2020年,区块链的世界依旧火热。作为新技术基础设施,区块链被纳入“新基建”范围;疫情之下,区块链技术赋能政务实现科学抗疫;DeFi项目爆发,呈现去中心化金融的巨大优势和潜力。
应用广泛落地,安全问题也愈发增多,攻击、勒索、盗窃、挖矿、跑路层出不穷。安全419联合慢雾科技梳理了2020年发生在全球各地的区块链安全大事,透过一部分典型事件,以窥见区块链世界的安全态势。
【交易所安全事件】
Altsbit 遭黑客攻击后宣布关闭
2月5日,意大利交易所 Altsbit 被黑客攻击,损失了6.929个比特币、23个ETH,以及其他数量的加密货币,随后交易所宣布于5月8日关闭。
FCoin 宣布“跑路”
2月17日,交易所FCoin 声称由于资金困难导致资金储备无法兑付用户提现,规模介于7,000-13,000 BTC(价值约6860万-1.27亿美元)之间,正式宣布“跑路”。
Youbi 连续3天遭遇DDOS攻击
Youbi 交易所自5月6日开启平台币认购后,连续3天遭遇大流量DDoS攻击,造成服务器短时间无法访问。
Cashaa 被盗取约 336 枚比特币
7月12日,总部位于英国的加密货币交易所 Cashaa 表示,黑客从该交易所的一个钱包中窃取 336 枚比特币,目前该公司已停止所有与加密货币有关的交易。Cashaa 表示,怀疑恶意软件已安装至用于进行汇款转移的电脑中。
Kucoin库币被黑客入侵损失数亿资金
9月27日,新加坡加密货币交易所 KuCoin 披露了一次大规模黑客攻击。该公司在网站上发布的一份声明证实,一名攻击者破坏了其系统,并清空了其热门钱包中的所有资金,估计最低损失为1. 5亿美元。
EXMO发生重大安全漏洞
12月21日,英国加密货币交易所 EXMO 发生重大安全漏洞,导致平台已冻结所有提款。根据 The Block 的研究分析师的说法,EXMO 似乎损失了 1,050 万美元的资金。
2月17日,交易所 VBITEX 被入侵,平台数据被恶意篡改、虚拟资产被盗。
2月28日,全球知名头部数字货币交易所OKEx、Bitfinex先后遭遇DDoS攻击。
3月13日,加密货币交易所BitMEX遭受两次DDoS攻击,导致出现短时宕机。
5月27日,LMEX联交所称昨日平台遭黑客入侵被盗 15万USDT,单币最大52000USDT。
6月3日,Coincheck 称第三方未经授权访问了其域名注册服务,用户数据被泄露。
7月31日,西班牙加密货币支付应用 2gether 宣布被黑客盗取了 140 万美元。
8月18日,交易所OKEx 已确认最近一次 51% 攻击造成 ETC 损失约 560 万美元。
9月8日,欧洲加密交易所 ETERBASE 遭遇黑客攻击,损失逾 500 万美元资产。
11月13日,加密货币交易所 Liquid 发生数据泄漏安全事件。
12月24日,俄罗斯交易平台 Livecoin 遭黑客攻击,平台上的代币价格已被操控。
【DeFi项目安全事件】
bZx遭遇两轮闪电贷攻击
2月15日,DeFi 协议 bZx 遭受攻击,攻击者同时跨多个协议完成了一笔闪电贷杠杆套利交易,导致价值35万美元的ETH被盗。2月18日,bZx 再次发现使用闪电贷进行的可疑交易,攻击者获利2388个ETH,约64.4万美金。
MakerDao清算机制失常
3月12日,稳定币发行协议 MakerDAO 因清算机制失常,导致「零出价拍卖」清算的累计以太坊抵押品价值达 832 万美元,并导致 567 万枚无担保 DAI 的不良债务。同时,在 3994 个清算交易中,有 1462 个的地址被以0 DAI实现拍卖。
Hegic因代码漏洞致用户资金被锁定
4月26日,建立在以太坊上的新期权交易协议Hegic刚刚进入主网,由于其代码中的一个错误就锁定了该平台智能合约中价值28,000美元的用户资金。该漏洞将用户资金锁定在过期的期权合约中,使其永久无法访问。
Bancor 新合约出现安全漏洞
6月18日,由于新的 Bancor 网络合约上未经验证的 safeTransferFrom ()函数,用户资金即将被耗尽。Bancor 团队表示,两天前发布的新 Bancor Network v0.6 合约中发现了一个安全漏洞后进行了白帽攻击,所有用户的资金都是安全的。
Value DeFi协议遭攻击净损失600万美元
11月15日消息,Value DeFi协议周六遭攻击。据悉,攻击者从Aave协议借了80000 ETH,执行了一次闪电贷攻击,在DAI和USDC之间进行套利。攻击者在利用740万美元DAI后,向Value DeFi退还了200万美元。随后,Value DeFi团队发推证实该攻击,净损失达600万美元。
Nexus Mutual 创始人个人地址遭攻击损失800万美元
12月14日,DeFi保险协议Nexus Mutual在推特上表示,其创始人 Hugh Karp 的个人地址被一位平台用户攻击,被盗 37 万 NXM,损失超过800万美元。官方表示这是一次具有针对性的攻击,只有 Karp 的地址受到影响,Nexus Mutual 或其他成员没有后续风险。
4月19日,国产 DeFi 借贷协议 Lendf.Me 遭受黑客攻击损失2500万美元。
4月23日,基于Factom协议的DeFi稳定币交易平台PegNet被执行51%攻击。
6月23日,DeFi 货币市场协议 DMM 表示,在公募期间其电报群遭到恶意劫持。
8 月 13 日,知名以太坊项目 YAM 发现合约存在漏洞,24 小时内价格暴跌 99%。
8月25日,YFValue 称发现漏洞,恶意参与者可以对质押中的 YFV 计时器单独重置。
9月10日,DeFi流动性挖矿项目“珊瑚”的wRAM遭到黑客攻击,损失逾12万EOS。
10月26日,Harvest Finance遭闪电贷攻击损失超400万美元。
11月18日,攻击者利用DeFi 固定利率生成协议 88mph 漏洞铸造10万美元的MPH代币。
11月22日,Pickle Finance遭攻击,共损失约 1975 万枚 DAI。
12月18日,Warp Finance 遭遇闪电贷攻击,被盗约 780 万美元。
【钱包安全事件】
IOTA钱包被盗
2月12日,黑客利用IOTA官方钱包应用程序的漏洞窃取用户资金,IOTA于本周关闭了整个网络,损失估计为 8550000 枚 MIOTA(价值 230 万美金)。
假冒Ledger Chrome扩展致140万XRP被盗
3月25日,一项调查发现假冒的“Ledger Live”Chrome扩展程序通过在谷歌搜索中投放广告诱导用户下载,通过窃取受害者的备份助记词,从而盗走了他们的加密货币。到目前为止,已经有大约140万XRP被盗。
以太坊菠菜游戏EtherCrash冷钱包被盗
10月27日,自称“以太坊最成熟、规模最大的菠菜游戏”EtherCrash冷钱包被盗,损失约250万美元,疑似为内部人员所为。EtherCrash表示将会对用户的财产损失进行赔偿,但由于损失较为严重所以需要一段时间。
Ledger 27万用户数据泄露 CEO表示不会赔偿
12 月21日,黑客网站 Raidforums 公开从硬件钱包制造商 Ledger 中窃取的 100 多万封客户电子邮件。Ledger估计目前已经有 27 万用户的姓名、配送地址以及电话号码等敏感信息被泄露在网上。其CEO Pascal Gauthier 当天表示,该公司不会对个人数据意外泄露的客户做出任何赔偿。
1月19日,数字钱包Electrum 遭遇“更新钓鱼”盗币行为。
4月3日,Cocos-BCX 由于映射钱包信息遭恶意盗取,出现资产丢失和恶意抛售。
7月9日,Ledger Nano X 钱包被披露供应链上存在的安全漏洞。
8月30日,黑客利用 Electrum 漏洞连接其服务器,盗取一用户1400 枚比特币。
9月5日,Chainlink 节点运营商遭垃圾邮件攻击,攻击者从他们的热钱包中获取700 枚 ETH。
【其他类型安全事件】
BTG网络发生多起双花攻击遭矿工反击
1月和2月,有攻击者对BTG网络发起多次双花攻击。同时研究人员监测到,BTG矿工发起了反击,使得攻击者的双花被取消,原有的交易被恢复。其中在2月8日,攻击者和矿工的对抗在2.5小时内来回进行了4次。
Uniswap遭重入攻击损失1278枚ETH
4月18日,Tokenlon发消息称Uniswap上的imBTC池遭到黑客攻击并已耗尽,损失了1,278个ETH,价值约22万美元。黑客利用Uniswap和ERC777的兼容性问题,在进行 ETH-imBTC 交易时,利用ERC777中的多次迭代调用tokensToSend来实现重入攻击。
Bancor 新合约出现安全漏洞
6月18日,由于新的 Bancor 网络合约上未经验证的 safeTransferFrom ()函数,用户资金即将被耗尽。Bancor 团队表示,两天前发布的新 Bancor Network v0.6 合约中发现了一个安全漏洞后进行了白帽攻击,所有用户的资金都是安全的。
CDSI联盟节点"t02398"遭攻击
8月25日,Filecoin太空竞赛开启, CDSI联盟节点"t02398"便遭受大量恶意非法攻击,攻击者通过已过滤白名单发送大量message堵塞节点,消耗Lotus节点大量运算使得节点不能正常完成任务最终导致丢掉算力。
GemSwap合约遭攻击
9月26日,名为GemSwap的SushiSwap仿盘项目被曝跑路,LP被卷走。该项目今日在推特自曝其遭受了“whatitdobb”开发者的攻击。据了解,该项目今日早些时候完成了流动性迁移,但发起攻击的开发者在迁移之前就获得了相关许可,能够将流动池中的代币取走。
黑客从 Electrum 窃取超 2200 万美元
10月13日,根据 ZDNet 一项调查显示,黑客通过诱导比特币钱包 Electrum 用户更新下载恶意软件,进而实施盗币攻击,目前已从中窃取超 2200 万美元。
3月27日,“一键发币”平台藏后门,暗地增发盗币,HJL、MH、CRS、LP等项目方中招。
4月30日,EOS 竞猜游戏 Felix 遭遇假 EOS 攻击。
5月24日,EOS竞猜类游戏Poker EOS因私钥泄漏损失超2万EOS Pec。
5月31日,Daniel 's Hosting (DH) 数据库被盗数万个密码及私钥信息。
6月24日,借贷平台 Atomic Loans 公开合约漏洞,恶意借款人可解锁其比特币抵押资产。
7月1日,VETH 在交易所 Uniswap 遭遇攻击。黑客仅使用 0.9ETH 就盗走了 919,299 VETH。
8月30日,ETC再遭大规模51%攻击 7000多区块发生重组。
9月19日,币安智能链上的项目 Bantiample 团队已砸盘套现 3,000 个 BNB 跑路。
10月11日,以太坊项目WLEO合约遭到黑客攻击,被盗4.2万美元。
12月14日,以太坊 DeFi 空间出现 3 起骗局,给投资者造成 120 万美元损失。
上述事件只是2020年区块链安全对抗中的冰山一角,但我们依旧能够察觉到:
·交易所频频被黑客“光顾”。DDoS攻击、系统漏洞与访问控制等网络安全问题集聚,平台及用户资金被盗、交易所跑路、信息泄露及其他安全事件源源不断。
·智能合约的安全问题更加棘手。源码的公开透明和部署后无法修改提升用户对合约的信任度,却也大幅度降低了攻击成本。代码重入、整数溢出、时间戳依赖、短地址攻击等安全问题高频出现。
·DeFi大火,随之也带出闪电贷等一系列安全隐患。黑客已经掌握 DeFi 系统性风控漏洞的要害,DeFi由于处于发展初期,仍有很多机制需要不断去完善。
·勒索软和恶意挖矿件让商业企业面临重大威胁。数字加密币天然的匿名性、非法交易难以追踪的特性令病毒木马黑色产业如获至宝。
安全419与慢雾科技对企业及个人用户提出以下安全建议:
1.企业应当重视整体性的安全建设,定期开展安全评估测试;
2.交易所与钱包需要建设并完善风控策略与应急预案,控制转账频率与额度;
3.智能合约的代码逻辑必须严谨,加强代码安全性才能尽量避免漏洞;
4.重视安全审计,在项目上线前寻求第三方安全团队进行安全审计,避免带着漏洞上线导致资产损失;
5.加强内部员工的安全意识培训,避免社会工程学攻击、钓鱼攻击等发生;
6.提高个人安全意识,注意检查访问的交易所、DeFi平台的网址是否正确,不轻易在网页中输入自己的私钥、助记词。