密码货币的世界是前所未有地凶险,让人很难视而不见。在详细列出这些安全事件之前,先来看看我们为了行业的安全做了什么贡献?
在2021年上半年,我们:
放出了新版的MyCrypto,提高了用户体验,让用户能更容易、更直接地?使用?和监控自己的密码学货币
披露了滥用ERC20授权方法来偷窃用户资产的恶意项目
拓展了我们的业务范围,帮助遭遇了清道夫机器人的用户取回质押的资产
出版了一份帮助用户提高MyCrypto隐私体验的指南
在NFT市场爆发时,我们也推出了针对NFT买家的反教育材料
与?CryptoScamDB?继续我们的反、反钓鱼活动
提高整个行业的意识和防止、攻击都是任重道远,但我们在坚持。
我们先来深入了解下行业的整体态势,看看我们是否从2020年学到了教训,是否有所提升。
以下是2021年第一第二季度的主要安全事件清单。我们不会列出所有的跑路及类似事件,因为太多了,实在是数也数不清……
2021年第一季度出现了一些有趣的事件,从整个协议的突然停摆到DeFi合约被黑,再到黑客被捕,都有。我们也看到了完全针对个人的攻击,这让整个行业感到震惊,因为这些坏人可能为了一笔钱而不择手段。
与去年相比,第一季度的密码货币交易所被黑事件有所减少。这既是因为黑客的注意力都在别的地方,也是因为交易所已经从去年的失败中学到了教训、调整了安全控制。
故事:Yearn被盗1100万美元
摘要:最大/最老牌的自动化流动性挖矿协议之一,Yearn,其某个v1金库遭遇爆破,被盗金额总计1100万美元,而金库的用户遭遇了280万美元的直接损失。Yearn团队在10分14秒内成功地缓解了此次爆破,包括Tether冻结了170万USDT来防止攻击者转移资产。
故事:DMMDAO因SEC调查而停摆
摘要:DMMDAO是一个使用Chainlink信息传输机制把现实世界资产搬到链上的DAO,因为美国证监会对他们的调查而停止了运营。
故事:Blockfolio遭到劫持后输出了带有攻击性的内容
摘要:今年2月,一名恶意人士获得了Blockfolio所用的内容推送系统的权限,然后向所有的Blockfolio用户推送了带有攻击性的内容。不久之后,SBF确认并解释了此事,然后他们把责任推到了竞争对手身上,声称“恶意内容乃是我们的交易所同行炮制和发布的”。
故事:T-Mobile因用户遭遇SIM攻击损失价值45万美元的比特币而遭起诉
摘要:SIM卡被盗在密码货币的世界里太常见了!这个受害人在因为SIM卡被盗而损失了15个比特币之后,起诉了其通信服务商。
故事:DeFi协议CreamFinanceAlpha版遭遇闪电贷攻击,损失了3750万美元
摘要:一次巧妙的闪电贷攻击让操作者得以吸干AlphaFinance的金库合约。FrankResearcher以长推特的形式披露了整个事件。不久之后,AlphaFinance暗示,他们知道攻击者是谁。
故事:一个MetaMask实例的本地漏洞导致800万美元被盗
摘要:这件事情警醒了整个社区盲目信任一个UI的危险性,也学会了接收你曾经认为可信的东西有一天也可能变得不安全。这份事后报告展示了一个攻击者想通过劫持你的电脑来获得你的资金时有多么努力。在检查了恶意行为之后,我们确信,这是经过“深思熟虑”的。
故事:Roll被盗3000ETH/570万美元
摘要:一个发行社交代币的平台Roll遭遇了一个事故,一个热钱包的私钥被劫持,而攻击者把所有的社交代币都卖成了ETH并把ETH通过TornadoCash迁移到了另一个地址。
故事:Twitter黑客认罪,被判三年
摘要:去年推特上出现了一次大规模的账户被黑事件,许多高价值账户被推特的内部工具发布消息,为局推波助澜。一年不到,这个黑客——只有18岁——就被捕并且判了刑。
故事:Filecoin在币安上被多重花费——涉及460万美元
摘要:据开发者披露,币安交易所会把一笔合法的存款处理两次,并在链下计入双倍的金额。这个错误是因为FilecoinRPC代码里面的一个bug而导致的。
故事:GitHubActions被主动滥用在GitHub服务器上挖矿
摘要:GitHub允许服务器运行代码,以帮助测试。一些别有用心的人就利用这个的服务器来挖矿——他们完全没有电力支出和维护费用,纯赚区块奖励。
故事:xFORCE被白帽子攻破
摘要:xFORCE合约没有严格遵循ERC20标准,这让他们的存入机制出了一个漏洞,而存入机制与xFORCE代币铸造是绑定的。只要你拥有xFORCE代币,你就可以取出FORCE代币。
故事:验证者从Stellar网络掉线
摘要:因为一个软件上的bug,Stellar网络上的一组验证者突然掉线,导致事务处理中断了。在10多个小时后,问题根源找出并且得到了修复,而验证者们也回到了线上。
故事:针对Legder和Shopify在2020年泄露用户数据的集体诉讼
摘要:在2020年,一个包含大约30万Ledger客户记录的数据库出现在了一个叫做RaidForums的论坛上并且是免费下载。在2021年4月6日,一些人发起了一项集体诉讼。
故事:更多地址因为转移USDC而上了黑名单
摘要:尽管这种情况不多,但Circle发布了7个以上的黑名单。这些地址里的USDC因此可以被充公,Circle也可以防止用户使用这些币。这是因为美国金融局把这些地址加入了OFEC的SDN名单。
故事:规模达到20亿美元的局,土耳其交易所Thodex关停,遭到用户抗议
摘要:一家土耳其的交易所突然停止服务。据猜测,其CEO携带交易所的私钥逃到了泰国。此后,一份声明取代了Thodx的主页,详细说明了他们正在跟商业伙伴谈判以及一次攻击修改了tameness的一些后端数据。他们也声称,媒体关于20亿美元的数字是错的,实际的数额要低得多。
故事:UraniumFinance迁移活动遭爆破,潜在损失500万美元
摘要:在UraniumFinance变更交易手续费率的过程中出了一个数学错误,导致了一个意料之外的计算错误,影响到了实际的交易手续费率。合约中的一个字符导致智能合约的健全性检查的余额检查被利用,UraniumFinance的储备金被吸干。
故事:美国司法部门承认逮捕了RomanSterlingov
摘要:BitcoinFog是一个流行的混币器,可以为比特币交易添加一些模糊性。据称,BitcoinFog在过去的10年里赚到了约120万btc。
故事:xTokenMarket流动性池子被吸干,损失2500万美元
摘要:又是一次聪明的闪电贷攻击,攻击者吸干了xTokenMarket的流动性池子,办法是操纵SNX和BNT在多个DEX的价格。攻击者是使用叫做“Flashbots”的MEV软件发动的攻击。
故事:DeFi100携带3200万美元跑路
摘要:一个DeFi协议用公开的消息嘲讽用户并表示自己要跑路:“我们了你!而你什么也做不了!”第二天,他们发布了一份声明,表示他们没有跑路,并且把网站恢复到了先前的状态。
故事:针对Ledger的实体钓鱼活动
摘要:在2020年的数据泄露和2021年初对Ledger的集体诉讼之后,用户开始报告更多试图窃取用户密钥的实体钓鱼活动。有人向他们的收件地址快递了经过修改的设备。
故事:IronFinance遭遇挤兑,代币价格在24小时之内从60美元跌到零
摘要:根据一份正式的声明,挤兑始于一些大户从IRON/USDC池子中撤出流动性并卖出$TITAN->$IRON->$USDC,而不赎回IRON,导致后者的价格脱锚。
故事:对THORChain的第一次已知的恶意攻击
摘要:因为用于处理重复符号的逻辑中有个bug,一次攻击导致THORChain损失了14万美元。网络被节点中断,在6个小时后打上了补丁并恢复了功能。THORChain很快知晓了这次攻击,并声称他们会全额补偿损失。
观察
如果我们比较在2020年观察到的情形,似乎整个行业还是有很大的提升空间,甚至可能永远都有。我们需要持续教育大家关于DeFi“梭哈”、DeFiadminkey、钓鱼的风险,以及把你的资产存入中心化交易所的固有风险。
比较2020年上半年的情形,我们可以看到,中心化交易所和他们的安全性确实进步了,至少爆出来在他们的基础设施上发生的黑客事件变少了。这是一件好事,但也提出了一个问题:那些坏蛋都把心思放哪里去了?一个简单并且可能也是合理的猜测是,他们把注意力转向了DeFi协议,并混进了社区,搞起了容易的跑路,毕竟这没有太高的技术门槛,而获利却非常可观。
我们也看到了人们对NFT的兴趣正在兴起,包括那些大名鼎鼎的公司也在接收NFT。我们可以预言,会有一些残酷的NFT抢劫——不是正在发生,就是没有爆出来。
希望2021年剩下的时间能风平浪静!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。