2021年上半年回顾:区块链/加密货币主要安全事故

FilCloud 船员 发布在 区块链社区
 91003  0

如想了解之前的资讯,可以看我们的上一篇文章:

2020年回顾:区块链/加密货币主要安全事故



加密货币的世界一如既往地危险,让人很难视而不见。在详细列出这些安全事件之前,先来看看我们为了行业的安全做了什么贡献?


2021 年上半年,我们将:


  • 发布了新的 MyCrypto,以帮助用户体验,并使用户使用和监控密码的旅程更容易和更直接

  • 披露了滥用 ERC20 授权方法来偷窃用户资产的恶意项目(授权方法是用户使用的一环,但很容易被盲目信任)

  • 拓展了我们的业务范围,帮助遭遇了清道夫机器人的用户取回质押的资产

  • 出版了一份帮助用户提高 MyCrypto 隐私体验的指南

  • 随着 NFT 市场的蓬勃发展,我们还发表了一篇关于针对 NFT 买家的常见骗局的教育文章。

  • 使用 CryptoScamDB 继续我们的反诈骗/反网络钓鱼活动。


提高这一行业对诈骗、利用漏洞和黑客的认识和防范是一项艰巨的任务,但我们正在努力。


让我们更深入地看看整个行业,看看我们作为一个整体,是否从2020年起有所进步和学习。


以下是 2021 年第一季度/第二季度的主要安全事件清单。然而,我们不会列出所有的跑路及类似事件,因为太多了,实在是数也数不清……



2021年第一季度发生了一些有趣的事件,从整个协议的突然停摆、DeFi合约被黑客攻击到逮捕确认。


我们看到了针对个人的有针对性的攻击,这些攻击震撼了整个行业,纯粹是因为攻击者会为了一笔可观的收入而不择手段。


与去年相比,第一季度没有那么多加密货币交易所黑客。这要么是因为其他地方的注意力正被吸引,要么是因为交易所已经从之前的失败中吸取了教训,并调整了他们的安全控制。


故事:Yearn 被黑客索要 1100 万美元


摘要:最大的自动化流动性挖矿协议之一 Yearn,其某个 v1 金库遭遇爆破,被盗金额总计 1100 万美元,而金库的用户遭遇了 280 万美元的直接损失。Yearn 团队在 10 分钟 14 秒内成功缓解了这一漏洞,包括 Tether 冻结了 170 万 USDT 以防止攻击者转移资产。


故事:DMM DAO 因 SEC 调查而关闭


摘要:DMM DAO 是一个使用 Chainlink 信息传输机制把现实世界资产搬到链上的 DAO,因为美国证监会对他们的调查而停止了运营。


故事:Blockfolio 遭到劫持后输出了带有攻击性的内容


摘要:今年 2 月份,一名攻击者获得了 Blockfolio 所用的内容推送系统的权限,并向所有 Blockfolio 用户推送了带有攻击性的内容。不久之后,SBF 承认并解释了此事,然后他们将责任推到了竞争对手身上,称“恶意内容乃是我们的交易所同行炮制和发布的”。


故事:T-Mobile 因用户遭遇 SIM 攻击损失价值 45 万美元的比特币而遭起诉


摘要:SIM 卡被盗在密码货币的世界里太常见了!这个受害人在因为 SIM 卡被盗而损失了 15 个比特币之后,起诉了其通信服务商。

(注:SIM 卡 “被盗” 是指攻击者通过各种攻击手段了解目标受害者的个人信息之后,贼喊捉贼,向服务商表示自己的 SIM 卡被盗或遗失,从而获得目标的 SIM 卡控制权。)

故事:DeFi 协议 Cream Finance Alpha 版遭遇闪电贷攻击,损失了 3750 万美元


摘要:一次巧妙的闪电贷攻击使操作者能够有效地吸干了 AlphaFinance 的金库合约。FrankResearcher 在推特上发布了一个帖子,总结了所发生的事情。不久之后,AlphaFinance 暗示,他们知道攻击者是谁。


故事:一个 MetaMask 实例的本地漏洞导致 800 万美元被盗


摘要:这个事件警醒了整个社区,让他们意识到盲目相信 UI 的危险,也学会了接收你曾经认为可信的东西有一天也可能变得不安全。这一事后报告显示了一个攻击者想通过劫持你的电脑来获得你的资金时有多么努力。在检查了恶意行为之后,我们确信,这是经过 “深思熟虑” 的。


故事:Roll(社交代币)被盗 3000 ETH/570 万美元


摘要:一个发布社会代币的平台 Roll 遭遇了一个事故,一个热钱包私钥被劫持,而攻击者把所有的社交代币都卖成了 ETH(这也打压了这些社交代币的市场价格)并把 ETH 通过 TornadoCash 迁移到了另一个地址


故事:Twitter 黑客认罪,被判3年监禁


摘要:去年推特上出现了一次大规模的账户被黑事件,利用 Twitter 内部工具从高价值的账户发布信息,促进了信任交易骗局。不到一年后,这名 18 岁的黑客被捕并且判了刑。


故事:Filecoin 在币安上的双花事件,涉及 460 万美元


摘要:根据开发者披露,币安交易所会把一笔合法的存款处理两次,并在链下计入双倍的金额。这个错误是因为 Filecoin RPC 代码里面的一个 bug 而导致的。



故事:GitHub Actions 被频繁滥用,用于在 GitHub 服务器上挖矿


摘要:GitHub 允许服务器运行代码,以进行测试。一些别有用心的人利用这些(免费)服务器挖矿。这意味着他们没有电力/维护的日常开支,而是从任何区块中获得奖励。


故事:xFORCE 被白帽(和其他人)攻破


摘要:xFORCE 合约没有严格遵循 ERC20 标准,这让他们的存入机制出了一个漏洞,而存入机制与 xFORCE 代币铸造是绑定的,只要你拥有 xFORCE 代币(都不需要实际存入),你可以提取 FORCE 代币(基本上是免费的)。


故事:验证者从 Stellar 网络掉线


摘要:由于软件漏洞,Stellar 网络上的一组验证者突然掉线,导致交易中断。大约 10 个小时后,问题根源找出并且得到了修复,验证者们也再次上线。


故事:针对 Legder 和 Shopify 在 2020 年泄露用户数据的集体诉讼


摘要:在 2020 年,一个包含约 30 万条 Ledger 客户记录的数据库(详细的客户电子邮件、实际送货地址和全名)出现在了一个叫做 RaidForums 的论坛上并且是免费下载。在 2021 年 4 月 6 日,一些人提起集体诉讼。


故事:更多的地址因为转移 USDC 而被列入黑名单


摘要:尽管这种情况相对罕见,但是 Circle(USDC背后的权威机构)发布了 7 个以上的黑名单。这些地址里的 USDC 因此可以被充公,Circle 也可以防止用户使用这些币(见合约的 “transfer()” 函数)。这是因为美国金融局把这些地址加入了 OFEC 的 SDN 名单。


故事:规模达到 20 亿美元加密货币骗局,土耳其交易所 Thodex 关停,遭到用户强力抗议


摘要:土耳其一家交易所突然停止服务,据推测,这位首席执行官带着属于该交易所用户的价值 20 亿美元的加密货币的密钥逃到了泰国。此后,一份声明取代了 Thodex 的主页,详细说明了他们如何与商业伙伴进行谈判,以及一次攻击修改了 tameness 的一些后端数据。他们也声称,媒体关于 20 亿美元的数字是错误的,实际数字要低得多。


故事:UraniumFinance 迁移活动遭爆破,潜在损失 500 万美元


摘要:当 UraniumFinance 变更交易手续费率的过程中出了一个数学错误,导致了一个意料之外的计算错误,影响到了实际的交易手续费率。合约中的一个字符导致智能合约健全检查在余额检查中被利用,UraniumFinance 的储备金被吸干。


故事:美国执法部门承认逮捕了 Roman Sterlingov(BitcoinFog 的运营者)


摘要:BitcoinFog 是一种流行的混币器,可以为比特币交易添加一些模糊性。据称,BitcoinFog 在过去的 10 年里赚到了约 120 万 btc。

故事:xTokenMarket 流动性池子被吸干,损失约 2500 万美元


摘要:又是一次聪明的闪电贷攻击,攻击者吸干了 xTokenMarket 的流动性池子,办法是操纵 SNX 和 BNT 在多个 DEX 的价格。攻击者是使用叫做 “Flashbots” 的 MEV 软件发动的攻击。


故事:DeFi 100 携带 3200 万美元跑路


摘要:一个 DeFi 协议用公开的消息嘲弄他们的用户“我们欺骗了你们,你们对此无能为力”。第二天,他们发表了一份声明,称他们没有跑路,并将网站恢复到了先前的状态。


故事:针对 Ledger 的实体钓鱼活动


摘要:在 2020 年的数据泄露和 2021 年初对 Ledger 的集体诉讼之后,用户开始报告更多试图窃取用户密钥的实体钓鱼活动。有人向他们的收件地址快递了经过修改的设备。


故事:IronFinance 遭遇挤兑,代币价格在 24 小时之内从 60 美元跌倒0


摘要:根据一份官方声明,挤兑始于一些大户从 IRON/USDC 池子中撤出流动性并卖出 $TITAN -> $IRON -> $USDC,而不赎回 IRON,导致后者的价格脱锚。


故事:对 THORChain 的第一次已知的恶意攻击


摘要:因为用于处理重复符号的逻辑中有个 bug,一次攻击导致 THORChain 损失了 14 万美元。网络被节点中断,6小时后打上了补丁并恢复了功能。THORChain 很快知晓了这次攻击,并声称他们会全额补偿损失。


观察


如果我们将 2020 年观察结果进行比较,我们会发现这个行业仍然有很大的提升空间,甚至可能永远都有。


我们需要持续教育大家关于 DeFi “梭哈”、DeFi admin key、钓鱼的风险,以及把你的资产存入中心化交易所的固有风险。


与 2020 年上半年相比,我们已经看到了中心化交易所及其安全性的改善,或者至少爆出来在他们的基础设施上发生的黑客事件变少了。


这是件好事,但也引出了一个问题:那些攻击者都把心思放哪里去了?一个简单并且可能也是合理的猜测是,他们把注意力转向了 DeFi 协议,并混进了社区,搞起了容易的跑路,毕竟这没有太高的技术门槛,而获利却非常可观。


人们对 NFT 领域的兴趣显著上升,包括那些大名鼎鼎的公司也在采用 NFT(如:佳士得、eBay、苏富比)。


我们可以预测,将会有一些昂贵的NFT被盗,不是正在发生,就是没有爆出来。


希望 2021 年剩下的日子都是风平浪静!

End

非常感谢您对 IPFS&Filecoin 项目的持续支持。我们很高兴继续与您一起,为人类信息建立一个强大的,去中心化和高效的基础。

FilCloud 帮你迅速了解 IPFS 领域的热点技术和应用公众号:filcloud

  • 正序
  • 最新
沙发,很寂寞......
登录 账号发表你的看法,还没有账号?立即免费 注册