2020年度回顧：區塊鏈/密碼學貨幣行業主要安全事故_區塊鏈

編者按：本文來自以太坊愛好者，作者：Harry，翻譯&校對：曾汨&阿劍，Odaily星球日報經授權轉載。在經歷了動蕩的2019年之后，2020年情況如何？一起來回顧一下。要了解我們的寫作思路，請查看我們之前寫的2019年度回顧。如果2019年可以概括為一次狂野之旅，那么2020年則完全是不按常理出牌。

在這一年里，我們發表了許多文章，聊到了從釣魚者那里追回資產的白帽、推動惡意瀏覽器插件擴散的大型活動、防止密碼貨幣資產丟失的十大行動指南，以及RiskyBusiness：DeFi。我們發表的每篇文章都提到了用戶在使用密碼學貨幣時應當注意的各種威脅要素，并附有現實生活中的實例。這些文章所分享的信息不僅適用于MyCrypto和以太坊用戶——這些經驗教訓可以被應用到整個行業，無論你喜歡哪條鏈、交易所或者錢包。讓我們再深入地回顧一下這些事故，看看發生了什么，以及我們作為一個行業可以從中學到什么教訓。以下清單列出了2020年發生的主要安全事故。然而，我們不會把所有事故都一一列出來，因為數量實在太多了……

2020年第一季度開始時有一些好消息和一些壞消息。我們揪出了一些壞蛋，也研究了攻擊硬件錢包的方法，但黑客攻擊和金錢損失也有所增加。故事：密碼學貨幣交易所Poloniex發出密碼重置警告

伯恩斯坦：2023年可能是零加密貨幣配置機構入場的最佳時機:金色財經報道，伯恩斯坦的分析師表示，2023年可能是零加密貨幣配置的機構“開始為長期戰略鋪路”的最佳時機。該資產管理公司表示，到2033年，加密貨幣收入可能增加約1600%，達到約4000億美元。該報告稱，迄今為止，加密貨幣主要是由散戶投資者和離岸監管推動的。分析師Gautam Chhugani和Manas Agrawal寫道:“展望未來，我們預計增長將由參與內地受監管結構的機構投資者推動。基于此，托管、做市和機構經紀的機會為加密機構資本的增長提供了“巨大的機會”。[2023/1/18 11:18:00]

概要：Poloniex在2019年12月末的電子郵件中發布了一份PSA，宣布一些用戶必須重置密碼，因為推特上泄漏了一份包含郵件地址和密碼的列表。故事：YouTube賬號被劫持用于密碼學貨幣詐騙

概要：盡管這算不上新的詐騙手段，但這種作案手法正變得越來越流行。騙子們事先錄制好有名人參與的密碼學貨幣大會的視頻片段，然后劫持Youtube賬號來廣播虛假的贈送密碼學貨幣的視頻。故事：Upbit在遭到5千萬美金的攻擊后升級ETH錢包的安全措施

概要：一家韓國交易所公開表示他們的熱錢包在2019年11月被盜，損失了342,000ETH。故事：少年通過SIM卡交換騙取區塊鏈專家超5千萬美金

概要：SIM卡交換在行業中是一個瘤。許多人認為在他們的賬戶上使用短信來做2FA認證會更安全。一位少年利用了這一點，從多個受害對象處獲利超過5千萬美金。這名18歲的少年已經被逮捕，并面臨多項刑事指控。故事：Kraken發現Trezor硬件錢包中的關鍵缺陷

截至2022年底Binance在五大洲14個國家/地區獲得注冊許可或執照:12月29日消息，截至 2022 年底，Binance 在五大洲的 14 個國家或地區獲得了注冊許可或執照，這些國家/地區包括哥倫比亞、阿布扎比、巴林、迪拜、南非、法國、意大利、西班牙、波蘭、立陶宛、塞浦路斯、哈薩克斯坦、澳大利亞和新西蘭。2022 年，Binance 的合規團隊也從 500 人擴大至 750 人。

未來一年，Binance 將繼續和全球監管機構、政策制定者協作，確保符合所有現行要求，并推動加密資產監管政策合理化，在保護用戶的同時創造一個有利于金融創新的環境。[2022/12/29 22:14:51]

概要：Kraken交易所發現并披露了一種物理攻擊方法，可以從Trezor的大部分產品中提取出助記詞。故事：密碼學貨幣IOTA在官方錢包軟件被黑后關停了整個網絡

概要：由于黑客利用了官方IOTA錢包中的一個漏洞來竊取用戶資金，IOTA在相當長的一段時間內關停了他們的網絡。故事：RiskyBusiness：DeFi，以太坊還要繼續成長

概要：MyCrypto的創始人TaylorMonahan整理了她在ETHDenver2020上關于DeFi及其風險的演講。Taylor討論了潛在的陷阱和此前的攻擊，我們從過去的錯誤中學到了什么和沒學到什么，以及我們在該領域該如何改進。故事：BZx閃電貸攻擊是否意味著DeFi的終結？

概要：一個熱門DeFi協議在短時間內遭到了兩次閃電貸攻擊。第一次攻擊損失了1,193ETH，第二次攻擊結束時又損失了2,378ETH。故事：騙子繼續在英國利用Covid-19混亂詐騙比特幣

盯盤寶-選幣：2021年最看好的4大主流幣:金色財經年度巨獻洞見財富密碼2021投資策略會持續進行中，本期盯盤寶-選幣《2021年最看好的幾大主流幣》的精華看點如下：第一：ETH，以太坊作為區塊鏈生態運用的鼻祖，只要有生態的地方必然有以太坊的身影，無論是ETH2.0的落地還是DEFI的應用，在以太坊這個“超級計算機”的帶動下，必然掀起一陣波瀾！

第二：DOT，波卡作為跨鏈技術的開拓者，可以把整個區塊鏈實現“無障礙聯通”，讓每個區塊鏈在波卡生態的作用下實現快速的運轉。

第三：ATOM，COSMOS技術唯一代幣，解決區塊鏈的孤島問題，并不是波卡的競爭對手，同樣在跨鏈技術的作用下實現“互通互聯”的巨大價值。

第四：FIL，作為文件存儲類的龍頭代幣，同時也是礦幣的第三把“金交椅”，在數據存儲巨大紅利背景下，對標千億市值的阿里云，FIL必將實現自己的價值體系。[2020/12/31 16:08:08]

概要：伴隨著由冠狀病導致全球大流行的新聞，一些不法分子通過偽裝成來自CDC的研究組織來請求比特幣捐款，大發恐慌之財。BZx再一次遭受攻擊

盡管這是故技重施，但黑客在幾天時間內利用閃電貸對BZx協議發動了第二次攻擊。https://twitter.com/dsearch3r/status/1228657292792549383

在第二季度，我們看到更多的智能合約漏洞被利用，以及一個惡意瀏覽器擴展程序的大規模擴散活動引發了人們的關注，該惡意擴展模仿業內知名品牌以獲取用戶的密鑰。故事：黑客利用去中心化比特幣交易所Bisq的漏洞竊取了25萬美金

2020移動互聯網藍皮書：區塊鏈基礎設施已成為產業發展重點:7月14日人民網研究院組織編寫的移動互聯網藍皮書《中國移動互聯網發展報告(2020)》正式發布。其中，中國電子技術標準化研究院高級工程師唐曉丹博士撰寫的《區塊鏈基礎設施發展趨勢研究》一文認為,2019年以來，在全球區塊鏈政策環境不斷向好、應用和標準化水平不斷提升的背景下，區塊鏈基礎設施特別是通用型基礎設施的發展取得一系列進展。文章提到，2019年以來，區塊鏈基礎設施已經成為全球區塊鏈產業的關鍵詞之一，反映出全球范圍內對于區塊鏈的探索進入到規模化應用探索的關鍵階段。（人民網）[2020/7/14]

概要：在發現攻擊者利用軟件盜取用戶資金后，Bisq采取了“前所未有”的應對措施并停止了交易。據報道，攻擊者盜走了3BTC和4000XMR。故事：發現針對Ledger、Trezor、MEW、Metamask等目標用戶的假冒瀏覽器擴展

概要：MyCrypto和PhishFort發表了一篇研究報告，關于利用谷歌廣告來推送的、模仿知名品牌的惡意瀏覽器擴展，如何狩獵密碼學貨幣用戶。故事：Etherscan啟動“ETHProtect”來識別和標記受污染的ETH地址

概要：最常用的區塊鏈瀏覽器之一——Etherscan推出了一款產品，為用戶提供關于一個地址的更多信息，并快速顯示它們是否從一個已知的不良地址收到過密碼學貨幣。故事：dForce因DeFi智能合約漏洞損失2500萬美金

概要：借貸協議dForce據稱是修改了Compound代碼的一個分叉，遭到了類似于Uniswap流動池的攻擊。該攻擊利用了imBTC合約所用的一個標準。故事：“邪惡天才少年”被指控竊取了價值數百萬的密碼學貨幣

動態 | 調查：2025年能源市場的區塊鏈技術規模將達到30億美元:據tradearabia消息，全球市場研究和戰略咨詢公司（Global Market Insights）最近表示，到2025年，能源市場的區塊鏈技術規模將超過30億美元。隨著網絡安全問題的日益嚴重，區塊鏈技術提高流程效率，縮短交付周期的能力得到了電力行業的關注，建立智能合約應用程序的趨勢增加以及選擇參與者的可訪問性將增強能源業務前景。到2025年，私營企業能源市場中的區塊鏈技術將增長超過45％。[2019/5/8]

概要：MichaelTerpin提交的一份備受矚目的SIM卡交換控告的信息已經公布。在攻擊發生時，主要的不法分子之一只有15歲。據稱他通過交換多人的SIM卡竊取了超過2300萬美金。故事：歐洲各地多臺超級計算機被入侵用于密碼學貨幣挖礦

概要：英國、德國和瑞士的多臺超級計算機感染了密碼學貨幣惡意挖礦軟件，通過破解的SSH登陸來挖取門羅——一種偏重隱私保護的密碼學貨幣。dForce/Lendf

Lendf的黑客很有趣，因為被用于實施重入攻擊的ERC777標準幾天前剛剛在Uniswap的imBTC流動池中被爆破。但是dForce沒有審計他們的系統，盡管他們也支持imBTC。一條來自defiprime的長推特很好地點評了此事——有證據表明這些代碼是從CompoundFinance分叉而來的，即便在開源世界里，這也是另一個棘手的問題。

故事：從釣魚事件中攔截并保衛價值5000美金的密碼學貨幣

概要：當我們掃描網絡釣魚工具時，我們發現了一個活躍行動的公開端口，我們也監控了它們以防止用戶的私鑰被泄露。在極少數情況下，我們成功攔截了從受害者那里竊取的密碼學貨幣資產。我們搶在不法分子之前清理了這些資產，并歸還給了經過驗證的所有者。故事：推特攻擊事后回顧

概要：2020年7月15日，Twitter平臺上發生了一場大規模的賬號接管活動，其中包括利用經過驗證的賬號來傳銷“信用交易”/預付費的比特幣騙局。總體而言，“僅”有15萬美金被盜，相較于不法分子從他們接管的賬號中所獲得的廣泛曝光而言，這個數字有點微不足道。故事：與幣安合作將1萬美金的被盜密碼學貨幣返還給受害者

概要：我們研究了更多的網絡釣魚活動，然后發現另一個通往不法分子所用服務器的公開端口。我們再一次混入他們的釣魚前端和不法分子的通信渠道之間，來清理那些被釣魚的資產使其不落入壞人的口袋。故事：做好這10件事，和丟幣說再見

概要：MyCrypto發表了一篇簡短的最佳實踐十步法，其中包含了如何保護您的密碼學貨幣資產和關聯賬戶的明確行動指南。我們利用自己在密碼學貨幣被盜方面的豐富知識，編寫了一份可操作的行動清單。故事：黑客利比特幣錢包漏洞盜走1600萬美金的比特幣

概要：一名用戶沒有為他的Electrum錢包安裝關鍵的安全更新，然后成為了一個攻擊方法的受害者，導致1,400BTC被盜。這名用戶被欺騙連接到一個惡意的Electrum服務器，該服務器允許在其錯誤彈出窗口中顯示富文本。返回的錯誤提示用戶更新他們的Electrum軟件，但卻鏈接到了惡意軟件的下載地址。故事：逃離黑暗森林

概要：Samczsun在一次白帽活動中成功地從一個有漏洞的合約里拯救了960萬美金。這個故事很有意思，因為Samczsun解釋了他們是如何擊敗搶跑機器人的。他們私底下將已簽名的交易直接發給了礦工，而不是廣播到交易池。故事：KuCoin交易所被盜2.8億美金

概要：頗受歡迎的一家亞洲交易所KuCoin熱錢包被盜，并接連收到大量比特幣和以太坊被提走的警報。KuCoin正在與國際執法部門進行調查，并承諾使用他們的保險基金彌補客戶資金的全部損失。Ledger的數據泄漏

Ledger是行業領先的硬件錢包之一，在這個領域積累了非常多的客戶。2020年7月，他們發表了一份聲明，稱其電子商務平臺和營銷平臺的數據遭到了泄漏。2020年7月14日，他們收到了來自其賞金計劃的潛在數據泄漏的警報。經過內部調查，Ledger發現此次數據泄漏發生在2020年6月25日，其部分客戶受到影響。2020年5月，推特用戶UnderTheBreach發了一條關于潛在數據泄漏的推特。KuCoin

KuCoin存在的一個安全漏洞致使其私鑰被盜。總價值281,000,000美金的資產被盜。值得注意的是，在這次攻擊中多個項目協助了找回資金的行動，其中包括Ocean協議，它們分叉了自己的合約，移除了攻擊者盜走的代幣。

故事：密碼學貨幣交易所Liquid確認被黑

概要：Liquid確認其域名和電子郵件賬戶已遭到入侵。該交易所認為，黑客可能已經獲得了包括郵箱地址、姓名、配送地址和加密口令在內的用戶個人信息。故事：黑客利用GoDaddy雇員來攻擊密碼學貨幣網站：Liquid和NiceHash

概要：一份公開的報告指出，有確鑿的數據表明NiceHash和Liquid遭到了其服務商GoDaddy的侵害。故事：土狗智能合約抽走1080萬美金

概要：一個流動性挖礦協議的智能合約存在一個隱藏的后門，允許開發者直接提走該合約內的wBTC、ETH、DAI。故事：被黑后，Ledger增加了比特幣賞金和新的數據安全措施

概要：Ledger聲稱最近發生的客戶數據泄漏源于一家流氓代理商Shopify。Ledger新任的首席信息安全官MattJohnson建立了新的程序和政策，來防止未來發生數據泄漏，并宣布懸賞10BTC來獲取任何可以助其逮捕黑客的信息。故事：密碼學貨幣交易所EXMO聲稱總資產的5%被盜

概要：EXMO在其熱錢包中檢測到可疑行為，并暫停提款以進行調查。結果是他們的冷錢包未受影響，但5%的熱錢包被盜了。我們的觀察

如果比較一下我們在19年的觀察結果，你會這個行業有很大進步空間。100%的安全當然是不存在的，但那句話怎么說來著，歷史也會押韻。即使你將資產存儲在一個“合法”的交易所中，你仍然面臨風險。

像往常一樣，今年也充斥著對持有用戶資產的密碼學貨幣交易所的攻擊。我們看到越來越多的交易所使用保險基金來彌補損失，盡管這對于那些使用交易所的人而言最終結果是好的，但這并不值得依賴。去中心化和安全并不劃等號

雖然去中心化產品可能遭受得攻擊各不相同，且損失引發的關注遠遠小于大交易所受到的攻擊，但攻擊者仍有多種詭計從你的手中騙走數字資產。網絡釣魚活動，尤其是那些鼓勵用戶在網站上輸入私鑰的玩意兒，日益猖獗。隨著去中心化交易所的崛起，用戶在“登入”后資產被席卷一空的情況愈發普遍。信任第三方來使用你的個人信息并不安全

即便信任這個領域最知名的一些品牌來使用你的個人信息，也是靠不住的。這些數據可以通過流氓雇員或軟件漏洞獲取，然后在地下市場出售。雖然利用這些個人信息的大多數威脅幾乎不會采取任何行動，但切不可掉以輕心，尤其是那些已知有大量持倉的人。你最好的方式是設置一個帶有假名的郵政信箱，用來收取現實世界中的密碼學貨幣相關物品——理想情況下，你也不會希望你的家庭地址和密碼學貨幣聯系到一起。我們在2021年的目標和2020年相同：讓我們做得更好。

Tags：區塊鏈ETH比特幣DEF工業區塊鏈ETHV幣比特幣BTC跌破26000美元Defigram

Gateio