密码货币的世界是前所未有地凶险,让人很难视而不见。在详细列出这些安全事件之前,先来看看我们为了行业的安全做了什么贡献?
在2021年上半年,我们:
放出了新版的MyCrypto,提高了用户体验,让用户能更容易、更直接地?使用?和监控自己的密码学货币
披露了滥用ERC20授权方法来偷窃用户资产的恶意项目
拓展了我们的业务范围,帮助遭遇了清道夫机器人的用户取回质押的资产
出版了一份帮助用户提高MyCrypto隐私体验的指南
在NFT市场爆发时,我们也推出了针对NFT买家的反教育材料
与?CryptoScamDB?继续我们的反、反钓鱼活动
提高整个行业的意识和防止、攻击都是任重道远,但我们在坚持。
我们先来深入了解下行业的整体态势,看看我们是否从2020年学到了教训,是否有所提升。
以下是2021年第一第二季度的主要安全事件清单。我们不会列出所有的跑路及类似事件,因为太多了,实在是数也数不清……
比特币ASIC矿机价格已跌至2020年以来最低水平:金色财经报道,根据Hashrate Index的最新数据,38J/ TH的效率最高的ASIC矿机,其价格从2021年5月7日每TH的价格从119.25美元的峰值下降到12月25日的15.71美元,下跌了86.82%。
此外,68J/ TH的效率最低的矿机,现在的价格是4.72美元,比最高峰值52.85美元下降了91%。上一次接近这一价格是在2020年11月5日左右。[2022/12/27 22:10:26]
2021年第一季度出现了一些有趣的事件,从整个协议的突然停摆到DeFi合约被黑,再到黑客被捕,都有。我们也看到了完全针对个人的攻击,这让整个行业感到震惊,因为这些坏人可能为了一笔钱而不择手段。
与去年相比,第一季度的密码货币交易所被黑事件有所减少。这既是因为黑客的注意力都在别的地方,也是因为交易所已经从去年的失败中学到了教训、调整了安全控制。
故事:Yearn被盗1100万美元
摘要:最大/最老牌的自动化流动性挖矿协议之一,Yearn,其某个v1金库遭遇爆破,被盗金额总计1100万美元,而金库的用户遭遇了280万美元的直接损失。Yearn团队在10分14秒内成功地缓解了此次爆破,包括Tether冻结了170万USDT来防止攻击者转移资产。
SBF父母自2023年起将不在斯坦福大学任教:金色财经报道,前FTX首席执行官Sam Bankman-Fried(SBF)的父母将从2023年开始不在斯坦福大学任教。
据悉,SBF父亲Joseph Bankman自1988年以来一直在斯坦福大学法学院任教,他原计划在该校继续教授税收政策法律课程,但据相关公告显示该课程已取消;SBF母亲Barbara Fried也是斯坦福大学的法学教授,自1987年以来一直在该校任教,目前已经没有出现在斯坦福大学的讲师名单中,不过Barbara Fried表示她离开斯坦福“与其他任何事情无关”。(sfstandard)[2022/12/9 21:33:34]
故事:DMMDAO因SEC调查而停摆
摘要:DMMDAO是一个使用Chainlink信息传输机制把现实世界资产搬到链上的DAO,因为美国证监会对他们的调查而停止了运营。
故事:Blockfolio遭到劫持后输出了带有攻击性的内容
摘要:今年2月,一名恶意人士获得了Blockfolio所用的内容推送系统的权限,然后向所有的Blockfolio用户推送了带有攻击性的内容。不久之后,SBF确认并解释了此事,然后他们把责任推到了竞争对手身上,声称“恶意内容乃是我们的交易所同行炮制和发布的”。
WBTC月供应量下降12.44%,总供应量回到2021年9月的水平:11月28日消息,Dune Analytics数据显示,本月Wrapped BTC(WBTC)供应量下降 27,398 枚(-12.57%),为有史以来最大降幅。总供应量回到2021年9月的水平(共217981枚)。WBTC市值回到2021年1月的水平。目前 Kraken 上 WBTC/BTC 比率为 0.98。
此前BitGo创始人表示,链上储备证明显示,WBTC由1:1的比特币储备支持。因担心Alameda Research破产风险,Euler Finance社区新提案提议将WBTC喂价从BTC换成WBTC。[2022/11/28 21:07:00]
故事:T-Mobile因用户遭遇SIM攻击损失价值45万美元的比特币而遭起诉
摘要:SIM卡被盗在密码货币的世界里太常见了!这个受害人在因为SIM卡被盗而损失了15个比特币之后,起诉了其通信服务商。
故事:DeFi协议CreamFinanceAlpha版遭遇闪电贷攻击,损失了3750万美元
摘要:一次巧妙的闪电贷攻击让操作者得以吸干AlphaFinance的金库合约。FrankResearcher以长推特的形式披露了整个事件。不久之后,AlphaFinance暗示,他们知道攻击者是谁。
eToro截至2020年年底的收入达到6亿美元:金色财经报道,社交交易平台eToro截至2020年底的总收入达到了6亿美元,总交易量激增40%,达到1.5万亿美元。据悉,eToro为新手交易者提供外汇、商品和股票市场的交易。在2019年,该平台通过推出加密货币交易所扩展至数字资产。[2021/1/27 13:37:03]
故事:一个MetaMask实例的本地漏洞导致800万美元被盗
摘要:这件事情警醒了整个社区盲目信任一个UI的危险性,也学会了接收你曾经认为可信的东西有一天也可能变得不安全。这份事后报告展示了一个攻击者想通过劫持你的电脑来获得你的资金时有多么努力。在检查了恶意行为之后,我们确信,这是经过“深思熟虑”的。
故事:Roll被盗3000ETH/570万美元
摘要:一个发行社交代币的平台Roll遭遇了一个事故,一个热钱包的私钥被劫持,而攻击者把所有的社交代币都卖成了ETH并把ETH通过TornadoCash迁移到了另一个地址。
故事:Twitter黑客认罪,被判三年
摘要:去年推特上出现了一次大规模的账户被黑事件,许多高价值账户被推特的内部工具发布消息,为局推波助澜。一年不到,这个黑客——只有18岁——就被捕并且判了刑。
稳定币USDT2020年度共计发行278亿枚:Tokenview链上数据监测,稳定币USDT在ETH、TRX、Omni上于2020年度共计发行278亿枚,销毁40.5亿枚,日均发行80M枚,销毁11.7M枚。2020年度USDT回收后二次发行的数量为68亿枚,占全年整个流通量的32.5%。2021年1月至今,Tether共计发行USDT 52亿枚,销毁5亿枚,日均发行238.5M枚,销毁23.1M枚,2021年度日均发行量接近2020年度日均发行量的3倍。[2021/1/22 16:46:43]
故事:Filecoin在币安上被多重花费——涉及460万美元
摘要:据开发者披露,币安交易所会把一笔合法的存款处理两次,并在链下计入双倍的金额。这个错误是因为FilecoinRPC代码里面的一个bug而导致的。
故事:GitHubActions被主动滥用在GitHub服务器上挖矿
摘要:GitHub允许服务器运行代码,以帮助测试。一些别有用心的人就利用这个的服务器来挖矿——他们完全没有电力支出和维护费用,纯赚区块奖励。
故事:xFORCE被白帽子攻破
摘要:xFORCE合约没有严格遵循ERC20标准,这让他们的存入机制出了一个漏洞,而存入机制与xFORCE代币铸造是绑定的。只要你拥有xFORCE代币,你就可以取出FORCE代币。
故事:验证者从Stellar网络掉线
摘要:因为一个软件上的bug,Stellar网络上的一组验证者突然掉线,导致事务处理中断了。在10多个小时后,问题根源找出并且得到了修复,而验证者们也回到了线上。
故事:针对Legder和Shopify在2020年泄露用户数据的集体诉讼
摘要:在2020年,一个包含大约30万Ledger客户记录的数据库出现在了一个叫做RaidForums的论坛上并且是免费下载。在2021年4月6日,一些人发起了一项集体诉讼。
故事:更多地址因为转移USDC而上了黑名单
摘要:尽管这种情况不多,但Circle发布了7个以上的黑名单。这些地址里的USDC因此可以被充公,Circle也可以防止用户使用这些币。这是因为美国金融局把这些地址加入了OFEC的SDN名单。
故事:规模达到20亿美元的局,土耳其交易所Thodex关停,遭到用户抗议
摘要:一家土耳其的交易所突然停止服务。据猜测,其CEO携带交易所的私钥逃到了泰国。此后,一份声明取代了Thodx的主页,详细说明了他们正在跟商业伙伴谈判以及一次攻击修改了tameness的一些后端数据。他们也声称,媒体关于20亿美元的数字是错的,实际的数额要低得多。
故事:UraniumFinance迁移活动遭爆破,潜在损失500万美元
摘要:在UraniumFinance变更交易手续费率的过程中出了一个数学错误,导致了一个意料之外的计算错误,影响到了实际的交易手续费率。合约中的一个字符导致智能合约的健全性检查的余额检查被利用,UraniumFinance的储备金被吸干。
故事:美国司法部门承认逮捕了RomanSterlingov
摘要:BitcoinFog是一个流行的混币器,可以为比特币交易添加一些模糊性。据称,BitcoinFog在过去的10年里赚到了约120万btc。
故事:xTokenMarket流动性池子被吸干,损失2500万美元
摘要:又是一次聪明的闪电贷攻击,攻击者吸干了xTokenMarket的流动性池子,办法是操纵SNX和BNT在多个DEX的价格。攻击者是使用叫做“Flashbots”的MEV软件发动的攻击。
故事:DeFi100携带3200万美元跑路
摘要:一个DeFi协议用公开的消息嘲讽用户并表示自己要跑路:“我们了你!而你什么也做不了!”第二天,他们发布了一份声明,表示他们没有跑路,并且把网站恢复到了先前的状态。
故事:针对Ledger的实体钓鱼活动
摘要:在2020年的数据泄露和2021年初对Ledger的集体诉讼之后,用户开始报告更多试图窃取用户密钥的实体钓鱼活动。有人向他们的收件地址快递了经过修改的设备。
故事:IronFinance遭遇挤兑,代币价格在24小时之内从60美元跌到零
摘要:根据一份正式的声明,挤兑始于一些大户从IRON/USDC池子中撤出流动性并卖出$TITAN->$IRON->$USDC,而不赎回IRON,导致后者的价格脱锚。
故事:对THORChain的第一次已知的恶意攻击
摘要:因为用于处理重复符号的逻辑中有个bug,一次攻击导致THORChain损失了14万美元。网络被节点中断,在6个小时后打上了补丁并恢复了功能。THORChain很快知晓了这次攻击,并声称他们会全额补偿损失。
观察
如果我们比较在2020年观察到的情形,似乎整个行业还是有很大的提升空间,甚至可能永远都有。我们需要持续教育大家关于DeFi“梭哈”、DeFiadminkey、钓鱼的风险,以及把你的资产存入中心化交易所的固有风险。
比较2020年上半年的情形,我们可以看到,中心化交易所和他们的安全性确实进步了,至少爆出来在他们的基础设施上发生的黑客事件变少了。这是一件好事,但也提出了一个问题:那些坏蛋都把心思放哪里去了?一个简单并且可能也是合理的猜测是,他们把注意力转向了DeFi协议,并混进了社区,搞起了容易的跑路,毕竟这没有太高的技术门槛,而获利却非常可观。
我们也看到了人们对NFT的兴趣正在兴起,包括那些大名鼎鼎的公司也在接收NFT。我们可以预言,会有一些残酷的NFT抢劫——不是正在发生,就是没有爆出来。
希望2021年剩下的时间能风平浪静!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。