FIN:2021 上半年安全事件回顧：被黑、騙局和停機

密碼貨幣的世界是前所未有地兇險，讓人很難視而不見。在詳細列出這些安全事件之前，先來看看我們為了行業的安全做了什么貢獻？

在 2021 年上半年，我們：

放出了新版的 MyCrypto，提高了用戶體驗，讓用戶能更容易、更直接地 使用 和監控自己的密碼學貨幣

披露了濫用 ERC20 授權方法來偷竊用戶資產的惡意項目（授權方法是用戶使用的一環，但很容易被盲目信任）

拓展了我們的業務范圍，幫助遭遇了清道夫機器人的用戶取回質押的資產（中文譯本）

出版了一份幫助用戶提高 MyCrypto 隱私體驗的指南

在 NFT 市場爆發時，我們也推出了針對 NFT 買家的反詐騙教育材料

與 CryptoScamDB 繼續我們的反詐騙、反釣魚活動

提高整個行業的意識和防止詐騙、攻擊都是任重道遠，但我們在堅持。

我們先來深入了解下行業的整體態勢，看看我們是否從 2020 年學到了教訓，是否有所提升。

前美國檢察官：Ripple與SEC的訴訟將于2023年一季度前結束:9月7日消息，據推特消息，前聯邦檢察官Filan律師最近分享了Ripple與SEC之間正在進行的訴訟日程安排。Filan認為排除專家證詞的動議、辛曼文件糾紛、即決判決動議等問題會延長訴訟進程。Filan推測地區法官托雷斯將在2023年3月31日或之前同時決定專家和簡易判決動議，但表示無法預測Hinman電子郵件糾紛何時會得到完全和最終解決。[2022/9/7 13:13:40]

以下是 2021 年第一第二季度的主要安全事件清單。我們不會列出所有的跑路及類似事件，因為太多了，實在是數也數不清……

2021 年第一季度出現了一些有趣的事件，從整個協議的突然停擺到 DeFi 合約被黑，再到黑客被捕，都有。我們也看到了完全針對個人的攻擊，這讓整個行業感到震驚，因為這些壞人可能為了一筆錢而不擇手段。

與去年相比，第一季度的密碼貨幣交易所被黑事件有所減少。這既是因為黑客的注意力都在別的地方，也是因為交易所已經從去年的失敗中學到了教訓、調整了安全控制。

公鏈 Stellar 發布 2022 年線路圖并引入智能合約:1月26日消息，公鏈 Stellar 發布 2022 年線路圖并引入智能合約，表示將繼續關注增加互操作性和包容性的規模。Stellar 的目標是繼續成為開發人員最容易訪問的網絡之一，以便他們能夠向用戶提供高質量和安全的應用程序，同時使其能夠適應和響應競爭激烈的區塊鏈環境。將智能合約引入 Stellar 并不背離網絡的價值觀或愿景。?[2022/1/26 9:14:40]

摘要：最大/最老牌 的自動化流動性挖礦協議之一，Yearn，其某個 v1 金庫遭遇爆破，被盜金額總計 1100 萬美元，而金庫的用戶遭遇了 280 萬美元的直接損失。Yearn 團隊在 10 分 14 秒內成功地緩解了此次爆破，包括 Tether 凍結了 170 萬 USDT來防止攻擊者轉移資產。

摘要：DMM DAO 是一個使用 Chainlink 信息傳輸機制把現實世界資產搬到鏈上的 DAO，因為美國證監會對他們的調查而停止了運營。

摘要：今年 2 月，一名惡意人士獲得了 Blockfolio 所用的內容推送系統的權限，然后向所有的 Blockfolio 用戶推送了帶有攻擊性的內容。不久之后，SBF 確認并解釋了此事，然后他們把責任推到了競爭對手身上，聲稱 “惡意內容乃是我們的交易所同行炮制和發布的”。

Finder報告：2020年底比特幣將達到15499美元高點:金融比較網站Finder.com的一份最新報告顯示，預計到2020年底，比特幣將達到15499美元的高點。據悉，這一數字是10位金融科技行業領袖個人預測的平均值。（TheDailyHODL）[2020/4/10]

摘要：SIM 卡被盜在密碼貨幣的世界里太常見了！（我們甚至為此寫了一篇大文章！）這個受害人在因為 SIM 卡被盜而損失了 15 個比特幣之后，起訴了其通信服務商。

（注：SIM 卡 “被盜” 是指攻擊者通過各種攻擊手段了解目標受害者的個人信息之后，賊喊捉賊，向服務商表示自己的 SIM 卡被盜或遺失，從而獲得目標的 SIM 卡控制權。）

摘要：一次巧妙的閃電貸攻擊讓操作者得以吸干 AlphaFinance 的金庫合約。FrankResearcher 以長推特的形式披露了整個事件。不久之后， AlphaFinance 暗示，他們知道攻擊者是誰。

摘要：這件事情警醒了整個社區盲目信任一個 UI 的危險性，也學會了接收你曾經認為可信的東西有一天也可能變得不安全。這份事后報告展示了一個攻擊者想通過劫持你的電腦來獲得你的資金時有多么努力。在檢查了惡意行為之后，我們確信，這是經過 “深思熟慮” 的。

公告 | D-BANK.ORG發布2020年發展路線圖:今日，D-BANK.ORG發布2020年發展路線圖。詳細如下：

Q1:DBChain公鏈主網、區塊瀏覽器、去中心化錢包上線；iToken DApp上線，一鍵發行DRC20數字資產。

Q2:DBMall商城支持主網DBM支付結算；DBM上線新的國際主流交易所。

Q3:Contractor開發者工具上線，智能合約、Web、錢包集成開發IDE；舉辦DBChain區塊鏈黑客馬拉松全球開發者大會。

Q4:CVote DApp鏈上投票決策治理系統上線；在跨境支付領域與更多全球商業伙伴建立合作，幫助至少100家機構業務數據上鏈。[2020/1/31]

摘要：一個發行社交代幣的平臺 Roll 遭遇了一個事故，一個熱錢包的私鑰被劫持，而攻擊者把所有的社交代幣都賣成了 ETH（這也打壓了這些社交代幣的市場價格）并把 ETH 通過 TornadoCash 遷移到了另一個地址。

摘要：去年推特上出現了一次大規模的賬戶被黑事件，許多高價值賬戶被推特的內部工具發布消息，為騙局推波助瀾。一年不到，這個黑客 —— 只有 18 歲 —— 就被捕并且判了刑。

動態 | 報告：到2024年，區塊鏈將通過遏制欺詐為食品行業節省310億美元:Juniper Research最近的一份報告顯示，到2024年，區塊鏈將通過固定追蹤食品供應鏈，將在解決全球食品欺詐問題上節省310億美元。從2021年起，食品欺詐行為將大幅減少，到2024年，合規成本將降低30%。（Investor Ideas）[2019/11/28]

摘要：據開發者披露，幣安交易所會把一筆合法的存款處理兩次，并在鏈下計入雙倍的金額。這個錯誤是因為 Filecoin RPC 代碼里面的一個 bug 而導致的。

摘要：GitHub 允許服務器運行代碼，以幫助測試。一些別有用心的人就利用這個（免費）的服務器來挖礦 —— 他們完全沒有電力支出和維護費用，純賺區塊獎勵。

摘要：xFORCE 合約沒有嚴格遵循 ERC20 標準，這讓他們的存入機制出了一個漏洞，而存入機制與 xFORCE 代幣鑄造是綁定的。只要你擁有 xFORCE 代幣（都不需要實際存入），你就可以取出 FORCE 代幣（等于是免費拿走）。

摘要：因為一個軟件上的 bug，Stellar 網絡上的一組驗證者突然掉線，導致事務處理中斷了。在 10 多個小時后，問題根源找出并且得到了修復，而驗證者們也回到了線上。

摘要：在 2020 年，一個包含大約 30 萬 Ledger 客戶記錄的數據庫（有詳細的客戶郵件地址、收件地址和全名）出現在了一個叫做 RaidForums 的論壇上并且是免費下載。在 2021 年 4 月 6 日，一些人發起了一項集體訴訟。

摘要：盡管這種情況不多，但 Circle（USDC 背后的權威機構）發布了 7 個以上的黑名單。這些地址里的 USDC 因此可以被充公，Circle 也可以防止用戶使用這些幣 （見合約的 “transfer()” 函數）。這是因為美國金融局把這些地址加入了 OFEC 的 SDN 名單。

摘要：一家土耳其的交易所突然停止服務。據猜測，其 CEO 攜帶交易所的私鑰（掌控交易所用戶價值 20 億美元的密碼學貨幣）逃到了泰國。此后，一份聲明取代了 Thodx 的主頁，詳細說明了他們正在跟商業伙伴談判以及一次攻擊修改了 tameness 的一些后端數據。他們也聲稱，媒體關于 20 億美元的數字是錯的，實際的數額要低得多。

摘要：在 UraniumFinance 變更交易手續費率的過程中出了一個數學錯誤，導致了一個意料之外的計算錯誤，影響到了實際的交易手續費率。合約中的一個字符導致智能合約的健全性檢查的余額檢查被利用，UraniumFinance 的儲備金被吸干。

摘要：BitcoinFog 是一個流行的混幣器，可以為比特幣交易添加一些模糊性。據稱，BitcoinFog 在過去的 10 年里賺到了約 120 萬 btc。

摘要：又是一次聰明的閃電貸攻擊，攻擊者吸干了 xTokenMarket 的流動性池子，辦法是操縱 SNX 和 BNT 在多個 DEX 的價格。攻擊者是使用叫做 “Flashbots” 的 MEV 軟件發動的攻擊。

摘要：一個 DeFi 協議用公開的消息嘲諷用戶并表示自己要跑路：“我們騙了你！而你什么也做不了！”第二天，他們發布了一份聲明，表示他們沒有跑路，并且把網站恢復到了先前的狀態。

摘要：在 2020 年的數據泄露和 2021 年初對 Ledger 的集體訴訟之后，用戶開始報告更多試圖竊取用戶密鑰的實體釣魚活動。有人向他們的收件地址快遞了經過修改的設備。

摘要：根據一份正式的聲明，擠兌始于一些大戶從 IRON/USDC 池子中撤出流動性并賣出 $TITAN -> $IRON -> $USDC，而不贖回 IRON，導致后者的價格脫錨。

摘要：因為用于處理重復符號的邏輯中有個 bug，一次攻擊導致 THORChain 損失了 14 萬美元。網絡被節點中斷，在 6 個小時后打上了補丁并恢復了功能。THORChain 很快知曉了這次攻擊，并聲稱他們會全額補償損失。

如果我們比較在 2020 年觀察到的情形，似乎整個行業還是有很大的提升空間，甚至可能永遠都有。我們需要持續教育大家關于 DeFi “梭哈”、DeFi admin key、釣魚的風險，以及把你的資產存入中心化交易所的固有風險。

比較 2020 年上半年的情形，我們可以看到，中心化交易所和他們的安全性確實進步了，至少爆出來在他們的基礎設施上發生的黑客事件變少了。這是一件好事，但也提出了一個問題：那些壞蛋都把心思放哪里去了？一個簡單并且可能也是合理的猜測是，他們把注意力轉向了 DeFi 協議，并混進了社區，搞起了容易的跑路，畢竟這沒有太高的技術門檻，而獲利卻非常可觀。

我們也看到了人們對 NFT 的興趣正在興起，包括那些大名鼎鼎的公司也在接收 NFT（Christies、eBay 和蘇富比）。我們可以預言，會有一些殘酷的 NFT 搶劫 —— 不是正在發生，就是沒有爆出來。

希望 2021 年剩下的時間能風平浪靜！

Tags：FINORCELLATELLCokeFinanceorc幣能堅持多久3X Short Stellar Tokenstellar幣銀行動力

區塊鏈