盤點 | 成都鏈安:12月發生典型安全事件超31起,整體風險評級為『高』
據成都鏈安【鏈必安-區塊鏈安全態勢感知平台(Beosin-Eagle Eye)】安全輿情監控數據顯示:2020年12月,據不完全統計,整個區塊鏈生態共發生31起較為典型的安全事件。經成都鏈安·安全實驗室評級,12月整體風險評級為【高】,需整個行業生態參與方引起重視。
相較於11月,12月發生的安全事件數量有所增加。尤其需要注意的是,在【詐騙跑路/加密貨幣騙局】方面,本月發生典型安全事件數量較多;作為用戶和投資者,在項目選擇階段,應仔細甄別該項目的部署和運營狀況,以及是否經過第三方安全公司的安全審計,是否具備權威的安全審計報告,切不可掉以輕心。
以下為本月安全月報的詳細事項。
交易所方面,共發生『2』起典型安全事件
01
12月19日,當日早些時候,Bitcoin.org遭到DDoS攻擊,導致該網站癱瘓。
02
俄羅斯加密貨幣交易所Livecoin遭到了所謂的「精心計劃的攻擊」。該交易所「失去了對所有伺服器、後端和節點的控制權」,並懇請客戶停止存款、交易或與該交易所進行互動。
Defi方面,共發生『5』起典型安全事件
01
Compounder.Finance項目位於0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址處智能合約發生多筆大額交易。經過技術人員驗證,確認為內部人員攻擊,共損失約8000萬人民幣的代幣。
02
12月7日,Harvest Finance官方宣布上線GRAIN、USDC和USDT索賠門戶網站。官方表示,根據此前黑客退還250萬美元資金,這將用戶損失減少到13.5%。官方正在通過USDC、USDT和GRAIN代幣進行混合賠償的方式,幫助此前受攻擊事件影響的用戶進行索賠。
03
據TheBlockCrypto報道,DeFi保險協議Nexus Mutual創始人Hugh Karp的個人地址遭到攻擊,該地址中有370000個XNM代幣,損失超過800萬美元。
04
北京時間12月18日06:34,流動性LP代幣質押借貸DeFi協議Warp Finance遭遇閃電貸攻擊,約800萬美元被盜。
05
12月28日,此前通過增發COVER獲利300萬美元的攻擊者(地址標籤為Grap Finance: Deployer)將4350枚ETH返還給標籤為YieldFarming.insure: Deployer的地址,並留言「Next time, take care of your own shit.」(下一次,照顧好你自己的東西。)
Beosin評測:
Defi生態本月依然是整個行業的熱門趨勢,因此也是黑客和攻擊者重點「光顧」的對象,多個DeFi項目於本月相繼遭到了巨額資產損失。成都鏈安建議Defi生態各大項目方切記做好前置預防工作,尋求第三方安全公司進行嚴格的安全審計,是提升DeFi項目安全性最為有效和可行的防護措施。
詐騙跑路/加密貨幣騙局方面,共發生『7』起典型安全事件
01
Ripple將YouTube告上了法庭,原因是YouTube未能將XRP相關的欺詐行為從其平台上移除。Ripple首席執行官Brad Garlinghouse表示,YouTube不僅沒有採取積極主動的方法來處理這些騙局,甚至在收到Ripple的通知後也繼續無視它們。
02
12月1日,行業人士向幣撲爆料稱:大富翁項目方私自篡改合約轉移用戶資產,抽取超1億GOLD代幣後,砸盤90%跑路。
03
12月8日,據媒體報道YouTube上出現兩個假冒Gemini賬號,黑客用Gemini的名稱以及LOGO將相關的YouTube帳戶重新命名。Gemini表示,已經將這些假帳號報告給了YouTube。
04
合成資產發行平台Synthetix於12月10日在推特發文向Telegram官方喊話稱,幾個月以來已經發現有詐騙團伙在Telegram上冒充Synthetix並且騙取了人們的錢財。
05
一位名為「Artura $」的推特用戶在推特上爆料稱,DeTrade Fund是一個加密貨幣騙局,該平台允許任何用戶通過套利系統投入資金來獲利,並在預售中騙取了1400多個以太坊。
06
據英國《衛報》12月16日消息,一個欺詐性的比特幣廣告方案通過未經授權的名人圖片吸引了數千名受害者,該騙局已被追查到來自俄羅斯。
07
一名Localbitcoins和Paxful交易員針對比特幣詐騙有關的指控認罪。美國司法部指控該交易員故意向欺詐計劃的受害者出售比特幣。
Beosin評測:
詐騙跑路/加密貨幣騙局方面的各類安全事件發生一直層出不窮,很大程度上是源於當前區塊鏈行業的安全監管進程建設依然亟需推進;另外,用戶自身的安全意識欠缺也是不可忽視的重要原因。成都鏈安在此提醒,妥善保管個人各類隱私信息,謹慎分辨網路上的相關消息。
勒索軟體/挖礦木馬方面,共發生『5』起典型安全事件
01
12月1日,微軟在周一晚間發布的一份報告中稱,越南政府支持的代號為APT32和OceanLotus黑客組織最近被發現在他們的常規網路間諜工具包之外,還部署了加密貨幣挖礦惡意軟體。
02
微軟在一份報告中警告稱,一個名為BISMUTH的組織用Monero挖礦木馬作為誘餌攻擊了法國和越南的政府目標。
03
12月3日,黑客組織Black Shadow周二對保險公司Shirbit進行網路攻擊,該組織周三在其電報頻道上發布消息稱,Shirbit需向其比特幣錢包發送50枚比特幣,否則將泄漏並出售Shirbit的客戶和員工的私人信息。
04
韓國依戀(Eland)集團向警方報告稱,旗下NC百貨商店和NEWCORE奧特萊斯等商店於11月22日遭到勒索軟體攻擊,並受到損失。黑客對該集團計算機上的數據進行加密,並要求支付比特幣以換取解密。
05
富士康CTBG MX生產設施遭到勒索軟體Doppel Paymer的攻擊。在勒索信中,黑客索要了1804.0955個比特幣作為贖金,並聲稱已加密貨幣了約1200台伺服器。
暗網方面,共發生『1』起典型安全事件
01
芬蘭海關(Tulli)在歐洲刑警組織的支持下剿滅了芬蘭暗網市場SIPULIMARKET。
其他方面,共發生『11』起典型安全事件
01
區塊鏈取證公司CipherTrace警告稱,12月2日,有用戶資金被一種偽裝成流行數字貨幣包MetaMask的惡意Chrome瀏覽器擴展程序竊取。
02
北京時間12月4日21:46左右,公鏈項目Solana因未知漏洞導致停止生產區塊。該公鏈網路於12月5日凌晨已經恢復正常運行。
03
12月7日,法國法院已判處俄羅斯黑客Alexander Vinnik 5年監禁,並對其處以10萬歐元(約合12.1萬美元)的罰款。此前消息,Vinnik被指控是一項國際洗錢計劃的幕後主使,並通過BTC-e平台轉移了價值超過40億美元的資金。
04
墨西哥警察在加勒比海Playa del Carmen逮捕人販Ignacio Santoyo。Ignacio Santoyo曾利用加密貨幣進行洗錢。
05
據Aeternity官方推特證實,Aeternity(AE)於12月9日遭到了黑客51%攻擊,據Aeternity社區核心成員披露,此次51%攻擊造成的損失超過3900枚AE代幣,官方團隊正在解決問題,此次受損的主要是交易所和礦池。
06
攻擊Nexus Mutual創始人Hugh Karp錢包的黑客現已成功提現了近35%的資金。The Block Research調查顯示,黑客使用renBTC將137個BTC提取到兩個地址中,價值約265萬美元。
07
Rubygems開源軟體庫中發現了被感染的軟體包,其中包含惡意代碼,主要用於通過供應鏈攻擊從用戶那裡竊取加密貨幣。
08
12月21日,黑客網站Raidforums上已經公開了一個包含超過百萬份客戶電子郵件的資料庫。這些數據是在2020年6月硬體錢包提供商Ledger的電子商務資料庫遭到黑客攻擊時被盜的。
09
義大利警方指控BitGrail首席執行官Franscesco Firano從交易所用戶那裡竊取了數百萬美元的加密貨幣。
10
在喬治亞的梅斯蒂亞(Mestia)中部的Banguriani酒店中,發現了大量非法消耗大量電力的加密貨幣礦機。Banguriani酒店的竊電行為相當於大約四個村莊的耗電量。
11
12月29日,加密貨幣經紀商Voyager Digital昨日遭遇網路攻擊,交易系統受損,被迫下線,並告知客戶其域名系統(DNS)伺服器遭到破壞,但此後已經恢復。
鑒於當前區塊鏈安全生態的新形勢,『成都鏈安』在此總結:
總的來說,12月所發生的區塊鏈安全事件較11月有所上漲,整體安全事件發生的數量超過30起,故風險評級為【高】。從細分方向上來看,Defi方面、詐騙跑路/加密貨幣騙局方面、勒索軟體/挖礦木馬方面依然是區塊鏈生態遭到重點攻擊的對象;從攻擊手法上來看,DDoS攻擊、閃電貸攻擊、51%攻擊依然是黑客「重點採用」的手段;從資產損失情況上來看,本月的安全形勢頗為嚴峻。
具體到Defi方面來說,DeFi生態的安全風險依然令人堪憂,資金損失數額巨大。從本月發生的典型事件足以窺見,黑客的攻擊一直不曾斷絕。另外,來自項目內部人員的潛藏風險也不容小覷。在此,成都鏈安提醒,Defi項目方除了需要時刻注意應對外界黑客的攻擊以外,來自內部的危險因子也需及時肅清;加強對內部人員的安全意識普及,避免發生監守自盜的情況。
此外,本月詐騙跑路/加密貨幣騙局方面發生的安全事件數量呈明顯上漲趨勢,這很大程度上可能是源於BTC、ETH等加密貨幣市值在本月突然飆升的緣故。牛市來臨,讓各方潛藏的攻擊者和詐騙者都蠢蠢欲動。作為用戶和投資者,培養安全防範意識的同時,更要擦亮雙眼,仔細甄別並選擇靠譜的項目,避免盲從。
2020年的最後一月,區塊鏈生態的安全風險依然不可小覷。來年,「讓區塊鏈生態更安全」,也將會是成都鏈安不懈為之奮鬥的遠大願景。
新的一年,願諸君身體康健,安全無虞。