如果 2019 年可以概括为一次狂野之旅,那么 2020 年则完全是不按常理出牌。
在过去的一年里,我们发表了很多文章,包括从网络钓鱼者手中收回白帽基金、发现恶意浏览器扩展的大型活动、防止加密资产丢失的十大行动项目以及风险业务:DeFi。
我们发表的每篇文章都提到了用户在使用密码学货币时应当注意的各种威胁要素,并附有现实生活中的实例。这些故事中分享的信息不仅适用于典型的 MyCrypto/以太坊用户——这些经验教训可以应用于整个行业,无论你喜欢哪种链、交易所或钱包。
让我们更深入地回顾一下这些事件,看看发生了什么,以及作为一个行业,我们可以如何从中吸取教训。
以下是 2020 年重大安全事件的清单。然而,我们不会把所有事故都一一列出来,因为数量实在太多了……
2020年第一季度有一些好消息,也有一些坏消息。我们有逮捕的确认和硬件黑客的研究,但我们也有黑客和金钱损失的上升。
故事:加密货币交易所Poloniex发出密码重置警告
概要:Poloniex发布了一份关于他们2019年12月下旬的电子邮件的PSA声明,称在一条推特上发布了一个包含电子邮件地址和密码的列表后,一些用户被迫重置了他们的密码。
故事:YouTube 账号被劫持用于密码学货币诈骗
概要:虽然这不是一种新的诈骗方式,但越来越多的人利用事先录制的加密货币事件片段劫持YouTube账户,并播放虚假的加密货币赠券。
故事:在 5000 万美元的黑客攻击后,Upbit 升级了 ETH 钱包的安全性
概要:韩国一家交易所公开表示,2019 年 11 月,他们的热钱包被盗,34.2 万 ETH(价值约5000万美元)发生盗窃。
故事:青少年被区块链专家指控诈骗 5000 万美元
概要:尽管许多人认为在他们的账户上使用短信2FA会让他们更安全,但在这个行业中,SIM 卡交换(SIM-Swapping)仍然是一个真正的威胁。一个青少年利用了这一事实,从各种实体那里净赚了5000万美元。这名18岁的男子被逮捕,面临多项刑事指控。
故事:Kraken 发现了 Trezor 硬件钱包的关键缺陷
概要:Kraken 交易所(安全实验室)发现并披露了一个物理攻击载体,它从大多数Trezor产品中提取助记词。
故事:钱包被黑客攻击后,IOTA 加密货币关闭了整个网络
概要:IOTA 关闭了他们的网络很长一段时间,因为黑客利用了官方 IOTA 钱包(Trinity)应用程序的漏洞来窃取用户的资金。
故事:高风险业务:#DeFi 和以太坊的成长故事
概要:MyCrypto 创始人 Taylor Monahan 转录了她在 ETHDenver 2020 上关于 DeFi 及其相关风险的演讲。Taylor 讨论了潜在的陷阱、以前的攻击、我们从过去的错误中学到了什么和没有学到什么,以及我们可以做些什么来改进空间。
故事:BZx 闪电贷攻击是否预示着 DeFi 的终结?
概要:一个热门的DeFi协议在短时间内通过两个闪贷漏洞遭受了两次攻击。第一回合损失1193 ETH,第二回合结束时又损失2378 ETH。
故事:骗子继续在英国利用 Covid-19 混乱诈骗比特币
概要:随着最近关于冠状病毒(COVID-19)引起的全球大流行的新闻,一些不法分子通过伪装成来自 CDC 的研究组织来请求比特币捐款,大发恐慌之财。
BZx 再次遭受攻击
尽管这是故技重施,但在短短几天内,通过利用闪电贷,BZx协议发生了第二次攻击。https://twitter.com/dsearch3r/status/1228657292792549383
在第二季度,我们看到了更多的智能合约漏洞,并引起了人们对发布恶意浏览器扩展的关注,这些扩展模仿了业内知名品牌,以获取用户密钥。
故事:黑客利用去中心化比特币交易所 Bisq 的漏洞窃取了 25 万美元
概要:Bisq 在发现攻击者利用该软件从用户那里窃取资金后,采取了“前所未有”的措施,停止了交易。据报道,袭击者偷走了 3 BTC 和 4000 XMR。
故事:发现针对 Ledger、Trezor、MEW、Metamask 等目标用户的假冒浏览器扩展
概要:MyCrypto 和 PhishFort 发表了一篇研究报告,内容是通过使用谷歌广告推送模仿知名品牌的恶意浏览器扩展来瞄准加密货币用户。
故事:Etherscan 启动“ETH Protect”来识别和标记受污染的 ETH 地址
概要:最常用的区块链探索者之一——Etherscan 推出了一款产品,为用户提供关于地址的更多信息(污染分析),并快速显示他们是否从已知的错误地址收到加密货币。
故事:dForce 在 DeFi 智能合约漏洞中损失了 2500 万美元
概要:借贷协议 dForce,被认为是修改了代码的复合的分支,受到了与 Uniswap 流动池类似的攻击。该攻击利用了 imBTC 合同上的一个标准。
故事:“邪恶天才”青少年被指控窃取数百万加密货币
概要:Michael Terpin 提交的一份高调的SIM交换投诉信息被公布。在攻击发生时,被指控的主要不法分子之一只有 15 岁,他涉嫌与多人交换,偷走了超过 2300 万美元。
故事:欧洲各地的超级计算机被入侵用于来挖掘加密货币
概要:英国、德国和瑞士的多台超级计算机感染了密码学货币恶意挖矿软件,通过破解的 SSH 登陆来挖取门罗 —— 一种偏重隐私保护的密码学货币。
dForce/Lendf
Lendf 黑客事件很有趣,因为被用于实施重入攻击的 ERC777 标准几天前刚刚在 Uniswap 的 imBTC 流动池中被爆破。但是 dForce 不审计他们的系统,即使他们支持相同的 imBTC。
关于这一点,defprime 上有一条很好的推文——有证据表明,该代码是由 Compound Finance 分叉而来的,即便在开源世界里,这也是另一个棘手的问题。
故事:从钓鱼事件中拦截并保卫价值 5000 美金的密码学货币
概要:当我们(MyCrypto)在研究网络钓鱼工具时,我们发现了一个活跃行动的公开端口(open door),并对其进行监控,以寻找网络钓鱼的秘密。在极少数情况下,我们成功拦截了从受害者那里窃取的密码学货币资产。我们抢在不法分子之前清理了这些资产,并归还给了经过验证的所有者。
故事:推特黑客事件的事后分析
概要:2020 年 7 月 15 日,推特平台上发生了一场大规模的账户接管运动,其中包括使用经过认证的政治账户来推广“信托交易”/预付比特币骗局。总的来说,“只有”大约 15 万美元被盗,相对于坏人从他们获得的账户中获得的广泛曝光,这个数字有点微不足道。
故事:与币安公司合作,将被盗的1万美元加密货币归还给受害者
概要:我们(MyCrypto)正在研究更多的网络钓鱼活动,并发现了另一扇通往不法分子使用的服务器的公开端口。我们再一次混入他们的钓鱼前端和不法分子的通信渠道之间,来清理那些被钓鱼的资产使其不落入坏人的口袋。
故事:做好这 10 件事,和丢币说再见
概要:MyCrypto 发表了一篇简短的最佳实践十步法,介绍了如何保护加密货币资产和相关账户的最佳实践和明确的行动项目。我们利用我们对加密货币如何被窃取的广泛知识,并编制了一个可操作的清单。
故事:黑客通过比特币钱包攻击获得了价值 1600 万美元的比特币
概要:一个用户没有在他们的Electrum钱包上安装关键的安全更新,因此成为了(旧的)攻击的受害者,导致损失了1400 BTC。该用户被诱骗连接到恶意的 Electrum 服务器,该服务器允许在一个错误弹出富文本。返回的错误提示用户更新他们的 Electrum 软件,但它链接他们下载恶意软件。
故事:逃离黑暗森林
概要:Samczsun(及其同伴)在一次白帽行动中成功成功地从一个有漏洞的合约里拯救了 960 万美金。这个故事很有意思,因为 Samczsun 解释了他们是如何击败抢跑机器人的。他们私底下将已签名的交易直接发给了矿工,而不是广播到交易池。
故事:加密货币交易所 KuCoin 遭黑客攻击,损失超过 2.8 亿美元
概要:一个很受欢迎的亚洲交易所 KuCoin,他们的热钱包被盗,并被警告有大量的比特币和以太坊取款。KuCoin 正在与国际执法部门展开调查,该交易所承诺用其保险基金来弥补客户资金的全部损失。
Ledger 的数据泄露
Ledger 是行业领先的硬件钱包之一,在这个领域有许多客户。2020 年 7 月,他们发表了一份声明,称其电子商务平台和营销平台的数据遭到了泄漏。2020 年 7 月 14 日,他们收到悬赏计划可能出现数据泄露的警告。
经过内部调查,Ledger 发现数据泄露发生在 2020 年 6 月 25 日,影响了他们的一些客户。推特用户 UnderTheBreach 在 2020 年 5 月发推文称有潜在的漏洞。
KuCoin
KuCoin 存在的一个安全漏洞致使其私钥被盗。总价值约 2.81 亿美元的资产被盗。在这次攻击中值得注意的是,各种项目前来帮助找回资金的行动,包括 Ocean 协议,后者将其合约分叉,以删除颁发给攻击者的代币。
故事:加密货币交易所 Liquid 证实黑客攻击
概要:Liquid 证实他们的域名和电子邮件帐户已被入侵。该交易所认为,黑客可能获得了个人信息,包括电子邮件地址、姓名、配送地址和加密密码。
故事:黑客利用 GoDaddy 员工入侵加密网站 Liquid 和 NiceHash
概要:一份公开的报告称,有确凿的数据表明 NiceHash 和 Liquid 遭到了其服务商 GoDaddy 的侵害。
故事:土狗智能合约抽走 1080 万美金
概要:一个流动性挖矿协议(Harvest和yearfinance的翻版)的智能合约有一个隐藏的后门,允许开发者直接提走该合约中的 wBTC、ETH 和 DAI。
故事:被黑后,Ledger 增加了比特币赏金和新的数据安全后
概要:Ledger 声称,他们客户最近的数据转储来自一个流氓代理商 Shopify。Ledger 的新首席信息安全官 Matt Johnson 制定了新的程序和政策,以防止未来的数据泄露,并宣布对任何导致该黑客被捕的信息给予 10 BTC 奖励。
故事:加密货币交易所 EXMO 声称总资产的 5% 被盗
概要:EXMO 在他们的热钱包里发现了可疑行为,并暂停取款以进行调查。结论是,他们的冷钱包没有受到影响,但他们的热钱包有 5% 被偷了。
观察
如果我们比较2019年版的观察结果,似乎该行业仍需要改进。当然,100% 的安全当然是不存在的,但那句话怎么说来着,历史也会重演。
如果你将资产储存在一个“合法”的交易所,你仍然处于风险之中
这一年,像往常一样,持有用户资金的加密货币交易所再次遭遇黑客攻击。我们看到越来越多的交易所用保险基金来弥补损失,虽然这最终对使用该交易所的人来说是一种胜利,但这并不值得依赖。
去中心化并不意味着安全
虽然去中心化产品(钱包,DEX 等)可能遭受得攻击各不相同,且损失引发的关注远远小于大交易所受到的攻击,但攻击者有多种方法欺骗你,让你放弃数字资产。
网络钓鱼活动继续蓬勃发展,特别是继续针对那些鼓励通过网站使用私钥和原始种子的产品。随着去中心化交易所(DEX)的崛起,用户在“登入”后资产被席卷一空的情况愈发普遍。
信任第三方来使用你的个人信息并不安全
即使把你的个人信息(包括收货地址)托付给一些最知名的品牌,也是不可靠的。这些数据可以通过流氓员工或软件漏洞获取,并在地下市场出售。
尽管大多数利用这些个人信息的威胁可能很少甚至没有任何行动,但它确实引起了关注,特别是对于那些已知持有大量信息的人。您最好的选择是设置一个化名的邮政信箱,将您的物理加密货币物品发送到——理想情况下,您不希望您的家庭地址与加密货币绑定在一起。
2021 年的目标和我们 2020 年的目标是一样的:让我们做得更好。
End
非常感谢您对 IPFS&Filecoin 项目的持续支持。我们很高兴继续与您一起,为人类信息建立一个强大的,去中心化和高效的基础。
FilCloud 帮你迅速了解 IPFS 领域的热点技术和应用公众号:filcloud
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。