密码货币的世界是前所未有地凶险,让人很难视而不见。在详细列出这些安全事件之前,先来看看我们为了行业的安全做了什么贡献?
在2021年上半年,我们:
放出了新版的MyCrypto,提高了用户体验,让用户能更容易、更直接地?使用?和监控自己的密码学货币
披露了滥用ERC20授权方法来偷窃用户资产的恶意项目
拓展了我们的业务范围,帮助遭遇了清道夫机器人的用户取回质押的资产
出版了一份帮助用户提高MyCrypto隐私体验的指南
在NFT市场爆发时,我们也推出了针对NFT买家的反教育材料
与?CryptoScamDB?继续我们的反、反钓鱼活动
提高整个行业的意识和防止、攻击都是任重道远,但我们在坚持。
我们先来深入了解下行业的整体态势,看看我们是否从2020年学到了教训,是否有所提升。
以下是2021年第一第二季度的主要安全事件清单。我们不会列出所有的跑路及类似事件,因为太多了,实在是数也数不清……
机构分析:美国加息前景支撑2022年美元走强:12月25日消息,道明证券认为,鉴于美联储准备最早在3月份加息,美元可能在2022年走强。摩根大通分析师也表示:“美联储最近的讲话表明3月(加息)即将到来,我们继续认为风险/回报偏好会尊重这一结果,从而支持美元在新的一年走强。”与此同时,他们预计欧元兑美元EUR/USD将在1.12-1.14区间内整固,但也存在大幅跌破该区间的风险,因有关资产负债表最终走向的传言可能会推高美国实际利率。 (金十)[2021/12/25 8:02:42]
2021年第一季度出现了一些有趣的事件,从整个协议的突然停摆到DeFi合约被黑,再到黑客被捕,都有。我们也看到了完全针对个人的攻击,这让整个行业感到震惊,因为这些坏人可能为了一笔钱而不择手段。
与去年相比,第一季度的密码货币交易所被黑事件有所减少。这既是因为黑客的注意力都在别的地方,也是因为交易所已经从去年的失败中学到了教训、调整了安全控制。
故事:Yearn被盗1100万美元
摘要:最大/最老牌的自动化流动性挖矿协议之一,Yearn,其某个v1金库遭遇爆破,被盗金额总计1100万美元,而金库的用户遭遇了280万美元的直接损失。Yearn团队在10分14秒内成功地缓解了此次爆破,包括Tether冻结了170万USDT来防止攻击者转移资产。
美联储FOMC经济预期:2022年底GDP增速预期中值为3.3%:根据美联储FOMC经济预期,2022年底GDP增速预期中值为3.3%,3月预期为3.3%。2023年底GDP增速预期中值为2.4%,3月预期为2.2%。[2021/6/17 23:42:44]
故事:DMMDAO因SEC调查而停摆
摘要:DMMDAO是一个使用Chainlink信息传输机制把现实世界资产搬到链上的DAO,因为美国证监会对他们的调查而停止了运营。
故事:Blockfolio遭到劫持后输出了带有攻击性的内容
摘要:今年2月,一名恶意人士获得了Blockfolio所用的内容推送系统的权限,然后向所有的Blockfolio用户推送了带有攻击性的内容。不久之后,SBF确认并解释了此事,然后他们把责任推到了竞争对手身上,声称“恶意内容乃是我们的交易所同行炮制和发布的”。
故事:T-Mobile因用户遭遇SIM攻击损失价值45万美元的比特币而遭起诉
摘要:SIM卡被盗在密码货币的世界里太常见了!这个受害人在因为SIM卡被盗而损失了15个比特币之后,起诉了其通信服务商。
故事:DeFi协议CreamFinanceAlpha版遭遇闪电贷攻击,损失了3750万美元
2020年“Bloomberg Galaxy Crypto Index”上涨约65%,关键原因系以太坊暴涨:2020年,针对数字货币的“Bloomberg Galaxy Crypto Index”上涨约65%,超过金价逾20%的涨幅,也超过全球股市、债市和大宗商品市场的收益率。涨幅较高的一个关键原因是以太坊暴涨,而以太坊在加密货币指数中的权重超过三分之一。Bloomberg Intelligence策略师Mike McGlone解释称,对DeFi工具的使用增加推动了以太坊价格攀升,在数字货币领域以太坊“正保持着平台领导地位”。(彭博社)[2020/9/24]
摘要:一次巧妙的闪电贷攻击让操作者得以吸干AlphaFinance的金库合约。FrankResearcher以长推特的形式披露了整个事件。不久之后,AlphaFinance暗示,他们知道攻击者是谁。
故事:一个MetaMask实例的本地漏洞导致800万美元被盗
摘要:这件事情警醒了整个社区盲目信任一个UI的危险性,也学会了接收你曾经认为可信的东西有一天也可能变得不安全。这份事后报告展示了一个攻击者想通过劫持你的电脑来获得你的资金时有多么努力。在检查了恶意行为之后,我们确信,这是经过“深思熟虑”的。
故事:Roll被盗3000ETH/570万美元
富国银行:预计2020年全球经济萎缩2.9% 重点转向服务业:富国银行表示,全球经济的主要关注点已经从制造业转向服务业,鉴于疫情对经济冲击的严重程度,预计全球经济在今年上半年陷入衰退,并在今年晚些时候趋于稳定,全年经济萎缩2.9%。[2020/4/19]
摘要:一个发行社交代币的平台Roll遭遇了一个事故,一个热钱包的私钥被劫持,而攻击者把所有的社交代币都卖成了ETH并把ETH通过TornadoCash迁移到了另一个地址。
故事:Twitter黑客认罪,被判三年
摘要:去年推特上出现了一次大规模的账户被黑事件,许多高价值账户被推特的内部工具发布消息,为局推波助澜。一年不到,这个黑客——只有18岁——就被捕并且判了刑。
故事:Filecoin在币安上被多重花费——涉及460万美元
摘要:据开发者披露,币安交易所会把一笔合法的存款处理两次,并在链下计入双倍的金额。这个错误是因为FilecoinRPC代码里面的一个bug而导致的。
刘昌用:2020大危机的五大原因:3月13日,北京大学经济学博士、知密大学创始人刘昌用在金色财经个人专栏撰文表示,我们正在面临一场百年一遇的大危机,危机产生的原因在于,短期(0-20年)原因是上一个全球经济增长点互联网产业由盛而衰。这是正常的产业周期。互联网创造的世界经济效率提升在过去10年达到顶峰,互联网改造了传统经济的方方面面。但是目前到达瓶颈,主要的问题是信息安全和信息垄断,以及由此带来的巨头垄断削弱创新动力 和信息经济群岛化。
中期(20-40年)原因是以中国为代表的新兴市场经济国家增长红利期结束。这个红利第一来自市场化改革的制度红利,第二工业革命的城镇化红利,第三来自人口增长红利,第四来自学习模仿发达国家的后发优势。中国的体会最深,红利期结束也最明显。
长期(40-100年)原因是全球基于信用货币的金融体系和政策体系长期积累的矛盾爆发。世界工业化进程将金本位推向了信用货币,最终建立了全球主权信用货币体系。信用货币加速了工业化,但也造成持续扩大的通货膨胀、经济权力集中和全球金融泡沫。
历史(人类史)原因是人类社会正在经历从物质社会向信息社会重大转型的阵痛。技术层面计算机、互联网、物联网等的兴起,已经将以物质产品的生产与消费为核心的物质经济(包括农业经济和工业经济)推向了以信息为核心的信息经济,但根植于物质经济的法律、道德、思想、文化不能适应,反而在遏制信息经济的发展,这是千年级别的矛盾,转型和突破很难很痛苦。[2020/3/13]
故事:GitHubActions被主动滥用在GitHub服务器上挖矿
摘要:GitHub允许服务器运行代码,以帮助测试。一些别有用心的人就利用这个的服务器来挖矿——他们完全没有电力支出和维护费用,纯赚区块奖励。
故事:xFORCE被白帽子攻破
摘要:xFORCE合约没有严格遵循ERC20标准,这让他们的存入机制出了一个漏洞,而存入机制与xFORCE代币铸造是绑定的。只要你拥有xFORCE代币,你就可以取出FORCE代币。
故事:验证者从Stellar网络掉线
摘要:因为一个软件上的bug,Stellar网络上的一组验证者突然掉线,导致事务处理中断了。在10多个小时后,问题根源找出并且得到了修复,而验证者们也回到了线上。
故事:针对Legder和Shopify在2020年泄露用户数据的集体诉讼
摘要:在2020年,一个包含大约30万Ledger客户记录的数据库出现在了一个叫做RaidForums的论坛上并且是免费下载。在2021年4月6日,一些人发起了一项集体诉讼。
故事:更多地址因为转移USDC而上了黑名单
摘要:尽管这种情况不多,但Circle发布了7个以上的黑名单。这些地址里的USDC因此可以被充公,Circle也可以防止用户使用这些币。这是因为美国金融局把这些地址加入了OFEC的SDN名单。
故事:规模达到20亿美元的局,土耳其交易所Thodex关停,遭到用户抗议
摘要:一家土耳其的交易所突然停止服务。据猜测,其CEO携带交易所的私钥逃到了泰国。此后,一份声明取代了Thodx的主页,详细说明了他们正在跟商业伙伴谈判以及一次攻击修改了tameness的一些后端数据。他们也声称,媒体关于20亿美元的数字是错的,实际的数额要低得多。
故事:UraniumFinance迁移活动遭爆破,潜在损失500万美元
摘要:在UraniumFinance变更交易手续费率的过程中出了一个数学错误,导致了一个意料之外的计算错误,影响到了实际的交易手续费率。合约中的一个字符导致智能合约的健全性检查的余额检查被利用,UraniumFinance的储备金被吸干。
故事:美国司法部门承认逮捕了RomanSterlingov
摘要:BitcoinFog是一个流行的混币器,可以为比特币交易添加一些模糊性。据称,BitcoinFog在过去的10年里赚到了约120万btc。
故事:xTokenMarket流动性池子被吸干,损失2500万美元
摘要:又是一次聪明的闪电贷攻击,攻击者吸干了xTokenMarket的流动性池子,办法是操纵SNX和BNT在多个DEX的价格。攻击者是使用叫做“Flashbots”的MEV软件发动的攻击。
故事:DeFi100携带3200万美元跑路
摘要:一个DeFi协议用公开的消息嘲讽用户并表示自己要跑路:“我们了你!而你什么也做不了!”第二天,他们发布了一份声明,表示他们没有跑路,并且把网站恢复到了先前的状态。
故事:针对Ledger的实体钓鱼活动
摘要:在2020年的数据泄露和2021年初对Ledger的集体诉讼之后,用户开始报告更多试图窃取用户密钥的实体钓鱼活动。有人向他们的收件地址快递了经过修改的设备。
故事:IronFinance遭遇挤兑,代币价格在24小时之内从60美元跌到零
摘要:根据一份正式的声明,挤兑始于一些大户从IRON/USDC池子中撤出流动性并卖出$TITAN->$IRON->$USDC,而不赎回IRON,导致后者的价格脱锚。
故事:对THORChain的第一次已知的恶意攻击
摘要:因为用于处理重复符号的逻辑中有个bug,一次攻击导致THORChain损失了14万美元。网络被节点中断,在6个小时后打上了补丁并恢复了功能。THORChain很快知晓了这次攻击,并声称他们会全额补偿损失。
观察
如果我们比较在2020年观察到的情形,似乎整个行业还是有很大的提升空间,甚至可能永远都有。我们需要持续教育大家关于DeFi“梭哈”、DeFiadminkey、钓鱼的风险,以及把你的资产存入中心化交易所的固有风险。
比较2020年上半年的情形,我们可以看到,中心化交易所和他们的安全性确实进步了,至少爆出来在他们的基础设施上发生的黑客事件变少了。这是一件好事,但也提出了一个问题:那些坏蛋都把心思放哪里去了?一个简单并且可能也是合理的猜测是,他们把注意力转向了DeFi协议,并混进了社区,搞起了容易的跑路,毕竟这没有太高的技术门槛,而获利却非常可观。
我们也看到了人们对NFT的兴趣正在兴起,包括那些大名鼎鼎的公司也在接收NFT。我们可以预言,会有一些残酷的NFT抢劫——不是正在发生,就是没有爆出来。
希望2021年剩下的时间能风平浪静!
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。