2020 年度回顧：區塊鏈 密碼學貨幣行業主要安全事故_BTC:ETH

2020 年區塊鏈安全領域發生了什么？可以從中學到什么教訓？

在經歷了動蕩的 2019 年之后，2020 年情況如何？一起來回顧一下。

要了解我們的寫作思路，請查看我們之前寫的 2019 年度回顧。

如果 2019 年可以概括為一次狂野之旅，那么 2020 年則完全是不按常理出牌。

在這一年里，我們發表了許多文章，聊到了從釣魚者那里追回資產的白帽、推動惡意瀏覽器插件擴散的大型活動、防止密碼貨幣資產丟失的十大行動指南，以及 Risky Business：DeFi。我們發表的每篇文章都提到了用戶在使用密碼學貨幣時應當注意的各種威脅要素，并附有現實生活中的實例。這些文章所分享的信息不僅適用于 MyCrypto 和以太坊用戶 —— 這些經驗教訓可以被應用到整個行業，無論你喜歡哪條鏈、交易所或者錢包。

讓我們再深入地回顧一下這些事故，看看發生了什么，以及我們作為一個行業可以從中學到什么教訓。

以下清單列出了 2020 年發生的主要安全事故。然而，我們不會把所有事故都一一列出來，因為數量實在太多了……

2020 年第一季度開始時有一些好消息和一些壞消息（除去全球傳染病大流行及隨后的封鎖）。我們揪出了一些壞蛋，也研究了攻擊硬件錢包的方法，但黑客攻擊和金錢損失也有所增加。

故事：密碼學貨幣交易所 Poloniex 發出密碼重置警告

概要：Poloniex 在 2019 年 12 月末的電子郵件中發布了一份 PSA，宣布一些用戶必須重置密碼，因為推特上泄漏了一份包含郵件地址和密碼的列表。

Clover攜手姊妹網Sakura共同公布2022項目路線圖:12月21日消息，Clover Finance在贏得首批第五個波卡平行鏈插槽并接入Polkadot中繼鏈之后，其姊妹網絡Sakura也于同期贏得Kusama平行鏈插槽，即將上線。Clover和Sakura在今天同時發布2022年項目路線圖，Clover將打造通向全能宇宙的護照，以上層多鏈錢包應用、中層跨鏈互操作性協議以及底層EVM和原生資產跨鏈功能，全方位提供用戶到開發者的去中心化基礎設施解決方案。

Sakura則一改Kusama測試網絡的定位，提出前衛網絡（Avant-Garde Network）的概念，設計實現包括Sakura名系統和信息通訊系統在內的等多種去中心化身份組件，有別于Clover網絡的功能和設定，將致力于通過Web3.0 + Social構建元宇宙的基礎設施。[2021/12/21 7:54:42]

故事：YouTube 賬號被劫持用于密碼學貨幣詐騙

概要：盡管這算不上新的詐騙手段，但這種作案手法正變得越來越流行。騙子們事先錄制好有名人參與的密碼學貨幣大會的視頻片段，然后劫持 Youtube 賬號來廣播虛假的贈送密碼學貨幣的視頻。

故事：Upbit 在遭到 5 千萬美金的攻擊后升級 ETH 錢包的安全措施

概要：一家韓國交易所公開表示他們的熱錢包在 2019 年 11 月被盜，損失了 342,000 ETH （價值大約 5 千萬美金）。

故事：少年通過 SIM 卡交換騙取區塊鏈專家超 5 千萬美金

概要：SIM 卡交換（SIM-Swapping）在行業中是一個瘤。許多人認為在他們的賬戶上使用短信來做 2FA 認證會更安全。一位少年利用了這一點，從多個受害對象處獲利超過 5 千萬美金。這名 18 歲的少年已經被逮捕，并面臨多項刑事指控。

李啟元：仍相信2021年12月比特幣能漲到33.3萬美元:7月27日，前比特幣中國CEO李啟元（Bobby Lee）發推稱，仍然相信2018年12月作出的預測。現在比特幣價格已經突破1萬美元，今年晚些時候將開始正式反彈，年底能到1.5萬美元、2萬美元或者更高嗎？而2018年12月的預測即指，比特幣將從2020年底開始反彈，2021年12月達到33.3萬美元峰值，然后在2023年1月暴跌至4.1萬美元。[2020/7/27]

故事：Kraken 發現 Trezor 硬件錢包中的關鍵缺陷

概要：Kraken 交易所（安全實驗室）發現并披露了一種物理攻擊方法，可以從 Trezor 的大部分產品中提取出助記詞。

故事：密碼學貨幣 IOTA 在官方錢包軟件被黑后關停了整個網絡

概要：由于黑客利用了官方 IOTA 錢包（Trinity）中的一個漏洞來竊取用戶資金，IOTA 在相當長的一段時間內關停了他們的網絡。

故事：Risky Business：DeFi，以太坊還要繼續成長（中文譯本）

概要：MyCrypto 的創始人 Taylor Monahan 整理了她在 ETHDenver 2020 上關于 DeFi 及其風險的演講。Taylor 討論了潛在的陷阱和此前的攻擊，我們從過去的錯誤中學到了什么和沒學到什么，以及我們在該領域該如何改進。

故事：BZx 閃電貸攻擊是否意味著 DeFi 的終結？

概要：一個熱門 DeFi 協議在短時間內遭到了兩次閃電貸攻擊。第一次攻擊損失了 1,193 ETH，第二次攻擊結束時又損失了 2,378 ETH。

故事：騙子繼續在英國利用 Covid-19 混亂詐騙比特幣

概要：伴隨著由冠狀病（COVID-19）導致全球大流行的新聞，一些不法分子通過偽裝成來自 CDC 的研究組織來請求比特幣捐款，大發恐慌之財。

政策 | 2020年中央一號文件：加快區塊鏈等技術在農業領域的應用:據新華社消息，2020年中央一號文件提到，開展國家數字鄉村試點，依托現有資源建設農業農村大數據中心，加快物聯網、大數據、區塊鏈、人工智能、第五代移動通信網絡、智慧氣象等現代信息技術在農業領域的應用。[2020/2/5]

BZx 再一次遭受攻擊

盡管這是故技重施，但黑客在幾天時間內利用閃電貸對 BZx 協議發動了第二次攻擊。

https://twitter.com/dsearch3r/status/1228657292792549383

在第二季度，我們看到更多的智能合約漏洞被利用，以及一個惡意瀏覽器擴展程序的大規模擴散活動引發了人們的關注，該惡意擴展模仿業內知名品牌以獲取用戶的密鑰。

故事：黑客利用去中心化比特幣交易所 Bisq 的漏洞竊取了 25 萬美金

概要：在發現攻擊者利用軟件盜取用戶資金后，Bisq 采取了 「前所未有」 的應對措施并停止了交易。據報道，攻擊者盜走了 3BTC 和 4000XMR。

故事：發現針對 Ledger、Trezor、MEW、Metamask 等目標用戶的假冒瀏覽器擴展

概要：MyCrypto 和 PhishFort 發表了一篇研究報告，關于利用谷歌廣告來推送的、模仿知名品牌的惡意瀏覽器擴展，如何狩獵密碼學貨幣用戶。

故事：Etherscan 啟動 「ETH Protect」 來識別和標記受污染的 ETH 地址

概要：最常用的區塊鏈瀏覽器之一 —— Etherscan 推出了一款產品，為用戶提供關于一個地址的更多信息（污染分析），并快速顯示它們是否從一個已知的不良地址收到過密碼學貨幣。

聲音 | 火幣中國袁煜明：2020年正式開啟區塊鏈落地應用元年:1月7日，混沌大學率隊到訪火幣中國并就“2020年區塊鏈的應用及趨勢”進行了深入交流，火幣中國CEO袁煜明向其介紹了火幣中國并進行《如何把區塊鏈應用到實體經濟中》專題分享。

記者現場了解到，混沌大學此次到訪火幣中國旨在通過交流建立區塊鏈完整的知識圖譜。混沌大學作為一所面向未來的創新大學，由李善友教授創辦于2015年，以哲科思維為根基，打造創新教育體系，并結合刻意練習式學習方法，培養跨學科的創新人才。

“2020年區塊鏈落地應用元年正式開啟。”袁煜明從區塊鏈技術的創新、區塊鏈的產業機會、加快推動區塊鏈應用落地三個方面闡述了區塊鏈的產業機會，并表示與區塊鏈有關的產業會獲得空前發展和增長。

據了解，火幣中國致力于構建區塊鏈+產業服務一站式平臺，依托火幣區塊鏈研究院、火幣大學、產業賦能中心，打造區塊鏈行業全生命周期專業服務。[2020/1/8]

故事：dForce 因 DeFi 智能合約漏洞損失 2500 萬美金

概要：借貸協議 dForce 據稱是修改了 Compound 代碼的一個分叉，遭到了類似于 Uniswap 流動池的攻擊。該攻擊利用了 imBTC 合約所用的一個標準（譯者注：指 ERC-777）。

故事：「邪惡天才少年」 被指控竊取了價值數百萬的密碼學貨幣

概要：Michael Terpin 提交的一份備受矚目的 SIM 卡交換控告的信息已經公布。在攻擊發生時，主要的不法分子之一只有 15 歲。據稱他通過交換多人的 SIM 卡竊取了超過 2300 萬美金。

故事：歐洲各地多臺超級計算機被入侵用于密碼學貨幣挖礦

概要：英國、德國和瑞士的多臺超級計算機感染了密碼學貨幣惡意挖礦軟件，通過破解的 SSH 登陸來挖取門羅 —— 一種偏重隱私保護的密碼學貨幣。

動態 | 2026年全球汽車區塊鏈市場的銷量將達到16億美元:美國商業智能和戰略研究近日所發布的研究報告顯示，預計到2026年，全球汽車區塊鏈市場的銷量將達到16億美元。該研究基于對主要市場參與者的財務分析：以太坊，Ripple Labs Inc.，IBM公司，BigChain DB，R3等。報告稱，汽車區塊鏈市場預計的“強勁增長”是由于分布式賬本技術的普及以及區塊鏈技術帶來的各種優勢。[2018/8/23]

dForce / Lendf

Lendf 的黑客很有趣，因為被用于實施重入攻擊的 ERC777 標準幾天前剛剛在 Uniswap 的 imBTC 流動池中被爆破。但是 dForce 沒有審計他們的系統，盡管他們也支持 imBTC。一條來自 defiprime 的長推特很好地點評了此事 —— 有證據表明這些代碼是從 Compound Finance 分叉而來的，即便在開源世界里，這也是另一個棘手的問題。

故事：從釣魚事件中攔截并保衛價值 5000 美金的密碼學貨幣

概要：當我們（MyCrypto）掃描網絡釣魚工具時，我們發現了一個活躍行動的公開端口（open door），我們也監控了它們以防止用戶的私鑰被泄露。在極少數情況下，我們成功攔截了從受害者那里竊取的密碼學貨幣資產。我們搶在不法分子之前清理了這些資產，并歸還給了經過驗證的所有者。

故事：推特攻擊事后回顧

概要：2020 年 7 月 15 日，Twitter 平臺上發生了一場大規模的賬號接管活動，其中包括利用經過驗證的賬號來傳銷 「信用交易」/ 預付費的比特幣騙局。總體而言，「僅」 有 15 萬美金被盜，相較于不法分子從他們接管的賬號中所獲得的廣泛曝光而言，這個數字有點微不足道。

故事：與幣安合作將 1 萬美金的被盜密碼學貨幣返還給受害者

概要：我們（MyCrypto）研究了更多的網絡釣魚活動，然后發現另一個通往不法分子所用服務器的公開端口。我們再一次混入他們的釣魚前端和不法分子的通信渠道之間，來清理那些被釣魚的資產使其不落入壞人的口袋。

故事：做好這 10 件事，和丟幣說再見

概要：MyCrypto 發表了一篇簡短的最佳實踐十步法，其中包含了如何保護您的密碼學貨幣資產和關聯賬戶的明確行動指南。我們利用自己在密碼學貨幣被盜方面的豐富知識，編寫了一份可操作的行動清單。

故事：黑客利比特幣錢包漏洞盜走 1600 萬美金的比特幣

概要：一名用戶沒有為他的 Electrum 錢包安裝關鍵的安全更新，然后成為了一個（舊的）攻擊方法的受害者，導致 1,400 BTC 被盜。這名用戶被欺騙連接到一個惡意的 Electrum 服務器，該服務器允許在其錯誤彈出窗口中顯示富文本。返回的錯誤提示用戶更新他們的 Electrum 軟件，但卻鏈接到了惡意軟件的下載地址。

故事：逃離黑暗森林

概要：Samczsun （及其同伴）在一次白帽活動中成功地從一個有漏洞的合約里拯救了 960 萬美金。這個故事很有意思，因為 Samczsun 解釋了他們是如何擊敗搶跑機器人的。他們私底下將已簽名的交易直接發給了礦工，而不是廣播到交易池。

故事：KuCoin 交易所被盜 2.8 億美金

概要：頗受歡迎的一家亞洲交易所 KuCoin 熱錢包被盜，并接連收到大量比特幣和以太坊被提走的警報。KuCoin 正在與國際執法部門進行調查，并承諾使用他們的保險基金彌補客戶資金的全部損失。

Ledger 的數據泄漏

Ledger 是行業領先的硬件錢包之一，在這個領域積累了非常多的客戶。2020 年 7 月，他們發表了一份聲明，稱其電子商務平臺和營銷平臺的數據遭到了泄漏。2020 年 7 月 14 日，他們收到了來自其賞金計劃的潛在數據泄漏的警報。經過內部調查， Ledger 發現此次數據泄漏發生在 2020 年 6 月 25 日，其部分客戶受到影響。2020 年 5 月，推特用戶 UnderTheBreach 發了一條關于潛在數據泄漏的推特。

KuCoin

KuCoin 存在的一個安全漏洞致使其私鑰被盜。總價值 281,000,000 美金的資產被盜。值得注意的是，在這次攻擊中多個項目協助了找回資金的行動，其中包括 Ocean 協議，它們分叉了自己的合約，移除了攻擊者盜走的代幣。

故事：密碼學貨幣交易所 Liquid 確認被黑

概要：Liquid 確認其域名和電子郵件賬戶已遭到入侵。該交易所認為，黑客可能已經獲得了包括郵箱地址、姓名、配送地址和加密口令在內的用戶個人信息。

故事：黑客利用 GoDaddy 雇員來攻擊密碼學貨幣網站：Liquid 和 NiceHash

概要：一份公開的報告指出，有確鑿的數據表明 NiceHash 和 Liquid 遭到了其服務商 GoDaddy 的侵害。

故事：土狗智能合約抽走 1080 萬美金

概要：一個流動性挖礦協議（Harvest 和 YearnFinance 的翻版）的智能合約存在一個隱藏的后門，允許開發者直接提走該合約內的 wBTC、ETH、DAI 。

故事：被黑后，Ledger 增加了比特幣賞金和新的數據安全措施

概要：Ledger 聲稱最近發生的客戶數據泄漏源于一家流氓代理商 Shopify。Ledger 新任的首席信息安全官 Matt Johnson 建立了新的程序和政策，來防止未來發生數據泄漏，并宣布懸賞 10BTC 來獲取任何可以助其逮捕黑客的信息。

故事：密碼學貨幣交易所 EXMO 聲稱總資產的 5% 被盜

概要：EXMO 在其熱錢包中檢測到可疑行為，并暫停提款以進行調查。結果是他們的冷錢包未受影響，但 5% 的熱錢包被盜了。

我們的觀察

如果比較一下我們在 19 年的觀察結果，你會這個行業有很大進步空間。100% 的安全當然是不存在的，但那句話怎么說來著，歷史也會押韻。

即使你將資產存儲在一個 「合法」 的交易所中，你仍然面臨風險

像往常一樣，今年也充斥著對持有用戶資產的密碼學貨幣交易所的攻擊。我們看到越來越多的交易所使用保險基金來彌補損失，盡管這對于那些使用交易所的人而言最終結果是好的，但這并不值得依賴。

去中心化和安全并不劃等號

雖然去中心化產品（錢包，DEX 等）可能遭受得攻擊各不相同，且損失引發的關注遠遠小于大交易所受到的攻擊，但攻擊者仍有多種詭計從你的手中騙走數字資產。網絡釣魚活動，尤其是那些鼓勵用戶在網站上輸入私鑰的玩意兒，日益猖獗。隨著去中心化交易所（DEX）的崛起，用戶在 「登入」后資產被席卷一空的情況愈發普遍。

信任第三方來使用你的個人信息并不安全

即便信任這個領域最知名的一些品牌來使用你的個人信息（包括你的收件地址），也是靠不住的。這些數據可以通過流氓雇員或軟件漏洞獲取，然后在地下市場出售。雖然利用這些個人信息的大多數威脅幾乎不會采取任何行動，但切不可掉以輕心，尤其是那些已知有大量持倉的人。你最好的方式是設置一個帶有假名的郵政信箱，用來收取現實世界中的密碼學貨幣相關物品 —— 理想情況下，你也不會希望你的家庭地址和密碼學貨幣聯系到一起。

我們在 2021 年的目標和 2020 年相同：讓我們做得更好。

Tags：區塊鏈比特幣ETHBTC區塊鏈存證流程圖泰達幣和比特幣一樣嗎reth幣下架LBTC價格

PEPE