2020加密安全：DeFi狂歡緣何成為黑客盛宴？_加密貨幣

2020年，安全問題仍然是籠罩在加密行業上方的一片烏云。

不過相比于2019年，加密貨幣交易所因黑客攻擊造成的損失金額大量減少，而新生的DeFi領域由于大量資金的流入也成為了黑客眼中的肥肉，對于那些網絡算力不夠高的區塊鏈來說，51%攻擊仍然能給網絡帶來沉重打擊。

DeFi閃電貸攻擊

DeFi領域是2020年安全問題的重災區。2020年，bZx、Balancer、HarvestFinance、Value、CheeseBank、OUSD、WarpFinance等多個項目遭受閃電貸攻擊，損失金額達數千萬美元。除了今年年初遭攻擊的bZx和今年六月遭攻擊的Balancer外，其他五起閃電貸攻擊事件均發生在今年的最后三個月中。

其中，HarvestFinance在10月26日遭到閃電貸攻擊，損失金額達到3380萬美元，其中約2400萬美元加密貨幣通過renBTC套現。

在11月中旬，短短四天時間內Value、CheeseBank和OUSD三個項目遭到閃電貸攻擊，損失金額分別達到600萬、330萬和700萬美元。

12月18日，流動性LP代幣抵押借貸DeFi協議WarpFinance遭遇閃電貸攻擊，770萬美元代幣被盜。

DeFi合約漏洞

在今年夏天的DeFi熱潮中，大量DeFi項目倉促上面，其中很多項目的代碼未經審核。Yam項目的失敗就是一個典型的案例。

歐洲加密資產管理公司CoinShares第三季度收益增至1.202億美元:金色財經報道，歐洲加密資產管理公司CoinShares已發布其第三季度中期財務報告。該公司調整后的息稅折舊及攤銷前利潤（EBITDA）從上一季度的6280萬英鎊（8500萬美元）增至8880萬英鎊（1.202億美元）。2020年全年，CoinShares的調整后EBITDA為2210萬英鎊（2990萬美元）。根據該文件，第三季度的業績使該公司在九個月的時間里取得了有史以來最強勁的業績。[2021/11/4 6:32:00]

Yam見證了DeFi熱潮中最瘋狂的一周，也印證了DeFi熱潮中令人擔心的一面。由于存在Bug的代碼未經審計，Yam項目在經歷了上線之初的暴漲后隨即發現存在問題，在經歷了24小時的努力仍無法解決之后，價格暴跌99%，治理合約被“永久破壞”，價值75萬美元的Curve代幣被鎖定而無法使用。

今年9月，推特用戶Amplify稱發現了DeFi智能合約SYFI的一個漏洞，單筆交易就賺了747枚以太坊，價值達25萬美元。

9月13日，bZx官方稱因系統漏洞遭到攻擊，攻擊者將自己的余額增加到1.536億枚iUSDT，并開始從USDT池中抽走。攻擊者在此次事件中盜取了約4700枚ETH，不過最終這些加密貨幣被歸還。

今年4月，Uniswap和Lendf.Me分別遭到ERC777代幣重入攻擊。其中Uniswap損失1278枚以太坊，價值約22萬美元，Lendf.Me的損失約為2500萬美元。

a16z在2013年首次投資Coinbase，截止2020年共8次投資Coinbase:Coinbase董事、a16z合伙人Katie Haun表示，a16z合伙人Chris在2013年領導了公司對Coinbase的首次投資，到2020年，a16z共8次投資Coinbase。[2021/4/15 20:22:36]

今年6月，由于新的Bancor網絡合約上未經驗證的safeTransferFrom()函數存在漏洞，Bancor進行了白帽攻擊以將資金轉移到安全地址，不過仍有135,229美元的資金被未知的套利機器人搶先交易。

11月，Compound遭到預言機攻擊，9000萬美金資產遭清算。此次Compound巨額清算是由于預言機信息源CoinbasePro的DAI價格劇烈波動導致的。

51%攻擊

針對公鏈的最為傳統、最為暴力的51%攻擊仍然沒有消失，雖然比特幣和以太坊等網絡因為網絡算力持續增加從而安全性得到了極大暴漲，但是他們的一些分叉幣和其他一些小幣種在51%攻擊面前則顯得無能為力。

今年1月，比特幣黃金遭遇了兩次51%算力攻擊，兩筆對交易所的充值交易均被撤銷，涉及約1900個BTG和5267個BTG，金額接近9萬美元。

8月，以太坊經典同樣遭到了多次大規模51%攻擊，先后有超過1萬多個區塊發生重組，攻擊者從攻擊中獲利了至少168萬美元。

聲音 | 加密貨幣專家：以太坊在2020年的市值將超過比特幣:加密貨幣意見領袖和ICO投資者Ian Balina預測，以太坊在2020年的市值將超過比特幣。他認為，比特幣將以太坊稱為騙局實際上賦予了真正的騙子權力，并使騙局一詞變得不客觀和虛假。Ian Balina的預測基于以太坊社區的增長，DeFi和穩定幣的不斷創新和增長。他還表示，比特幣網絡缺乏領導力和創新能力。（Newslogical）[2020/1/1]

11月，Grin網絡同樣遭受51％攻擊。一個未知實體一度控制了超過57%的網絡算力。12月，Aeternity網絡也遭到了51%攻擊，此次51%攻擊造成的損失超過3900萬枚AE代幣，此次受損的主要是交易所和礦池，交易所集中于OKEx、Gate和幣安。

交易所

在不少針對公鏈發起的51%攻擊中，加密貨幣交易所都是其中的受害者。在8月以太坊經典遭受51%攻擊的過程中，OKEx損失560萬美元。

此外DDOS攻擊也對多家加密貨幣交易所的正常運營造成了影響。5月，Youbi交易所和幣星交易所均遭到不間斷的持續DDOS攻擊，導致其服務無法正常使用，用戶無法登陸。12月，Poloniex交易所同樣遭到了DDOS攻擊。

今年造成損失較大的交易所攻擊事件主要發生在下半年。7月，西班牙加密貨幣支付應用和信用卡發行商2gether遭受黑客攻擊損失140萬美元。同樣是在7月，總部位于英國的加密貨幣交易所Cashaa的一個錢包遭到黑客攻擊損失了336枚比特幣。

聲音 | 大唐網絡CEO楊勇：區塊鏈的真正拐點預測是2020年:據人民網消息，大唐網絡CEO楊勇今日在2018人民網區塊鏈技術秋季論壇上表示，現在區塊鏈泡沫很多，泡沫掉了以后反而是好事情。區塊鏈的真正拐點預測是2020年。我國目前基于區塊鏈的金融結算和知識產權應用，分別超過了三年和兩年的實踐，有十余個行業在實踐區塊鏈技術落地應用。[2018/10/23]

因熱錢包私鑰泄露，庫幣KuCoin交易所在9月26日發生多筆熱錢包中的比特幣和ERC-20等代幣大額提現交易，價值近1.5億美元。

12月，英國加密貨幣交易所Exmo發生重大安全漏洞。交易所表示，黑客已從其熱錢包中提取了EXMO約5％的資產，根據TheBlock的研究分析師IgorIgamberdiev的說法，EXMO損失約1,050萬美元的資金。

數據泄露

對于加密公司來說，用戶數據泄露雖然沒有帶來直接的損失，但是卻會使其數百萬用戶暴露在黑客釣魚攻擊的威脅下。

加密硬件錢包公司Ledger在6月底發生的數據泄露事件。該公司的營銷和電子商務數據庫在6月底遭到了數據入侵。客戶的聯系方式和訂單信息被曝光。12月，黑客網站Raidforums上公開了一個包含超過百萬份客戶電子郵件的數據庫。其中一些用戶已經遭到了釣魚攻擊或是收到了威脅郵件。

2月，加密衍生品交易所Digitex遭到黑客攻擊，8000多名用戶的私人信息遭泄露。

達鴻飛：NEO要在2020年之前成為世界第一區塊鏈項目:在NEO開發大會上，達鴻飛宣布了“2020年之前NEO成為世界第一的區塊鏈項目”的目標，并表示在美國加州注冊了Open Blockchain基金會，用以支持區塊鏈領域的專業教育發展。達鴻飛為NEO和Onchain創始人，Onchain的本體項目(Ontology)預計今日9點在三大主流交易所進行快照。達鴻飛將出席本月14、15號在韓國舉辦的TokenSky區塊鏈大會。[2018/3/1]

3月，加密投資基金TridentCryptoFund遭遇重大數據泄露，在該基金注冊的約26.6萬人的個人數據被發布在多個文件共享網站上。被盜的數據庫包括電子郵件地址、手機號碼、加密密碼和IP地址。

4月，由于遭到黑客攻擊，至少有4200萬個伊朗“Telegram”的用戶名和電話號碼通過非官方版本Telegram泄漏。Telegram表示，該數據從其客戶端的兩個分支版本HotGram和Talagram中泄露。

5月，加密貨幣貸款機構BlockFi向客戶發出數據泄露警報。首席執行官ZacPrince證實，這起泄露事件發生在5月14日，影響了該公司不到一半的零售客戶和機構客戶。客戶的賬戶活動信息、電子郵件地址和郵政地址均已泄露，但是社會保險號碼、執照和政府簽發的身份證的圖片均未被曝光。

6月，日本加密貨幣交易所Coincheck泄露了用戶的電子郵件和個人信息，這些信息包括姓名、注冊地址、出生日期、電話號碼和ID，約有300名用戶受此影響。

12月，澳大利亞加密交易所BTCMarkets在營銷郵件中泄露了所有客戶姓名和電郵地址，這可能會使所有客戶面臨潛在的網絡釣魚攻擊。這些電子郵件每批發送1000封，這意味著每個客戶都收到了999個其他用戶的姓名和電子郵件地址。

加密欺詐勒索

除了加密企業自身遭到的攻擊外，加密貨幣也被廣泛用作網絡欺詐和勒索活動變現的工具。

其中最有影響力的事件莫過于7月16日社交媒體推特遭遇的“史詩級”攻擊，Coinbase、Gemini、幣安等加密交易所以及巴菲特、奧巴馬、拜登、貝佐斯等名人的推特賬戶被盜并發布了“比特幣詐騙”信息，這引發了圈內外對于中心化平臺安全性的擔憂。

除了推特外，YouTube、Telegram、Facebook和谷歌廣告同樣也是加密貨幣詐騙的重災區，在YouTube，名人的視頻會被重新剪輯和配音用來推廣某些垃圾幣、偽造的山寨幣或是用來宣傳所謂的“空投”和“贈送”騙局，馬斯克、比爾蓋斯、美國總統、Coinbase交易所首席執行官BrianArmstrong是詐騙者們最喜歡名人，比特幣和XRP是犯罪分子們最喜歡的加密貨幣。

在Telegram，詐騙者會偽裝成一些項目的官方群組或工作人員索要投資者的密鑰進而控制其加密資產，此外，“套利騙局”也是Telegram群組中流行的騙局，不法分子謊稱可以一定比例以ETH兌換HT，誘騙用戶將ETH轉入詐騙者賬戶中用以兌換虛假的HT。

在國內，中國多地打擊了多起“加密貨幣”、“虛擬資產”投資騙局，不法分子誘導受害者通過相關APP或交易平臺進行虛擬貨幣投資，在用戶轉入資金后關閉相關平臺獲跑路以非法占有投資者的資金。

打著虛擬貨幣幌子的龐氏騙局也是各國金融監管機構打擊的對象。在美國，多個龐氏騙局項目遭到了監管機構的起訴，加密龐氏騙局嫌疑人MatthewPiercey被捕，涉案金額達3500萬美元。美國SEC起訴還指控佛羅里達商人ThomasJ.Gity涉嫌經營偽裝成加密貨幣交易計劃的龐氏騙局。Gity通過該計劃從至少18位投資者那里籌集了680萬美元。美國南佛羅里達聯邦檢察官指控華盛頓男子JoseAngelAman經營了龐氏騙局鉆石代幣ArgyleCoin，涉案金額達2500萬美元。在西班牙，Arbistar2.0的首席執行官SantiagoFuentes被抓獲，Fuentes被指控在比特幣龐氏騙局中欺騙了近3.2萬名投資者，價值近8.5億歐元(約10億美元)。在以太坊區塊鏈上，龐氏騙局MMM和Forsage也一度占據了大量的公共區塊鏈資源。

釣魚網站也是不法分子喜歡使用的詐騙方式之一。在年初Voice、Privnote等項目被利用，在年中的DeFi熱潮中，犯罪分子偽造了YFII、Uniswap、Curve等項目的網站，而在Ledger錢包用戶信息泄露之后，Ledger用戶也成為了不法分子的目標。

而在加密勒索方面，幾十家機構、學校和公司成為了犯罪分子的目標，包括密歇根州RichmondCommunity學區、英國貨幣兌換網站Travelex、比利時小鎮Willebroek、加利福尼亞州MountainView-LosAltos學區、保險業巨頭Chubb、加州托倫斯市、科羅拉多州普韋Parkview醫療中心、德國Fresenius集團、英國KentCommercialServices公司、美國IT公司DigitalManagementInc、田納西州諾克斯維爾市、澳大利亞飲料巨頭Lion、美國醫療系統Crozer-Keystone、韓國電子巨頭LG、日本跨國汽車制造商三菱集團、加州大學、約克大學、西班牙鐵路公司ADIF、跨國科技公司Garmin、跨國公司佳能、美國葡萄酒和烈酒巨頭Brown-FormanCorp、猶他大學、阿根廷國家移民局、以色列芯片商TSEM、智利三大銀行之一的BancoEstado、巴基斯坦電力生產商K-Electric、芬蘭Vastaamo心理治療中心、物聯網芯片制造商研華、以色列保險公司Shirbit和韓國依戀集團旗下商店等。

結語

不管是區塊鏈和加密貨幣都是一把雙刃劍，一方面為我們帶來創新的無限可能，一方面也為犯罪分子提供了作惡的工具。

然而魔高一尺道高一丈，不法分子的犯罪行為又會倒逼加密行業自我演變，迫使監管機構與時俱進，最終加速這一產業的成熟。

Tags：加密貨幣區塊鏈COIOIN加密貨幣交易所排名區塊鏈游戲幣拍賣中國用戶注冊coinbaseCyprusCoin

AAVE