比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

加密貨幣:盤點加密行業近兩年前20大黑客攻擊案:多數已全額賠付,僅2次追回

Author:

Time:1900/1/1 0:00:00

整理:餅干,鏈捕手

3月底,著名鏈游AxieInfinity旗下側鏈網絡RoninNetwork在黑客攻擊事件中損失約6.2億美元資產,成為迄今為止最嚴重的一次DeFi黑客攻擊,進一步加深了公眾對加密世界安全性的擔憂。

近兩年來,巨額資金持續流入加密行業,但其安全性仍然是非常脆弱,來自中心化交易所和DeFi項目的諸多代碼漏洞屢屢遭到黑客的攻擊,各類安全事故的數量、頻次、規模等層面均在迅速增長。

據慢霧統計,2021年區塊鏈安全事件累計導致損失超98億美元,涉及231起安全事故,盡管相當部分的損失被追回或由項目方進行補償,但仍然令加密行業受傷頗深。

根據專業加密安全網站rekt數據以及其它公開資料,鏈捕手按照近兩年黑客攻擊中受影響金額的大小盤點前20的黑客攻擊事件。

1、RoninNetwork,6.24億美元

2022年3月29日,Ronin官方稱其跨鏈橋遭到黑客攻擊,173,600個ETH和2550萬USDC被盜,累計價值約6.2億美元。

官方表示,該項目被盜原因系五個驗證者私鑰被盜。去年11月SkyMavis和AxieDAO以減輕用戶成本的初衷建立了一個無GasRPC節點,這需要AxieDAO成為SkyMavis驗證者,雖然該RPC節點只持續了一個月,但白名單訪問權限從未被撤銷,從而攻擊者有機會盜取AxieDAO?簽名,集齊5個驗證者共識換成私鑰來偽造假提款。

目前,AxieInfinity聯合創始人AleksanderL.Larsen已在推特上發文表示,AxieInfinity團隊正在努力與黑客溝通挽回損失,以確定最佳補償方案。

2、PolyNetwork,6.11億美元

2021年8月10日,跨鏈互操作性協議PolyNetwork在以太坊、BSC與Polygon部署的智能合約同時遭到黑客攻擊,價值超過6.1億美元資產被盜。

動態 | 澳媒盤點12國加密貨幣稅制 日本稅率最高:7月23日,澳大利亞加密貨幣媒體Mickey發文盤點各國加密貨幣稅制,并指出日本加密貨幣稅率非常高。根據2017年4月實行的資金結算法修訂版,加密貨幣交易所產生的利益所得劃分為雜項收入,所得稅最高可達45%,作為伴隨著損失的交易市場稅率來說非常高。此外,該媒體列舉了以下幾個國家的加密貨幣稅制:1、德國:加密貨幣交易免除附加稅,持續保有加密貨幣一年以上可免除轉讓所得稅。全部歐洲市民向德國轉移資產時可免除轉移稅。2、新加坡:長期投資加密貨幣的企業和個人免除轉讓所得稅。3、葡萄牙:不像加密貨幣征收附加稅和所得稅,但企業通過加密貨幣交易所得的收益需要課稅。4、馬耳他:加密貨幣的日交易作為法人稅征收稅金,但個人投資者購買和擁有加密貨幣不用繳納稅金。5、馬來西亞:不需要繳納轉讓所得稅。6、白俄羅斯:對加密貨幣挖礦和對加密貨幣的投資不征收稅金。7、瑞士:對專業投資者的加密貨幣交易征收法人稅,挖礦被視為個人營業收入,但個人投資者的投資及交易不需繳納轉讓所得稅。8、加密貨幣被認為是資產,納稅方式和股票一樣;如果購買加密貨幣并保留一年以上,根據收入水平征收0%至20%的稅金。9、澳大利亞:當所有交易均被視為轉讓收入,并且兌換為澳元時要求保留所有準確的交易記錄;如果進行加密貨幣投資獲得的利潤,就要交納與個人所得稅相同速率的稅金。但如果持有1年以上的加密貨幣,將減免50%的稅金。10、以色列和瑞典:如果納稅人不能證明他們購買的加密貨幣的購買額,將會征收百分之百的稅金。[2019/7/23]

據慢霧團隊分析稱,攻擊者利用特定函數傳入精心構造的數據來修改EthCrossChainData合約的keeper,替換keeper角色的地址后,便可以隨意構造交易,從合約中提取任意數量的資金。

經過多方與黑客的鏈上溝通,黑客最終向項目方歸還了所有盜取的資產,所有用戶都沒有產生實際損失。

3、Wormhole,3.26億美元

今年2月3日,跨鏈協議Wormhole遭黑客攻擊,官方確認本次攻擊事件中損失達12萬枚ETH。

午間行情盤點:BTC全球均價8771美元,漲幅0.42%,火幣Pro上交易價格為8761美元,幣安交易價格為8766美元,OKEx上交易價格為8778美元。其它主流幣種在火幣Pro的行情為,BCH現價1270美元,漲幅3.98%;ETH現價861美元,漲幅3.17%;ETC現價34.52美元,漲幅11.13%;LTC現價182.2美元,漲幅16.89%;XRP現價1.02美元,漲幅3.87%。[2018/2/14]

根據調查,此次事件的漏洞是Solana端核心Wormhole合約的簽名驗證代碼存在錯誤,允許攻擊者偽造來自「監護人」的消息來鑄造whETH。攻擊者通過在Solana上無限鑄造的whETH等價物,再通過Wormhole轉移120,000真實的ETH到以太坊上。

事件發生后,黑客并未回復項目方的溝通,Wormhole母公司JumpTrading旗下JumpCrypto迅速決定“自掏腰包”向該跨鏈橋智能合約補充了12萬枚ETH,幫助Wormhole橋重新上線。

4、BitMart,1.96億美元

2021年12月5日,加密交易平臺BitMart的以太坊和BSC熱錢包被盜約1.96億美元,其中在以太坊上總計約1億美元,在BSC上總計約9600萬美元。

據了解,攻擊者將BitMart資金從熱錢包轉移到自己錢包,并把大部分幣種通過1inch交易為ETH和BNB,然后通過TornadoCash進行混幣,最終逍遙法外。

此后,BitMart創始人SheldonXia宣布將使用平臺的資金來補償受影響的用戶,并很快開放存取款。

5、VulcanForged,1.4億美元

2021年12月13日,鏈游項目VulcanForged稱148個持有PYR的錢包遭到入侵,超過450萬PYR已被盜,損失總價值超1.4億美元。事后,項目團隊決定將金庫中的PYR用戶補償受影響的用戶錢包。

午間行情盤點:BTC比特幣報7977美元,24小時跌幅約10.43%。ETH以太幣報797美元,24小時跌幅約10.64%。瑞波幣報5.66元人民幣,24小時漲幅0.70%。ADA艾達幣報2.18元人民幣,24小時漲幅約7.94%。[2018/2/11]

6、CreamFinance,1.3億美元

2021年10月27日,抵押借貸平臺CreamFinance遭受閃電貸攻擊,損失約1.3億美元。

據了解,此次攻擊混合了經濟攻擊和預言機攻擊,攻擊者從MakerDAO閃電貸出DAI來創建大量yUSD代幣,同時通過操縱多資產流動性池,利用價格預言機計算yUSD價格,yUSD價格升高后,攻擊者的yUSD頭寸增加,創造了足夠的借入限額來抵消Cream以太坊v1市場的流動性。

11月13日,CreamFinanc公布了對受影響用戶的賠償方案,將利用其金庫的剩余代幣,并移除項目團隊剩余的全部Cream代幣分配,向受影響用戶發放1453415枚Cream代幣。

7、Badger1.2億美元

2021年12月2日,Badger用戶界面被黑客攻擊并植入惡意錢包請求,總損失約為2100BTC和151ETH,約合1.2億美元。

此次事件屬于網絡釣魚攻擊,由運行在Badger云網絡上的應用平臺Cloudflare的“惡意注入片段”引起的。黑客利用Badger工程師不知情或未授權情況下創建的受損API密鑰,定期注入惡意代碼,獲取到用戶錢包無限授權的批注。

事后,Badger宣布聘請網絡安全公司Mandiant和區塊鏈分析公司Chainalysis來調查這一攻擊事件,并正在與兩家公司以及美國和加拿大的當局合作,以追回任何可能的資金。同時,該項目通過社區投票,決定將部分金庫資產以及部分協議收入在補償受影響的用戶,周期約為一年。

8、QubitFinance,8000萬美元

雅虎財經2018年2月7日加密峰會盤點:

1. 摩根大通區塊鏈負責人Farooq:區塊鏈將從根本上改變商業的運作;數字貨幣必須解決洗錢問題。

2.Blockchain CEO:數字貨幣最厲害之處,就是在與任何國家無關的情況下成為金融體系的一部分。

3.DCG(數字貨幣集團)創始人Barry Silbert:大多數幣種沒有真正的實用性;希望未來讓DCG上市。

4.Fundstrat Global Advisors聯合創始人Tom Lee:數字貨幣市場不僅僅是個“十年的故事”,它將持續存在30年。數字貨幣市場像新興市場。如果相信區塊鏈,那就必須相信比特幣、以太坊以及所有的公鏈。

5.Indiegogo股權眾籌和加密貨幣投資負責人:最終將需要與監管機構來一次有意義的、權威的對話。

6.Chain聯合創始人兼CEO Adam Ludwin:人們其實希望對數字貨幣進行監管;以加密方式上發行傳統貨幣以后將是這個領域中的很大一部分。

7.瑞波CEO:瑞波超過50%合作金融機構為日本公司,瑞波幣將在3-5年內成功;長期看好比特幣,認為比特幣不會滅亡,但也不會解決付款問題。

8.Goodwin Procter律所合伙人Grant Fondo:不管某個項目看起來有多好,別把雞蛋放在一個籃子里。

9.數字商會總裁Perianne Boring:數字貨幣投資者需要做好研究,同時要有批判性思維。[2018/2/8]

2022年1月28日,BSC借貸項目Qubit疑似遭到黑客攻擊,黑客鑄造大量xETH抵押品并盜取了資金池中約8000萬美元資產。

本次攻擊的主要原因在于在充值普通代幣與native代幣分開實現的情況下,在對白名單內的代幣進行轉賬操作時未對其是否是0地址再次進行檢查,導致本該通過native充值函數進行充值的操作卻能順利走通普通代幣充值邏輯。

TeamMound是QubitFinance的開發團隊,在攻擊事件發生后決定重組并發布補償計劃,將放棄其所有代幣以補償社區。

午間大盤點:數字貨幣普漲 :比特幣(BTC)最新成交價格為124392.34元,最高價格為126651.25元,最低價格為11955.86元,24小時漲幅為0.23%,成交量達4.06萬個BTC;

以太坊(ETH)最新成交價格為5376.49元,最高價格為5416.12元,最低價格為4630.90元,24小時漲幅為11.79%,成交量達44.44萬個ETH;

以太經典(ETC)最新成交價格為261.83元,最高價格為277.40元,最低價格為216.07元,24小時漲幅4.92%,成交量達224.56萬個ETC;

量子鏈(QTUM)最新成交價格為429.11元,最高價格為475.50元,最低價格為186.82元,24小時漲幅40.32%,成交量達102.26萬個QTUM;

萊特幣(LTC)最新成交價格為2410.11元,最高價格為2449.01元,最低價格為2010.44元,24小時漲幅15.29%,成交量達62.98萬個LTC;

瑞波幣(XRP)最新成交價格為5.40元,最高價格為5.53元,最低價格為4.51元,24小時漲幅14.14%,成交量達16663.58萬個XRP;

達世幣(DASH)最新成交價格為7912.81元,最高價格為8013.21元,最低價格為6816.38元,24小時漲幅11.96%,成交量達3.01萬個DASH;

EOS最新成交價格為67.01元,最高價格為71.00元,最低價格為51.81元,24小時漲幅24.64%,成交量達1456.01萬個EOS;

ZEC最新成交價格為3764.07元,最高價格為3896.96元,最低價格為2972.32元,24小時漲幅7.52%,成交量達8.78萬個ZEC;

OMG最新成交價格為136.05元,最高價格為136.05元,最低價格為102.38元,24小時漲幅21.88%,成交量達319.63萬個OMG。[2017/12/19]

9、AscendEX,7700萬美元

2021年12月12日,加密貨幣交易所AscendEX的以太坊、BSC與Polygon熱錢包累計被盜或超7700萬美元的資產。

事件發生后,該交易所表示將進行全面的安全檢查,如果任何用戶的資金受到此次事件影響,由AscendEX進行100%賠付。

10、EasyFi,5900萬美元

2021年4月20日,Layer2DeFi借貸協議EasyFi創始人AnkittGaur稱協議流動池被轉移了600萬美元的穩定幣和298萬個EASY代幣,總損失約5900萬美元。

據了解,該項目被盜原因為管理員的MetaMask的助記詞短語密鑰遭到遠程攻擊,EasyFi智能合約未被黑客攻擊。EasyFi已聯系到Binance和AscendEx團隊,黑客并未將代幣從錢包中轉移出去,并且由于流動性限制而無法在DEX中出售。

事后,該項目表示將按快照補償每個地址的貸方/存款人凈余額的100%,用戶將分兩部分獲得資金,預先支付25%,剩余75%以EZ支付,由EASYV2代幣EZ按1:1比例擔保。

11、UraniumFinance,5700萬美元

2021年4月28日,幣安智能鏈上AMM協議UraniumFinance發推稱Uranium遷移過程中被攻擊,損失金額約為5700萬美元。

據了解,此次問題發生在Uranium項目的pair合約上,該合約的swap函數部分邏輯參考了PancakeSwap的邏輯,允許用戶進行閃電貸借出資金。但是該函數在根據恒定乘積公式檢查合約余額時,存在精度處理錯誤的問題,導致最后合約中計算出的余額比合約實際的余額大100倍,這種情況下,如果攻擊者使用閃電貸進行借款,只需要歸還借貸金額的1%即可通過檢查,盜走剩余的99%的余額,導致項目損失。

事后UraniumFinance發表一篇漏洞分析文章并呼吁用戶盡快移走資金,不要再向合約中提供流動性。自此之后,UraniumFinance的官方再無更新,疑似已停止運營。

12、bZx,5500萬美元

2021年11月6日,去中心化借貸協議bZx在Polygon和BSC鏈上因私鑰泄露導致超5500萬美元資產被盜。

據了解,此次事故不是針對協議本身漏洞的黑客攻擊,而是對bZx開發者的網絡釣魚攻擊,開發人員收到了一封網絡釣魚電子郵件,其中附有包含惡意宏的Word文檔。打開此文檔會導致開發人員的個人錢包密鑰被盜。黑客能夠控制合約并將其從BZRX中提取出來。

13、Cashio,4800萬美元

2022年3月23日,Solana生態算法穩定幣Cashio發推警示用戶不要鑄造任何代幣,盡快從池中提取資金。該協議出現一個無限鑄造漏洞,損失約4800萬美元。

CashioDollar是一種由USDT-USDCLP代幣支持的算法穩定幣,黑客通過繞過一個未被驗證的賬號,非法增發了20億個CASH代幣,并通過多個應用將CASH代幣轉化為UST、USDC和USDT-USDCLP,獲利總價值約為4800萬美元。

項目方在遭遇黑客攻擊之后表示沒有足夠的資金償還用戶損失,如果攻擊者退還資金,愿意提供100萬USDC作為賞金。而攻擊者通過鏈上留言表示,將向10萬美元損失以下的受害者退款。

14、PancakeBunny,4600萬美元

2021年5月20日,幣安智能鏈BSC上的收益聚合器PancakeBunny疑似遭遇攻擊,損失約4600萬美元。

這是一次典型的閃電貸攻擊,關鍵點是WBNB-BUNNYLP的價格計算存在缺陷,而BunnyMinterV2合約鑄造的BUNNY數量依賴于此存在缺陷的LP價格計算方式,最終導致攻擊者利用閃電貸操控了WBNB-BUNNY池子從而拉高了LP的價格,使得BunnyMinterV2合約鑄造了大量的BUNNY代幣給攻擊者。

PancakeBunny團隊在遭受閃電貸攻擊后發布評估和補償計劃,將通過發行新代幣pBUNNY并創建補償池,補償池由績效費,從漏洞利用中收回的資金以及QFI代幣空投提供資金。90天后,原始持有者將以低于市場價的折扣用pBUNNY交換為BUNNY。

15、Kucoin,4500萬美元

2020年9月20日,Kucoin熱錢包受到攻擊,損失超2.8億美元。

此后,KucoinCEOJohnnyLyu表示,通過與交易所和項目方合作追回2.22億美元資金,與執法和安全機構進一步合作追回1745萬美元。最后KuCoin用保險基金支付了剩余的資金損失,約4500萬美元,在這次事件中沒有用戶遭受損失。

16、Secretswap,超4000萬美元

2021年9月14日,基于隱私公鏈SecretNetwork的DEX項目Secretswap遭到黑客攻擊,流動性池中超4000萬美元資金被黑客取出,事件發生后該項目暫停了Secretswap與SecretNetwork跨鏈橋的使用,以防止黑客將資產從跨鏈橋轉移至以太坊網絡。

事后調查顯示,該漏洞涉及與SecretSwap獎勵質押相關的單一LP合約,沒有被盜的資金離開網絡,沒有橋梁/代幣合約被攻擊,網絡本身也沒有被攻擊。

數天后,SecretNetwork通過硬分叉回滾網絡,將被盜資產返還至用戶的流動性資金池,并恢復跨鏈橋的使用。

17、AlphaFinance,3700萬美元

2021年2月13日,AlphaFinanceLab在官方推特稱黑客利用AlphaHomoraV2漏洞,從IronBank借出ETH、DAI、USDC等資產,導致AlphaHomorav2與Creamv2之間產生債務關系,損失約3700萬美元。

Alpha團隊的還款方式為:將攻擊者存入AlphaHomoraV2部署器合約的1000ETH支付欠款;將攻擊者存入CreamV2部署器合約中的1000ETH支付欠款;TornadoCash基金會將會把攻擊者支付的100ETH捐款還給AlphaHomora以支付欠款;Alpha將承諾使用AlphaHomoraV1和V2儲備金的20%償還剩余的資金,按月向CreamV2IronBank支付,直至新增債務全部還清。

18、VeeFinance?3700萬美元

2021年9月21日,Avalanche生態借貸平臺VeeFinance智能合約被攻擊,損失約3700萬美元。

據了解,導致該漏洞的主要原因是用戶在創建杠桿交易訂單的過程中,預言機僅使用Pangolinpool的價格作為價格饋送源,而該池價格波動超過3%。預言機會刷新價格,導致攻擊者操縱了Pangolinpool的價格。而操縱VeeFinance預言機價格和收購預言機價格沒有進行小數處理,導致掉期前預期的滑點檢查沒有起作用。

此后,Vee.Finance宣布懸賞50萬美元追查攻擊者,并將承擔全部損失,用平臺收入以及儲備中的VEE代幣補償所有貸方和存款用戶,在全部償還之前團隊代幣將不再釋放。

19、Crypto.com?3300萬美元

2022年1月18日,加密貨幣交易所Crypto.com的部分賬戶疑似遭遇黑客攻擊,損失約3300萬美元。

據了解,黑客通過繞過現有的2FA驗證,成為提現白名單,其中共有483個賬戶被破解,被盜取4836枚ETH和444枚比特幣,ETH被發送到TornadoCash進行混幣。

事件發生后,Crypto.com表示已經賠償所有用戶的損失,將賬戶內的資產恢復原位。

20、MonoXFinance?3100萬美元

2021年11月30日,自動做市商協議MonoX遭到閃電貸攻擊,以太坊和Polygon上價值約3100萬美元的加密貨幣被黑客盜走。

據了解,攻擊者利用掉期合約進行操作,將MONO的價格推高至天價后使用MONO購買池中所有其他資產。

此后,該項目團隊表示將為所有被盜資產發行債務代幣dMONO并部署dMONO保險庫,將使用我們的收入回購MONO并將MONO發送到這個金庫,任何dMONO持有者都可以隨時通過銷毀他們的dMONO來并獲取MONO來退出金庫,但如果用戶選擇在dMONO達到所欠價值之前提取它,則意味著正在免除剩余的債務。

進一步統計可以發現,盡管這些安全事件的累計損失金額達到數十億美元,但多數被盜項目的用戶損失得到全額賠付,其中PolyNetwork、Secretswap的被盜資產全部找回,Wormhole等8個項目由項目方進行了原幣賠付,其余項目多數由項目以自身代幣的形式進行賠付,但往往會由于代幣價格下跌,實際賠付金額低于損失金額,僅UraniumFinance未對用戶進行任何賠付。

由此可以看出,黑客攻擊并沒有想象中那么可怕,重要的是項目方資源背景以及對用戶的責任感,加密用戶在對任何資金操作保持謹慎的同時,盡可能優先參與具有較強實力的項目與平臺,在自身承受范圍內進行相關投資與挖礦行為,以確保資金安全度。

Tags:加密貨幣ANCETHFIN加密貨幣在中國合法嗎Yfrx.financeethyletherGeneration Finance

歐易交易所
SOL:Solana生態細分龍頭分析報告:哪些潛力項目值得關注?

作者:D-Tiger研究院 前言 為了滿足區塊鏈用戶的需求,公鏈,異構鏈,平行鏈層出不窮,Solana不僅“殺出重圍”還一躍成了極為亮眼的一條公鏈.

1900/1/1 0:00:00
APE:Cobie詳論ApeCoin質押提案:創造新價值遠比玩空殼游戲有意義

作者:Cobie 編譯:火星財經 最近,ApeCoin董事會的一位成員聯系了我,他們要求我對一些提案提供一些反饋,然后我在電話中提出了我的想法。我想公開討論它們,因為我認為它們是有趣的話題.

1900/1/1 0:00:00
UNI:Uniswap Labs 正式成立風險投資部門,此前已投資 11 家加密初創公司

鏈捕手消息,UniswapLabs成立風險投資部門UniswapLabsVentures,資產直接來自UniswapLabs的資產負債表.

1900/1/1 0:00:00
TOKEN:瞄準多鏈未來,TokenPocket 正在成為加密錢包賽道的主力軍

從2009年比特幣誕生至今,加密貨幣和區塊鏈技術發展已有12個年頭,一個輪回說長不長、說短不短.

1900/1/1 0:00:00
THE:Otherside?NFT銷售創造多項歷史記錄,有哪些細節值得關注?

?作者:念青,鏈捕手 OtherdeedforOtherside?NFT于北京時間今日9點開始公開銷售。一場持久的Gas費戰爭也拉開了序幕.

1900/1/1 0:00:00
LFI:詳解 SocialFi 賽道版圖與發展邏輯

作者:子熹君,0xRank幣安CEO趙長鵬CZ近日在《Fortune》印度版平臺上發表文章,他認為2022年會有更多傳統金融機構注資Crypto領域,除此之外.

1900/1/1 0:00:00
ads