盘点2020年区块链重大安全事件：攻击汹涌安全仍不明

2020年，区块链世界依旧火热。

区块链作为一种新技术基础设施，被纳入“新基建”范畴；

疫情之下，区块链技术赋能政务，实现科学抗疫；

DeFi项目的爆发呈现了去中心化金融的巨大优势和潜力。

应用广泛落地，安全问题日益突出。 袭击、勒索、盗窃、挖矿、逃跑等事件不断发生。

安全419和慢雾科技梳理了2020年全球发生的重大区块链安全事件，通过一些典型事件，让我们一窥区块链世界的安全态势。

【交易所安全事件】‍

黑客攻击后 Altsbit 关闭

2 月 5 日，意大利交易所 Altsbit 遭到黑客攻击，损失了 6.929 个比特币、23 个 ETH 和其他加密货币，随后该交易所宣布将于 5 月 8 日关闭。

FCoin宣布“跑路”

2月17日，交易所FCoin称因资金困难，资金储备无法用于支付用户提现，规模在7000-13000 BTC（价值约6860万-1.27亿美元）之间，正式宣告“逃跑”。

游币网连续3天遭受DDOS攻击

优币交易所自5月6日上线平台币认购以来，连续3天遭受大流量DDoS攻击，导致服务器短时间无法访问。

大约 336 个比特币从 Cashaa 被盗

7 月 12 日，总部位于英国的加密货币交易所 Cashaa 表示，黑客从该交易所的一个钱包中窃取了 336 个比特币，该公司已停止所有与加密货币相关的交易。 Cashaa 表示，它怀疑用于汇款的计算机上安装了恶意软件。

Kucoin被黑损失数亿资金

9 月 27 日，总部位于新加坡的加密货币交易所 KuCoin 披露了一起大规模黑客攻击事件。 该公司在其网站上发布的一份声明证实，攻击者破坏了其系统并清空了其热钱包中的所有资金，估计损失至少为 1.5 亿美元。

EXMO 的重大安全漏洞

12 月 21 日，英国加密货币交易所 EXMO 发生重大安全漏洞，导致该平台冻结所有提款。 据 The Block 的研究分析师称，EXMO 似乎已经损失了 1050 万美元的资金。

2月17日，交易所VBITEX被黑客攻击，平台数据被恶意篡改，虚拟资产被盗。

2月28日，全球领先的数字货币交易所OKEx和Bitfinex先后遭遇DDoS攻击。

3 月 13 日，加密货币交易所 BitMEX 遭受两次 DDoS 攻击，导致短时间宕机。

5月27日，LMEX交易所称，该平台昨日遭黑客攻击，150,000 USDT被盗，单币最高52,000 USDT。

6月3日，Coincheck称第三方未经授权访问其域名注册服务，导致用户数据泄露。

7 月 31 日，西班牙加密货币支付应用 2gether 宣布被黑客窃取 140 万美元。

8 月 18 日，交易所 OKEx 证实，最新的 51% 攻击导致 ETC 损失约 560 万美元。

9月8日，欧洲加密交易所ETERBASE遭到黑客攻击，损失超过500万美元资产。

11月13日，加密货币交易所Liquid发生数据泄露安全事件。

12 月 24 日，俄罗斯交易平台 Livecoin 遭到黑客攻击，平台上的代币价格被操纵。

【DeFi项目安全事件】‍

bZx 遭遇两轮闪电贷攻击

2 月 15 日，DeFi 协议 bZx 遭到攻击。 攻击者同时跨多个协议完成闪电贷杠杆套利交易，导致价值35万美元的ETH被盗。 2 月 18 日，bZx 再次发现一笔使用闪电贷的可疑交易，攻击者获利 2,388 ETH，约合 644,000 美元。

MakerDao清算机制异常

3月12日，稳定币发行协议MakerDAO的清算机制出现异常，导致“零标拍卖”清算的以太坊抵押品累计价值达到832万美元，并产生567万无抵押DAI坏账. 同时，在 3994 笔清算交易中，有 1462 个地址以 0 DAI 被拍卖。

由于代码漏洞，Hegic 锁定了用户资金

4 月 26 日，基于以太坊的新期权交易协议 Hegic 刚刚登陆主网，当时其代码中的一个错误在该平台的智能合约中锁定了价值 28,000 美元的用户资金。 该漏洞将用户资金锁定在过期的期权合约中，使其永久无法访问。

Bancor 的新合约存在安全漏洞

6 月 18 日，由于新 Bancor 网络合约上的 safeTransferFrom() 函数未经验证，用户资金即将被耗尽。 Bancor 团队表示，在两天前发布的新 Bancor Network v0.6 合约中发现安全漏洞后，进行了白帽攻击，所有用户的资金都是安全的。

Value DeFi 协议被攻击净损失 600 万美元

11 月 15 日，Value DeFi 协议在周六遭到攻击。 据悉，攻击者从Aave协议中借了8万个ETH，执行闪贷攻击，在DAI和USDC之间进行套利。 攻击者在利用 740 万美元的 DAI 后，向 Value DeFi 退还了 200 万美元。 随后，Value DeFi团队发推确认此次攻击，净损失600万美元。

Nexus Mutual 创始人因个人地址被盗损失 800 万美元

12 月 14 日，DeFi 保险协议 Nexus Mutual 在推特上表示，其创始人 Hugh Karp 的个人地址遭到平台用户攻击，370,000 NXM 被盗，造成超过 800 万美元的损失。 官方表示，这是一次有针对性的攻击，只有卡普的地址受到影响，对Nexus Mutual或其他成员没有后续风险。

4月19日，国内DeFi借贷协议Lendf.Me遭受黑客攻击，损失2500万美元。

4月23日，基于Factom协议的DeFi稳定币交易平台PegNet遭到51%攻击。

6 月 23 日，DeFi 货币市场协议 DMM 表示，其 Telegram 群在公募期间被恶意劫持。

8月13日，知名以太坊项目YAM发现合约漏洞，24小时内价格暴跌99%。

8月25日，YFValue声称发现漏洞，恶意参与者可以单独重置质押中的YFV计时器。

9 月 10 日，DeFi 流动性挖矿项目“Coral”的 wRAM 被黑，损失超过 12 万个 EOS。

10 月 26 日，Harvest Finance 在闪贷攻击中损失超过 400 万美元。

11 月 18 日，攻击者利用 DeFi 固定利率生成协议的 88mph 漏洞铸造了 100,000 美元的 MPH 代币。

11 月 22 日，Pickle Finance 遭到攻击，共损失 1975 万 DAI。

12 月 18 日，Warp Finance 遭遇闪贷攻击，约 780 万美元被盗。

【钱包安全事件】‍

IOTA 钱包被盗

2 月 12 日，黑客利用 IOTA 官方钱包应用中的漏洞窃取了用户资金。 IOTA本周全网停运，预计损失855万个MIOTA（价值230万美元）。

假账本 Chrome 扩展程序被盗 140 万 XRP

3 月 25 日，一项调查发现，假冒的“Ledger Live”Chrome 扩展程序通过在 Google 搜索中放置广告来引诱用户下载它，通过窃取受害者的备份助记词来窃取受害者的加密货币。 到目前为止，大约有 140 万个 XRP 被盗。

以太坊博彩游戏 EtherCrash 冷钱包被盗

10月27日，号称“以太坊上最成熟、规模最大的博彩游戏”的EtherCrash冷钱包被盗，损失约250万美元，疑为内部人士所为。 EtherCrash表示将赔偿用户的财产损失，但由于损失严重，需要一定时间。

Ledger 270,000 用户数据泄露 CEO 称不予赔偿

12 月 21 日，黑客网站 Raidforums 披露了超过 100 万封从硬件钱包制造商 Ledger 窃取的客户电子邮件。 Ledger 估计有 270,000 名用户的姓名、送货地址和电话号码等敏感信息在网上泄露。 其CEO Pascal Gauthier当天表示，公司不会对个人数据意外泄露的客户进行任何赔偿。

1月19日，数字钱包Electrum遭遇“更新钓鱼”盗取资金。

4 月 3 日，Cocos-BCX 因映射钱包信息被恶意盗取，造成资产流失和恶意抛售。

7月9日，Ledger Nano X钱包被披露存在供应链安全漏洞。

8 月 30 日，黑客利用 Electrum 的漏洞连接到其服务器，并从用户那里窃取了 1400 个比特币。

9 月 5 日，Chainlink 节点运营商遭到垃圾邮件攻击，攻击者从其热钱包中获取了 700 ETH。

【其他类型安全事件】‍

BTG网络发生多起双花攻击，矿工反击

1月和2月，部分攻击者对BTG网络发起了多次双花攻击。 同时，研究人员监测到BTG矿工发起反击，导致攻击者的双花被取消，恢复了原来的交易。 其中，2月8日，攻击者与矿工的对峙在2.5小时内进行了4次。

Uniswap 因重入攻击损失 1278 ETH

4 月 18 日，Tokenlon 发文称 Uniswap 上的 imBTC 矿池被黑客攻击并被耗尽，损失 1278 ETH，价值约 22 万美元。 黑客利用Uniswap与ERC777的兼容性问题，在进行ETH-imBTC交易时比特币大事件盘点，利用ERC777中的多次迭代调用tokensToSend来实施重入攻击。

Bancor 的新合约存在安全漏洞

6 月 18 日，由于新 Bancor 网络合约上的 safeTransferFrom() 函数未经验证，用户资金即将被耗尽。 Bancor 团队表示，在两天前发布的新 Bancor Network v0.6 合约中发现安全漏洞后，进行了白帽攻击，所有用户的资金都是安全的。

CDSI联盟节点“t02398”被攻击

8月25日，Filecoin太空竞赛打响，CDSI联盟节点“t02398”遭受大量恶意非法攻击。 攻击者通过过滤后的白名单发送大量消息对节点进行封锁，消耗Lotus节点大量计算，导致节点无法正常完成任务，最终导致算力损失。

GemSwap 合约被攻击

9月26日，名为GemSwap的SushiSwap仿盘项目被曝跑路，LP被扫地出门。 该项目今天在推特上透露，它遭到了“whatitdobb”开发者的攻击。 据了解，该项目今日早些时候完成了流动性迁移，但发起攻击的开发者在迁移前获得了相关权限，能够带走流动性池中的代币。

黑客从 Electrum 窃取超过 2200 万美元

10 月 13 日，据 ZDNet 调查，黑客诱导比特币钱包 Electrum 用户更新和下载恶意软件，然后进行盗币攻击，目前已从中盗取超过 2200 万美元。

3月27日，“一键发币”平台隐藏后门，秘密增发被盗币。 招募了HJL、MH、CRS、LP等项目方。

4月30日，EOS竞猜游戏Felix遭到假EOS攻击。

5月24日，EOS竞猜类游戏Poker EOS因私钥泄露损失2万余EOS Pec。

5 月 31 日，Daniel's Hosting (DH) 数据库中数万个密码和私钥信息被盗。

6 月 24 日，借贷平台 Atomic Loans 披露了一个合约漏洞，允许恶意借款人解锁其比特币抵押资产。

7 月 1 日比特币大事件盘点，VETH 在交易所 Uniswap 上遭到攻击。 黑客仅使用 0.9ETH 就窃取了 919,299 VETH。

8月30日，ETC再次遭遇大规模51%攻击，7000多个区块被重组。

9月19日，币安智能链项目Bantiample团队套现3000枚BNB跑路。

10 月 11 日，以太坊项目的 WLEO 合约被黑，42000 美元被盗。

12 月 14 日，以太坊 DeFi 领域发生了三起骗局，导致投资者损失 120 万美元。

以上事件只是2020年区块链安全交锋的冰山一角，但我们仍然可以注意到：

交易所频频被黑客“光顾”

DDoS攻击、系统漏洞、访问控制等网络安全问题层出不穷，平台和用户资金被盗、交易所跑路、信息泄露等安全事件层出不穷。

智能合约的安全性更难

源代码的公开透明和部署后不可修改，增强了用户对合约的信任，也大大降低了攻击成本。 代码重入、整数溢出、时间戳依赖、短地址攻击等安全问题频发。

DeFi大火带出闪电贷等一系列安全隐患

黑客抓住了 DeFi 系统性风控漏洞的要害。 由于 DeFi 处于发展初期，还有很多机制需要不断完善。

·勒索软件和挖矿恶意软件对商业企业构成重大威胁。

数字加密货币天然的匿名性和非法交易难以追踪的特性，让病毒木马黑产成为了宝库。

安全419（anquan419.com）联合慢雾科技为企业和个人用户提出以下安全建议：

1、企业要重视全面安全建设，定期开展安全评估测试；

2.交易所和钱包需要建立和完善风控策略和应急预案，控制转账频率和金额；

3、智能合约的代码逻辑必须严谨，可以加强代码安全性，尽可能避免漏洞；

4、重视安全审计，在项目上线前寻求第三方安全团队进行安全审计，避免因漏洞上线造成资产损失；

5、加强对内部员工的安全意识培训，避免社会工程学攻击和钓鱼攻击；

6、提高个人安全意识，注意检查访问的交易所和DeFi平台的URL是否正确，不要轻易在网页中输入自己的私钥和助记词。