回顾2020区块链的安全事件：分散化不等于安全

2020年区块链安全领域会发生什么？我们能从中吸取什么教训？

原题：2020年通报回顾：区块链/加密货币行业重大安全事件

在动荡的2019年之后，2020年会发生什么？让我们回顾一下。

要了解我们的写作理念，请查看我们之前的2019年评论。

如果2019年可以概括为一次狂野之旅，那么2020年将完全不寻常。

在这一年里，我们发表了许多文章，讨论了从网络钓鱼者手中追回资产的白帽子，促进恶意浏览器插件传播的大规模活动，防止密码货币资产丢失的十大行动指南，以及风险业务：DeFi。我们发表的每一篇文章都提到了用户在使用加密货币时应该注意的各种威胁因素，并给出了现实生活中的例子。这些文章中分享的信息不仅适用于mycrypto和以太坊用户——这些经验教训可以应用于整个行业，无论您喜欢哪一家公链、交易所或钱包。

让我们更深入地看看这些事件，看看发生了什么，我们作为一个行业可以吸取什么教训。

下表列出了2020年的主要安全事件。但是，我们不会一一列出所有的事故，因为事故太多了

在2020年第一季度初有一些好消息和一些坏消息（不包括全球大流行和随后的封锁）。我们发现了一些坏人，研究了攻击硬件钱包的方法，但是黑客攻击和金钱损失也增加了。

故事：加密货币兑换poloniex发出密码重置警告

摘要：poloniex在2019年12月底的一封电子邮件中发布了一份PSA，宣布由于twitter上的电子邮件地址和密码列表被泄露，一些用户不得不重置密码。

故事：YouTube账户因货币欺诈被劫持

小结：虽然这不是一种新的诈骗方法，但它正变得越来越流行。骗子事先录下名人出席的加密货币大会视频片段，然后劫持YouTube账号播放赠送加密货币的假视频。

故事：在遭到5000万美元的攻击后，upit升级了ETH钱包的安全措施

摘要：韩国一家交易所公开表示，其热门钱包在2019年11月被盗，损失34.2万ETH（价值约5000万美元）。

故事：青少年通过SIM卡交换诈骗区块链专家5000多万美元

小结：Sim交换是这个行业的一大毒瘤。很多人认为在自己的账户上使用短信进行2fa认证更安全。一名青少年利用这一点，从多名受害者身上赚了5000多万美元。这名18岁的男子已经被捕，面临多项刑事指控。

故事：海怪在特雷佐的硬件钱包里发现了一个关键的漏洞

摘要：Kraken exchange（安全实验室）发现并公开了一种物理攻击方法，可以从trezor的大多数产品中提取记忆法。

故事：官方钱包软件遭黑客攻击后，iota关闭了整个网络

摘要：由于黑客利用iota官方钱包（Trinity）的漏洞窃取用户资金，iota关闭其网络相当长一段时间。

故事：风险业务：DEFI，以太坊将继续增长

总结：泰勒·莫纳汉，mycrypto的创始人，组织了她在ETHdenver 2020上关于DeFi及其风险的演讲。泰勒讨论了潜在的陷阱和以前的攻击，我们从过去的错误中学到了什么和没有学到什么，以及我们如何在这方面改进。

故事：BZX闪电贷款攻击是否意味着DeFi的终结？

摘要：一个流行的WiFi协议在短时间内被攻击了两次。1193以太在第一次攻击中丢失，2378以太在第二次攻击结束时丢失。

故事：英国骗子继续使用covid-19骗取比特币

摘要：随着冠状病毒（covid-19）全球大流行的消息传出，一些不法分子化装成疾控中心的研究机构，向比特币索要捐款，赚得盆满钵满。

BZX再次受到攻击

虽然这是老把戏的重演，但黑客在几天内利用lightning loan对BZX协议发起了第二次攻击。

https://twitter.com/dsearch3r/status/1228657292792549383

在第二季度，我们看到更多的智能合约漏洞被利用，一种模仿业内知名品牌获取用户密钥的恶意浏览器扩展的大规模泛滥引起了人们的关注。

故事：黑客利用BISQ（一个去中心化的比特币交易所）的漏洞窃取了25万美元

摘要：在发现攻击者使用软件窃取用户资金后，BISQ采取了“前所未有的”措施并停止交易。据报道，袭击者偷走了3btc和4000xmr。

故事：发现了ledger、trezor、mew、metamask和其他目标用户的假浏览器扩展

摘要：mycrypto和phishfort发布了一份研究报告，研究如何通过谷歌广告推送的恶意浏览器扩展和模仿知名品牌来追捕cryptocurrency用户。

故事：ETHerscan启动“ETH protect”来识别和标记被污染的ETH地址

摘要：以太扫描是最常用的区块链浏览器之一，它推出了一款产品，为用户提供有关地址的更多信息（污染分析），并快速显示他们是否从已知的坏地址收到加密资金。

故事：由于DeFi智能合约的缺陷，dforce损失了2500万美元

摘要：据说贷款协议dforce修改了一个复合代码分支，并受到了类似Uniswap流池的攻击。攻击利用imbtc合同中使用的标准。

故事：“邪恶天才”被指窃取数百万加密货币

摘要：迈克尔·特平（Michael Terpin）提交的一份备受瞩目的投诉已经被公布。袭击发生时，一名主要歹徒只有15岁。据说，他通过与多人交换SIM卡，盗窃了2300多万美元。

故事：欧洲的几台超级计算机因密码货币挖矿而遭到黑客攻击

摘要：英国、德国和瑞士的一些超级计算机已经感染了加密货币的恶意挖矿软件。他们使用破解的SSH登录来挖矿Monroe，一种强调隐私保护的加密货币。

D力/力

Lendf黑客很感兴趣，因为用于实施重入攻击的标准ERC777几天前刚刚在Uniswap的imbtc移动池中遭到攻击。但是dforce没有审计他们的系统，即使他们支持imbtc。DeFiprime的一条长微博对此作出了很好的评论——有证据表明，代码是从复合财务中派生出来的，这是另一个棘手的问题，即使在开源世界也是如此。

故事：从钓鱼事件中截获并保护价值5000美元的加密货币

摘要：当我们扫描钓鱼工具时，我们发现一个活动的打开的门，我们还监视它们以防止用户的私钥被泄露。在极少数情况下，我们成功地截获了从受害者那里窃取的加密货币资产。我们在罪犯之前清理了资产，并把它们归还给经核实的所有者。

故事：twitter攻击回顾

摘要：2020年7月15日，twitter平台上发生了一场大规模的账户接管事件，包括利用经核实的政治账户进行传销“信用交易”和提前还款的比特币诈骗。总的来说，只有15万美元被盗，与犯罪分子从他们接管的账户中获得的广泛曝光相比，这是一个很小的数额。

故事：与一枚硬币合作，将1万美元被盗加密货币返还给受害人

摘要：我们（mycrypto）研究了更多的网络钓鱼活动，然后找到了罪犯使用的服务器的另一个公共端口。我们再次渗透他们的钓鱼前端和无法无天的沟通渠道，清理被捕捞的资产，让他们不落入坏人的口袋。

故事：做好这10件事，告别赔钱

摘要：mycrypto发布了一个简短的最佳实践十步流程，其中包含关于如何保护加密货币资产和相关账户的明确行动指南。我们利用我们在密码学和盗窃货币方面的丰富知识，编制了一份行动清单。

故事：黑客通过比特币钱包漏洞窃取1600万美元比特币

摘要：一名用户未能为其electrum钱包安装关键安全更新，然后成为（旧）攻击方法的受害者，导致1400 BTC被盗。用户被骗连接到恶意的electrum服务器，该服务器允许在其错误弹出窗口中显示富文本。返回的错误提示用户更新他们的electrum软件，但链接到恶意软件的下载地址。

故事：逃离黑暗森林

小结：在一次白帽运动中，samczsun（和他的同事）成功地从一份有缺陷的合同中节省了960万美元。这个故事很有趣，因为samczsun解释了他们是如何打败机器人的。他们私下将签署的协议直接发送给矿工，而不是向交易池广播。

故事：库布币交易所2.8亿美元被盗

小结：亚洲流行的交易所kucoin hot wallet被盗，大量比特币和以太坊被提醒带走。Kucoin正在与国际执法部门进行调查，并承诺将使用他们的保险基金来弥补客户资金的所有损失。

账本数据泄露

莱杰是业内领先的硬件钱包之一，在这一领域积累了大量客户。2020年7月，他们发表声明称，他们的电子商务平台和营销平台的数据被泄露。2020年7月14日，他们收到了一个警报，提示他们的赏金计划可能会泄露数据。经过内部调查，莱杰发现数据泄露发生在2020年6月25日，其部分客户受到影响。2020年5月，twitter用户UndertheBreak在推特上发布了关于潜在数据泄露的消息。

库科因

由于存在安全漏洞，Kucoin的私钥被盗。价值2800万美元的资产被盗。值得注意的是，在这次攻击中，一些项目帮助追回了资金，其中包括海洋协议（ocean protocol），该协议分发了他们的合同，并移除了攻击者窃取的代币。

故事：加密货币兑换液被证实遭黑客入侵

摘要：liquid确认其域名和电子邮件帐户已被泄露。交易所认为，黑客可能获得了用户的个人信息，包括电子邮件地址、姓名、送货地址和加密密码。

故事：黑客利用GoDaddy员工攻击加密货币网站：liquid and nice hash

摘要：根据一份公开报告，有确凿的数据显示nice hash和liquid已经被他们的服务提供商GoDaddy侵犯。

故事：1080万美元从本地狗智能合约中撤出

摘要：移动挖矿协议（harvest和Finance的复制品）的智能合约中有一个隐藏的后门，开发者可以直接拿走合约中的wbtc、ETH和Dai。

故事：被黑客攻击后，莱杰增加了比特币赏金和新的数据安全措施

摘要：莱杰声称，最新的客户数据泄漏来自一个流氓代理Shopify。莱杰新任首席信息安全官马特·约翰逊（Matt Johnson）制定了新的程序和政策，以防止未来的数据泄露，并宣布对任何有助于他逮捕黑客的信息给予10btc的奖励。

故事：埃克森美孚声称被盗资产占总资产的5%

摘要：exmo在其热门钱包中发现可疑行为，并暂停取款进行调查。结果，他们的冷钱包没有受到影响，但5%的热钱包被盗。

我们的观察

如果你对比我们19年来的观察，你会发现这个行业有很大的进步空间。当然，100%的安全是不存在的，但历史也会押韵。

即使你把你的资产存放在一个“合法”的交易所，你仍然有风险

和往常一样，今年充满了对持有用户资产的加密货币交易所的攻击。我们看到越来越多的交易所用保险资金来弥补损失。虽然最终的结果对使用交易所的人来说是好的，但不值得依赖。

去中心化和安全是不平等的

尽管去中心化产品（钱包、DEX等）可能会受到不同的攻击，损失引起的关注度也远低于大交易所，但攻击者仍有各种各样的伎俩从你手中骗取数字资产。网络钓鱼活动日益猖獗，尤其是那些鼓励用户在网站上输入私钥的活动。随着去中心化交换（DEX）的兴起，用户在登录后被清除资产的情况越来越普遍。

相信第三方使用你的个人信息是不安全的

即使相信一些最知名的品牌在该领域使用您的个人信息（包括您的电子邮件地址）是不可靠的。这些数据可以通过流氓雇员或软件漏洞获得，然后在地下市场出售。尽管使用这些个人信息的大多数威胁不会采取什么行动，但决不能掉以轻心，尤其是那些已知拥有大量职位的人。最好的办法是用假名设立一个邮政信箱，收集现实世界中与加密货币相关的物品——理想情况下，你不希望自己的家庭住址与加密货币挂钩。

我们2021年的目标和2020年的目标是一样的：让我们做得更好。