密碼貨幣的世界是前所未有地兇險,讓人很難視而不見。在詳細列出這些安全事件之前,先來看看我們為了行業的安全做了什么貢獻?
在2021年上半年,我們:
放出了新版的MyCrypto,提高了用戶體驗,讓用戶能更容易、更直接地?使用?和監控自己的密碼學貨幣
披露了濫用ERC20授權方法來偷竊用戶資產的惡意項目
拓展了我們的業務范圍,幫助遭遇了清道夫機器人的用戶取回質押的資產
出版了一份幫助用戶提高MyCrypto隱私體驗的指南
在NFT市場爆發時,我們也推出了針對NFT買家的反詐騙教育材料
與?CryptoScamDB?繼續我們的反詐騙、反釣魚活動
提高整個行業的意識和防止詐騙、攻擊都是任重道遠,但我們在堅持。
我們先來深入了解下行業的整體態勢,看看我們是否從2020年學到了教訓,是否有所提升。
以下是2021年第一第二季度的主要安全事件清單。我們不會列出所有的跑路及類似事件,因為太多了,實在是數也數不清……
2021年比特幣將耗電95.68 TW/h,為巴基斯坦耗電量的80%:9月20日消息,根據劍橋比特幣電力消費指數,到今年年底,世界頂級加密貨幣比特幣將消耗約95.68 TWh(太瓦時,或每小時一萬億瓦)。這與菲律賓的電力消耗大致相同。巴基斯坦每年的電力消耗略高于每小時120太瓦。而據彭博社報道,到今年年底,比特幣網絡將消耗91 TW/h,超過了2020年的67 TW/h。(pakobserver)[2021/9/20 23:38:04]
2021年第一季度出現了一些有趣的事件,從整個協議的突然停擺到DeFi合約被黑,再到黑客被捕,都有。我們也看到了完全針對個人的攻擊,這讓整個行業感到震驚,因為這些壞人可能為了一筆錢而不擇手段。
與去年相比,第一季度的密碼貨幣交易所被黑事件有所減少。這既是因為黑客的注意力都在別的地方,也是因為交易所已經從去年的失敗中學到了教訓、調整了安全控制。
故事:Yearn被盜1100萬美元
摘要:最大/最老牌的自動化流動性挖礦協議之一,Yearn,其某個v1金庫遭遇爆破,被盜金額總計1100萬美元,而金庫的用戶遭遇了280萬美元的直接損失。Yearn團隊在10分14秒內成功地緩解了此次爆破,包括Tether凍結了170萬USDT來防止攻擊者轉移資產。
報告:比特幣價格上漲引發的網絡攻擊自2020年10月以來激增近200%:根據最新研究,比特幣引發的網絡攻擊自2020年10月以來激增近200%。Barracuda Networks的最新分析發現,在過去8個月比特幣需求不斷增長和價格不斷上漲的情況下,旨在竊取受害者比特幣的仿冒釣魚和商業電子郵件泄露攻擊,在2020年10月至2021年5月之間激增了192%。(Security Brief)[2021/6/29 0:13:44]
故事:DMMDAO因SEC調查而停擺
摘要:DMMDAO是一個使用Chainlink信息傳輸機制把現實世界資產搬到鏈上的DAO,因為美國證監會對他們的調查而停止了運營。
故事:Blockfolio遭到劫持后輸出了帶有攻擊性的內容
摘要:今年2月,一名惡意人士獲得了Blockfolio所用的內容推送系統的權限,然后向所有的Blockfolio用戶推送了帶有攻擊性的內容。不久之后,SBF確認并解釋了此事,然后他們把責任推到了競爭對手身上,聲稱“惡意內容乃是我們的交易所同行炮制和發布的”。
故事:T-Mobile因用戶遭遇SIM攻擊損失價值45萬美元的比特幣而遭起訴
摘要:SIM卡被盜在密碼貨幣的世界里太常見了!這個受害人在因為SIM卡被盜而損失了15個比特幣之后,起訴了其通信服務商。
報告:2020年DeFi攻擊事件造成損失逾2.5億美元:據《派盾2020年年度數字貨幣反洗錢報告》顯示,DeFi攻擊事件達到60起,損失逾2.5億美元。其中,有?少10起為閃電貸攻擊,包括bZx、Balancer、Harvest、Akropolis、CheeseBank、ValueDeFi和OriginProtocol等多個DeFi項目遭到攻擊,至少5起為重入攻擊,包括Uniswap、Lendf.Me、Sushiswap、Akropolis、OriginProtocol。[2021/1/14 16:10:00]
故事:DeFi協議CreamFinanceAlpha版遭遇閃電貸攻擊,損失了3750萬美元
摘要:一次巧妙的閃電貸攻擊讓操作者得以吸干AlphaFinance的金庫合約。FrankResearcher以長推特的形式披露了整個事件。不久之后,AlphaFinance暗示,他們知道攻擊者是誰。
故事:一個MetaMask實例的本地漏洞導致800萬美元被盜
摘要:這件事情警醒了整個社區盲目信任一個UI的危險性,也學會了接收你曾經認為可信的東西有一天也可能變得不安全。這份事后報告展示了一個攻擊者想通過劫持你的電腦來獲得你的資金時有多么努力。在檢查了惡意行為之后,我們確信,這是經過“深思熟慮”的。
《浙江省區塊鏈技術和產業發展規劃(2020-2025)》向社會公開征求意見:根據浙江省委網信辦等12部門《關于印發〈浙江省推進區塊鏈技術應用和發展的實施意見〉的通知》,經廣泛調研,省經信廳會同省委網信辦、省發展改革委共同起草了《浙江省區塊鏈技術和產業發展規劃(2020-2025)》,現面向社會公開征求意見。征求意見期限為2020年11月23日至2020年11月29日。草案提出,當前主要任務為加快核心應用技術突破、推進區塊鏈基礎設施建設、推動數字經濟創新發展、促進數字社會全面發展、推進數字政府深入發展、加快標準規范體系建設、推進人才培養體系建設以及完善區塊產業生態。(浙江省經濟和信息化廳)[2020/11/28 22:24:10]
故事:Roll被盜3000ETH/570萬美元
摘要:一個發行社交代幣的平臺Roll遭遇了一個事故,一個熱錢包的私鑰被劫持,而攻擊者把所有的社交代幣都賣成了ETH并把ETH通過TornadoCash遷移到了另一個地址。
故事:Twitter黑客認罪,被判三年
摘要:去年推特上出現了一次大規模的賬戶被黑事件,許多高價值賬戶被推特的內部工具發布消息,為騙局推波助瀾。一年不到,這個黑客——只有18歲——就被捕并且判了刑。
Kleiman訴CSW一案已推遲至2021年1月4日開庭審理:9月4日消息,佛羅里達州南部地區法院已批準推遲CSW和Dave Kleiman訴訟案的動議,該訴訟案將于2021年1月4日開庭審理。(Decrypt)[2020/9/4]
故事:Filecoin在幣安上被多重花費——涉及460萬美元
摘要:據開發者披露,幣安交易所會把一筆合法的存款處理兩次,并在鏈下計入雙倍的金額。這個錯誤是因為FilecoinRPC代碼里面的一個bug而導致的。
故事:GitHubActions被主動濫用在GitHub服務器上挖礦
摘要:GitHub允許服務器運行代碼,以幫助測試。一些別有用心的人就利用這個的服務器來挖礦——他們完全沒有電力支出和維護費用,純賺區塊獎勵。
故事:xFORCE被白帽子攻破
摘要:xFORCE合約沒有嚴格遵循ERC20標準,這讓他們的存入機制出了一個漏洞,而存入機制與xFORCE代幣鑄造是綁定的。只要你擁有xFORCE代幣,你就可以取出FORCE代幣。
故事:驗證者從Stellar網絡掉線
摘要:因為一個軟件上的bug,Stellar網絡上的一組驗證者突然掉線,導致事務處理中斷了。在10多個小時后,問題根源找出并且得到了修復,而驗證者們也回到了線上。
故事:針對Legder和Shopify在2020年泄露用戶數據的集體訴訟
摘要:在2020年,一個包含大約30萬Ledger客戶記錄的數據庫出現在了一個叫做RaidForums的論壇上并且是免費下載。在2021年4月6日,一些人發起了一項集體訴訟。
故事:更多地址因為轉移USDC而上了黑名單
摘要:盡管這種情況不多,但Circle發布了7個以上的黑名單。這些地址里的USDC因此可以被充公,Circle也可以防止用戶使用這些幣。這是因為美國金融局把這些地址加入了OFEC的SDN名單。
故事:規模達到20億美元的騙局,土耳其交易所Thodex關停,遭到用戶抗議
摘要:一家土耳其的交易所突然停止服務。據猜測,其CEO攜帶交易所的私鑰逃到了泰國。此后,一份聲明取代了Thodx的主頁,詳細說明了他們正在跟商業伙伴談判以及一次攻擊修改了tameness的一些后端數據。他們也聲稱,媒體關于20億美元的數字是錯的,實際的數額要低得多。
故事:UraniumFinance遷移活動遭爆破,潛在損失500萬美元
摘要:在UraniumFinance變更交易手續費率的過程中出了一個數學錯誤,導致了一個意料之外的計算錯誤,影響到了實際的交易手續費率。合約中的一個字符導致智能合約的健全性檢查的余額檢查被利用,UraniumFinance的儲備金被吸干。
故事:美國司法部門承認逮捕了RomanSterlingov
摘要:BitcoinFog是一個流行的混幣器,可以為比特幣交易添加一些模糊性。據稱,BitcoinFog在過去的10年里賺到了約120萬btc。
故事:xTokenMarket流動性池子被吸干,損失2500萬美元
摘要:又是一次聰明的閃電貸攻擊,攻擊者吸干了xTokenMarket的流動性池子,辦法是操縱SNX和BNT在多個DEX的價格。攻擊者是使用叫做“Flashbots”的MEV軟件發動的攻擊。
故事:DeFi100攜帶3200萬美元跑路
摘要:一個DeFi協議用公開的消息嘲諷用戶并表示自己要跑路:“我們騙了你!而你什么也做不了!”第二天,他們發布了一份聲明,表示他們沒有跑路,并且把網站恢復到了先前的狀態。
故事:針對Ledger的實體釣魚活動
摘要:在2020年的數據泄露和2021年初對Ledger的集體訴訟之后,用戶開始報告更多試圖竊取用戶密鑰的實體釣魚活動。有人向他們的收件地址快遞了經過修改的設備。
故事:IronFinance遭遇擠兌,代幣價格在24小時之內從60美元跌到零
摘要:根據一份正式的聲明,擠兌始于一些大戶從IRON/USDC池子中撤出流動性并賣出$TITAN->$IRON->$USDC,而不贖回IRON,導致后者的價格脫錨。
故事:對THORChain的第一次已知的惡意攻擊
摘要:因為用于處理重復符號的邏輯中有個bug,一次攻擊導致THORChain損失了14萬美元。網絡被節點中斷,在6個小時后打上了補丁并恢復了功能。THORChain很快知曉了這次攻擊,并聲稱他們會全額補償損失。
觀察
如果我們比較在2020年觀察到的情形,似乎整個行業還是有很大的提升空間,甚至可能永遠都有。我們需要持續教育大家關于DeFi“梭哈”、DeFiadminkey、釣魚的風險,以及把你的資產存入中心化交易所的固有風險。
比較2020年上半年的情形,我們可以看到,中心化交易所和他們的安全性確實進步了,至少爆出來在他們的基礎設施上發生的黑客事件變少了。這是一件好事,但也提出了一個問題:那些壞蛋都把心思放哪里去了?一個簡單并且可能也是合理的猜測是,他們把注意力轉向了DeFi協議,并混進了社區,搞起了容易的跑路,畢竟這沒有太高的技術門檻,而獲利卻非常可觀。
我們也看到了人們對NFT的興趣正在興起,包括那些大名鼎鼎的公司也在接收NFT。我們可以預言,會有一些殘酷的NFT搶劫——不是正在發生,就是沒有爆出來。
希望2021年剩下的時間能風平浪靜!
Tags:DEF比特幣DEFIEFIDefiville泰達幣和比特幣區別是什么意思PhoenixDefiSwap99DEFI幣
沒有人比TimBeiko更了解以太坊網絡升級。作為以太坊基金會的一名開發人員,Beiko負責主持核心開發人員會議,并在即將到來的倫敦硬分叉中發揮作用.
1900/1/1 0:00:00懷俄明州夏安市/ACCESSWIRE/2021年6月30日/ZEXPRWIRE:在過去的一年里,去中心化金融和整個區塊鏈生態系統的活動越來越多.
1900/1/1 0:00:00DeFi數據 1.DeFi總市值:717.44億美元 市值前十幣種排名數據來源DeFiboxDeFi總市值數據來源:Coingecko2.過去24小時去中心化交易所的交易量:25.
1900/1/1 0:00:007月14日,合肥在線發布了《我省全面清理關停虛擬貨幣挖礦項目》的文章。文中提及,未來三年,全省電力供需形勢嚴峻,存在較大的供應保障缺口.
1900/1/1 0:00:00金色財經報道,7月5日,GoldBeechCapital創始人NoahGoldberg在推特上表示.
1900/1/1 0:00:00你眼中的真實是什么? 柏拉圖在兩千年之前的「洞穴之喻」里就給了我們非常精彩的解釋。被束縛手腳的囚徒們從小只能看見物體通過火炬投影在壁穴里的影子,故而認為影子是現實生活中唯一真實的事物.
1900/1/1 0:00:00