目錄:
一、前言
二、2019年主流數字資產活躍情況
三、2019年數字資產犯罪事件總結及分析
(一) 駭客攻擊盜取數字資產
1、交易所漏洞
2、智慧合約漏洞
3、錢包漏洞
4、公鏈漏洞
5、使用者使用不當
(二) 利用數字資產進行暗網非法交易
(三) 利用數字資產洗錢
(四) 網路犯罪
(五) 資金盤、傳銷盤、龐氏騙局及專案方跑路
(六) 惡意挖礦
(七) 資訊洩露
四、數字資產犯罪活動危害
五、數字資產犯罪應急方案及總結
一、前言
隨著現代化資訊科技和應用的快速發展,數字資產這種以計算機資訊科技為基礎的貨幣形式應運而生。其可追溯、防偽造、防篡改的特性,提升了交易安全性,2019年已成為業界關注的熱點,發展十分迅速。
從世界數字資產市場的發展狀況來看,世界上已擁有1500多種數字貨幣,但目前數字貨幣仍存在法律地位不明確,監管力度不夠的問題。致使不法分子利用數字貨幣的匿名性特徵逃避監管,進行投機炒作、非法集資等活動,嚴重威脅了數字貨幣的價值儲存功能。
2019年數字貨幣發展過程中面臨的問題越來越多,數字貨幣交易平臺安全性差,資料結構與演算法複雜致使工作效率低等,尤其是各種不規範的操作行為,使數字貨幣的發展受到了阻礙。
2019年,基於區塊鏈數字資產引發的區塊鏈安全問題總體呈上升趨勢,各種原因導致的安全事件也顯著增加,數字貨幣犯罪五花八門,洗錢、詐騙、盜竊、販毒、挖礦犯罪等案件頻發。
二、2019年主流數字資產活躍情況
2008年10月,中本聰發表名為《比特幣:一種點對點的電子現金系統》的論文,闡述了基於區塊鏈技術的比特幣電子現金系統理論框架。
至2009年1月,第一個包含50個比特幣的區塊正式誕生。其去中心化、開放自治、匿名、不可篡改等特性立即受到社會廣泛關注,發展勢頭迅猛。其生態系統已延伸到物聯網、雲端計算、大資料、人工智慧等多個領域,應用場景也涵蓋了金融、投資、監管等機構,引發了新一輪的技術創新和產業變革。在金融領域,2019年區塊鏈已成為金融技術熱點,金融科技引擎,推動比特幣等加密貨幣迅猛發展。
據2019年資料統計顯示,全球非法定加密貨幣超過1800種,交易市場數量超過9600個,市值曾高達8200億美元,可見其市場發展勢頭之迅猛。
根據鏈上的相關資料我們進行了統計,截至2019年12月20日,十大主流幣的供給量、交易份額、流通量、市值如下表:
(資料來自:BLOCKCHAIR)
三、2019年數字資產犯罪事件總結及分析
科技是一把雙刃劍,有利也有弊,數字資產也不例外。技術本身的特性和缺陷,加上監管的滯後與不足,金融風險如影隨形,安全問題不斷暴露出來,金融案件如期而至。數字資產成為了洗錢、恐怖融資、金融詐騙、非法集資等涉眾型經濟犯罪的重要工具,各種數字貨幣非法犯罪案件愈演愈烈。
在2019年數字資產犯罪案件中,美國佔比為28%為全球最多,歐洲佔24%,其後為中國佔比18%。透過資料統計,從2019年1月至2019年12月中旬,全球約發生超萬次數字資產駭客事件,我國發生的與數字資產相關刑事案件多達2000件。
2019年全球數字資產犯罪案件型別包括駭客攻擊盜幣、詐騙、非法集資、洗錢、暗網非法交易等,總計損失超60億美元,網路犯罪和暗網交易類涉案金額大體相當,專案方跑路類涉案金額是前二者的2倍還多,其中由於系統漏洞對區塊鏈造成的損失超過10億美元。
數字資產非法犯罪案例不僅從未停止,並且2019年犯罪手段層出不窮,勒索軟體、資金盤跑路模式花樣新翻,犯罪團伙來源廣泛,犯罪案件數量、犯罪活動涉及總金額呈遞增趨勢。
(一) 駭客攻擊盜取數字資產
1、交易所漏洞
在近一年來,交易所安全事件層出不窮,從1月的Cryptopia交易所兩次遭受駭客攻擊,被盜ETH和ERC20幣種代幣損失超過1600萬美元,再到11月27日韓國Upbit交易所被盜34萬ETH,預計損失超過4900萬美元。
在2019年內,共計超過28起交易所安全事件,其中超過7成為交易所數字資產被盜事件,其餘包括交易所跑路、交易所資訊洩露及其他資產丟失事件,共計超過13億美元損失。
典型案例:
· 2019年3月24日,DragonEx平臺錢包遭受駭客入侵,導致使用者和平臺的數字資產被盜,統計顯示,DragonEx 交易所共損失了價值 6,028,283 美元的數字資產。
· 2019年5月8日早晨,幣安官方發出公告稱在系統中發現“大規模安全漏洞”,駭客使用了複合型技術,包括網路釣魚、病毒等其他攻擊手段,在區塊高度575012處從幣安熱錢包中盜取7000枚比特幣。致使交易所損失4100萬美金。
· 2019年11月27日,韓國交易所UpBit安全系統遭到破壞,失竊34200個以太幣。致使交易所損失超5000萬美金。
針對交易所漏洞問題,我們建議:
(1)、交易所要對系統安全體系有足夠的重視,不僅要有合理的安全架構,更要對系統進行整體的安全測試,對於安全公司已經報出來的安全漏洞要及時自查,避免遭到同樣攻擊。
(2)、交易所要建立完善的風控應急預案,交易所無論技術多麼成熟也可能百密一疏被駭客找到可以利用的漏洞,因此在交易所繫統中,突發事件引起交易異常和資金被盜時,完善的應急處理機制和補償機制就顯得尤為重要,例如採取風險基金來應對出現的安全事故,或者為使用者資金投保,來對沖資料洩露或盜幣事件對使用者資金帶來的影響。
(3)、交易所專案方在難以對自身交易所繫統進行全面的安全系統架構時,就需要考慮使用第三方的安全產品或與安全公司合作來共同打造交易所的安全交易環境和風控應急處理機制。
2、智慧合約漏洞
2019年DApp數量持續增加,據統計,截止12月初,目前執行在ETH、EOS、波場等公鏈上的DApp總數量超3000個,智慧合約漏洞事件今年超百起,大多被黑事件發生於EOS DApp,截止目前DApp被黑總損失超1000萬美元。
EOS公鏈上今年共發生超60起典型攻擊事件,1-4月為集中爆發期,佔全年攻擊事件的67%,主要原因為EOS公鏈上菠菜類應用的持續火爆,加之專案合約程式碼安全性薄弱,導致駭客在多個DApp上就同一個漏洞進行連續攻擊,手法主要以交易阻塞、回滾交易攻擊,假EOS攻擊,隨機數破解等。
TRON公鏈上今年共發生近20起典型攻擊事件,主要集中在4、5、7月,以小規模攻擊為主,手法為回滾交易為主。
ETH公鏈今年未發生較嚴重的DApp攻擊事件,一是因為ETH公鏈上菠菜競猜類合約數量較少,熱度不夠,二是因為整體來說ETH智慧合約專案方在安全方面做的較完善。
典型案例:
· 2019年4月11日凌晨00:17,TCX1Cay開頭的駭客,建立了大量BTTx假幣,並於凌晨00:25至01:00之間向多個地址轉入共計4,000萬個BTTx代幣,並把假的BTTx洗成真BTT進而對TXHFhq開頭的BTTBank遊戲合約實施攻擊,共計損失1.8億BTT。
· 2019年7月23日,18:49至22:24分,駭客向波場競猜類遊戲TronChip發起連續攻擊,共計獲利61,867個TRX。造成此次攻擊的原因為遊戲合約遭到隨機數被破解。
· 2019年9月14日,EOS DApp EOSPlay 中的 DICE 遊戲遭受新型隨機數攻擊,損失金額高達數萬 EOS。攻擊者(賬號:muma**mm)在此次攻擊過程中利用 EOS 中的經濟模型的缺陷,使用了一種新型的隨機數攻擊手法對專案方進行攻擊。
針對智慧合約漏洞問題,我們建議:
(1)、遊戲合約開發者應該重視遊戲邏輯嚴謹性及程式碼安全性。
(2)、儘快將合約程式碼開源,讓更多專業人士和技術團隊參與進來,分析整理出易發生的意外事件,提升合約編寫的安全性和功能準確性,防患於未然。
(3)、專案方全方面做好智慧合約安全審計並加強風控策略,必要時可聯絡第三方專業審計團隊,在上鍊前進行完善的程式碼安全審計。
3、錢包漏洞
在過去的一年內,錢包安全問題從未停止過,與之交易所類似,准入門檻低,安全性差,在缺乏監管的情況,極易爆發出錢包攜鉅款跑路事件。
錢包本身也存在很多安全隱患,容易受到駭客攻擊,包括存在錢包APP偽造漏洞、交易密碼未檢測弱口令、核心程式碼未加固、未檢測到系統執行環境、操作存在截圖及錄屏記錄等隱患。從6月初錢包GateHub爆出已經被盜超過2300萬XRP開始,全年有超過7起錢包安全事件,損失過億人民幣。
典型案例:
· GateHub是一個用於安全儲存/處理XRP的錢包和閘道器,從第一名被害者被盜1萬XRP開始,到2019年6月,已經有超過80-90個使用者的超過2300萬XRP被盜。其中已經有超過1300萬個XRP透過交易所或洗錢服務洗白。
· 10月11日,加密貨幣錢包ZenGo CEO Ouriel Ohayon推特爆料,網頁加密貨幣錢包Safuwallet被駭客透過注入惡意程式碼竊取了大量資金。
· 8-9月,比特幣錢包Electrum兩次遭駭客釣魚攻擊,據多方統計,偽造Electrum升級提示的釣魚攻擊已盜竊至少1450枚BTC,價值1160萬美元。
針對錢包漏洞問題,我們建議:
(1)、數字貨幣錢包服務商一方面應加強對錢包進行安全審計,另一方面要進行包括域名系統安全檢測、主機例項安全檢測、服務端應用安全檢測等一系列稽覈,同時還要監控私鑰、助記詞、交易過程、資料儲存的安全。
(2)、對於會經常使用到線上錢包的使用者,在不同平臺設定不同的密碼,並且開啟二次認證,其次建議資產佔有量較大的個人投資者最好將冷錢包與熱錢包配合使用,根據具體使用需求分配使用冷熱錢包,做到冷熱分開,以便隔離風險。
4、公鏈漏洞
2019年共發生超8起公鏈被攻擊事件,其中半數以上為51%攻擊,相對於2018年攻擊頻率減少,造成損失較小。
典型案例:
· 1月5日,以太坊經典(ETC)遭多次51%攻擊,8萬枚ETC被用於雙花。
· 8月9日,駭客向萊特幣發起“粉塵攻擊”,受影響的地址達294582個。
目前除了BTC、ETH等足夠大的公鏈幾乎不可能遭受51%攻擊之外,各非大型公鏈以及一些小公鏈幣種都應小心來自51%攻擊的威脅。
在應對51%攻擊時,應儘量保持算力分散,過度集中的算力是導致51%攻擊的直接原因,在中本聰的共識基礎下,51%攻擊理論上是永遠存在,設定完善的風控預警機制,交易所採用良好的防禦機制,在遭遇51%攻擊時可以提高區塊確認數,暫停充提幣,凍結可疑賬戶等措施及時避免損失。
5、使用者使用不當
2019年整體使用者的安全意識上升,仍有個別使用者因使用錢包私鑰操作不當、訪問釣魚網站等問題造成資產損失。
(二) 利用數字資產進行暗網非法交易
2019年暗網仍然是作為網路犯罪的不法之地,利用數字貨幣匿名性的特性進行交易,逃避監管,整年已有價值 10.35 億美元的比特幣被用於非法活動,比特幣在暗網交易品類最大的是藥品,比特幣也是最受“歡迎”的數字貨幣,其次為萊特幣。
暗網中充斥著軍火、毒品、色情、詐騙等非法活動,一直在威脅著社會、企業和國家的安全。暗網販賣的非法商品多種多樣,主要涉及資料、資訊、非法軟體、軍火、毒品等,而不法分子多選擇數字貨幣作為交易貨幣,例如:
1、使用者資料洩露,在暗網兜售
2、信用卡身份證偽造販賣
3、Visa販賣
4、匿名銀行賬戶、信用卡賬戶販賣
5、惡意程式販賣
6、軍火毒品偽身份證販賣
7、毒品交易
(三) 利用數字資產洗錢
由於數字貨幣是遊離於現有貨幣體系之外的暗線,自成一套體系,其特殊屬性使得數字貨幣交易極其簡便,有網路即可轉賬,若有違法操作也很難追蹤到,這給予了犯罪活動以新的資金轉移渠道,隱藏贓款。
數字貨幣相比於其他金融工具,對於洗錢者來說更便捷,他們不再需要找人用髒錢去購買黃金、購買實物然後再賣掉去換錢。2019年已查處的洗錢案中已有超50億美金是透過加密貨幣進行的,其中比特幣是犯罪分子洗錢的首選。較為典型的洗錢案例如下:
此外,虛數字貨幣賭博也能實現洗錢,因為賭博網站都不需要求實名認證,所以執法部門也很難知道到底是誰往賭博網站的賬戶裡衝提數字貨幣。現在全球有100-200家賭博網站可以用數字貨幣進行賭資支付。犯罪分子在這些網站上開設賬號,然後將資金轉入賬戶,進行一些小額賭博,有的甚至都不進行賭博的操作,隨後提幣到新的地址,實現洗錢目的。
數字貨幣已經成為了全球犯罪分子洗錢的重要工具,對於執法部門來說,發現洗錢行為、追尋資金源頭和目的地也越來越困難。
(四)網路犯罪
網路犯罪包括詐騙、勒索、相關區塊鏈服務應用商被破環事件,犯罪分子利用比特幣具有匿名性的特點,更頻繁的選擇比特幣作為贖金,透過勒索軟體或其他某些不法手段進行敲詐勒索活動。
在2019年的網路勒索式攻擊給全球造成 5 — 15 億美元的損失,相較於去年增加20%,敲詐勒索數字貨幣的犯罪活動一直不斷,甚至有
增無減,較為典型的案例如下:
不難看出,今年仍是各類詐騙犯罪事件猖獗的一年,各類網路詐騙事件在網路犯罪活動中仍然佔有很大的比例,我們在網路理財平臺進行理財時,在面對巨大誘惑的時候,不要輕信所謂的“內幕訊息”。
(五)資金盤、傳銷盤、龐氏騙局及專案方跑路
犯罪分子可能將數字貨幣作為非法集資或集資詐騙的支付工具,以投資發行數字貨幣、開發比特幣底層技術應用、利用數字貨幣“搬磚”套利等為幌子,以資金盤、傳銷盤、龐氏騙局等運作模式進行非法集資或集資詐騙,一旦“時機”到達,或問題出現,團伙直接跑路。
2019年在眾多資金盤、傳銷盤、錢包、交易所跑路事件中,最受矚目的莫過於6月29日的Plustoken錢包跑路事件,當天眾多使用者反映Plustoken錢包已經無法提現,Plustoken錢包的專案方疑似跑路,涉案金額或超200億元。截至12月初,今年跑路的區塊鏈專案方涉及資金超過250億人民幣。
(六) 惡意挖礦
電力消耗是挖礦的主要成本,也是決定挖礦收益的關鍵所在,隨著挖礦難度增加,正常手段挖礦所得的收益已經越來越低,不少人便打起了非法挖礦的歪主意。
挖礦木馬透過完成大量計算,來獲得數字貨幣系統的獎勵,挖礦木馬和蠕蟲在計算的過程中會佔用計算機大量的CPU、GPU資源,導致電腦變得異常卡慢,雖然不會給中毒電腦帶來直接損失,但會干擾正常系統的執行,並且傳播速度,感染量大,給政府機關和企業服務帶來極大影響和損失。
我們建議使用者避免使用弱口令密碼,一個密碼不重複使用;關閉不必要的埠,升級系統韌體;及時更新重要補丁,解除安裝來源不明的軟體;提高安全意識,不要點選和瀏覽一些高風險頁面,謹慎開啟一些來歷不明的檔案、郵件、連結等。
(七) 資訊洩露
在2019年中,總共報出超5起較典型的資訊洩露事件,雖然區塊鏈技術可以一定程度上擺脫中心化機構對大資料資訊的控制,透過加密手段保證個人隱私資料的傳輸,但目前很多交易所、錢包仍是中心化運作方式,不可避免會儲存使用者的個人資料,一旦遭受攻擊,駭客便有可能獲取大量使用者資料,並透過暗網等方式出售資料,獲得暴利。
四、數字資產犯罪活動危害
由於數字資產犯罪活動門檻低,利用數字資產進行資金轉移極為便利,數字資產犯罪正在演變成傳統犯罪的一部分,許多傳統的犯罪組織已經使用不侷限於比特幣的數字貨幣來支援他們的業務,這種趨勢將在2020年持續下去。
據相關資訊透露,部分犯罪組織正在引進數字資產專家為他們提供關於將數字貨幣與欺詐、洗錢和非法賭博活動相結合的建議,甚至還有一些犯罪集團正在接管交易所和比特幣礦工作為清潔資金的來源。
數字資產犯罪案件的危害將會是巨大的。
案件往往傳播範圍極廣,案件一旦發生,即可迅速蔓延至世界各國,影響極其惡劣,不僅給全球消費者帶來慘重損失,還將嚴重破壞、擾亂金融市場,並且不法分子藉助數字貨幣進行如上文所述的洗錢、非法集資、恐怖融資等活動也會危害社會穩定,擾亂社會秩序,對世界的和平與穩定會造成惡劣影響。
具體來看,不法分子利用數字貨幣實施犯罪,對於數字貨幣行業內正規企業與普通使用者而言都會遭受到不同程度的損失。
對企業而言:
對企業而言,由於數字貨幣交易所、錢包提供商、公鏈這些平臺所佔有資金量巨大,涉及使用者面極為廣泛,而相關交易機構在網路安全和保護投資人資產方面存在不足經驗,往往是駭客攻擊的首要目標。
駭客利用其本身存在的漏洞,透過各種攻擊方式對平臺進行攻擊,盜取的數字貨幣一般都是巨大數額,對大多平臺而言可以說都是重度創傷,部分交易所受到駭客攻擊,資產幾乎被盜空,隨之面臨的便是無法正常運營,最終倒閉,還可能會影響金融市場的穩定。
對普通使用者而言:
對普通使用者而言,不法分子使用的攻擊軟體也可能侵襲普通使用者的電腦和手機,不僅數字貨幣會損失,法幣、私人資訊被竊取也是有可能的。
不法分子使用數字貨幣進行暗網交易,使毒品一類有害物品更容易流通,個人安全也可能會面臨威脅,個人隱私資訊也隨時面臨著被放在暗網上拋售的危險。而由於加密貨幣的交易缺乏約束,如果對行業不過了解,知識儲備不夠,很容易被投機者操縱和利用,受到不法分子的欺騙,陷入非法融資、非法集資、敲詐勒索的騙局之中。
2019年全球已出現上百種傳銷幣,後來這些傳銷幣的受害者遭受了慘重的損失,一夜傾家蕩產的大有人在,還有許多受害者的家庭幸福也受到了不良影響,事實證明這樣的危害與損失是普通投資者無法承受的。
總體來看,數字貨幣非法犯罪行為給行業帶來的影響極其惡劣:
1、當前私人數字貨幣或準數字貨幣已經在社會經濟體系內發展成為一種“不穩定的力量”。
部分不法分子利用數字貨幣做掩護進行非法集資與詐騙活動,造“傳銷幣”,惡意炒作數字貨幣價格,這樣導致大量數字貨幣的創新以及巨量私人數字貨幣的交易規模、價格極速飆升破壞了市場穩定性。
2、數字貨幣如今已成為金融行業中的一部分,數字貨幣價格的暴漲也會推高涉案金額,從而使損失加大,並且由於數字貨幣透過網路發行,非法犯罪案件一旦發生,可以迅速向世界各國蔓延,對全球造成危害,對金融行業無疑也會起到消極影響,擾亂正常金融秩序。
3、一些嚴重的非法犯罪案件也可能會造成市場恐慌,增大賣方市場,導致數字貨幣的價格下跌,擠壓市場泡沫。
4、數字貨幣被大量用於辦理假護照,提供色情服務,轉移非法資產,買賣毒品和地下軍火等交易,這會擾亂社會秩序,對社會的穩定發展構成威脅,還會影響行業正規運營的企業的發展,對整個數字貨幣行業、對金融行業、對整體社會無疑都是具有極大危害的。
五、數字資產犯罪應急方案及總結
伴隨區塊鏈的不斷髮展,與之而來的安全事件也將層出不窮。在我們看不到的背後,區塊鏈的世界無時無刻不在上演著一場場觸目驚心的安全攻防戰。如何在當前區塊鏈新時代風口下,切實保障區塊鏈全生態的安全,一直以來都是行業及從業者應該思考和努力的方向,我們呼籲並建議:
(一)、重視區塊鏈安全問題
在中央政治局第十八次集體學習上,習總書記特別強調了要“推動區塊鏈安全的有序發展”,國家層面上越發重視區塊鏈的安全問題,也必將激勵社會大眾越發關注到區塊鏈的安全問題。
(二)、要搭建起我國“自主創新的區塊鏈安全技術和保障體系”
為進一步貫徹中央政治局的重要指示,安全公司將作為區塊鏈安全領域的中堅力量,需搭建起我國“自主創新、自主可控”的區塊鏈安全技術和保障體系,以增強區塊鏈自身安全能力,防止被攻擊而造成重大損失。
(三)、當前區塊鏈行業面臨的安全風險
當前區塊鏈行業仍面臨大量安全風險,比如因企業自身忽視建設安全防線,以及數字資產的安全漏洞所引發的如洗錢、敲詐、暗網交易等社會安全問題。加強安全監管,建立起牢固的安全防線,是當前區塊鏈發展的重要任務。
(四)、整個行業需要正向引導
要想區塊鏈技術更好地服務於我們的實體經濟,就必須將其用到“正處”。要善用區塊鏈技術、活用區塊鏈技術,而不是一味地濫用。這就需要區塊鏈從業者從自身養成積極正向的行業態度,共同推動區塊鏈行業健康發展。
(五)、區塊鏈安全公司的作用
面對當前時有發生的因區塊鏈系統安全漏洞引起的資產被盜事件,以及利用數字資產進行犯罪、傳銷、跑路等不法行為,區塊鏈安全公司需全力以赴,承擔起責任,為行業健康發展多做貢獻,一方面協助相關企業做好安全防護工作,提升安全防護能力,減少安全損失;另一方面,繼續大力協助政府監管機構做好調查取證等工作,以切實加強安全監管,多為行業發展發出正能量的聲音,帶頭建立起有序的行業規範,並促進安全標準建設。
