以太坊:2021 上半年安全事件回顧：被黑、騙局和停機

密碼貨幣的世界是前所未有地兇險，讓人很難視而不見。在詳細列出這些安全事件之前，先來看看我們為了行業的安全做了什么貢獻？

在 2021 年上半年，我們：

放出了新版的 MyCrypto，提高了用戶體驗，讓用戶能更容易、更直接地 使用 和監控自己的密碼學貨幣

披露了濫用 ERC20 授權方法來偷竊用戶資產的惡意項目（授權方法是用戶使用的一環，但很容易被盲目信任）

拓展了我們的業務范圍，幫助遭遇了清道夫機器人的用戶取回質押的資產（中文譯本）

出版了一份幫助用戶提高 MyCrypto 隱私體驗的指南

在 NFT 市場爆發時，我們也推出了針對 NFT 買家的反詐騙教育材料

與 CryptoScamDB 繼續我們的反詐騙、反釣魚活動

提高整個行業的意識和防止詐騙、攻擊都是任重道遠，但我們在堅持。

我們先來深入了解下行業的整體態勢，看看我們是否從 2020 年學到了教訓，是否有所提升。

V神等八位以太坊基金會成員確認出席五月在黑山舉辦的以太坊大會EDCON 2023:4月17日消息，以太坊大會EDCON（Community Ethereum Development Conference）將于2023年5月19日至23日在黑山共和國首都波德戈里察舉辦，已確認受邀出席本次會議的演講嘉賓包括V神等八位以太坊基金會成員、Coinbase前CTOBalajiSrinivasan、Gitcoin聯創Scott Moore、Stark Ware聯創EliBen-Sasson、MatterLabs聯創Alex Gluchowski以及Polygonzk EVM技術主管等。這也是自2月12日Vitalik Buterin在丹佛接受彭博社采訪以來，首次公開露面參與活動。EDCON是由Linktime、DeUniversityofEthereum和ETHPlanet組織的非營利性全球年度以太坊會議。自2017年以來，已吸引了超10,000名參會者、2000多名開發人員、300多名演講者、450多個項目、400多個支持者和300,000的在線觀看量。EDCON致力于服務以太坊生態系統，促進全球以太坊社區的互動和交流。[2023/4/17 14:08:19]

以下是 2021 年第一第二季度的主要安全事件清單。我們不會列出所有的跑路及類似事件，因為太多了，實在是數也數不清……

游戲公鏈Oasys計劃到2028年推出完全去中心化的自治組織結構:1月19日消息，游戲公鏈Oasys宣布已建立作為去中心化決策過程的治理體系，旨在在謀求項目去中心化的同時，討論針對鏈游行業的發展，包括制定專門用于游戲和元宇宙的NFT的互操作性標準。Oasys的目標是在2028年之前實現完全去中心化自律組織（DAO）。

該項目計劃首先建立治理體系是去中心化過程，并在未來逐步完善公共運營制度。將來，OAS代幣持有者可以參與項目的各種決策，Oasys網絡將被去中心化。2023年是治理體系的試運行期，有關網絡的改善提案僅限于以Oasys的合作伙伴企業為中心的Genesis理事會。另外，關于投票，一般代幣持有者也能參與的功能預定在年內實現。到2024年，Genesis理事會將任命正式的Council成員，一般代幣持有者也可以在治理中提出提案。（Coinpost）[2023/1/19 11:20:58]

2021 年第一季度出現了一些有趣的事件，從整個協議的突然停擺到 DeFi 合約被黑，再到黑客被捕，都有。我們也看到了完全針對個人的攻擊，這讓整個行業感到震驚，因為這些壞人可能為了一筆錢而不擇手段。

道富銀行高管：計劃將在2023年對資金和私人資產進行代幣化:金色財經報道，道富銀行（State Street）負責數字產品開發和創新的副總裁Nicole Olson表示，隨著機構繼續對加密領域表現出興趣，代幣化仍然是銀行業務未來的重中之重。例如，使用分布式賬本技術對資金和私人資產進行代幣化以提高效率和可訪問性是該公司在 2023 年的工作。Olson表示，State Street Digital 打算在今年年底之前提供托管一些“藍籌”加密資產的能力，例如比特幣和以太幣，然后再推出其他資產。

Nicole Olson稱.，代幣化對我來說很令人興奮，因為道富和客戶都有很大的機會參與其中，它廣泛地將數字技術添加到那些更傳統的資產中，并將它們帶入未來”。

截至 6 月 30 日，道富銀行托管和管理的資產規模為 42.6 萬億美元，其資產管理部門的資產管理規模約為 3.9 萬億美元。[2022/8/30 12:56:34]

與去年相比，第一季度的密碼貨幣交易所被黑事件有所減少。這既是因為黑客的注意力都在別的地方，也是因為交易所已經從去年的失敗中學到了教訓、調整了安全控制。

巴西央行行長內托：巴西將在2022年下半年試點數字貨幣:2月12日消息，巴西央行行長內托表示，巴西將在2022年下半年試點數字貨幣。（金十）[2022/2/12 9:46:35]

摘要：最大/最老牌 的自動化流動性挖礦協議之一，Yearn，其某個 v1 金庫遭遇爆破，被盜金額總計 1100 萬美元，而金庫的用戶遭遇了 280 萬美元的直接損失。Yearn 團隊在 10 分 14 秒內成功地緩解了此次爆破，包括 Tether 凍結了 170 萬 USDT來防止攻擊者轉移資產。

摘要：DMM DAO 是一個使用 Chainlink 信息傳輸機制把現實世界資產搬到鏈上的 DAO，因為美國證監會對他們的調查而停止了運營。

摘要：今年 2 月，一名惡意人士獲得了 Blockfolio 所用的內容推送系統的權限，然后向所有的 Blockfolio 用戶推送了帶有攻擊性的內容。不久之后，SBF 確認并解釋了此事，然后他們把責任推到了競爭對手身上，聲稱 “惡意內容乃是我們的交易所同行炮制和發布的”。

摘要：SIM 卡被盜在密碼貨幣的世界里太常見了！（我們甚至為此寫了一篇大文章！）這個受害人在因為 SIM 卡被盜而損失了 15 個比特幣之后，起訴了其通信服務商。

動態 | LedgerX宣布2020年比特幣區塊獎勵減半的投注市場:據coindesk報道，比特幣區塊獎勵減半預計將在2020年5月下旬發生。LedgerX宣布為那些分析網絡的人提供了一種在減半發生時下注的方法。LedgerX表示，此類產品為比特幣礦工提供了一種特別有效的對沖工具。[2019/2/6]

（注：SIM 卡 “被盜” 是指攻擊者通過各種攻擊手段了解目標受害者的個人信息之后，賊喊捉賊，向服務商表示自己的 SIM 卡被盜或遺失，從而獲得目標的 SIM 卡控制權。）

摘要：一次巧妙的閃電貸攻擊讓操作者得以吸干 AlphaFinance 的金庫合約。FrankResearcher 以長推特的形式披露了整個事件。不久之后， AlphaFinance 暗示，他們知道攻擊者是誰。

摘要：這件事情警醒了整個社區盲目信任一個 UI 的危險性，也學會了接收你曾經認為可信的東西有一天也可能變得不安全。這份事后報告展示了一個攻擊者想通過劫持你的電腦來獲得你的資金時有多么努力。在檢查了惡意行為之后，我們確信，這是經過 “深思熟慮” 的。

摘要：一個發行社交代幣的平臺 Roll 遭遇了一個事故，一個熱錢包的私鑰被劫持，而攻擊者把所有的社交代幣都賣成了 ETH（這也打壓了這些社交代幣的市場價格）并把 ETH 通過 TornadoCash 遷移到了另一個地址。

摘要：去年推特上出現了一次大規模的賬戶被黑事件，許多高價值賬戶被推特的內部工具發布消息，為騙局推波助瀾。一年不到，這個黑客 —— 只有 18 歲 —— 就被捕并且判了刑。

摘要：據開發者披露，幣安交易所會把一筆合法的存款處理兩次，并在鏈下計入雙倍的金額。這個錯誤是因為 Filecoin RPC 代碼里面的一個 bug 而導致的。

摘要：GitHub 允許服務器運行代碼，以幫助測試。一些別有用心的人就利用這個（免費）的服務器來挖礦 —— 他們完全沒有電力支出和維護費用，純賺區塊獎勵。

摘要：xFORCE 合約沒有嚴格遵循 ERC20 標準，這讓他們的存入機制出了一個漏洞，而存入機制與 xFORCE 代幣鑄造是綁定的。只要你擁有 xFORCE 代幣（都不需要實際存入），你就可以取出 FORCE 代幣（等于是免費拿走）。

摘要：因為一個軟件上的 bug，Stellar 網絡上的一組驗證者突然掉線，導致事務處理中斷了。在 10 多個小時后，問題根源找出并且得到了修復，而驗證者們也回到了線上。

摘要：在 2020 年，一個包含大約 30 萬 Ledger 客戶記錄的數據庫（有詳細的客戶郵件地址、收件地址和全名）出現在了一個叫做 RaidForums 的論壇上并且是免費下載。在 2021 年 4 月 6 日，一些人發起了一項集體訴訟。

摘要：盡管這種情況不多，但 Circle（USDC 背后的權威機構）發布了 7 個以上的黑名單。這些地址里的 USDC 因此可以被充公，Circle 也可以防止用戶使用這些幣 （見合約的 “transfer()” 函數）。這是因為美國金融局把這些地址加入了 OFEC 的 SDN 名單。

摘要：一家土耳其的交易所突然停止服務。據猜測，其 CEO 攜帶交易所的私鑰（掌控交易所用戶價值 20 億美元的密碼學貨幣）逃到了泰國。此后，一份聲明取代了 Thodx 的主頁，詳細說明了他們正在跟商業伙伴談判以及一次攻擊修改了 tameness 的一些后端數據。他們也聲稱，媒體關于 20 億美元的數字是錯的，實際的數額要低得多。

摘要：在 UraniumFinance 變更交易手續費率的過程中出了一個數學錯誤，導致了一個意料之外的計算錯誤，影響到了實際的交易手續費率。合約中的一個字符導致智能合約的健全性檢查的余額檢查被利用，UraniumFinance 的儲備金被吸干。

摘要：BitcoinFog 是一個流行的混幣器，可以為比特幣交易添加一些模糊性。據稱，BitcoinFog 在過去的 10 年里賺到了約 120 萬 btc。

摘要：又是一次聰明的閃電貸攻擊，攻擊者吸干了 xTokenMarket 的流動性池子，辦法是操縱 SNX 和 BNT 在多個 DEX 的價格。攻擊者是使用叫做 “Flashbots” 的 MEV 軟件發動的攻擊。

摘要：一個 DeFi 協議用公開的消息嘲諷用戶并表示自己要跑路：“我們騙了你！而你什么也做不了！”第二天，他們發布了一份聲明，表示他們沒有跑路，并且把網站恢復到了先前的狀態。

摘要：在 2020 年的數據泄露和 2021 年初對 Ledger 的集體訴訟之后，用戶開始報告更多試圖竊取用戶密鑰的實體釣魚活動。有人向他們的收件地址快遞了經過修改的設備。

摘要：根據一份正式的聲明，擠兌始于一些大戶從 IRON/USDC 池子中撤出流動性并賣出 $TITAN -> $IRON -> $USDC，而不贖回 IRON，導致后者的價格脫錨。

摘要：因為用于處理重復符號的邏輯中有個 bug，一次攻擊導致 THORChain 損失了 14 萬美元。網絡被節點中斷，在 6 個小時后打上了補丁并恢復了功能。THORChain 很快知曉了這次攻擊，并聲稱他們會全額補償損失。

如果我們比較在 2020 年觀察到的情形，似乎整個行業還是有很大的提升空間，甚至可能永遠都有。我們需要持續教育大家關于 DeFi “梭哈”、DeFi admin key、釣魚的風險，以及把你的資產存入中心化交易所的固有風險。

比較 2020 年上半年的情形，我們可以看到，中心化交易所和他們的安全性確實進步了，至少爆出來在他們的基礎設施上發生的黑客事件變少了。這是一件好事，但也提出了一個問題：那些壞蛋都把心思放哪里去了？一個簡單并且可能也是合理的猜測是，他們把注意力轉向了 DeFi 協議，并混進了社區，搞起了容易的跑路，畢竟這沒有太高的技術門檻，而獲利卻非常可觀。

我們也看到了人們對 NFT 的興趣正在興起，包括那些大名鼎鼎的公司也在接收 NFT（Christies、eBay 和蘇富比）。我們可以預言，會有一些殘酷的 NFT 搶劫 —— 不是正在發生，就是沒有爆出來。

希望 2021 年剩下的時間能風平浪靜！

Tags：COIN以太坊OINCOIEncocoinplus如何挖以太坊幣dogecoinAllcoin

Gate.io