777io 慢雾:复盘 2020 DeFi、交易所和公链领域安全与隐私大事件
免责声明:本文旨在传递更多市场信息,不构成任何投资建议。文章仅代表作者观点,不代表火星金融官方立场。
边肖:记得要注意
原标题:慢雾回顾:2020区块链安全与隐私事件
2020年,无论从哪个角度来看,都将是区块链和数字货币不平凡的一年。我们见证了DeFi和开放金融生态系统的爆炸式增长。我们看到,区块链作为新技术基础设施的代表之一,已经被纳入“新基础设施”。我们看到,在中国推出数字货币的同时,更多的国家和地区开始关注和发展区块链,全球区块链的“竞争”已经开始。
据hacked.slowmist.io统计,2020年区块链生态被披露的区块链安全事件有122起,其中智能合约和代币安全事件54起,交易所安全事件29起,公链攻击12起,钱包攻击12起,其他攻击15起。
黑色档案攻击事件积累了区块链的缓慢迷雾
随着各种应用的落地,区块链数字资产带来的安全问题普遍呈上升趋势。数字货币中存在各种犯罪,如盗币、诈骗、非法集资、洗钱、暗网非法交易和犯罪等。,而各种原因造成的“黑天鹅”事件更是层出不穷。通过统计可以看到,今年智能合约的安全事件明显增多,而交换攻击也占了很大比例。在数字货币领域,欺诈、勒索和洗钱事件几乎每个月都会发生。
通过本文,慢雾科技将梳理2020年对区块链安全和隐私生态影响较大的事件,为读者回顾事件的详细解说,并对每类事件附上慢雾视图。虽然本文列举的只是冰山一角,但很有代表性。让我们一窥2020年区块链生态世界的“不平凡”。
01
DApp和DeFi的安全事件
BZx遭遇两次闪电贷款攻击
2月15日,DeFi贷款协议bZx遭到攻击,攻击者同时跨多个协议完成闪电贷款杠杆套利交易,导致价值35万美元的ETH被盗。2月18日,bZx再次遭到闪电贷攻击,攻击者通过控制预测器的价格,获利2,388 ETH,约合64.4万美元。
MakerDAO清除机制异常
3月12日,由于ether eum ETH价格大幅下跌,MakerDAO大量抵押债仓跌破清算门槛,触发清算程序。本应参与清算过程的Keeperbot设置了较低的燃气价值,导致投标受阻。一名保管员在没有竞争对手的情况下以0DAI的出价赢得了拍卖。
Uniswap的ERC777再入风险
4月18日,黑客利用Uniswap与DeFi平台ERC777标准的兼容性缺陷,对Uniswap进行了再入攻击。具体来说,在对付ETH-imBTC时,黑客利用ERC777标准中的tokensToSend回调函数实现再入攻击,总获利34万美元。
伦德。我,DeFi平台,被再入漏洞攻击
4月19日,伦德。Ethereum的DeFi平台Me遭遇再入漏洞攻击,损失约2500万美元。雾后安全小组帮助找回了被盗资产。
DeFi项目的Hegic代码中的一个漏洞导致用户的资产被永久锁定
4月27日,DeFi项目的Hegic代码出现漏洞,导致用户的资产被用户永久锁定。该项目上线几个小时后,其代码中的一个错误锁定了该平台价值2.8万美元的智能合约的用户资金。由于这个漏洞,资金被锁定在到期的合同中,无法访问。
班科尔新合同中的安全漏洞
6月18日,由于新Bancor Network合同中未验证的safeTransferFrom功能,用户资金将耗尽。班科团队说:1。在两天前发布的新Bancor Network v0.6合同中发现了一个安全漏洞;2.发现漏洞后,团队进行白帽攻击,将资金转移到安全地址;3.智能合同已获批准。然而,仍有135,229美元的资金被两个未知的套利机器人抢先买入。
平衡器流动性池两次被黑客闪电贷攻击
6月29日,知名DeFi平台Balancer流动性池遭到黑客攻击,损失50万美元。平衡器的流动性池被闪电贷款攻击,损失50万美元。STA和STONK这两个令牌池在Balancer上遭受了损失。目前,这两个代币池的流动性已经枯竭。6月30日,黑客再次利用dYdX闪电贷攻击Balancer部分流动性挖矿池中的COMP交易对,抢走池中未承诺的COMP奖励,获利10.8 ETH,约合2408美元。
Vether 被黑了
7月1日,VETH在去中心化交易所Uniswap遭到黑客攻击。黑客仅用0.9ETH就窃取了919,299份VETH。攻击发生后,VETH的一名官员说,“这是我们的错,合同被放在transferForm中的UX改进所使用。我们将重新部署vether4并补偿所有受影响的Uniswap承诺。
Opyn看跌期权被外部参与者恶意利用
8月5日,连锁期权平台Opyn披露其Ethereum看跌期权被外部参与者恶意利用。Opyn指出,除邰方看跌期权外,所有其他Opyn合约都不受此漏洞的影响。攻击者双重利用oToken,窃取看跌期权卖方的抵押资产。据奥普恩统计,截至目前,已有371,260 USDC被盗。Opyn团队根据凸性协议实施的白帽黑客攻击成功地从未支付的金库中追回了439,170 USDC,进一步减少了损失。
DeFi项目的YAM合同存在漏洞
8月13日,Ethereum知名DeFi项目YAM在推特上发布消息称,合同存在漏洞,24小时内价格暴跌99%,导致治理合同“永久销毁”,价值75万美元的Curve令牌被锁定,无法使用。
在DeFi项目YFValue的YFV质押池中发现漏洞
8月25日,DeFi项目YFValue官方公告称,团队昨天发现YVV质押池存在漏洞,恶意参与者利用该漏洞单独在质押中重置YVV计时器,1.7亿美元资金存在被套牢的风险。目前,一名恶意参与者正试图利用这个漏洞勒索团队。
EOS项目EMD出走
DeFi移动采矿项目“珊瑚”遭到攻击
9月10日,EOS生态DeFi移动采矿项目“珊瑚”的wRAM遭到黑客攻击,损失超过12万EOS。
Bantiample团队砸碎现金逃跑了
9月19日,比安智能链中的项目Bantiample团队套现3,000 BNBs,团队主要开发者删除了Telegram账号。BMAP的代币项目在一天内下降了90%以上。
以太博物馆采矿项目低压金融项目运行
9月20日,慢雾区信息显示,以太琴矿业项目LV Finance涉嫌跑路,不到一个小时就转账400万元。该项目通过伪造虚假审计网站、提供虚假审计信息等方式诱骗投资者进行投资,在资金池金额足够大的一段时间后就跑路了。目前,项目网站lv.finance无法访问。
SushiSwap仿盘项目GemSwap跑路了
9月26日,名为GemSwap的SushiSwap仿盘项目曝光,LP被一扫而空。根据查询,该项目在15: 00左右发布了推特,透露遭到了“whatitdobb”开发者的攻击。据了解,该项目较早完成流动性迁移,但发起攻击的开发商在迁移前获得了相关许可,能够从移动池中取走代币。目前尚不清楚此次袭击造成的具体损失。
卓越银行遭遇了闪电贷款攻击
9月29日,由yearn.finance创始人Andre Cronje刚刚推出的游戏项目额角遭到闪电贷款攻击,黑客向yearn部署者合同返还了800万美元。官员们将重新分配被攻击的800万美元。
DeFi Saver交换漏洞导致31万DAI被盗
10月8日,去中心化钱包imToken发推称,用户举报31万DAIs被盗,与DeFi Saver Exchange漏洞有关。DeFi Saver回应称,被盗资金仍然安全,正在联系受害者。截至目前,资金已全部返还给受伤用户。
Ethereum项目的WLEO合同被黑客攻击
10月11日,Ethereum项目的WLEO合同遭到黑客攻击,导致价值4.2万美元的资金被盗。黑客从分散交换Uniswap的池中窃取了Ethereum,方法是将WLEO铸造给自己,并用Ethereum替换。
Harvest.finance遭到闪电贷款的攻击,套利交易规模巨大
10月26日,有用户发现,DeFi的矿业项目Harvest.finance利用闪电贷款功能实现了巨额套利。Harvest官方解释,此次套利攻击源于一笔巨额闪电贷款,通过多次操纵Curve y Pool的价格,拿fUSDT和fUSDC的差价牟利。
SharkTron匿名开发者出走
11月10日,基于Tron区块链和JustSwap白名单项目SharkTron的DeFi项目匿名开发者Daniel Wood出走。虽然具体损失目前尚不清楚,但推特用户报告称,他们损失了3.66亿至4亿件TRX作品。
阿克罗波利斯合同被连续再入多次攻击
11月13日,黑客利用Akropolis项目中的存储资产验证缺陷,对合同发起反复再入攻击,导致Akropolis合同在未注入新资产的情况下,通过空发行大量pool token,然后利用这些pool token从YCurve和sUSD池中抽取dais,最终导致项目合同中损失203万dais。
Value DeFi协议被闪电贷款攻击
11月15日,Value DeFi协议周六遭闪电贷攻击。据悉,攻击者从Aave协议借了8万ETH,执行了闪电贷款攻击,并在DAI和USDC之间进行套利。攻击者向Value DeFi返还了200万美元,并在使用了740万美元的DAI后保留了540万美元。随后,Value DeFi团队发送了一条消息,确认其MultiStables vault是“一次复杂的攻击,净亏损600万美元。
奶酪银行遭到袭击,损失330万美元
11月16日,基于Ethereum的去中心化自主数字银行平台Cheese Bank因黑客入侵损失330万美元。黑客利用基于自动做市商的预测机器,在dYdX、Uniswap等平台上进行了一系列恶意借贷操作,导致损失超过330万美元,其中USDC损失200万美元。
OUSD被闪电贷款+再入攻击
11月17日,DeFi协议的Origin Protocol稳定币OUSD遭到攻击,攻击者利用dYdX的闪电贷重新进入攻击,造成价值770万美元的ETH和DAI损失。
利用了Pickle Finance未经审计的合同漏洞
11月22日,因推文被V神盛赞的DeFi项目Pickle Finance,因遭到黑客攻击,在DAI损失近2000万美元。
Compound的错误价格导致了9000万美元资产的清算
11月26日,大院的9000万美元资产被清算。德邦银行创始人洪波表示,Compound的巨额平仓事件,实际上是预测机数据源比特币基地Pro DAI价格剧烈波动所致。通过操纵预测机器所依赖的信息源,可以实现短期价格操纵,误导连锁价格。
Sushisswap遭到流动性提供商的攻击
11月30日,慢雾区信息显示,以太琴AMM代币兑换协议Sushi Swap遭到流动性提供者攻击,损失约1.5万美元。
曲速金融遭遇闪电贷款攻击
12月18日,流动性LP代币抵押贷款协议Warp Finance遭雷击,约800万美元被盗。后曲速金融发布声明反对闪电贷款攻击。据说闪电贷攻击者可以盗取价值高达770万美元的稳定币,但Warp Finance团队拟定了一个计划,收回价值约550万美元的稳定币,目前仍在按揭银行,这550万美元将按比例分配给遭受损失的用户。
封面合同漏洞被黑客攻击
推特用户表示,由于奖励合同的漏洞,Cover Protocol损失了300万美元。此外,链上的数据显示攻击者通过使用保险合同发行了约10,000份附加保险,并用WBTC和DAI等资产替代。根据拦截后的浏览器,攻击者之前通过发行COVER获利300万美元,他将4,350 ETH退回到标签为YieldFarming.insure: Deployer的地址。COVER Protocol官方在推特上表示,在漏洞被滥用之前,将根据快照提供全新的COVER代币。而攻击者返回的4350 ETH也会通过快照处理返回给LP令牌持有者。
慢速雾景
由于DeFi项目的激烈性,针对DeFi项目的钓鱼攻击越来越频繁,手法也越来越先进。投资者在投资项目时要关注项目风险,关注平台使用的智能合约是否开源,平台本身是否有安全审计,智能合约是否存在问题。同时,任何DeFi项目在上线前都应该经过专业安全团队的全面审核。
02
Exchange安全事件
Altsbit交易所被攻击后关闭
2月5日,存放hot wallet私钥的意大利加密货币交易所Altsbit服务器被入侵,造成6.929个比特币、23个ETH等加密货币损失,随后交易所宣布5月8日关闭。
VBITEX交易所被入侵
2月17日,VBITEX交易平台宣布遭到黑客攻击,导致平台数据被恶意篡改,虚拟资产被盗。
加密货币交易所Bisq被盗
4月9日,密码货币交易所Bisq被盗,攻击者利用Bisq交易协议中的一个漏洞,盗取单笔交易的交易资金。七名受害者总共损失了3 BTC和4,000 XMR。
伦敦金属交易所被黑
5月27日,LMEX证券交易所发布关于调整社区内交易所运营的公告,称平台被黑被盗,损失15万USDT,使得平台负债不低,已停业收费。
加密货币交易所Cashaa被盗
7月12日,英国加密货币交易所Cashaa称,黑客从其中一个钱包中窃取了超过336枚比特币。目前,交易所已停止所有与加密相关的交易。
西班牙加密货币支付应用程序2被盗
7月31日,西班牙加密货币支付应用程序2Get宣布被黑客窃取140万美元。
黑暗的网络市场帝国市场在骗取资金后关闭了运营
8月30日,著名的暗网市场帝国市场关闭运营。当它退出时,它骗取了130万用户约2638个比特币,价值近3000万美元。
欧洲交易所ETERBASE的一些热门钱包被盗
9月8日,欧洲加密交易所ETERBASE遭到黑客攻击,导致部分热门钱包被盗,包括BTC、ETH和ERC-20代币、XRP、TRX、XTZ和ALGO。资产损失超过500万美元。其中,ETH和ERC-20代币地址损失最多,达到约390万美元,其次是XTZ地址,损失约47.1万美元。
库币交易所被黑
9月26日,Kucoin国库交易所遭到黑客攻击,大量ETH和ERC20代币被转移,包括11,486个Ethereum、19,788,586个USDT、525,405个Gladius 、77,874个Hawala 和21,660个。274 Ocean Token 、8,893,428 CHR、30,452,178安普尔福思、198,678,919 Ankr网络等。此后,黑客的运行资金被各大交易所联合封杀。
液体数据泄漏
加密货币交易所Mike Kayamori在官网发布公告称,11月13日交易所发生了一起数据泄露的安全事件。管理一个核心域名的域名托管提供商,错误地将账户和域名的控制权转移给了恶意入侵者,使其可以更改DNS记录,控制大量内部电子邮件账户,并部分破坏交易所的基础设施,获得对存储文档的访问权限。
英国交易所Exmo发生重大安全漏洞
12月21日,英国加密货币交易所Exmo发生重大安全漏洞,导致平台冻结所有提款。据The Block的研究分析师称,Exmo似乎损失了1050万美元。
俄罗斯交易平台Livecoin遭到攻击
12月24日,俄罗斯加密货币交易平台Livecoin遭到黑客攻击,平台上的代币价格被操纵。
慢速雾景
交易所资金量巨大,容易引发黑客攻击。一旦出现问题,几乎所有用户都会受到影响,所以交易所要做好防范。同时。黑客还会恶意入侵交易所,使其数据泄露牟利。应在平台的早期架构设计中采取所有安全措施,以避免此类信息泄露事件。此外,平台端也有一些恶意行为。毕竟在金钱面前,人性是经不起考验的。
03
公共链安全事件
比特币黄金遭到51%的两次攻击
1月28日,比特币黄金遭遇两次51%计算能力攻击,两次交易所充值交易被取消,涉及约1900 BTG和5267 BTG,接近9万美元。
科科斯-BCX地图钱包信息被盗
4月3日,Cocos-BCX与交易所核实并进行内部调查,因映射钱包信息被恶意窃取,存在资产损失和恶意出售。经与交易所核实确认,本次被盗代币总额为1,087,522,819.2 COCOS,交易所确认总额已被变卖。
Filecon代码漏洞可以实现Filecon的无限发行
拉文科因区块链有一个漏洞
7月3日,CryptoScope团队发现Ravencoin 区块链有漏洞,经rvn首席开发团队确认后,发布紧急更新。据报道,此漏洞可以生成额外的RVN,但不会影响或控制现有的RVN资产。由于漏洞导致的RVN总量比原计划多1.5%,且漏洞产生的RVN已经进入市场,无法进行回滚等操作。
ETC已经连续遭到三次攻击
链接节点运营商受到垃圾邮件的攻击
9月5日,9家Chainlink节点运营商遭到所谓的“垃圾邮件”攻击,攻击者从其“热门钱包”中获取了约700个ETH。
Grin网络遭到51%的攻击
11月10日,Grin网络最近遭受了51%的攻击。周六,一个未知实体控制了超过57%的网络计算能力。
发病率为51%
12月8日,Aeternity官方推特证实,昨天Aeternity遭到黑客攻击的几率为51%。据Aeternity社区核心成员称,51%攻击造成超过3900万AE代币损失,官方团队正在解决问题。这次主要受损的是交易所和矿池,交易所集中在OKEx、Gate和Binance。
慢速雾景
公链一旦出现漏洞,会影响整个链条,所以公链上线前必须经过专业的安全审核。建议公链团队与可信专业的安全团队深度合作,因地制宜部署安全建议,提升安全维度。
04
钱包安全事件
银金矿遭受了多次捕鱼攻击
1月19日,厄勒克特拉饱受“钓鱼”偷钱之苦。8月30日,GitHub用户“1400比特币被盗”称,他的巨额比特币资金在黑客攻击中消失。该用户使用的是比特币钱包Electrum软件,该软件尚未安全更新,因此在他转移比特币时,系统提示他更新并修复潜在问题,但当他按照提示操作时,该软件利用漏洞连接了黑客的服务器,黑客钱包中存放了1400枚比特币。10月12日,ZDNet的一项调查显示,黑客通过诱使用户安装虚假软件更新,从比特币钱包Electrum的用户那里窃取了2200万美元。这种技术在2018年达到顶峰。自从两年前首次发现这种攻击以来,驻极体团队已经采取了一些措施来防止这种攻击。但是,这种攻击仍然适用于使用旧版本应用程序的用户。
IOTA官方钱包应用程序Trinity有一个漏洞
2月12日,黑客利用IOTA官方钱包Trinity的漏洞进行资金窃取,随后正式宣布全网关闭。
以太网崩溃冷钱包被盗
10月30日,网络犯罪情报公司HudsonRock首席技术官AlonGal发推称,10月27日,自称“EtherCrash,Ethereum最成熟最大的菠菜游戏”的冷钱包被盗,损失约250万美元,怀疑是内部人士所为。
分类帐暴露给数据
12月21日,包含Ledger客户超过27万个人信息的数据库在raid forwards上被泄露。泄露的信息包括Ledger硬件钱包购买者的电子邮件、实际地址和电话号码。raid forwards是一个买卖、分享和分享黑客信息的市场。泄露的Ledger信息是今年6月份数据泄露造成的,里面包含了超过100万Ledger客户的邮件。莱杰首席执行官后来表示,他不会向遭受数据泄露的用户提供赔偿。
慢速雾景
用户在选择钱包时,尽量选择国际知名、一流的钱包,注意钱包App的代码是否开源,代码是否通过安全审核,团队中是否有CSO或安全负责人,可能会影响钱包在迭代升级过程中的安全性是否有保障。同时,作为用户,必须从钱包官网下载App,避免误入钓鱼网站,下载植入后门的钱包App。
05
其他类型的安全事件
SIM卡被黑了,被偷了
三叉戟加密基金被攻击,导致数据泄露
3月5日,加密基金Trident Crypto Fund遭到黑客攻击,26.6万用户数据泄露。
加密货币采矿组织BitClub网络中的电信欺诈
7月10日,根据新泽西州联邦检察官办公室发布的公告,程序员席尔武·卡特林·巴拉奇承认参与了加密货币开采组织BitClub Network的成立,并从事电信诈骗和出售未注册证券。Balaci证实,在该计划的五年实施期间,BitClub从投资者那里骗取了至少7.22亿美元的比特币。
多个推特账户遭到黑客攻击
7月16日凌晨,不少知名政客和部分公司的推特账号遭到黑客攻击,这些推特账号都发布了数字货币钓鱼诈骗的相关信息。但是,这些网络钓鱼邮件在发布几分钟后就被删除了。截至目前,诈骗分子已收到12.86个比特币。
CWT被劫持,同意支付比特币
8月1日,美国第五大旅游公司CWT同意向劫持其计算机系统的黑客支付价值450万美元的比特币。
以色列无线芯片和摄像头传感器制造商遭到勒索软件的攻击
9月7日,黑客攻击了在以色列纳斯达克上市的无线芯片和摄像头传感器制造商Tower Semiconductor Ltd ,并索要数十万美元的比特币赎金。为了安全起见,TSEM关闭了一些正在运行的服务器,并暂停了一些工厂的生产。
富士康被勒索软件攻击
12月8日,富士康遭到ransomware攻击,短暂造成墨西哥生产设施出现问题,导致数据被盗。对此,富士康表示,其美国工厂最近遭到网络软件攻击。目前其内部安全团队已完成软件和操作系统的安全更新,同时提升了安全防护水平。同时,受影响工厂的网络正在恢复,对集团整体经营影响不大。
DeFi保险协议Nexus Mutual创始人个人地址被攻击
12月14日,DeFi的保险协议Nexus Mutual在推特上表示,其创始人休·卡普的个人地址被平台用户攻击,37万NXM被盗,损失超过800万美元。官方称这是一次有针对性的攻击,只有卡普的地址受到影响,Nexus Mutual或其他成员没有后续风险。该官员称,卡普使用了一个硬件钱包,攻击者获得了对其计算机的远程访问权限,并修改了钱包插件MetaMask,以欺骗他签署交易并将资金转移到攻击者自己的地址。
OneCoin加密货币庞氏骗局
12月14日,阿根廷科尔多瓦检察官办公室起诉了12名参与OneCoin加密货币庞氏骗局的诈骗犯,并于上周四下令逮捕他们。目前,其中8人已被逮捕。据此前报道,2014年4月至2018年3月,OneCoin庞氏骗局导致相关投资者共遭受44亿美元的财务损失。
慢速雾景
最近,市场变得火热,随之而来的是敲诈勒索、诈骗、传销和钓鱼。针对平台或个人的各种攻击形势严峻,已经造成了数百万到数千万的大量个人损失!请大家提高警惕,加强自身安全意识,开启二次认证,谨慎保管各类隐私信息。
2020年是跌宕起伏的一年。黑天鹅和比特币的疫情从3·12事件的低谷中恢复,近期上升至接近历史高点。流动性矿业DeFi繁荣起来,并迅速落地。区块链既未知又充满可能性。希望新的一年的区块链能产生更多的能量,创造更多样化的产业。慢雾也将不负您的期望,继续为区块链生态安全保驾护航!
PS:
MistTrack的货币追踪服务已经全面启动,如有需要可以联系team@slowmist.com;
黑客时代文化已经上线,欢迎关注&:购买。