2021 上半年安全事件回顧：被黑、騙局和停機_ORC

密碼貨幣的世界是前所未有地兇險，讓人很難視而不見。在詳細列出這些安全事件之前，先來看看我們為了行業的安全做了什么貢獻？

在 2021 年上半年，我們：

放出了新版的 MyCrypto，提高了用戶體驗，讓用戶能更容易、更直接地 使用 和監控自己的密碼學貨幣

披露了濫用 ERC20 授權方法來偷竊用戶資產的惡意項目（授權方法是用戶使用的一環，但很容易被盲目信任）

拓展了我們的業務范圍，幫助遭遇了清道夫機器人的用戶取回質押的資產（中文譯本）

出版了一份幫助用戶提高 MyCrypto 隱私體驗的指南

在 NFT 市場爆發時，我們也推出了針對 NFT 買家的反詐騙教育材料

與 CryptoScamDB 繼續我們的反詐騙、反釣魚活動

提高整個行業的意識和防止詐騙、攻擊都是任重道遠，但我們在堅持。

我們先來深入了解下行業的整體態勢，看看我們是否從 2020 年學到了教訓，是否有所提升。

NEAR：團隊開發者總數逾800名，較2021年增長41%:1月18日消息，NEAR Protocol發推稱，團隊現有至少200名全職開發者，與2018年1月相比，同比增長率為22%。2022年團隊開發者總數逾800名，較2021年增長41%，自2018年1月以來增長10倍。[2023/1/18 11:18:49]

以下是 2021 年第一第二季度的主要安全事件清單。我們不會列出所有的跑路及類似事件，因為太多了，實在是數也數不清……

2021 年第一季度出現了一些有趣的事件，從整個協議的突然停擺到 DeFi 合約被黑，再到黑客被捕，都有。我們也看到了完全針對個人的攻擊，這讓整個行業感到震驚，因為這些壞人可能為了一筆錢而不擇手段。

與去年相比，第一季度的密碼貨幣交易所被黑事件有所減少。這既是因為黑客的注意力都在別的地方，也是因為交易所已經從去年的失敗中學到了教訓、調整了安全控制。

摘要：最大/最老牌 的自動化流動性挖礦協議之一，Yearn，其某個 v1 金庫遭遇爆破，被盜金額總計 1100 萬美元，而金庫的用戶遭遇了 280 萬美元的直接損失。Yearn 團隊在 10 分 14 秒內成功地緩解了此次爆破，包括 Tether 凍結了 170 萬 USDT來防止攻擊者轉移資產。

美聯儲梅斯特：預計將在2022年底前滿足加息條件:美聯儲梅斯特：預計將在2022年底前滿足加息條件。加息之后還需要一段時間的寬松政策。[2021/9/24 17:04:42]

摘要：DMM DAO 是一個使用 Chainlink 信息傳輸機制把現實世界資產搬到鏈上的 DAO，因為美國證監會對他們的調查而停止了運營。

摘要：今年 2 月，一名惡意人士獲得了 Blockfolio 所用的內容推送系統的權限，然后向所有的 Blockfolio 用戶推送了帶有攻擊性的內容。不久之后，SBF 確認并解釋了此事，然后他們把責任推到了競爭對手身上，聲稱 “惡意內容乃是我們的交易所同行炮制和發布的”。

摘要：SIM 卡被盜在密碼貨幣的世界里太常見了！（我們甚至為此寫了一篇大文章！）這個受害人在因為 SIM 卡被盜而損失了 15 個比特幣之后，起訴了其通信服務商。

（注：SIM 卡 “被盜” 是指攻擊者通過各種攻擊手段了解目標受害者的個人信息之后，賊喊捉賊，向服務商表示自己的 SIM 卡被盜或遺失，從而獲得目標的 SIM 卡控制權。）

分析師：比特幣從2015年到2020年的投資回報率超過許多傳統市場:韋氏評級（Weiss Ratings）發推稱，分析師Justinas Baltrusaitis表示，比特幣從2015年到2020年的投資回報率超過了許多傳統市場。BTC自2015年以來的投資回報率接近3500%，是五個傳統股票市場的70倍。[2020/7/2]

摘要：一次巧妙的閃電貸攻擊讓操作者得以吸干 AlphaFinance 的金庫合約。FrankResearcher 以長推特的形式披露了整個事件。不久之后， AlphaFinance 暗示，他們知道攻擊者是誰。

摘要：這件事情警醒了整個社區盲目信任一個 UI 的危險性，也學會了接收你曾經認為可信的東西有一天也可能變得不安全。這份事后報告展示了一個攻擊者想通過劫持你的電腦來獲得你的資金時有多么努力。在檢查了惡意行為之后，我們確信，這是經過 “深思熟慮” 的。

摘要：一個發行社交代幣的平臺 Roll 遭遇了一個事故，一個熱錢包的私鑰被劫持，而攻擊者把所有的社交代幣都賣成了 ETH（這也打壓了這些社交代幣的市場價格）并把 ETH 通過 TornadoCash 遷移到了另一個地址。

聲音 | 鄭州市政府：到2022年區塊鏈等帶動跨界融合新業態新模式快速發展:金色財經報道，鄭州市政府近日印發《鄭州市加快數字經濟發展實施方案(2020—2022年)》。按照《方案》，到2022年，全市數字經濟規模達到5000億元以上，占生產總值比重達到40%以上，數字經濟生態體系初步形成。融合新業態新模式發展迅猛，到2022年，互聯網、大數據、 人工智能、區塊鏈等新一代信息技術帶動智能網聯汽車、智能傳感產業、共享經濟、新零售等跨界融合新業態新模式快速發展, 成為新的經濟增長點和新動能。[2020/1/20]

摘要：去年推特上出現了一次大規模的賬戶被黑事件，許多高價值賬戶被推特的內部工具發布消息，為騙局推波助瀾。一年不到，這個黑客 —— 只有 18 歲 —— 就被捕并且判了刑。

摘要：據開發者披露，幣安交易所會把一筆合法的存款處理兩次，并在鏈下計入雙倍的金額。這個錯誤是因為 Filecoin RPC 代碼里面的一個 bug 而導致的。

動態 | 道富銀行：到2020年 38%的客戶將把更多資金投入數字資產:據CoinDesk 12月6日消息，道富銀行旗下的多數資產管理公司都對比特幣等數字資產感興趣，但目前還沒有哪家公司要求道富存儲這些資產。道富銀行數字產品開發與創新董事總經理Jay Biancamano表示，在托管之后，道富銀行有興趣研究數字資產的基金管理、私募、發行和交易。牛津經濟學院(Oxford Economics)定量分析公司今年為道富銀行進行的調查顯示，94%的道富銀行客戶持有數字資產或相關產品(如比特幣期貨)，38%的客戶表示，他們將在2020年增加數字資產的配置。45%的受訪者表示，他們的資產配置將保持不變。[2019/12/7]

摘要：GitHub 允許服務器運行代碼，以幫助測試。一些別有用心的人就利用這個（免費）的服務器來挖礦 —— 他們完全沒有電力支出和維護費用，純賺區塊獎勵。

摘要：xFORCE 合約沒有嚴格遵循 ERC20 標準，這讓他們的存入機制出了一個漏洞，而存入機制與 xFORCE 代幣鑄造是綁定的。只要你擁有 xFORCE 代幣（都不需要實際存入），你就可以取出 FORCE 代幣（等于是免費拿走）。

摘要：因為一個軟件上的 bug，Stellar 網絡上的一組驗證者突然掉線，導致事務處理中斷了。在 10 多個小時后，問題根源找出并且得到了修復，而驗證者們也回到了線上。

摘要：在 2020 年，一個包含大約 30 萬 Ledger 客戶記錄的數據庫（有詳細的客戶郵件地址、收件地址和全名）出現在了一個叫做 RaidForums 的論壇上并且是免費下載。在 2021 年 4 月 6 日，一些人發起了一項集體訴訟。

摘要：盡管這種情況不多，但 Circle（USDC 背后的權威機構）發布了 7 個以上的黑名單。這些地址里的 USDC 因此可以被充公，Circle 也可以防止用戶使用這些幣 （見合約的 “transfer()” 函數）。這是因為美國金融局把這些地址加入了 OFEC 的 SDN 名單。

摘要：一家土耳其的交易所突然停止服務。據猜測，其 CEO 攜帶交易所的私鑰（掌控交易所用戶價值 20 億美元的密碼學貨幣）逃到了泰國。此后，一份聲明取代了 Thodx 的主頁，詳細說明了他們正在跟商業伙伴談判以及一次攻擊修改了 tameness 的一些后端數據。他們也聲稱，媒體關于 20 億美元的數字是錯的，實際的數額要低得多。

摘要：在 UraniumFinance 變更交易手續費率的過程中出了一個數學錯誤，導致了一個意料之外的計算錯誤，影響到了實際的交易手續費率。合約中的一個字符導致智能合約的健全性檢查的余額檢查被利用，UraniumFinance 的儲備金被吸干。

摘要：BitcoinFog 是一個流行的混幣器，可以為比特幣交易添加一些模糊性。據稱，BitcoinFog 在過去的 10 年里賺到了約 120 萬 btc。

摘要：又是一次聰明的閃電貸攻擊，攻擊者吸干了 xTokenMarket 的流動性池子，辦法是操縱 SNX 和 BNT 在多個 DEX 的價格。攻擊者是使用叫做 “Flashbots” 的 MEV 軟件發動的攻擊。

摘要：一個 DeFi 協議用公開的消息嘲諷用戶并表示自己要跑路：“我們騙了你！而你什么也做不了！”第二天，他們發布了一份聲明，表示他們沒有跑路，并且把網站恢復到了先前的狀態。

摘要：在 2020 年的數據泄露和 2021 年初對 Ledger 的集體訴訟之后，用戶開始報告更多試圖竊取用戶密鑰的實體釣魚活動。有人向他們的收件地址快遞了經過修改的設備。

摘要：根據一份正式的聲明，擠兌始于一些大戶從 IRON/USDC 池子中撤出流動性并賣出 $TITAN -> $IRON -> $USDC，而不贖回 IRON，導致后者的價格脫錨。

摘要：因為用于處理重復符號的邏輯中有個 bug，一次攻擊導致 THORChain 損失了 14 萬美元。網絡被節點中斷，在 6 個小時后打上了補丁并恢復了功能。THORChain 很快知曉了這次攻擊，并聲稱他們會全額補償損失。

如果我們比較在 2020 年觀察到的情形，似乎整個行業還是有很大的提升空間，甚至可能永遠都有。我們需要持續教育大家關于 DeFi “梭哈”、DeFi admin key、釣魚的風險，以及把你的資產存入中心化交易所的固有風險。

比較 2020 年上半年的情形，我們可以看到，中心化交易所和他們的安全性確實進步了，至少爆出來在他們的基礎設施上發生的黑客事件變少了。這是一件好事，但也提出了一個問題：那些壞蛋都把心思放哪里去了？一個簡單并且可能也是合理的猜測是，他們把注意力轉向了 DeFi 協議，并混進了社區，搞起了容易的跑路，畢竟這沒有太高的技術門檻，而獲利卻非常可觀。

我們也看到了人們對 NFT 的興趣正在興起，包括那些大名鼎鼎的公司也在接收 NFT（Christies、eBay 和蘇富比）。我們可以預言，會有一些殘酷的 NFT 搶劫 —— 不是正在發生，就是沒有爆出來。

希望 2021 年剩下的時間能風平浪靜！

Tags：FOR比特幣ORCDEFReforestation Mahogany比特幣市值跌破5000億美元會怎樣TheForce.Trade99DEFI價格

AAVE