据成都链安安全舆情监控数据显示:2020年12月,据不完全统计,整个区块链生态共发生31起较为典型的安全事件。经成都链安·安全实验室评级,12月整体风险评级为,需整个行业生态参与方引起重视。
相较于11月,12月发生的安全事件数量有所增加。尤其需要注意的是,在方面,本月发生典型安全事件数量较多;作为用户和投资者,在项目选择阶段,应仔细甄别该项目的部署和运营状况,以及是否经过第三方安全公司的安全审计,是否具备权威的安全审计报告,切不可掉以轻心。
?
以下为本月安全月报的详细事项。
交易所方面,共发生『2』起典型安全事件
01
12月19日,当日早些时候,Bitcoin.org遭到DDoS攻击,导致该网站瘫痪。
02
俄罗斯加密货币交易所Livecoin遭到了所谓的“精心计划的攻击”。该交易所“失去了对所有服务器、后端和节点的控制权”,并恳请客户停止存款、交易或与该交易所进行互动。
Defi方面,共发生『5』起典型安全事件
01
Compounder.Finance项目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址处智能合约发生多笔大额交易。经过技术人员验证,确认为内部人员攻击,共损失约8000万人民币的代币。
Cobo 链上安全团队盘点分析 1 月区块链安全事件:2月17日消息,Cobo安全研究团队近日盘点并解析了 1 月发生的典型区块链安全事件,对跨链桥、智能合约、钱包等多种类型的真实攻击案例和漏洞进行了技术解读,并为普通用户规避区块链中的安全风险提供了一些建议。建议普通用户及时撤销无限授权、留意未审计项目风险等。
Cobo 区块链安全研究团队成员来自知名安全实验室,有多年网络安全与漏洞挖掘经验,曾协助谷歌 、微软处理高危漏洞。团队目前重点关注智能合约安全、DeFi 安全等方面 ,研究并分享前沿区块链安全技术。[2022/2/17 9:57:31]
02
12月7日,HarvestFinance官方宣布上线GRAIN、USDC和USDT索赔门户网站。官方表示,根据此前黑客退还250万美元资金,这将用户损失减少到13.5%。官方正在通过USDC、USDT和GRAIN代币进行混合赔偿的方式,帮助此前受攻击事件影响的用户进行索赔。
03
据TheBlockCrypto报道,DeFi保险协议NexusMutual创始人HughKarp的个人地址遭到攻击,该地址中有370000个XNM代币,损失超过800万美元。
04
北京时间12月18日06:34,流动性LP代币抵押借贷DeFi协议WarpFinance遭遇闪电贷攻击,约800万美元被盗。
05
12月28日,此前通过增发COVER获利300万美元的攻击者将4350枚ETH返还给标签为YieldFarming.insure:Deployer的地址,并留言“Nexttime,takecareofyourownshit.”
央行盘点2020:积极运用区块链等技术将金融服务融入实体经济“关键动脉”:央行发布《盘点央行的2020 | ⑦金融科技和金融基础设施》表示,积极运用大数据、人工智能、区块链等技术将金融服务融入实体经济“关键动脉”。首个由我国专家召集制定的ISO标准《银行产品服务描述规范》正式发布,同时牵头研制移动支付、区块链、绿色金融等多项国际标准。(中国人民银行公众号)[2021/1/11 15:53:08]
Beosin评论:
Defi生态本月依然是整个行业的热门趋势,因此也是黑客和攻击者重点“光顾”的对象,多个DeFi项目于本月相继遭到了巨额资产损失。成都链安建议Defi生态各大项目方切记做好前置预防工作,寻求第三方安全公司进行严格的安全审计,是提升DeFi项目安全性最为有效和可行的防护措施。
跑路/加密局方面,共发生『7』起典型安全事件
01
Ripple将YouTube告上了法庭,原因是YouTube未能将XRP相关的欺诈行为从其平台上移除。Ripple首席执行官BradGarlinghouse表示,YouTube不仅没有采取积极主动的方法来处理这些局,甚至在收到Ripple的通知后也继续无视它们。
动态 | 澳媒盘点12国加密货币税制 日本税率最高:7月23日,澳大利亚加密货币媒体Mickey发文盘点各国加密货币税制,并指出日本加密货币税率非常高。根据2017年4月实行的资金结算法修订版,加密货币交易所产生的利益所得划分为杂项收入,所得税最高可达45%,作为伴随着损失的交易市场税率来说非常高。此外,该媒体列举了以下几个国家的加密货币税制:1、德国:加密货币交易免除附加税,持续保有加密货币一年以上可免除转让所得税。全部欧洲市民向德国转移资产时可免除转移税。2、新加坡:长期投资加密货币的企业和个人免除转让所得税。3、葡萄牙:不像加密货币征收附加税和所得税,但企业通过加密货币交易所得的收益需要课税。4、马耳他:加密货币的日交易作为法人税征收税金,但个人投资者购买和拥有加密货币不用缴纳税金。5、马来西亚:不需要缴纳转让所得税。6、白俄罗斯:对加密货币挖矿和对加密货币的投资不征收税金。7、瑞士:对专业投资者的加密货币交易征收法人税,挖矿被视为个人营业收入,但个人投资者的投资及交易不需缴纳转让所得税。8、加密货币被认为是资产,纳税方式和股票一样;如果购买加密货币并保留一年以上,根据收入水平征收0%至20%的税金。9、澳大利亚:当所有交易均被视为转让收入,并且兑换为澳元时要求保留所有准确的交易记录;如果进行加密货币投资获得的利润,就要交纳与个人所得税相同速率的税金。但如果持有1年以上的加密货币,将减免50%的税金。10、以色列和瑞典:如果纳税人不能证明他们购买的加密货币的购买额,将会征收百分之百的税金。[2019/7/23]
02
12月1日,行业人士向币扑爆料称:大富翁项目方私自篡改合约转移用户资产,抽取超1亿GOLD代币后,砸盘90%跑路。
动态 | 老猫盘点2018年个人经历:披露“李笑来欠3万个比特币”事件进展:12月31日讯,硬币资本(INBlockchain)管理合伙人老猫发文回顾2018年个人经历。文章中,老猫透露2018年由经济下行个人资产也缩水一大半,但相对而言可能还说得过去,因为坚持3个投资方法:第一是不加杠杆,第二是主要持有主流品种,第三是配置。 文章中,老猫还就此前外界盛传的“李笑来欠了3万个比特币”事件进行回应,同时披露最近进展。老猫表示,该事件最初源于2013年面向熟人圈开展的代理投资,当时所有合同以人民币计价投资,每份10万人民币,但有的人当时给的是比特币,“这个事情被一些黑子刻意的改头换面,最后就变成笑来欠了30000个币”。老猫透露,此事在2018年8月26日画上了句号。[2018/12/31]
03
12月8日,据媒体报道YouTube上出现两个假冒Gemini账号,黑客用Gemini的名称以及LOGO将相关的YouTube帐户重新命名。Gemini表示,已经将这些假帐号报告给了YouTube。
04
合成资产发行平台Synthetix于12月10日在推特发文向Telegram官方喊话称,几个月以来已经发现有团伙在Telegram上冒充Synthetix并且取了人们的钱财。
05
一位名为“Artura$”的推特用户在推特上爆料称,DeTradeFund是一个加密货币局,该平台允许任何用户通过套利系统投入资金来获利,并在预售中取了1400多个以太坊。
06
据英国《卫报》12月16日消息,一个欺诈性的比特币广告方案通过未经授权的名人图片吸引了数千名受害者,该局已被追查到来自俄罗斯。
午间行情盘点:BTC比特币报7977美元,24小时跌幅约10.43%。ETH以太币报797美元,24小时跌幅约10.64%。瑞波币报5.66元人民币,24小时涨幅0.70%。ADA艾达币报2.18元人民币,24小时涨幅约7.94%。[2018/2/11]
07
一名Localbitcoins和Paxful交易员针对比特币有关的指控认罪。美国司法部指控该交易员故意向欺诈计划的受害者出售比特币。
Beosin评论:
跑路/加密局方面的各类安全事件发生一直层出不穷,很大程度上是源于当前区块链行业的安全监管进程建设依然亟需推进;另外,用户自身的安全意识欠缺也是不可忽视的重要原因。成都链安在此提醒,妥善保管个人各类隐私信息,谨慎分辨网络上的相关消息。
勒索软件/挖矿木马方面,共发生『5』起典型安全事件
01
12月1日,微软在周一晚间发布的一份报告中称,越南政府支持的代号为APT32和OceanLotus黑客组织最近被发现在他们的常规网络间谍工具包之外,还部署了加密货币挖矿恶意软件。
02
微软在一份报告中警告称,一个名为BISMUTH的组织用Monero挖矿木马作为诱饵攻击了法国和越南的政府目标。
03
12月3日,黑客组织BlackShadow周二对保险公司Shirbit进行网络攻击,该组织周三在其电报频道上发布消息称,Shirbit需向其比特币钱包发送50枚比特币,否则将泄漏并出售Shirbit的客户和员工的私人信息。
04
韩国依恋集团向报告称,旗下NC百货商店和NEWCORE奥特莱斯等商店于11月22日遭到勒索软件攻击,并受到损失。黑客对该集团计算机上的数据进行加密,并要求支付比特币以换取解密。
05
富士康CTBGMX生产设施遭到勒索软件DoppelPaymer的攻击。在勒索信中,黑客索要了1804.0955个比特币作为赎金,并声称已加密了约1200台服务器。
?
暗网方面,共发生『1』起典型安全事件
01
芬兰海关在欧洲刑警组织的支持下剿灭了芬兰暗网市场SIPULIMARKET。
其他方面,共发生『11』起典型安全事件
01
区块链取证公司CipherTrace警告称,12月2日,有用户资金被一种伪装成流行加密钱包MetaMask的恶意Chrome浏览器扩展程序窃取。
02
北京时间12月4日21:46左右,公链项目Solana因未知漏洞导致停止生产区块。该公链网络于12月5日凌晨已经恢复正常运行。
03
12月7日,法国法院已判处俄罗斯黑客AlexanderVinnik5年监禁,并对其处以10万欧元的罚款。此前消息,Vinnik被指控是一项国际计划的幕后主使,并通过BTC-e平台转移了价值超过40亿美元的资金。
04
墨西哥警察在加勒比海PlayadelCarmen逮捕人贩IgnacioSantoyo。IgnacioSantoyo曾利用加密货币进行。
05
据Aeternity官方推特证实,Aeternity于12月9日遭到了黑客51%攻击,据Aeternity社区核心成员披露,此次51%攻击造成的损失超过3900枚AE代币,官方团队正在解决问题,此次受损的主要是交易所和矿池。
06
攻击NexusMutual创始人HughKarp钱包的黑客现已成功提现了近35%的资金。TheBlockResearch调查显示,黑客使用renBTC将137个BTC提取到两个地址中,价值约265万美元。
07
Rubygems开源软件库中发现了被感染的软件包,其中包含恶意代码,主要用于通过供应链攻击从用户那里窃取加密货币。
08
12月21日,黑客网站Raidforums上已经公开了一个包含超过百万份客户电子邮件的数据库。这些数据是在2020年6月硬件钱包提供商Ledger的电子商务数据库遭到黑客攻击时被盗的。
09
意大利指控BitGrail首席执行官FranscescoFirano从交易所用户那里窃取了数百万美元的加密货币。
10
在格鲁吉亚的梅斯蒂亚中部的Banguriani酒店中,发现了大量非法消耗大量电力的加密货币矿机。Banguriani酒店的窃电行为相当于大约四个村庄的耗电量。
11
12月29日,加密货币经纪商VoyagerDigital昨日遭遇网络攻击,交易系统受损,被迫下线,并告知客户其域名系统服务器遭到破坏,但此后已经恢复。
鉴于当前区块链安全生态的新形势,『成都链安』在此总结:
总的来说,12月所发生的区块链安全事件较11月有所上升,整体安全事件发生的数量超过30起,故风险评级为。从细分方向上来看,Defi方面、跑路/加密局方面、勒索软件/挖矿木马方面依然是区块链生态遭到重点攻击的对象;从攻击手法上来看,DDoS攻击、闪电贷攻击、51%攻击依然是黑客“重点采用”的手段;从资产损失情况上来看,本月的安全形势颇为严峻。
具体到Defi方面来说,DeFi生态的安全风险依然令人堪忧,资金损失数额巨大。从本月发生的典型事件足以窥见,黑客的攻击一直不曾断绝。另外,来自项目内部人员的潜藏风险也不容小觑。在此,成都链安提醒,Defi项目方除了需要时刻注意应对外界黑客的攻击以外,来自内部的危险因子也需及时肃清;加强对内部人员的安全意识普及,避免发生监守自盗的情况。
此外,本月跑路/加密局方面发生的安全事件数量呈明显上涨趋势,这很大程度上可能是源于BTC、ETH等加密货币市值在本月突然飙升的缘故。牛市来临,让各方潜藏的攻击者和者都蠢蠢欲动。作为用户和投资者,培养安全防范意识的同时,更要擦亮双眼,仔细甄别并选择靠谱的项目,避免盲从。
2020年的最后一月,区块链生态的安全风险依然不可小觑。来年,“让区块链生态更安全”,也将会是成都链安不懈为之奋斗的远大愿景。
新的一年,愿诸君身体康健,安全无虞。
作者:TylerBain翻译&编辑:Sherrie 近年来,有许多人声称比特币和通过SHA-256工作证明保护网络的矿工消耗了过多的能量.
1900/1/1 0:00:0029日,纽约州金融服务局根据《纽约银行法》授与日本互联网公司GMO旗下的信托公司GMO-Z.comTrustCompanyInc.许可.
1900/1/1 0:00:0012月28日,全球首档区块链跨年演讲“玲听2021”在杭州大剧院举行。巴比特副总裁/主编、玲听区块链发起人汤霞玲以“我与无限”为主题,从一个行业深度参与者、观察者的角度出发,总结2020,展望2.
1900/1/1 0:00:00本文为万向区块链行业研究文章之一,作者为万向区块链首席经济学家办公室郝凯。摘要本文研究公链和联盟链之间进行连通的进展.
1900/1/1 0:00:00美国证券交易委员会周三宣布,将让专注于加密资产的经纪商运营五年而不必担心执法行动,不过前提是加密资产经纪商需要能够证实自己拥有并控制客户的数字资产证券.
1900/1/1 0:00:00本来Filecoin就因较高的质押率而遭到矿工社区诟病,而今这个质押率又再次上涨,项目方和矿工之间似在上演刀俎与鱼肉的挟持戏码,这种局势显然是愈演愈烈,除前置质押的走高之外.
1900/1/1 0:00:00