公告 | 2020年度回顾：区块链/数字货币行业重大安全事件

经历了动荡的2019年，2020年会怎样？ 让我们一起回顾一下。

要了解我们的写作过程，请查看我们之前撰写的 2019 年回顾。

如果说 2019 年可以概括为一场狂野的旅程，那么 2020 年就完全不同寻常了。

在这一年中，我们发表了许多文章，讨论白帽从网络钓鱼者那里恢复资产、推动恶意浏览器插件扩散的大规模活动、防止加密资产丢失的十大行动，以及风险业务：DeFi()。 我们发表的每篇文章都提到了用户在使用加密货币时应注意的各种威胁因素，并附有真实示例。 这些文章中分享的信息不仅适用于 MyCrypto 和 Ethereum 用户——这些课程可以应用于整个行业，无论您喜欢哪个链、交易所或钱包。

让我们更深入地了解这些事故，看看发生了什么，以及我们作为一个行业可以从中吸取哪些教训。

以下列表列出了2020年发生的重大安全事故。但是，我们不会一一列出所有事故，因为数量太多了……

2020 年第一季度以一些好消息和一些坏消息开始（除了全球大流行和随后的封锁）。 我们抓住了一些坏人并研究了攻击硬件钱包的方法，但黑客攻击和资金损失也有所增加。

故事：加密货币交易所 Poloniex 发出密码重置警告

摘要：Poloniex 在 2019 年 12 月下旬的一封电子邮件中发布了一份 PSA，宣布在 Twitter 上泄露的电子邮件地址和密码列表后，一些用户不得不重置密码。

故事：YouTube 帐户因加密货币诈骗而被劫持

底线：虽然这不完全是一个新的骗局，但这种作案手法正变得越来越流行。 诈骗者预先录制了名人参与的加密货币会议视频片段，然后劫持 Youtube 账户播放虚假的加密货币赠品视频。

故事：Upbit 在遭受 5000 万美元攻击后升级了 ETH 钱包安全性

摘要：一家韩国交易所公开表示，他们的热钱包在 2019 年 11 月被盗，损失了 342,000 ETH（价值约 5000 万美元）。

故事：青少年通过交换 SIM 卡骗取区块链专家超过 5000 万美元

总结：换卡是行业毒瘤。 许多人认为在他们的帐户上使用 SMS 进行 2FA 身份验证更安全。 一名青少年利用这一点，从多名受害者身上赚取了超过 5000 万美元。 这名 18 岁的男子已被捕，并面临多项刑事指控。

故事：Kraken 发现 Trezor 硬件钱包存在严重缺陷

概要：Kraken交易所（Security Labs）发现并公开了一种物理攻击方法，可以从Trezor的大部分产品中提取助记词。

故事：加密货币 IOTA 在官方钱包软件被黑后关闭整个网络

摘要：在黑客利用官方 IOTA 钱包 (Trinity) 中的漏洞窃取用户资金后，IOTA 关闭了他们的网络一段时间。

故事：风险业务：DeFi、以太坊将继续增长（）

摘要：MyCrypto 的创始人泰勒·莫纳汉 (Taylor Monahan) 在 ETHDenver 2020 上总结了她关于 DeFi 及其风险的演讲。 Taylor 讨论了潜在的陷阱和以前的攻击，我们从过去的错误中学到了什么和没有学到什么，以及我们如何在这方面进行改进。

故事：BZx闪电贷攻击是否意味着DeFi的终结？

总结：一个流行的 DeFi 协议在短时间内遭受了两次闪贷攻击。 第一次攻击损失了 1,193 ETH，第二次攻击结束时又损失了 2,378 ETH。

故事：诈骗者继续使用 Covid-19 Chaos 在英国诈骗比特币

摘要：随着冠状病毒 (COVID-19) 引起全球大流行的消息传出，一些犯罪分子通过冒充 CDC 研究机构的人员募集比特币捐款来大发横财。

BZx再次遭到攻击

虽然这是故技重施，但黑客利用闪电贷在几天内对BZx协议发起了第二次攻击。

在第二季度，我们看到更多的智能合约漏洞被利用，并且引起了人们对恶意浏览器扩展程序大规模扩散的关注，这些扩展程序冒充行业知名品牌来获取用户密钥。

故事：黑客利用去中心化比特币交易所 Bisq 中的漏洞窃取 250,000 美元

底线：Bisq 在发现攻击者使用软件窃取用户资金后采取了“前所未有”的步骤并停止了交易。 据报道，攻击者窃取了 3BTC 和 4000XMR。

故事：发现针对 Ledger、Trezor、MEW、Metamask 等用户的虚假浏览器扩展

底线：MyCrypto 和 PhishFort 已经发表了关于恶意浏览器扩展如何通过 Google Ads 模仿知名品牌来掠夺加密货币用户的研究。

故事：Etherscan 推出“ETH Protect”以识别和标记受污染的 ETH 地址

底线：最常用的区块链浏览器之一 - Etherscan 推出了一款产品，可为用户提供有关地址的更多信息（污点分析），并快速显示他们是否通过加密货币从已知的错误地址收到。

故事：由于 DeFi 智能合约漏洞，dForce 损失了 2500 万美元

总结：据说借贷协议 dForce 是一个修改了 Compound 代码的分叉，受到了类似于 Uniswap 流动性池的攻击。 该攻击利用了 imBTC 合约使用的一个标准（译者注：指 ERC-777）。

故事：“邪恶天才”被指控窃取价值数百万的加密货币

摘要：有关 Michael Terpin 提出的备受瞩目的 SIM 交换投诉的信息已发布。 其中一名主要罪犯在袭击发生时只有 15 岁。 据称，他通过交换多人的 SIM 卡窃取了超过 2300 万美元。

故事：欧洲各地的超级计算机因加密货币挖掘而遭到黑客攻击

摘要：英国、德国和瑞士的多台超级计算机感染了加密货币挖掘恶意软件，使用破解的 SSH 登录来挖掘门罗币，这是一种注重隐私的加密货币。

dForce / Lendf

Lendf 的 hack 很有意思，因为用于实现重入攻击的 ERC777 标准前几天刚刚在 Uniswap 的 imBTC 流动性池中被爆破。 但是 dForce 没有审核他们的系统，尽管他们也支持 imBTC。 defiprime 的一条长推文很好地总结了这一点——证明该代码是从 Compound Finance 分叉出来的，这是开源世界中的另一个棘手问题。

故事：拦截并保护价值 5,000 美元的加密货币免受网络钓鱼事件的侵害

总结：当我们（MyCrypto）扫描钓鱼工具时，我们发现了主动操作的大门，我们也对其进行了监控，以防止用户的私钥被泄露。 在极少数情况下，我们成功拦截了从受害者那里窃取的加密货币资产。 我们在犯罪分子面前清理了这些资产收到黑客威胁btc邮件，并将它们归还给经过验证的所有者。

故事：Twitter 攻击事后分析

摘要：2020 年 7 月 15 日，Twitter 平台上发生了一场大规模的账户接管活动，其中包括使用经过验证的政治账户进行传销“信用交易”/预付比特币骗局。 总体而言，“只有”150,000 美元被盗，与犯罪分子从他们接管的账户中获得的广泛曝光相比，这有点微不足道。

故事：与 Binance 合作向受害者返还 10,000 美元的被盗加密货币

摘要：我们 (MyCrypto) 研究了更多的网络钓鱼活动，并发现了犯罪分子使用的服务器的另一个暴露端口。 我们再次渗透到他们的钓鱼阵地和不法分子的通信渠道之间，以清理那些落入错误口袋的钓鱼资产。

故事：做好这10件事，告别丢币

底线：MyCrypto 发布了一个简短的十步最佳实践方法，其中包含关于如何保护您的加密货币资产和关联账户的明确行动指南。 我们利用我们对加密货币盗窃的广泛知识来编制一份可操作的行动清单。

故事：黑客利用比特币钱包漏洞窃取价值 1600 万美元的比特币

摘要：用户未能为其 Electrum 钱包安装关键安全更新，然后成为（旧）攻击方法的受害者，导致 1,400 BTC 被盗。 该用户被诱骗连接到恶意 Electrum 服务器，该服务器允许在其错误弹出窗口中显示富文本。 返回的错误提示用户更新他们的 Electrum 软件，而是链接到恶意软件的下载地址。

故事：逃离黑暗森林

摘要：Samczsun（和合作伙伴）在一场白帽运动中成功地从一份有缺陷的合同中节省了 960 万美元。 这个故事很有趣收到黑客威胁btc邮件，因为 Samczsun 解释了他们如何击败 rush 机器人。 他们私下将已签名的交易直接发送给矿工，而不是广播到交易池。

故事：2.8 亿美元从 KuCoin 交易所被盗

摘要：亚洲热门交易所KuCoin的热钱包被盗，并收到大量比特币和以太币被提现的警报。 KuCoin 正在与国际执法部门进行调查，并承诺使用他们的保险基金来弥补客户资金的全部损失。

账本数据泄露

Ledger是业内领先的硬件钱包之一，在该领域积累了大量客户。 2020 年 7 月，他们发表声明称其电子商务平台和营销平台的数据已被泄露。 2020 年 7 月 14 日，他们收到了赏金计划可能发生数据泄露的警报。 经过内部调查，Ledger 发现数据泄露发生在 2020 年 6 月 25 日，其部分客户受到影响。 2020 年 5 月，Twitter 用户 UnderTheBreach 发布了一条关于潜在数据泄露的推文。

库币

KuCoin 的安全漏洞导致其私钥被盗。 总价值 281,000,000 美元的资产被盗。 值得注意的是，有多个项目在这次攻击中协助追回资金，其中包括 Ocean Protocol，它分叉了自己的合约并移除了攻击者窃取的代币。

故事：Cryptocurrency Exchange Liquid 确认被黑

摘要：Liquid 确认其域和电子邮件帐户已被盗用。 交易所认为，黑客可能已经获取了用户个人信息，包括电子邮件地址、姓名、收货地址和加密密码。

故事：黑客利用 GoDaddy 员工攻击加密货币网站：Liquid 和 NiceHash

摘要：一份公开报告指出，有确凿的数据表明 NiceHash 和 Liquid 已被其服务提供商 GoDaddy 泄露。

故事：Tugou 智能合约被盗 1080 万美元

摘要：流动性挖矿协议（Harvest和YearnFinance的翻版）的智能合约存在隐藏后门，允许开发者直接在合约中提取wBTC、ETH、DAI。

故事：黑客入侵后，Ledger 增加了比特币赏金和新的数据安全措施

底线：Ledger 声称最近的一次客户数据泄露源于一家名为 Shopify 的流氓机构。 Ledger 的新首席信息安全官 Matt Johnson 制定了新的程序和政策来防止未来的数据泄露，并宣布悬赏 10 BTC 奖励任何可以帮助他抓住黑客的信息。

故事：加密货币交易所 EXMO 声称 5% 的总资产被盗

摘要：EXMO 在其热钱包中检测到可疑行为，并暂停提款以待调查。 结果是他们的冷钱包没有受到影响，但是他们的热钱包有 5% 被盗了。

我们的观察

如果你对比一下我们在 2019 年的观察，你会发现这个行业还有很大的提升空间。 当然，没有 100% 安全这样的东西，但历史与这句话押韵。

即使您将资产存放在“合法”交易所，您仍然处于风险之中。

与往常一样，今年充斥着对持有用户资产的加密货币交易所的攻击。 我们看到越来越多的交易所使用保险资金来弥补损失，虽然这对那些使用交易所的人来说是一个很好的最终结果，但并不值得依赖。

去中心化和安全性并不相等

虽然去中心化产品（钱包、DEXs 等）可能受到不同的攻击，损失远没有攻击大型交易所那么令人担忧，但攻击者仍然有各种各样的技巧来骗取你手中的数字资产。 网络钓鱼活动，尤其是那些鼓励用户在网站上输入私钥的活动，正在增加。 随着去中心化交易所（DEXs）的兴起，用户“登陆”资产被卷走的现象越来越普遍。

信任第三方使用您的个人信息是不安全的

即使相信该领域的一些知名人士使用您的个人信息（包括您的送货地址）也是可疑的。 这些数据可以通过流氓员工或软件漏洞获得，并在地下市场上出售。 虽然大多数利用这些个人信息的威胁几乎不会采取任何行动，但不应掉以轻心，尤其是那些已知拥有大量头寸的人。 最好的办法是设置一个带有化名的邮政信箱来接收现实世界中与加密货币相关的物品——理想情况下，你也不希望你的家庭住址与加密货币相关联。

我们 2021 年的目标与 2020 年相同：让我们做得更好。

（结束）

（本文链接较多，可点击左下方“阅读原文”从EthFans网站获取）

原文链接：