SAFEIS安全报告:加密史上十大被盗事件梳理及应对策略
2008年全球金融危机因为中心化世界的种种弊端而爆发并进而席卷全球,为了消除这些弊端,中本聪创立了比特币 *** ,区块链也因此诞生。
为了提高整个 *** 以及交易的安全性,区块链采用分布式节点和密码学,且所有链上的记录是公开透明、不可篡改的。最近几年,区块链获得长远发展,形成了庞大的加密生态。
然而,区块链自问世以来,加密货币骗局频发并有愈演愈烈之势,加密货币也无法为用户的资金提供足够的安全性。此外,加密货币可以匿名转移,从而导致加密行业的重大攻击盗窃事件频发。
下文将梳理剖析加密史上十大加密货币盗窃事件,以及防范加密资产被盗的六大实用策略。
1.Mt. Gox 被盗事件
Mt. Gox 被盗事件仍然是 历史 上更大的加密货币盗窃案,在 2011 年至 2014 年期间,有超过 85 万比特币被盗。
Mt. Gox 声称导致损失的主要原因是源于比特币 *** 中的一个潜在漏洞——交易延展性,交易延展性是通过改变用于产生交易的数字签名来改变交易的唯一标识符的过程。
2011 年 9 月,MtGox 的账户私钥就已泄露,然而该公司并没有使用任何审计技术来发现漏洞并预防安全事件的发生。此外,由于 MtGox 定期重复使用已泄露私钥的比特币地址,导致被盗资金损失不断扩大,到 2013 年中,该交易所已被黑客盗取63万枚比特币。
许多交易所会同时使用冷钱包和热钱包来进行资产的存储和转移,一旦交易所的服务器被黑,黑客便可以盗取热钱包里面的加密资产。
2.Linode被盗事件
加密 *** 资产托管公司Linode主要业务就是托管比特币交易所和巨鲸的加密资产,不幸的是,这些被托管的加密资产储存在热钱包中,更为不幸的是,Linode 于 2011 年 6 月遭到黑客攻击。
这导致超过5万枚比特币被盗,Linode的客户损失惨重,其中,Bitcoinia、Bitcoin.cx以及Gavin Andresen分别损失43000枚、3000枚和5000枚比特币。
3.BitFloor被盗事件
2012 年 5 月,黑客攻击 BitFloor 并盗窃了24000枚比特币,这一切源于钱包密钥备份未加密,才使攻击者轻而易举获得了钱包密钥,并进而盗取了巨额加密资产。
被盗事件发生后,BitFloor 的创建者 Roman Shtylman 决定关闭交易所。
4.Bitfinex被盗事件
使用多重签名账户并不能完全杜绝安全事件的发生,Bitfinex接近12万枚巨额比特币资产被盗事件就证明了这一点。
2022年6月份,2000万枚OP代币就是以为不恰当使用多重签名账户而被盗。
5.Coincheck被盗事件
总部位于日本的 Coincheck 在 2018 年 1 月被盗价值 5.3 亿美元的 NEM ( XEM ) 代币。
Coincheck事后透露,由于当时的人员疏忽,黑客能够轻易访问他们的系统,且由于资金保存在热钱包中并且安全措施不足,黑客能够成功盗取巨额加密资产。
6.KuCoin被盗事件
KuCoin 于 2020 年 9 月宣布,黑客盗取了大量的以太坊 ( ETH)、 *** C、莱特币 ( LTC )、Ripple ( XRP )、Stellar Lumens ( XLM )、Tron ( TRX ) 和 USDT等加密资产。
朝鲜黑客组织 Lazarus Group 被指控为KuCoin被盗事件的始作俑者,这次被盗事件造成了2.75 亿美元的资金损失。幸运的是,该交易所收回了约2.7亿美元的被盗资产。
7.Poly Network被盗事件
Poly Network被盗事件是有史以来最严重的加密货币盗窃案之一,2021 年 8 月,一位被称为“白帽先生”的黑客利用了 DeFi 平台 Poly Network *** 中的一个漏洞,成功窃取了Poly Network上价值约 6 亿美元的加密资产。
Poly Network被盗事件蹊跷的是,自被盗事件发生后,“白帽先生”不仅与Poly Network官方保持公开对话,而且还于一周后归还了所有被盗的加密资产。“白帽先生”因此获得50万美元的奖金,并获得了成为 Poly Network 高级安全官的工作机会。
8.Cream Finance被盗事件
2021 年 10 月,Cream Finance发生安全事件,被黑客盗取价值1.3 亿美元的加密资产。这是 Cream Finance 今年发生的第三起加密货币盗取事件,黑客在 2021 年 2 月盗取了 3700 万美元的加密资产,在 2021年 8 月盗取了 1900 万美元的加密资产。
本次被盗事件是通过闪电贷攻击的方式完成的,攻击者使用 MakerDAO 的 DAI 生成大量 yUSD 代币,同时还利用 yUSD 价格预言机来完成闪电贷攻击。
9.BadgerDAO被盗事件
2021 年 12 月,一名黑客成功从DeFi 项目 BadgerDAO 上的多个加密货币钱包中窃取资产。
该事件与通过Cloudflare将恶意脚本注入网站用户界面时的 *** 钓鱼有关。 黑客利用应用程序编程接口 (API) 密钥窃取了 1.3 亿美元的资金。API 密钥是在 Badger 工程师不知情或未经许可的情况下创建的,用于定期将恶意代码注入其一小部分客户端。
然而,由于黑客未能及时从Badger提取资金,因此大约 900 万美元加密资产得以追回。
10.Bitmart被盗事件
2021 年 12 月,Bitmart 的热钱包遭到黑客攻击,约 2 亿美元加密资产被盗。研究发现,约1 亿美元的加密资产是通过以太坊 *** 盗取转移的,另外接近1亿美元是通过币安智能链 *** 盗取转移的。
此次被盗事件涉及20多种代币,包括比特币等主流币,和相当数量的山寨币等。
保护加密资产的更佳 *** 是重视钱包的加密保护和安全的私钥存放方式,以及对市场上的项目进行深入的研究和辨识,避免踏入攻击者的陷阱。
由于区块链的不可篡改和不可逆性,一旦钱包私钥泄露,加密资产被盗便不可避免并无法追回。
防范加密资产被盗的六大实用策略:
1.使用冷钱包
与热钱包不同,冷钱包不连接互联网,因此不会受到 *** 攻击。私钥存储在冷钱包中可有有效保护加密资产。
2.使用安全 ***
在交易或进行加密交易时,仅使用安全的 *** ,避免使用公共 Wi-Fi *** 。
3. 资金分散到多个钱包中
鸡蛋不要放到同一个篮子中,这句话在金融领域和加密领域都十分受用。
将加密资产分发到不同的多个钱包中,这样可以在遭受攻击时,将损失降到更低。
4. 提高个人设备安全性
确保个人设备安装了最新的安全软件,以防御新发现的漏洞和 *** 攻击,并且开启防火墙来提高设备的安全性,以避免黑客通过设备系统安全漏洞来进行攻击。
5.设置强密码并定期更改
在谈论安全性时,我们不能低估强密码的重要性。很多人在多个设备、应用程序社交媒体帐户和加密钱包上使用相同的密码,这大幅增加了加密资产被盗的几率。
防止被盗需要钱包账户建立一个安全等级较高的强密码,这个强密码需要具有独特性,并养成定期更改的习惯。此外,选择双重身份验证 (2FA) 或多重身份验证 (MFA) 可以提高安全性。
6. 谨防钓鱼攻击
通过恶意广告和电子邮件进行的 *** 钓鱼诈骗在加密货币世界中十分猖獗。在进行加密交易时要格外小心,避免点击任何可疑和未知链接。
应当始终检查核实有关加密投资的相关信息和网站的URL,尤其是这些信息极具诱惑力且不合常理时,比如,项目方官方通过Didcord等渠道私聊信息,当然,项目方Didcord被攻击的安全事件的频繁发生,这时的恶意链接可能是在公共频道中而不是私聊界面,这种情况下,多渠道检查核实有关加密投资相关信息的真实性就显得格外重要了!
SAFEIS是国际知名的创新型区块链生态安全服务平台,基于 数据、 智能、 *** 安全、图计算等多种核心技术打造,具有完备的数据处理和精准追溯能 ,服务对象涵盖全球诸多知名公司和项目。
“让区块链更安全”是一个光荣使命,我们将践行光荣使命、续航崭新征程。
EOS立定跳远成绩不佳
EOS,是个韭菜币。
2017年,柚子币开始出现在公众视野,这个项目从诞生起,就是对标以太坊老大哥的 。不仅如此,当时的ICO项目都用以太坊搞众筹,借大哥的火,和大哥比翼双飞。
EOS出现在关键时间点,恰好赶上冲浪的早班车。那时以太坊初生牛犊,刚打通加密货币通往 *** 世界的路,突然冒出个“柚子”作为竞争对手,自己肯定不会习惯,毕竟, 国王的板凳只能容下一人 ; 市场形势大好,在裙下众臣还没起身的时候,大家打不了就交好,也是那时起,以太坊开始积累起自己的原始资本。
用以太坊搞一级市场,肥的就是以太坊。这就体现出占到茅坑先拉粑粑的优势,对价算,EOS当初募集超 260亿 人民币。这么多钱显然不可能都用来研搞研发,好多是投资方的底盘,用来让韭菜割肉的。
如果出现柚子二代柚子三代,很难再惊艳市场。EOS当初是因为赶上气候才成就了自己一波,把自己打扮得高大上, 做BFT加DPOS双机制。
区块链诞生开始,共识机制就是绕不开的课题,也是核心中的核心。 它引导的是出块方式,区别于中心化 *** 的一般数据加载。 出块速度就是衡量项目优质与否的一个重要指标,柚子,当初就是抓住了这个技术痛点。
但DPOS的本质还是中心化,当时很少有人提出质疑,投资方尽囫囵吞枣跟着乱冲,大家都觉得项目太牛逼了,要挑战以太坊,而且学得比有模有样还要有模有样。后来才发现,这种委员会机制,也有自己的弊端。 也就是变相的“中心化”而非去中心化。
拜占庭容错,也会因为黑客掌握 *** 中众数分布式计算机而被颜色掉。二者结合看似高大上,实际战斗力掉渣到爆,还不带吹的。
更重要的是,它违反了“三纲五常”,给那些暗涌下的人提供了方便,因为信息差的原因,容忍自己胡作非为。 一个劲儿捂住别人的嘴冲刺,还反复问,爽吗?在风口浪尖的当时这是件洋洋得意的事,主要是因为大家太年轻,什么都不懂。
有关方面,就吃了不少的亏。17年,官方大力打击虚拟币炒作,将涉嫌滥用区块链技术、借以区块链技术搞米的行为定性为诈骗,三令五声呼吁各方收手,出于此,许多交易所开始被迫搬迁。做项目的,当时但凡做项目,没搞到米的很少,彼时的韭哥韭妹们都还比较懵懂和天真。
炒高以太坊的是老美,炒高EOS的是华子。 华子指的是华夏之子,我们,啥都不说,人口数量还是占优势的。这资那本的把锅盖盖上,不久就能吃上美美的韭菜。完了再告诉你,就割你,咋滴?
慢三拍追高的韭韭,一套就三年,追到了珠峰,以为下山能开保时捷,实际骑的是自行车。
EOS会火的主要原因是, 竞争对手少,交易速度快,对标以太坊,直奔以太坊二代的称号去的 。想沾以太坊的光的确也沾到了,当时以太坊的链上交易速度实在像蜗牛,玩 游戏 等待确认窗口,稍微等久点能等上半小时。
当时以太坊一家独大, EOS就在以太坊低不成高不就的时候出现了 ,分析技术面的人少,什么共识机制算力算法的都不重要, 大家只觉得,网速快就是爷 。就像乐队指挥官手一挥,四围伴奏就响起,大家要听从指挥官的意志;技术占先天优势,说不割你,叫对不起你。
说最后功成身退的人很少,“很少”就是夸张描述。当初进去的,现在割得都差不多了。
早前EOS搞的闪电贷就遭到过黑客入侵,损失 超一百万 代币,此外还包括几十万USDT。 项目方的做法是提议更改代币接收地址的权限状态为BP (暂停),实际就是冻结。这就表明在极端情况下,只要项目方愿意, 任何人的账户对自己来说都不是绝对安全的 。 这个安全,针对的就是项目方。
不管黑客高不高明,安全这道关口,把握不好就是项目方的问题。本来安全就是重中之重,如果早前因为项目不成熟让黑客链上搞事,或许大家还能理解,关键项目都运行好几年了,突然出事,而且还连续出,你项目方不给点说法,怕就有点说不过去。
任何提案,哪怕社区已经提前确定好议案,也能断定,只要项目方想唱黑脸,就可以说一不二。验证委员会,说好听点是节点,说难听点就是自己人 ;所以不存在绝对的技术,再好的项目也会有缺点。错就错在,这个缺点太致命。
去年小牛初期,柚子的表现就一如既往平平无奇,从始至终就一副春暖花开与“我”无关的样子。 现在如此,以后很长时间会依然如此 ,盘能拉起来盖过头的几率,和太阳从西边出来差不多。
种菠菜的菜贩子,和有个叫什么度的平台差不多,把用户信息打包给这门那门的菠菜商,过后还一副你看我多高风亮节的样子。 人家是,真干也真敢,反而EOS在这方面就不行了,比这什么度的,自己就是一条战斗力掉渣的小蝼蚁。
主要还是因为,区块链的概念并不完全普及,了解区块链的人多数是一知半解, 要让他们埋头钻项目,很难,项目是钻不完的。 这就给砧板上的“细菌”提供了滋生的温床,砧板是整个区块链行业,这些细菌,就是附着在砧板上的掉渣项目,而且还自认为美。捞油的找到机会就捞油,被刮油的就是韭菜,韭菜永远泡在油里等待被刮;因为经不起日晒雨淋,只能呆在油里,最后就变成一颗油韭菜,下肚后油而不腻。
怎么洗闪电贷的钱
如果我跟你说,有人不需要你任何抵押物,也不需要做任何信用检查就可以借给你几百万美金,你会怎么想?
如果我又说,这笔钱只能借给你一秒钟,你又会怎么想?
在区块链上的去中心化金融领域,我刚才说的这些并不是逗你玩,而是真实存在的服务。并且已经有人利用这类服务,用少到几乎可以忽略不计的成本赚取了巨额利润。
这种服务就是闪电贷Flash Loan。
闪电贷的原理
要理解闪电贷的原理,我们先要了解以太坊交易的原子性。
所谓原子性就是,以太坊的一笔交易是不可分割的最小单位,要么成功,要么失败,不可能成功一半失败一半。
举个例子,张三向李四转一个以太币。如果交易成功,那么张三账户上少一个以太币,李四账户上多一个以太币。如果失败,那张三账户不变,李四账户也不变。
不可能出现交易成功一半失败一半,也就是张三少一个以太币但李四账户不变,或者李四多一个以太币但张三账户不变。
我们知道,以太坊的交易除了以太币转账外,还可以调用智能合约。
调用智能合约也具有原子性。如果一个智能合约改变了多个数值,那这个调用如果成功,这些数值都会被改变,如果失败则这些数值都不会被改变。不会出现一次调用改变了部分数值而另一部分数值保持不变。
更重要的是,如果一笔交易调用了多个智能合约,那所有这些调用也具有原子性,要么这些调用都成功,要么都失败。不会出现部分成功,部分失败。
闪电贷就是利用了以太坊交易的原子性。
闪电贷规定,你可以从我这里借出任意多的代币,只要我有。随便你用它干什么,但是必须要保证在同一个交易里归还本金和利息。
由于这笔交易有原子性,要么成功、要么失败。如果成功你还本付息,放贷机构赚利息。如果失败,就等于这笔操作从来没有发生过,也就是你从来没有借过钱。
由于这里我们用技术保证了,放贷机构稳赚不赔,所以就根本不需要抵押物和什么信用检查。
而且由于你只是瞬间占用了这些资金,所以利息是很低的。比如aave每笔闪电贷只收万分之九的手续费。
由于所有的借和还是在一个交易里瞬间完成,所以这种贷款方式就有了这个名字,闪电贷。
套利
刚才我们讲了闪电贷对于放贷机构的好处。那就是稳赚不赔。
那这种只能借一瞬间的贷款对于借款者有什么用呢?
显然,你用这些钱去买一套房子,或者进行其它区块链下的投资是不可能的。但是我们可以在一借一还之间,通过调用其它智能合约来赚钱。
一种比较简单的赚钱 *** 是套利交易(Arbitrage)。
假设有一种代币T,它在去中心化交易所DEX A的价格是50USDT,而在去中心化交易所DEX B的价格是55USDT。
那我们就可以构建这样一笔交易。
从闪电贷合约F中借出100,000USDT
在去中心化交易所DEX A以50USDT的价格买入2000个代币T
在去中心化交易所DEX B以55USDT的价格卖出2000个代币T,得到110,000 USDT,赚取差价
还给闪电贷合约F,100,000USDT本金,加利息,假设是100USDT。那剩下的9900USDT就是我们的利润。
通过以上这波操作,我们只需要付出十几美元最多几十美元的以太坊gas费就能空手套白狼,赚取近一万美元的利润。大家觉得是不是很妙呢?
闪电贷攻击
当然,上面那个例子都是假设一切都是理想情况。有经验的币圈老韭菜都知道,实际上这种套利机会是很少的。
正当的 *** 赚不到钱,有人就动歪脑筋,通过不正当的 *** 赚钱。
有一些黑客就利用某些智能合约的漏洞。他们通过闪电贷获取资金,然后利用这笔巨资攻击有漏洞的智能合约窃取利益。这就是臭名昭著的闪电贷攻击。
在2020年情人节晚上,黑客利用闪电贷和bZx协议的漏洞,用不到100美元的成本获利超过350,000美元。
攻击的过程是这样的。280
黑客从dYdX协议,0成本借出 10,000 ETH ,当时价值2,800,000美元
他把其中的5500ETH抵押到Compound协议借出112W *** C
他又把其中的1300ETH转入bZx,并用5倍杠杆卖出ETH买入W *** C。bZx为了完成这笔交易,他通过另一个协议kyber network在去中心化交易所uniswap里大量抛出ETH购买W *** C。由于uniswap相应池子深度不够,导致在uniswap上W *** C/ETH 的价格由正常的38.5被推高到109.8。
然后黑客利用这个被推高的价格,抛出第二步中借出的W *** C,以高于市场平均价两倍的平均价格:61.4获得6871ETH
利用这6871ETH加上手里没用的3200ETH,还掉从dYdX借出的1000ETH。
这样仅仅一个交易,黑客手里凭空多出了71ETH。
这还没完,大家还记得黑客在compound这条线的操作吗?黑客之前质押5500ETH最后砸出了6871ETH,用来归还闪电贷。
但是,归还闪电贷之后,这5500ETH的仓位还在黑客手里。
由于其它市场上W *** C/ETH 只有38.5,黑客立马在其它交易市场用4300ETH换取了112W *** C,从compound里换出了5500ETH的押金,又赚了1200ETH,总共1271ETH。
按当时价格计算,黑客空手获利$355,880。而他付出的成本只是一些以太坊的gas费,估计不会超过100美元。这简直都不是空手套白狼,而是空手套大象了。
老实说,看这起攻击的报告时,我真是忍不住拍案叫绝。虽然君子爱财取之有道。黑客偷钱肯定是不对的,但是他的手法的确是高,实在是高。
这次攻击,简单来说就是bZx协议里有个bug没有检测出风险,于是用五倍资金在uniswap上把钱对敲给了黑客。
由于发起这类攻击需要百万美金级别的资金。如果没有闪电贷,黑客不容易筹集到如此多资金来攻击,即使有那么多钱,黑客可能也不愿冒风险,万一一个手滑攻击不成,还赔了夫人又折兵。
有了闪电贷,黑客可以凭空借出大量资金,而且如果攻击失败,他可以放弃这笔交易回滚所有操作,就当什么事情也没发生过,除了一些以太坊gas费,也不会损失什么。黑客和闪电贷dYdX协议没有任何风险稳赚不赔,compound协议上也是一次正常的借贷和还款。
倒霉的就是bZx了,谁叫你有bug呢。
总结
从这我们也可以看出,闪电贷攻击一般并不是攻击闪电贷,而是利用闪电贷提供的资金攻击其它有漏洞的去中心化金融协议。
有些人一听闪电贷攻击,就以为闪电贷是什么洪水猛兽,把闪电贷批评一通。我说这纯粹是瞎比比。
我认为闪电贷用技术手段提供了无风险借贷,提高了资金利用率,这绝对是一种创新。
黑客用它来干坏事,坏的是黑客而不是闪电贷。就好像坏人借了银行钱去干坏事,你总不能骂银行吧。
听了我讲那么多,你是不是有点心潮澎湃,也想用闪电贷套个白狼啥的?
不过利用闪电贷需要编写智能合约代码,有一定的技术门槛。要想赚钱,先学写代码吧。
0条大神的评论