FIN:2021 上半年安全事件回顾：被黑、局和停机

密码货币的世界是前所未有地凶险，让人很难视而不见。在详细列出这些安全事件之前，先来看看我们为了行业的安全做了什么贡献？

在 2021 年上半年，我们：

放出了新版的 MyCrypto，提高了用户体验，让用户能更容易、更直接地 使用 和监控自己的密码学货币

披露了滥用 ERC20 授权方法来偷窃用户资产的恶意项目（授权方法是用户使用的一环，但很容易被盲目信任）

拓展了我们的业务范围，帮助遭遇了清道夫机器人的用户取回质押的资产（中文译本）

出版了一份帮助用户提高 MyCrypto 隐私体验的指南

在 NFT 市场爆发时，我们也推出了针对 NFT 买家的反教育材料

与 CryptoScamDB 继续我们的反、反钓鱼活动

提高整个行业的意识和防止、攻击都是任重道远，但我们在坚持。

我们先来深入了解下行业的整体态势，看看我们是否从 2020 年学到了教训，是否有所提升。

BDM Protocol借贷矿池公测时间更改为2021年2月26号:据官方消息，因BDM借贷矿池头矿白名单申请数量众多，为了对每一位申请者负责，提升用户体验，保证用户权益，BDM Protocol借贷矿池公测时间将改为2021年2月26号。同时BDM Protocol将进一步完善奖励制度，完善白名单制度，升级全新的solidity版本。[2021/2/25 17:52:32]

以下是 2021 年第一第二季度的主要安全事件清单。我们不会列出所有的跑路及类似事件，因为太多了，实在是数也数不清……

2021 年第一季度出现了一些有趣的事件，从整个协议的突然停摆到 DeFi 合约被黑，再到黑客被捕，都有。我们也看到了完全针对个人的攻击，这让整个行业感到震惊，因为这些坏人可能为了一笔钱而不择手段。

与去年相比，第一季度的密码货币交易所被黑事件有所减少。这既是因为黑客的注意力都在别的地方，也是因为交易所已经从去年的失败中学到了教训、调整了安全控制。

Findora公布审核代码库结果并计划于2021Q1发布开源代码:据官方消息，Findora与一家美国上市的软件行业安全审计公司合作，对方对Findora即将开源代码库进行分析检测。 针对安全性和风险的初步审核结果显示代码库的结构设计和抗攻击性等方面均表现非常出色，在各个方面均达到或者超出行业内认可的标准。

审核一共扫描和分析了超过9800多个文件，该审计报告指出Findora代码库在安全薄弱程度方面的评价结果是“极低”。在完成全面的安全审核后，Findora将在未来公布开源时间表，从2021年第一季度开始逐步发布其开源代码。

Findora旨在成为金融服务行业的粘合剂-即实现任何性质的资产并应对支持和统一各种加密货币和传统资产的必要挑战-安全仍然是我们的首要任务，并且是实现广泛采用并建立全球信任这一目标的基础。进行端到端的第三方安全审核并取得优异的结果是朝此方向迈出的两个重要步骤。[2021/1/5 16:27:50]

摘要：最大/最老牌 的自动化流动性挖矿协议之一，Yearn，其某个 v1 金库遭遇爆破，被盗金额总计 1100 万美元，而金库的用户遭遇了 280 万美元的直接损失。Yearn 团队在 10 分 14 秒内成功地缓解了此次爆破，包括 Tether 冻结了 170 万 USDT来防止攻击者转移资产。

去中心化操作系统Cartesi公布2020年底和2021年初技术路线图:去中心化操作系统Cartesi在推特上表示，Cartesi首席执行官Erick de Moura提供了CTSI Reserve Mining（储备挖矿）的最新情况，以及Cartesi在2020年剩余时间和2021年初的技术路线图。[2020/12/3 22:58:29]

摘要：DMM DAO 是一个使用 Chainlink 信息传输机制把现实世界资产搬到链上的 DAO，因为美国证监会对他们的调查而停止了运营。

摘要：今年 2 月，一名恶意人士获得了 Blockfolio 所用的内容推送系统的权限，然后向所有的 Blockfolio 用户推送了带有攻击性的内容。不久之后，SBF 确认并解释了此事，然后他们把责任推到了竞争对手身上，声称 “恶意内容乃是我们的交易所同行炮制和发布的”。

摘要：SIM 卡被盗在密码货币的世界里太常见了！（我们甚至为此写了一篇大文章！）这个受害人在因为 SIM 卡被盗而损失了 15 个比特币之后，起诉了其通信服务商。

（注：SIM 卡 “被盗” 是指攻击者通过各种攻击手段了解目标受害者的个人信息之后，贼喊捉贼，向服务商表示自己的 SIM 卡被盗或遗失，从而获得目标的 SIM 卡控制权。）

动态 | 民意调查：83%的受访者认为到2025年XRP的市值将达到2-5万亿美元:近日，Twitter用户Robert Rektford在推特上发起一项调查，问道：“到2025年，以下哪种加密货币市值将达到2-5万亿美元。”在1456名受访者中，83%的人表示，他们认为XRP的市值将在2025年达到这一水平。只有13%的人投票支持比特币，4%的人投票支持其他加密货币。[2019/8/21]

摘要：一次巧妙的闪电贷攻击让操作者得以吸干 AlphaFinance 的金库合约。FrankResearcher 以长推特的形式披露了整个事件。不久之后， AlphaFinance 暗示，他们知道攻击者是谁。

摘要：这件事情警醒了整个社区盲目信任一个 UI 的危险性，也学会了接收你曾经认为可信的东西有一天也可能变得不安全。这份事后报告展示了一个攻击者想通过劫持你的电脑来获得你的资金时有多么努力。在检查了恶意行为之后，我们确信，这是经过 “深思熟虑” 的。

摘要：一个发行社交代币的平台 Roll 遭遇了一个事故，一个热钱包的私钥被劫持，而攻击者把所有的社交代币都卖成了 ETH（这也打压了这些社交代币的市场价格）并把 ETH 通过 TornadoCash 迁移到了另一个地址。

声音 | 以太坊基金会研究员：以太坊分片或将于2020年实施:据CCN报道，以太坊基金会研究员Justin Drake表示，分片（Sharding）是一个备受期待的以太坊扩展解决方案，可能会在2020年实施。本周五在接受TechCrunch采访时，Drakee描述了两个当前优先事项：Casper和SHarding（分片）。为解决以太坊目前面临的可扩展性不足、交易费用高和资源利用率低等主要问题，Drake预计Casper将在2019年实施，分片的两个阶段将于2020年和2021年分别实施。[2018/7/7]

摘要：去年推特上出现了一次大规模的账户被黑事件，许多高价值账户被推特的内部工具发布消息，为局推波助澜。一年不到，这个黑客 —— 只有 18 岁 —— 就被捕并且判了刑。

摘要：据开发者披露，币安交易所会把一笔合法的存款处理两次，并在链下计入双倍的金额。这个错误是因为 Filecoin RPC 代码里面的一个 bug 而导致的。

摘要：GitHub 允许服务器运行代码，以帮助测试。一些别有用心的人就利用这个（免费）的服务器来挖矿 —— 他们完全没有电力支出和维护费用，纯赚区块奖励。

摘要：xFORCE 合约没有严格遵循 ERC20 标准，这让他们的存入机制出了一个漏洞，而存入机制与 xFORCE 代币铸造是绑定的。只要你拥有 xFORCE 代币（都不需要实际存入），你就可以取出 FORCE 代币（等于是免费拿走）。

摘要：因为一个软件上的 bug，Stellar 网络上的一组验证者突然掉线，导致事务处理中断了。在 10 多个小时后，问题根源找出并且得到了修复，而验证者们也回到了线上。

摘要：在 2020 年，一个包含大约 30 万 Ledger 客户记录的数据库（有详细的客户邮件地址、收件地址和全名）出现在了一个叫做 RaidForums 的论坛上并且是免费下载。在 2021 年 4 月 6 日，一些人发起了一项集体诉讼。

摘要：尽管这种情况不多，但 Circle（USDC 背后的权威机构）发布了 7 个以上的黑名单。这些地址里的 USDC 因此可以被充公，Circle 也可以防止用户使用这些币 （见合约的 “transfer()” 函数）。这是因为美国金融局把这些地址加入了 OFEC 的 SDN 名单。

摘要：一家土耳其的交易所突然停止服务。据猜测，其 CEO 携带交易所的私钥（掌控交易所用户价值 20 亿美元的密码学货币）逃到了泰国。此后，一份声明取代了 Thodx 的主页，详细说明了他们正在跟商业伙伴谈判以及一次攻击修改了 tameness 的一些后端数据。他们也声称，媒体关于 20 亿美元的数字是错的，实际的数额要低得多。

摘要：在 UraniumFinance 变更交易手续费率的过程中出了一个数学错误，导致了一个意料之外的计算错误，影响到了实际的交易手续费率。合约中的一个字符导致智能合约的健全性检查的余额检查被利用，UraniumFinance 的储备金被吸干。

摘要：BitcoinFog 是一个流行的混币器，可以为比特币交易添加一些模糊性。据称，BitcoinFog 在过去的 10 年里赚到了约 120 万 btc。

摘要：又是一次聪明的闪电贷攻击，攻击者吸干了 xTokenMarket 的流动性池子，办法是操纵 SNX 和 BNT 在多个 DEX 的价格。攻击者是使用叫做 “Flashbots” 的 MEV 软件发动的攻击。

摘要：一个 DeFi 协议用公开的消息嘲讽用户并表示自己要跑路：“我们了你！而你什么也做不了！”第二天，他们发布了一份声明，表示他们没有跑路，并且把网站恢复到了先前的状态。

摘要：在 2020 年的数据泄露和 2021 年初对 Ledger 的集体诉讼之后，用户开始报告更多试图窃取用户密钥的实体钓鱼活动。有人向他们的收件地址快递了经过修改的设备。

摘要：根据一份正式的声明，挤兑始于一些大户从 IRON/USDC 池子中撤出流动性并卖出 $TITAN -> $IRON -> $USDC，而不赎回 IRON，导致后者的价格脱锚。

摘要：因为用于处理重复符号的逻辑中有个 bug，一次攻击导致 THORChain 损失了 14 万美元。网络被节点中断，在 6 个小时后打上了补丁并恢复了功能。THORChain 很快知晓了这次攻击，并声称他们会全额补偿损失。

如果我们比较在 2020 年观察到的情形，似乎整个行业还是有很大的提升空间，甚至可能永远都有。我们需要持续教育大家关于 DeFi “梭哈”、DeFi admin key、钓鱼的风险，以及把你的资产存入中心化交易所的固有风险。

比较 2020 年上半年的情形，我们可以看到，中心化交易所和他们的安全性确实进步了，至少爆出来在他们的基础设施上发生的黑客事件变少了。这是一件好事，但也提出了一个问题：那些坏蛋都把心思放哪里去了？一个简单并且可能也是合理的猜测是，他们把注意力转向了 DeFi 协议，并混进了社区，搞起了容易的跑路，毕竟这没有太高的技术门槛，而获利却非常可观。

我们也看到了人们对 NFT 的兴趣正在兴起，包括那些大名鼎鼎的公司也在接收 NFT（Christies、eBay 和苏富比）。我们可以预言，会有一些残酷的 NFT 抢劫 —— 不是正在发生，就是没有爆出来。

希望 2021 年剩下的时间能风平浪静！

标签：FINDORFORINDINFINITYADADOR价格Phoenix ForcePEPELINDA币

聚币热门资讯