暗码钱银的国际是史无前例地凶险,让人很难视若无睹。在具体列出这些安全工作之前,先来看看咱们为了职业的安全做了什么奉献?
在 2021 年上半年,咱们:
-
放出了新版的 MyCrypto,前进了用户体会,让用户能更简单、更直接地 使用 和监控自己的暗码学钱银
-
发表了乱用 ERC20 授权方法来偷窃用户财物的歹意项目(授权方法是用户使用的一环,但很简单被盲目信赖)
-
拓宽了咱们的业务范围,协助遭受了清道夫机器人的用户取回质押的财物(中文译著)
-
出书了一份协助用户前进 MyCrypto 隐私体会的攻略
-
在 NFT 市场迸发时,咱们也推出了针对 NFT 买家的反欺诈教育材料
-
与 CryptoScamDB 继续咱们的反欺诈、反垂钓活动
前进整个职业的意识和防止欺诈、进犯都是负重致远,但咱们在坚持。
咱们先来深化了解下职业的全体态势,看看咱们是否从 2020 年学到了经验,是否有所提升。
以下是 2021 年榜首第二季度的主要安全工作清单。咱们不会列出一切的跑路及相似工作,由于太多了,实在是数也数不清……
2021 年榜首季度出现了一些风趣的工作,从整个协议的忽然停摆到 DeFi 合约被黑,再到黑客被捕,都有。咱们也看到了彻底针对个人的进犯,这让整个职业感到震惊,由于这些坏人或许为了一笔钱而不择手法。
与上一年相比,榜首季度的暗码钱银交易所被黑工作有所削减。这既是由于黑客的注意力都在其他当地,也是由于交易所已经从上一年的失败中学到了经验、调整了安全控制。
故事:Yearn 被盗 1100 万美元
摘要:最大/最老牌 的自动化流动性挖矿协议之一,Yearn,其某个 v1 金库遭受爆炸,被盗金额总计 1100 万美元,而金库的用户遭受了 280 万美元的直接丢失。Yearn 团队在 10 分 14 秒内成功地缓解了此次爆炸,包含 Tether 冻结了 170 万 USDT来防止进犯者搬运财物。
故事:DMM DAO 因 SEC 查询而停摆
摘要:DMM DAO 是一个使用 Chainlink 信息传输机制把现实国际财物搬到链上的 DAO,由于美国证监会对他们的查询而中止了运营。
故事:Blockfolio 遭到劫持后输出了带有进犯性的内容
摘要:本年 2 月,一名歹意人士获得了 Blockfolio 所用的内容推送系统的权限,然后向一切的 Blockfolio 用户推送了带有进犯性的内容。不久之后,SBF 确认并解说了此事,然后他们把责任推到了竞争对手身上,宣称 “歹意内容乃是咱们的交易所同行编造和发布的”。
故事:T-Mobile 因用户遭受 SIM 进犯丢失价值 45 万美元的比特币而遭起诉
摘要:SIM 卡被盗在暗码钱银的国际里太常见了!(咱们乃至为此写了一篇大文章!)这个受害人在由于 SIM 卡被盗而丢失了 15 个比特币之后,起诉了其通信服务商。
(注:SIM 卡 “被盗” 是指进犯者经过各种进犯手法了解目标受害者的个人信息之后,贼喊捉贼,向服务商表明自己的 SIM 卡被盗或丢失,然后获得目标的 SIM 卡控制权。)
故事:DeFi 协议 Cream Finance Alpha 版遭受闪电贷进犯,丢失了 3750 万美元
摘要:一次巧妙的闪电贷进犯让操作者得以吸干 AlphaFinance 的金库合约。FrankResearcher 以长推特的形式发表了整个工作。不久之后, AlphaFinance 暗示,他们知道进犯者是谁。
故事:一个 MetaMask 实例的本地漏洞导致 800 万美元被盗
摘要:这件工作警醒了整个社区盲目信赖一个 UI 的危险性,也学会了接纳你曾经以为可信的东西有一天也或许变得不安全。这份过后陈述展示了一个进犯者想经过劫持你的电脑来获得你的资金时有多么努力。在查看了歹意行为之后,咱们坚信,这是经过 “深思熟虑” 的。
故事:Roll(交际代币)被盗 3000 ETH/570 万美元
摘要:一个发行交际代币的渠道 Roll 遭受了一个事端,一个热钱包的私钥被劫持,而进犯者把一切的交际代币都卖成了 ETH(这也镇压了这些交际代币的市场价格)并把 ETH 经过 TornadoCash 搬迁到了另一个地址。
故事:Twitter 黑客认罪,被判三年
摘要:上一年推特上出现了一次大规划的账户被黑工作,许多高价值账户被推特的内部东西发布消息,为圈套推波助澜。一年不到,这个黑客 —— 只有 18 岁 —— 就被捕而且判了刑。
故事:Filecoin 在币安上被多重花费 —— 涉及 460 万美元
摘要:据开发者发表,币安交易所会把一笔合法的存款处理两次,并在链下计入双倍的金额。这个过错是由于 Filecoin RPC 代码里边的一个 bug 而导致的。
故事:GitHub Actions 被主动乱用在 GitHub 服务器上挖矿
摘要:GitHub 答应服务器运行代码,以协助测试。一些别有用心的人就使用这个(免费)的服务器来挖矿 —— 他们彻底没有电力开销和维护费用,纯赚区块奖励。
故事:xFORCE 被白帽子(和其他人)攻破
摘要:xFORCE 合约没有严格遵循 ERC20 标准,这让他们的存入机制出了一个漏洞,而存入机制与 xFORCE 代币铸造是绑定的。只需你拥有 xFORCE 代币(都不需要实践存入),你就能够取出 FORCE 代币(等于是免费拿走)。
故事:验证者从 Stellar 网络掉线
摘要:由于一个软件上的 bug,Stellar 网络上的一组验证者忽然掉线,导致事务处理中断了。在 10 多个小时后,问题根源找出而且得到了修复,而验证者们也回到了线上。
故事:针对 Legder 和 Shopify 在 2020 年走漏用户数据的团体诉讼
摘要:在 2020 年,一个包含大约 30 万 Ledger 客户记载的数据库(有具体的客户邮件地址、收件地址和全名)出现在了一个叫做 RaidForums 的论坛上而且是免费下载。在 2021 年 4 月 6 日,一些人发起了一项团体诉讼。
故事:更多地址由于搬运 USDC 而上了黑名单
摘要:尽管这种状况不多,但 Circle(USDC 背后的权威机构)发布了 7 个以上的黑名单。这些地址里的 USDC 因而能够被充公,Circle 也能够防止用户使用这些币 (见合约的 “transfer()” 函数)。这是由于美国金融局把这些地址加入了 OFEC 的 SDN 名单。
故事:规划到达 20 亿美元的圈套,土耳其交易所 Thodex 关停,遭到用户抗议
摘要:一家土耳其的交易所忽然中止服务。据猜想,其 CEO 带着交易所的私钥(掌控交易所用户价值 20 亿美元的暗码学钱银)逃到了泰国。此后,一份声明取代了 Thodx 的主页,具体说明晰他们正在跟商业伙伴商洽以及一次进犯修改了 tameness 的一些后端数据。他们也宣称,媒体关于 20 亿美元的数字是错的,实践的数额要低得多。
故事:UraniumFinance 搬迁活动遭爆炸,潜在丢失 500 万美元
摘要:在 UraniumFinance 改变交易手续费率的过程中出了一个数学过错,导致了一个意料之外的计算过错,影响到了实践的交易手续费率。合约中的一个字符导致智能合约的健全性查看的余额查看被使用,UraniumFinance 的储备金被吸干。
故事:美国司法部门承认逮捕了 Roman Sterlingov(BitcoinFog 的运营者)
摘要:BitcoinFog 是一个流行的混币器,能够为比特币交易添加一些模糊性。据称,BitcoinFog 在过去的 10 年里赚到了约 120 万 btc。
故事:xTokenMarket 流动性池子被吸干,丢失 2500 万美元
摘要:又是一次聪明的闪电贷进犯,进犯者吸干了 xTokenMarket 的流动性池子,方法是操纵 SNX 和 BNT 在多个 DEX 的价格。进犯者是使用叫做 “Flashbots” 的 MEV 软件发动的进犯。
故事:DeFi 100 带着 3200 万美元跑路
摘要:一个 DeFi 协议用公开的消息嘲讽用户并表明自己要跑路:“咱们骗了你!而你什么也做不了!”第二天,他们发布了一份声明,表明他们没有跑路,而且把网站恢复到了先前的状况。
故事:针对 Ledger 的实体垂钓活动
摘要:在 2020 年的数据走漏和 2021 年初对 Ledger 的团体诉讼之后,用户开端陈述更多试图窃取用户密钥的实体垂钓活动。有人向他们的收件地址快递了经过修改的设备。
故事:IronFinance 遭受挤兑,代币价格在 24 小时之内从 60 美元跌到零
摘要:根据一份正式的声明,挤兑始于一些大户从 IRON/USDC 池子中撤出流动性并卖出 $TITAN -> $IRON -> $USDC,而不换回 IRON,导致后者的价格脱锚。
故事:对 THORChain 的榜首次已知的歹意进犯
摘要:由于用于处理重复符号的逻辑中有个 bug,一次进犯导致 THORChain 丢失了 14 万美元。网络被节点中断,在 6 个小时后打上了补丁并恢复了功能。THORChain 很快知晓了这次进犯,并宣称他们会全额补偿丢失。
观察
如果咱们比较在 2020 年观察到的景象,似乎整个职业还是有很大的提升空间,乃至或许永久都有。咱们需要继续教育咱们关于 DeFi “梭哈”、DeFi admin key、垂钓的危险,以及把你的财物存入中心化交易所的固有危险。
比较 2020 年上半年的景象,咱们能够看到,中心化交易所和他们的安全性确实前进了,至少爆出来在他们的基础设施上发生的黑客工作变少了。这是一件好事,但也提出了一个问题:那些坏蛋都把心思放哪里去了?一个简单而且或许也是合理的猜想是,他们把注意力转向了 DeFi 协议,并混进了社区,搞起了简单的跑路,毕竟这没有太高的技术门槛,而获利却十分可观。
咱们也看到了人们对 NFT 的爱好正在鼓起,包含那些大名鼎鼎的公司也在接纳 NFT(Christies、eBay 和苏富比)。咱们能够预言,会有一些残酷的 NFT 抢劫 —— 不是正在发生,便是没有爆出来。
期望 2021 年剩余的时间能风平浪静!
视野开拓
1942年夏,德国飞机轰炸了一连串英国城市。夜复一夜,国王学院的教室和学生以铁铲作为武器,轮流站在华丽的哥特式教堂顶上巡逻(这座教堂的基石,是1441年亨利六世铺下的)。伦敦圣保罗教堂的火警员发现,燃烧弹一旦爆炸,那就无计可施了;可要是燃烧弹落在屋顶上还没被引燃,赶紧把它扔到屋檐的墙壁外边去,损失就可以减到最低限度。所以,年近60岁的凯恩斯和41岁的哈耶克,双双把铁铲靠在石灰石护栏上,坐在屋顶上静待德国人的空袭。他们都担心自己不够勇敢敏捷,救不了剑桥脆弱的石头房子。此情此景,跟两位素来反抗纳粹威胁的经济学家分外相称衬。他们都曾以不同的方式,预见到了暴政的到来和希特勒的崛起。-《凯恩斯大战哈耶克》
