密碼貨幣的世界是前所未有地凶險,讓人很難視而不見。在詳細列出這些安全事件之前,先來看看我們為了行業的安全做了什麼貢獻?

在2021 年上半年,我們:

放出了新版的MyCrypto,提高了用戶體驗,讓用戶能更容易、更直接地使用和監控自己的密碼學貨幣披露了濫用ERC20 授權方法來偷竊用戶資產的惡意項目(授權方法是用戶使用的一環,但很容易被盲目信任)拓展了我們的業務範圍,幫助遭遇了清道夫機器人的用戶取回質押的資產(中文譯本)出版了一份幫助用戶提高MyCrypto 隱私體驗的指南在NFT 市場爆發時,我們也推出了針對NFT 買家的反詐騙教育材料與CryptoScamDB 繼續我們的反詐騙、反釣魚活動

提高整個行業的意識和防止詐騙、攻擊都是任重道遠,但我們在堅持。

我們先來深入了解下行業的整體態勢,看看我們是否從2020 年學到了教訓,是否有所提升。

以下是2021 年第一第二季度的主要安全事件清單。我們不會列出所有的跑路及類似事件,因為太多了,實在是數也數不清……

2021 年第一季度出現了一些有趣的事件,從整個協議的突然停擺到DeFi 合約被黑,再到黑客被捕,都有。我們也看到了完全針對個人的攻擊,這讓整個行業感到震驚,因為這些壞人可能為了一筆錢而不擇手段。

與去年相比,第一季度的密碼貨幣交易所被黑事件有所減少。這既是因為黑客的注意力都在別的地方,也是因為交易所已經從去年的失敗中學到了教訓、調整了安全控制。

故事:Yearn 被盜1100 萬美元

摘要:最大/最老牌的自動化流動性挖礦協議之一,Yearn,其某個v1 金庫遭遇爆破,被盜金額總計1100 萬美元,而金庫的用戶遭遇了280 萬美元的直接損失。 Yearn 團隊在10 分14 秒內成功地緩解了此次爆破,包括Tether 凍結了170 萬USDT來防止攻擊者轉移資產。

故事:DMM DAO 因SEC 調查而停擺

摘要:DMM DAO 是一個使用Chainlink 信息傳輸機制把現實世界資產搬到鏈上的DAO,因為美國證監會對他們的調查而停止了運營。

故事:Blockfolio 遭到劫持後輸出了帶有攻擊性的內容

摘要:今年2 月,一名惡意人士獲得了Blockfolio 所用的內容推送系統的權限,然後向所有的Blockfolio 用戶推送了帶有攻擊性的內容。不久之後,SBF 確認並解釋了此事,然後他們把責任推到了競爭對手身上,聲稱“惡意內容乃是我們的交易所同行炮製和發布的”。

故事:T-Mobile 因用戶遭遇SIM 攻擊損失價值45 萬美元的比特幣而遭起訴

摘要:SIM 卡被盜在密碼貨幣的世界裡太常見了! (我們甚至為此寫了一篇大文章!)這個受害人在因為SIM 卡被盜而損失了15 個比特幣之後,起訴了其通信服務商。

(注:SIM 卡“被盜” 是指攻擊者通過各種攻擊手段了解目標受害者的個人信息之後,賊喊捉賊,向服務商表示自己的SIM 卡被盜或遺失,從而獲得目標的SIM 卡控制權。)

故事:DeFi 協議Cream Finance Alpha 版遭遇閃電貸攻擊,損失了3750 萬美元

摘要:一次巧妙的閃電貸攻擊讓操作者得以吸乾AlphaFinance 的金庫合約。 FrankResearcher 以長推特的形式披露了整個事件。不久之後, AlphaFinance 暗示,他們知道攻擊者是誰。

故事:一個MetaMask 實例的本地漏洞導致800 萬美元被盜

摘要:這件事情警醒了整個社區盲目信任一個UI 的危險性,也學會了接收你曾經認為可信的東西有一天也可能變得不安全。這份事後報告展示了一個攻擊者想通過劫持你的電腦來獲得你的資金時有多麼努力。在檢查了惡意行為之後,我們確信,這是經過“深思熟慮” 的。

故事:Roll(社交代幣)被盜3000 ETH/570 萬美元

摘要:一個發行社交代幣的平台Roll 遭遇了一個事故,一個熱錢包的私鑰被劫持,而攻擊者把所有的社交代幣都賣成了ETH(這也打壓了這些社交代幣的市場價格)並把ETH 通過TornadoCash 遷移到了另一個地址。

故事:Twitter 黑客認罪,被判三年

摘要:去年推特上出現了一次大規模的賬戶被黑事件,許多高價值賬戶被推特的內部工具發布消息,為騙局推波助瀾。一年不到,這個黑客—— 只有18 歲—— 就被捕並且判了刑。

故事:Filecoin 在幣安上被多重花費—— 涉及460 萬美元

摘要:據開發者披露,幣安交易所會把一筆合法的存款處理兩次,並在鏈下計入雙倍的金額。這個錯誤是因為Filecoin RPC 代碼裡面的一個bug 而導致的。

故事:GitHub Actions 被主動濫用在GitHub 服務器上挖礦

摘要:GitHub 允許服務器運行代碼,以幫助測試。一些別有用心的人就利用這個(免費)的服務器來挖礦—— 他們完全沒有電力支出和維護費用,純賺區塊獎勵。

故事:xFORCE 被白帽子(和其他人)攻破

摘要:xFORCE 合約沒有嚴格遵循ERC20 標準,這讓他們的存入機制出了一個漏洞,而存入機制與xFORCE 代幣鑄造是綁定的。只要你擁有xFORCE 代幣(都不需要實際存入),你就可以取出FORCE 代幣(等於是免費拿走)。

故事:驗證者從Stellar 網絡掉線

摘要:因為一個軟件上的bug,Stellar 網絡上的一組驗證者突然掉線,導致事務處理中斷了。在10 多個小時後,問題根源找出並且得到了修復,而驗證者們也回到了線上。

故事:針對Legder 和Shopify 在2020 年洩露用戶數據的集體訴訟

摘要:在2020 年,一個包含大約30 萬Ledger 客戶記錄的數據庫(有詳細的客戶郵件地址、收件地址和全名)出現在了一個叫做RaidForums 的論壇上並且是免費下載。在2021 年4 月6 日,一些人發起了一項集體訴訟。

故事:更多地址因為轉移USDC 而上了黑名單

摘要:儘管這種情況不多,但Circle(USDC 背後的權威機構)發布了7 個以上的黑名單。這些地址裡的USDC 因此可以被充公,Circle 也可以防止用戶使用這些幣(見合約的“transfer()” 函數)。這是因為美國金融局把這些地址加入了OFEC 的SDN 名單。

故事:規模達到20 億美元的騙局,土耳其交易所Thodex 關停,遭到用戶抗議

摘要:一家土耳其的交易所突然停止服務。據猜測,其CEO 攜帶交易所的私鑰(掌控交易所用戶價值20 億美元的密碼學貨幣)逃到了泰國。此後,一份聲明取代了Thodx 的主頁,詳細說明了他們正在跟商業夥伴談判以及一次攻擊修改了tameness 的一些後端數據。他們也聲稱,媒體關於20 億美元的數字是錯的,實際的數額要低得多。

故事:UraniumFinance 遷移活動遭爆破,潛在損失500 萬美元

摘要:在UraniumFinance 變更交易手續費率的過程中出了一個數學錯誤,導致了一個意料之外的計算錯誤,影響到了實際的交易手續費率。合約中的一個字符導致智能合約的健全性檢查的餘額檢查被利用,UraniumFinance 的儲備金被吸乾。

故事:美國司法部門承認逮捕了Roman Sterlingov(BitcoinFog 的運營者)

摘要:BitcoinFog 是一個流行的混幣器,可以為比特幣交易添加一些模糊性。據稱,BitcoinFog 在過去的10 年裡賺到了約120 萬btc。

故事:xTokenMarket 流動性池子被吸乾,損失2500 萬美元

摘要:又是一次聰明的閃電貸攻擊,攻擊者吸乾了xTokenMarket 的流動性池子,辦法是操縱SNX 和BNT 在多個DEX 的價格。攻擊者是使用叫做“Flashbots” 的MEV 軟件發動的攻擊。

故事:DeFi 100 攜帶3200 萬美元跑路

摘要:一個DeFi 協議用公開的消息嘲諷用戶並表示自己要跑路:“我們騙了你!而你什麼也做不了!”第二天,他們發布了一份聲明,表示他們沒有跑路,並且把網站恢復到了先前的狀態。

故事:針對Ledger 的實體釣魚活動

摘要:在2020 年的數據洩露和2021 年初對Ledger 的集體訴訟之後,用戶開始報告更多試圖竊取用戶密鑰的實體釣魚活動。有人向他們的收件地址快遞了經過修改的設備。

故事:IronFinance 遭遇擠兌,代幣價格在24 小時之內從60 美元跌到零

摘要:根據一份正式的聲明,擠兌始於一些大戶從IRON/USDC 池子中撤出流動性並賣出$TITAN -> $IRON -> $USDC,而不贖回IRON,導致後者的價格脫錨。

故事:對THORChain 的第一次已知的惡意攻擊

摘要:因為用於處理重複符號的邏輯中有個bug,一次攻擊導致THORChain 損失了14 萬美元。網絡被節點中斷,在6 個小時後打上了補丁並恢復了功能。 THORChain 很快知曉了這次攻擊,並聲稱他們會全額補償損失。

觀察

如果我們比較在2020 年觀察到的情形,似乎整個行業還是有很大的提升空間,甚至可能永遠都有。我們需要持續教育大家關於DeFi “梭哈”、DeFi admin key、釣魚的風險,以及把你的資產存入中心化交易所的固有風險。

比較2020 年上半年的情形,我們可以看到,中心化交易所和他們的安全性確實進步了,至少爆出來在他們的基礎設施上發生的黑客事件變少了。這是一件好事,但也提出了一個問題:那些壞蛋都把心思放哪裡去了?一個簡單並且可能也是合理的猜測是,他們把注意力轉向了DeFi 協議,並混進了社區,搞起了容易的跑路,畢竟這沒有太高的技術門檻,而獲利卻非常可觀。

我們也看到了人們對NFT 的興趣正在興起,包括那些大名鼎鼎的公司也在接收NFT(Christies、eBay 和蘇富比)。我們可以預言,會有一些殘酷的NFT 搶劫—— 不是正在發生,就是沒有爆出來。

希望2021 年剩下的時間能風平浪靜!