應該通過“軟性賄賂”來影響博弈結果。譬如為了獲取足夠的票倉,來進行投票獎勵。這個會影響理性的判斷,特別是對于信息有限的社區成員,可能會帶來負外部性。[2020/8/13]
Bancor?新合約出現安全漏洞
6月18日,由于新的BancorNetwork合約上未經驗證的safeTransferFrom()函數,用戶資金即將被耗盡。Bancor團隊表示:1.兩天前發布的新BancorNetworkv0.6合約中發現了一個安全漏洞;2.在發現漏洞之后團隊進行了白帽攻擊,以將資金轉移到安全地址;3.智能合約已完成審核。但還有135,229美元的資金被兩個未知套利機器人搶先交易了。
Balancer?流動性池兩次遭黑客閃電貸攻擊
6月29日,知名DeFi平臺Balancer流動性池遭黑客閃電貸攻擊,損失50萬美金。Balancer流動性池遭閃電貸攻擊,損失50萬美金,Balancer上遭遇損失的為STA和STONK兩個代幣池,目前這兩個代幣池的流動性已枯竭。6月30日,黑客再次利用dYdX的閃電貸攻擊了Balancer部分流動性礦池中的COMP交易對,將池子中未領取的COMP獎勵抽走,獲利10.8ETH,約合2408美金。
Vether(VETH)遭黑客攻擊
7月1日,VETH在去中心化交易所Uniswap遭遇黑客攻擊。黑客僅使用0.9ETH就盜走了919,299VETH(價值90萬美元)。攻擊事件發生后,VETH官方表示,「該合約被其放置在transferForm()中的UX改進所利用,這是我們的過錯。我們將重新部署vether4,并將補償所有受影響的Uniswap質押者。」
Opyn?看跌期權被外部參與者惡意利用
8月5日,鏈上期權平臺Opyn披露其以太坊看跌期權被外部參與者惡意利用。Opyn指出,除以太坊看跌期權外的所有其他Opyn合約均不受此漏洞的影響。攻擊者雙重利用oToken并竊取了看跌期權賣方的抵押資產。據Opyn統計,截至目前共有371,260枚USDC被盜。Opyn團隊根據ConvexityProtocol進行的白帽黑客攻擊,成功從未償付的保險庫中收回了439,170USDC,以進一步減輕損失。
DeFi項目YAM合約存在漏洞
8月13日,知名以太坊DeFi項目YAM官方通過Twitter發文表明發現合約中存在漏洞,24小時內價格暴跌99%,導致了治理合約被「永久破壞」,價值75萬美元的Curve代幣被鎖定而無法使用。
DeFi項目YFValue在YFV質押池中發現漏洞
8月25日,DeFi項目YFValue(YFV)官方發布公告稱,團隊于昨日在YFV質押池中發現一個漏洞,惡意參與者借此漏洞對質押中的YFV計時器單獨重置,1.7億美元資金存在被鎖定風險。目前已有一名惡意參與者正試圖以此漏洞勒索團隊。
主力成交數據復盤:638萬張主力買單確認15分鐘周期三角突破:AICoin PRO版K線主力成交數據顯示:BitMEX XBT永續合約在5月10日09:00~11日19:00的15分鐘周期中做三角形震蕩。
18:40,價格接近平臺上沿壓力線,并于18:41向上突破。期間,共計有5筆,共計638萬張主力買入;有2筆,共計200萬張主力賣出,成交差438萬張。較多的主力買入跟進可以判斷該周期的三角形突破為真突破。[2020/5/11]
EOS項目EMD跑路
9月9日,據慢霧區情報,EOS項目EMD疑似跑路。截至目前,項目合約emeraldmine1已向賬號sji111111111轉移78萬USDT、49萬EOS及5.6萬DFS,并有12.1萬EOS已經轉移到changenow洗幣平臺。當前損失總市值:2,468,838美金=17,281,866人民幣。
DeFi流動性挖礦項目「珊瑚」遭攻擊
9月10日,EOS生態DeFi流動性挖礦項目「珊瑚」的wRAM遭到黑客攻擊,損失逾12萬EOS。
Bantiample團隊砸盤套現跑路
9月19日,幣安智能鏈上的項目Bantiample團隊已砸盤套現3000個BNB跑路,團隊的主要開發者已經刪除Telegram賬號,項目代幣BMAP單日跌幅超過90%。
以太坊挖礦項目LVFinance項目跑路
9月20日,據慢霧區情報,以太坊挖礦項目LVFinance項目疑似跑路,不到一個小時已有400萬被轉走,該項目通過偽造虛假審計網站并提供虛假審計信息誘騙投資者進行投資,待一段時間后資金池內金額足夠大時進行跑路。目前,該項目網站lv.finance已無法訪問。
SushiSwap仿盤項目GemSwap跑路
9月26日,名為GemSwap的SushiSwap仿盤項目被曝跑路,LP被卷走。查詢發現,該項目在15點左右發布推特自曝其遭受了「whatitdobb」開發者的攻擊,據了解,該項目早些時候完成了流動性遷移,但發起攻擊的開發者在遷移之前就獲得了相關許可,能夠將流動池中的代幣取走,目前尚不清楚此次攻擊造成的具體損失。
Eminence(EMN)遭遇閃電貸攻擊
9月29日,yearn.finance創始人AndreCronje剛推出的游戲項目Eminence(ENM)遭遇閃電貸攻擊,黑客將800萬美元的資金返還給了yearn部署者合約。官方將重新分配受攻擊的800萬美元。
DeFiSaver交易所漏洞致31萬DAI被盜
10月8號,去中心化錢包imToken發推表示,用戶報告稱31萬枚DAI被盜,這與DeFiSaverExchange漏洞有關。DeFiSaver對此回應稱,被盜資金仍舊安全,正在聯系受害用戶。截至目前,資金已全部歸還受害用戶。
以太坊項目WLEO合約遭到黑客攻擊
10月11日,以太坊項目WLEO合約遭到黑客攻擊,導致價值4.2萬美元的資金被盜。黑客通過將向自己鑄造WLEO,并將其換成以太坊,從去中心化交易所Uniswap的池中竊取了以太坊。
Harvest.finance遭閃電貸攻擊,被巨額套利
10月26日,有用戶發現DeFi挖礦項目Harvest.finance被使用閃電貸功能實現了巨額套利。Harvest官方發推解釋稱,這次套利攻擊起源于一筆巨額閃電貸,并通過多次操縱CurveyPool的價格,以套取fUSDT、fUSDC的價差進而獲利。
主力數據復盤:主力此輪拉盤始于9500美元:AICoin PRO版K線主力數據指標顯示:
昨晚21:00-21:30間,火幣BTC現貨共有20筆,共計1999.87BTC主動買入大單成交,買入均價9485.79美元。
昨晚22:00-22:30間,OKEx BTC現貨共計有9筆,掛單量4563.12BTC的大額委托買單出現,最終成交2232.75BTC,買入均價9507.3美元。
今晨01:15-05:00,Bitstamp BTC現貨共計有2筆,掛買量為850.58BTC的大額委托買單出現,最終成交798BTC,買入均價9736.05美元。
可見,此輪主力拉升始于火幣、OKEx等有大量國內用戶平臺,價格在9500美元附近,此位置正是市場普遍認為的壓力位。Bitstamp凌晨跟上。?[2020/5/8]
SharkTron匿名開發者跑路
11月10日,基于Tron區塊鏈的DeFi項目、JustSwap白名單項目SharkTron的匿名開發者DanielWood跑路,盡管目前不清楚具體損失,但推特用戶報告稱損失了3.66億至4億枚TRX(價值約1000萬美元)。
Akropolis合約遭多次連續重入攻擊
11月13日,黑客利用Akropolis項目存在的存儲資產校驗缺陷,向合約發起連續多次的重入攻擊,致使Akropolis合約在沒有新資產注入的情況下,憑空增發了大量的pooltokens,進而再利用這些pooltokens從YCurve和sUSD池子中提取DAI,最終導致項目合約損失了203萬枚DAI。
ValueDeFi協議遭閃電貸攻擊
11月15日,ValueDeFi協議周六遭到了閃電貸攻擊。據悉,攻擊者從Aave協議借了80000ETH,執行了一次閃電貸攻擊,在DAI和USDC之間進行套利。攻擊者在利用740萬美元DAI后,向ValueDeFi退還了200萬美元,保留了540萬美元。隨后,ValueDeFi團隊發推證實其MultiStablesvault遭到了「一次復雜的攻擊,凈損失達600萬美元。
CheeseBank遭攻擊損失330萬美元
11月16日,基于以太坊的去中心化自治數字銀行平臺CheeseBank因黑客攻擊遭受了330萬美元的損失。黑客通過利用基于自動做市商(AMM)的預言機在dYdX、Uniswap等平臺上進行了一系列惡意借貸操作,共導致價值超330萬美元的損失,其中包括200萬美元的USDC。
OUSD遭閃電貸+重入攻擊
11月17日,DeFi協議OriginProtocol穩定幣OUSD遭到攻擊,攻擊者利用dYdX的閃電貸進行重入攻擊,造成價值770萬美元的ETH和DAI的損失。
PickleFinance未經審核的合約漏洞被利用
11月22日,曾被V神發推文贊賞的DeFi項目PickleFinance(酸黃瓜),因被黑客攻擊未經審核新創建的智能合約漏洞,損失近2000萬美元的DAI。
Compound?喂價錯誤致9000萬美元資產遭清算
11月26日,Compound9000萬美元資產遭清算。Debank創始人hongbo表示,此次Compound巨額清算事件其實是因預言機數據源CoinbasePro的DAI價格劇烈波動而導致,通過操控預言機所依賴的信息源可以實現短時間的價格操縱,以誤導鏈上價格。
SushiSwap遭到流動性提供者攻擊
復盤:兩條趨勢線突破均有主力買入成交確認:AICoin PRO版K線主力成交數據顯示:23日20:35~23日21:35,比特幣價格運行至4月19~23日四小時周期的下降趨勢線(7305-7189)以及4月7日~23日四小時周期的下降趨勢線(7475-7189)附近,并分別于20:35和21:35完成突破。
20:35第一條趨勢線突破,突破前后,有4筆,共計950萬美元主力買入成交;21:35第二條趨勢線突破,突破前后,有7筆,共計1003萬美元的主力買入成交。主力大單的迅速跟進確認了兩條下降趨勢線的突破。
隨后,不斷有大買單跟進說明了趨勢還在持續,直到22:25分出現一筆500萬美元的大賣單,趨勢告一段落。[2020/4/24]
11月30日,據慢霧區情報,以太坊AMM代幣兌換協議SushiSwap遭到流動性提供者攻擊,損失約1.5萬美元。
WarpFinance遭遇閃電貸攻擊
12月18日,流動性LP代幣抵押借貸DeFi協議WarpFinance遭遇閃電貸攻擊,約800萬美元被盜。后WarpFinance針對遭到的閃電貸攻擊發布聲明。據稱,閃電貸攻擊者最多可盜走價值770萬美元的穩定幣,不過WarpFinance團隊已擬定計劃來追回仍在抵押金庫中的價值約550萬美元的穩定幣,這550萬美元將按比例分給遭受損失的用戶。
Cover合約漏洞遭黑客攻擊
推特網友表示,由于獎勵合同中的一個漏洞,CoverProtocol損失了300萬美元。此外,鏈上數據顯示,已有攻擊者(0xf05Ca...943DF)利用Cover合約共增發了約1萬枚COVER,并且已將其換成了WBTC和DAI等資產。后區塊瀏覽器顯示,此前通過增發COVER獲利300萬美元的攻擊者(地址標簽為GrapFinance:Deployer)將4350枚ETH返還給標簽為YieldFarming.insure:Deployer的地址。CoverProtocol官方發推文宣布,將根據漏洞被濫用之前的快照提供全新的COVER代幣。并且攻擊者退還的4350ETH也將通過快照處理歸還給LP代幣持有者。
慢霧觀點
由于DeFi項目的火熱,針對DeFi項目的釣魚攻擊活動越來越頻繁,手法也越來越高級。投資者在進行項目投資時應注意項目風險,要注意平臺用的智能合約有沒有開源、平臺本身有沒有安全審計、智能合約有沒有問題,同時任何DeFi項目上線前都應該經過專業安全團隊的充分審計。
交易所安全事件
Altsbit交易所遭攻擊后關閉
2月5日,意大利加密貨幣交易所Altsbit存放熱錢包私鑰的服務器被入侵,導致損失了6.929個比特幣、23個ETH,以及其他數量的加密貨幣,隨后交易所宣布于5月8日關閉。
VBITEX交易所被入侵
2月17日,VBITEX交易平臺發布公告稱被黑客入侵,導致平臺數據被惡意篡改、虛擬資產被盜。
加密貨幣交易所Bisq被盜
4月9日,加密貨幣交易所Bisq被盜,攻擊者利用Bisq交易協議中的一個缺陷,針對單筆交易來竊取交易資金。7名受害者共損失3個BTC和4,000個XMR。
LMEX聯交所遭黑客入侵
5月27日,LMEX聯交所在社群發布關于交易所運營調整通知稱:平臺遭黑客入侵被盜損失了15萬枚USDT,致使平臺資不低債,目前已關閉充提。
加密貨幣交易所Cashaa被盜
主力大單跟蹤復盤:開多又平多 主力已完成短線操作:AICoin PRO版K線主力大單跟蹤顯示:3月9日全天,OKEx及火幣的季度合約總計有6筆千萬美元級別以上的買單成交,總成交金額超過7600萬美元。這一過程中,AI-PD-持倉差值為大正值,為主力開多。3月10日早上九點后,OKEx及火幣的季度合約總計有10筆千萬美元級別以上的賣單成交,這一過程中,AI-PD-持倉差值為大負值,為主力平多。數據表明,過去36小時,主力開多又平多,已完成短線操作。[2020/3/11]
7月12日,英國加密貨幣交易所Cashaa表示,黑客從其中一個錢包中竊取了超過336枚比特幣。目前,該交易所已停止所有與加密有關的交易。
西班牙加密貨幣支付應用2gether被盜
7月31日,西班牙加密貨幣支付應用2gether宣布被黑客盜取了140萬美元。
暗網市場EmpireMarket騙取資金后關閉運營
8月30日,著名暗網市場EmpireMarket已關閉運營,退出時該網站共騙取了130萬用戶的約2638枚比特幣,價值近3000萬美元。
歐洲交易所ETERBASE部分熱錢包被盜
9月8日,歐洲加密交易所ETERBASE遭遇黑客攻擊,導致部分熱錢包被盜,包括BTC、ETH及ERC-20代幣、XRP、TRX、XTZ和ALGO。損失逾500萬美元資產。其中,ETH和ERC-20代幣地址損失的資金最多,達約390萬美元,其次是XTZ地址,損失約47.1萬美元。
Kucoin交易所遭黑客攻擊
9月26日,Kucoin庫幣交易所遭到黑客攻擊,大量ETH和ERC20代幣被轉移,其中包括11,486枚以太坊、19,788,586枚USDT、525,405枚Gladius(GLA)、77,874枚Hawala(HAT)、21,660,274枚OceanToken(OCEAN)、8,893,428枚Chroma(CHR)、30,452,178枚Ampleforth(AMPL)、198,678,919枚AnkrNetwork(ANKR)等。此后,該黑客跑路資金遭到各個大交易所聯合封堵。
Liquid數據泄露
加密貨幣交易所Liquid首席執行官MikeKayamori在官網發布通知說,11月13日交易所發生了一起數據泄漏安全事件。管理一個核心域名的域名托管提供商錯誤地將該帳戶和域名的控制權轉移給了一個惡意入侵者,使其可以改變DNS記錄,進而控制大量的內部電子郵件帳戶,并且能夠部分破壞交易所的基礎設施并獲得存儲文檔的訪問權限。
英國交易所Exmo發生重大安全漏洞
12月21日,英國加密貨幣交易所Exmo發生重大安全漏洞,導致平臺已凍結所有提款。根據TheBlock的研究分析師的說法,Exmo似乎損失了1,050萬美元的資金。
俄羅斯交易平臺Livecoin遭攻擊
12月24日,俄羅斯加密貨幣交易平臺Livecoin遭遇黑客攻擊,平臺上的代幣價格已被操控。
慢霧觀點
交易所資金量巨大,很容易引來黑客的攻擊,一旦出現問題幾乎所有用戶都會受到影響,交易所應加大防范。同時。黑客也會惡意入侵交易所使其數據泄露借此獲利,平臺在早期架構設計時應做好所有安防措施,避免此類信息泄露事件的發生。此外還有一些平臺方暴雷跑路的惡意行為,畢竟在金錢面前,人性經不住考驗。
公鏈安全事件
BitcoinGold遭兩次51%攻擊
1月28日,BitcoinGold遭遇兩次51%算力攻擊,兩筆對交易所的充值交易均被撤銷,涉及約1900個BTG和5267個BTG,接近9萬美元。
Cocos-BCX映射錢包信息遭盜取
4月3日,Cocos-BCX經與交易所核實和內部調查,由于映射錢包信息遭惡意盜取,所以出現了資產丟失和惡意拋售。與交易所核實確認后,本次被盜取的代幣總額為1,087,522,819.2個COCOS,交易所確認該總額已被拋售完畢。
Filecoin?代碼漏洞可實現Filecoin無限增發
5月28日,石榴礦池技術人員發現Filecoin代碼中的嚴重漏洞,通過該漏洞可以實現Filecoin的無限增發。石榴礦池表示,為了證明漏洞的有效性,6Block旗下的三個礦工賬號t01043、t027999、t0234783通過該漏洞已實現16億Filecoin的增發,占據了Filecoin富豪榜前三名。
Ravencoin(RVN)區塊鏈存在漏洞
7月3日,CryptoScope團隊發現Ravencoin(RVN)區塊鏈存在漏洞,經過rvn首席開發團隊確認后已發布了緊急更新。據悉,該漏洞可生成額外的RVN,但是不會影響或控制已經存在的RVN資產。由于該漏洞造成了RVN總量比原計劃多出了1.5%,并且漏洞產生的RVN已經流入市場,因此無法進行回滾等操作。
ETC連遭三次大規模攻擊
8月1日,Bitfly發推稱,ETC區塊鏈在區塊高度10904146經歷了一次3693個區塊的鏈重組。這導致所有狀態修建節點停止同步。ETC鏈近6小時沒有出塊,隨后出塊恢復正常。8月6日,Bitfly官方發推稱,今日ETC又遭遇了一次大規模51%攻擊。攻擊已導致4000多個區塊發生重組。報告顯示,此次攻擊的發起者與第一次攻擊事件的發起者是同一名礦工。攻擊者從本次攻擊中獲利了至少168萬美元。8月30日,Bitfly官方發推稱,今日ETC又遭遇了一次大規模51%攻擊,導致7000多個區塊發生重組,相當于大約兩天的挖礦時間。所有丟失的區塊將從未到期的余額中移除,其將檢查所有支出以查找丟失的交易。
Chainlink?節點運營商遭垃圾郵件攻擊
9月5日,九個Chainlink節點運營商遭到所謂「垃圾郵件攻擊」,攻擊者從他們的「熱錢包」中獲取了大約700枚ETH。
Grin網絡遭51%攻擊
11月10日,Grin網絡最近遭受51%攻擊。一個未知實體在周六控制了超過57%的網絡算力。
Aeternity(AE)遭51%攻擊
12月8日,據Aeternity官方推特證實,Aeternity(AE)昨日遭到了黑客51%攻擊,據Aeternity社區核心成員披露,此次51%攻擊造成的損失超過3900萬枚AE代幣,官方團隊正在解決問題,此次受損的主要是交易所和礦池,交易所集中于OKEx、Gate、Binance。
慢霧觀點
公鏈一旦出現漏洞就會影響整個鏈,所以公鏈在上線前一定要經過專業的安全審計。建議公鏈團隊與可信且職業的安全團隊進行深入合作,部署因地制宜的安全建議,提升安全維度。
錢包安全事件
Electrum多次遭遇釣魚攻擊
1月19日,Electrum遭遇「釣魚」盜幣行為。8月30日,GitHub用戶」1400BitcoinStolen「表示其比特幣巨額款項消失在黑客攻擊中。該用戶使用的是比特幣錢包Electrum軟件,該用戶一直沒有安全更新此軟件,因此當他轉移比特幣時提示更新和修補潛在問題,但當他根據提示操作時,該軟件利用了一個漏洞連接了黑客的服務器,1400枚比特幣(價值1600萬美元)被存入了黑客的錢包。10月12日,ZDNet一項調查顯示,黑客通過引誘用戶安裝假軟件更新,從比特幣錢包Electrum的用戶那里竊取了2200萬美元。而該手法最高出現在2018年。而自兩年前首次發現這種攻擊以來,Electrum團隊已經采取了一些措施來防止這種攻擊。但這種攻擊仍然適用于使用舊版本應用程序的用戶。
IOTA官方錢包應用Trinity出現漏洞
2月12日,黑客利用IOTA官方錢包應用Trinity的漏洞竊取資金,官方之后宣布關閉整個網絡。
EtherCrash冷錢包被盜
10月30日,網絡犯罪情報公司HudsonRock首席技術官AlonGal發推表示,10月27日,自稱「以太坊最成熟、規模最大的菠菜游戲」EtherCrash「冷錢包被盜,損失約250萬美元,疑似為內部人員所為。
Ledger遭數據泄露
12月21日,包含270,000多個Ledger客戶個人信息的數據庫在RaidForums上泄漏,這些被泄露的信息包括Ledger硬件錢包購買者的電子郵件、實際地址和電話號碼。RaidForums是一個買賣、共享和共享被黑信息的市場。此次被泄漏的Ledger信息是由今年6月遭受數據泄露導致,包含超過100萬Ledger客戶的電子郵件。LedgerCEO隨后表示不會為遭到數據泄露的用戶提供補償。
慢霧觀點
用戶在選擇錢包時盡量選擇國際知名、一流的錢包,同時注意看錢包App的代碼是否開源、代碼是否經過安全審計、團隊內是否有CSO或安全負責人,這些都可能影響到錢包不斷迭代、升級過程中的安全是否有保障。同時,作為用戶一定要從錢包的官網下載App,避免誤入釣魚網站下載到被植入了后門的錢包App。
其他類型安全事件
SIM卡被黑導致被盜
2月22日,BitcoinBuilder創始人、Mt.Gox第二大債權人JoshJonesSIM卡被黑,導致價值$45,000,000的數字貨幣被盜。
TridentCryptoFund被攻擊致數據泄露
3月5日,加密基金TridentCryptoFund遭黑客攻擊,26.6萬名用戶數據被泄露。
加密貨幣挖礦組織BitClubNetwork電信欺詐
7月10日,根據美國新澤西州聯邦檢察局發布的公告顯示,程序員SilviuCatalinBalaci承認參與建立了加密貨幣挖礦組織BitClubNetwork,并進行電信欺詐,出售未經注冊的證券。Balaci確認,在該計劃實施的五年過程中,BitClub從投資者手中共騙取至少7.22億美元的比特幣。
多個推特賬號被黑
7月16日凌晨,多位名人政要以及一些公司的推特賬號被黑客襲擊,這些推特賬戶都發布了相關的數字貨幣釣魚騙局信息。不過,這些釣魚信息在發布幾分鐘后就被刪除。截至目前,詐騙者共收到12.86枚比特幣。
CWT被劫持并同意支付比特幣
8月1日,美國第五大旅游公司CWT同意向劫持其計算機系統的黑客支付價值450萬美元的比特幣。
以色列無線芯片和攝像頭傳感器制造商遭勒索軟件攻擊
9月7日,黑客向以色列納斯達克上市無線芯片和攝像頭傳感器制造商TowerSemiconductorLtd(TSEM)進行勒索軟件攻擊,并索要數十萬美元比特幣贖金。為了安全起見,TSEM關閉了一些正在運行的服務器,并暫停了部分工廠的生產。
富士康遭勒索軟件攻擊
12月8日,富士康遭到了勒索軟件的攻擊,短暫地導致其在墨西哥的生產設施出現問題,并導致數據被盜。對此,富士康回應稱,其美洲工廠近日確實遭受網絡勒索病攻擊,目前其內部資安團隊已完成軟件以及作業系統安全性更新,同時提高了資安防護層級。同時,受影響的廠區的正在恢復網絡,對集團整體營運影響不大。
DeFi保險協議NexusMutual創始人個人地址被攻擊
12月14日,DeFi保險協議NexusMutual在推特上表示,其創始人HughKarp的個人地址被一位平臺用戶攻擊,被盜37萬NXM,損失超過800萬美元。官方表示這是一次具有針對性的攻擊,只有Karp的地址收到影響,NexusMutual或其他成員沒有后續風險。官方稱,Karp使用的是硬件錢包,攻擊者獲得了對他電腦的遠程訪問權限,并修改了錢包插件MetaMask,欺騙他簽署了交易,將資金轉移到攻擊者自己的地址。
OneCoin加密貨幣龐氏騙局
12月14日,阿根廷科爾多瓦市檢察院起訴了涉及OneCoin加密貨幣龐氏騙局案件的12名詐騙者,并于上周四下令逮捕,目前其中八人已被捕。此前報道,OneCoin龐氏騙局使相關投資者在從2014年4月至2018年3月期間因投資該項目遭受了共44億美元的財務損失。
慢霧觀點
最近市場變熱,隨之而來的是勒索、詐騙、傳銷、釣魚事件層出不窮。針對平臺或個人的各類攻擊形勢嚴峻,目前已經造成大量個人百萬到千萬級別的損失!請大家務必提高警惕,加強自身安全意識,務必開啟二次認證(短信或GA,不推薦使用郵箱驗證碼),謹慎保管好各類私密信息。
2020年是跌宕起伏的一年,疫情黑天鵝、比特幣從3.12事件低谷恢復并于近期漲至接近歷史高點、流動性挖礦DeFi繁榮增長并快速落地等。區塊鏈既是未知的,又是充滿可能性的,希望區塊鏈新的一年能迸發出更大的能量,創造出更多元化的產業。慢霧也將不負各位的期待,繼續為區塊鏈生態安全保駕護航!
區塊鏈
加密貨幣
安全問題
DeFi項目
文章作者:慢霧科技
我要糾錯
聲明:本文由入駐金色財經的作者撰寫,觀點僅代表作者本人,絕不代表金色財經贊同其觀點或證實其描述。
提示:投資有風險,入市須謹慎。本資訊不作為投資理財建議。
金色財經>區塊鏈>復盤2020DeFi、交易所和公鏈領域安全與隱私大事件
萬字解讀美國最新加密金融監管格局提升從業者2021年“生存幾率” Odaily 剛剛 18 到了2021年,幾乎沒人會再質疑“美國對加密行業的監管積極性與影響力遠超其他國家”這一事實.
1900/1/1 0:00:00去中心化金融是什么?它從何而來?2020年DeFi領域有什么值得回味的事情?它的未來將何去何從?您將在這里找到上述問題的答案。 讓我們先從頭說起.
1900/1/1 0:00:00觀點:比特幣牛市和DeFi夏天中加密領域還悄然發生了NFT革命 巴比特資訊 剛剛 13 2020年,當比特幣的牛市和DeFi的夏天成為幣圈頭條大新聞時.
1900/1/1 0:00:00金色財經1月13日消息,拜登將任命前美國商品期貨交易委員會主席GaryGensler擔任美國證交會(SEC)主席。據知情人士稱,該提名將在“未來幾天內”進行.
1900/1/1 0:00:00比特幣 目前,比特幣被下圖所示的趨勢線所支撐,在30,000美元找到支撐。30,000美元區域是最近一次沖動走勢的0.618斐波那契回撤位,與R1PP并列,如下圖所示.
1900/1/1 0:00:00為DeFi注入新鮮血液看Stacks2.0解鎖原生比特幣的巨大價值區塊律動BlockBeats 46分鐘前 1.1萬 新年伊始,回望剛剛過去的2020年.
1900/1/1 0:00:00