文:周文怡
來源:PANews
資料及分析支援:成都鏈安
PAData Insight:
1.今年區塊鏈安全事件累計發生超萬次,全球累計損失超60億美元。
2.數字資產犯罪案件中,美國佔比為28%為全球最多,歐洲佔24%,中國佔比18%。
3.今年,發生逾28起交易所安全事件,其中超過7成為交易所數字資產被盜。
4.超百起智慧合約漏洞事件累計損失千萬美元以上,其中EOS DApp攻擊事件最多逾60件,佔比達67%。
5.全年有超過7起錢包安全事件,損失過億人民幣。
6.今年比特幣成暗網流量最多的數字貨幣,全年交易價值總額約為 10.35 億美元。
7.今年的網路勒索式攻擊至多造成15億美元的損失,同比上漲20%,各類詐騙犯罪事件仍然猖獗。
安全問題始終是業界關注的熱點問題,據成都鏈安報告,2019年,基於區塊鏈數字資產引發的區塊鏈安全問題總體呈上升趨勢,各種原因導致的安全事件也顯著增加,數字貨幣犯罪五花八門,洗錢、詐騙、盜竊、販毒、挖礦犯罪等案件頻發。由於數字貨幣交易平臺安全性差,資料結構與演算法複雜致使工作效率低等,尤其是各種不規範的操作行為,使數字貨幣的發展受到了阻礙。
安全事件中專案方跑路涉及資金最多
美國成為2019年度數字資產犯罪重災區
據成都鏈安統計,2019年數字資產犯罪案件,美國佔比為28%為全球最多,歐洲佔24%,其後為中國佔比18%。透過資料統計,從2019年1月至2019年12月中旬,全球約發生超萬次數字資產駭客事件,我國發生的與數字資產相關刑事案件多達2000件。
2019年犯罪手段層出不窮,勒索軟體、資金盤跑路模式花樣新翻,犯罪團伙來源廣泛,犯罪案件數量、犯罪活動涉及總金額呈遞增趨勢。
2019年全球數字資產犯罪案件型別包括駭客攻擊盜幣、詐騙、非法集資、洗錢、暗網非法交易等,總計損失超60億美元,網路犯罪和暗網交易類涉案金額大體相當,專案方跑路類涉案金額是前二者的2倍還多,其中由於系統漏洞對區塊鏈造成的損失超過10億美元。
在駭客攻擊方面,主要因為5種原因造成資產被盜,分別是,交易所漏洞、智慧合約漏洞、錢包漏洞、公鏈漏洞以及使用者使用不當。
2019年累計超過28起交易所安全事件
7成以上為數字資產被盜事件
在2019年內,共計超過28起交易所安全事件,其中超過7成為交易所數字資產被盜事件,從1月的Cryptopia交易所兩次遭受駭客攻擊,被盜ETH和ERC20幣種代幣損失超過1600萬美元,再到11月27日韓國Upbit交易所被盜34萬ETH,預計損失超過4900萬美元。其餘包括交易所跑路、交易所資訊洩露及其他資產丟失事件,共計超過13億美元損失。
2019年5月8日早晨,幣安官方發出公告稱在系統中發現“大規模安全漏洞”,駭客使用了複合型技術,包括網路釣魚、病毒等其他攻擊手段,在區塊高度575012處從幣安熱錢包中盜取7000枚比特幣。致使交易所損失4100萬美金。
2019年11月27日,韓國交易所UpBit安全系統遭到破壞,失竊34200個以太幣。致使交易所損失超5000萬美金。
超百起智慧合約漏洞事件累計損失千萬美元以上
EOSDApp攻擊事件逾60件,佔比達67%
2019年DApp數量持續增加,據統計,截止12月初,目前執行在ETH、EOS、波場等公鏈上的DApp總數量超3000個,智慧合約漏洞事件今年超百起,大多被黑事件發生於EOS DApp,截止目前DApp被黑總損失超1000萬美元。
EOS公鏈上今年共發生超60起典型攻擊事件,1-4月為集中爆發期,佔全年攻擊事件的67%,主要原因為EOS公鏈上菠菜類應用的持續火爆,加之專案合約程式碼安全性薄弱,導致駭客在多個DApp上就同一個漏洞進行連續攻擊,手法主要以交易阻塞、回滾交易攻擊,假EOS攻擊,隨機數破解等。
TRON公鏈上今年共發生近20起典型攻擊事件,主要集中在4、5、7月,以小規模攻擊為主,手法為回滾交易為主。
ETH公鏈今年未發生較嚴重的DApp攻擊事件,一是因為ETH公鏈上菠菜競猜類合約數量較少,熱度不夠,二是因為整體來說ETH智慧合約專案方在安全方面做的較完善。
2019年有超過7起錢包安全事件
6月為錢包安全事件高發時段
由於准入門檻低,安全性差,在缺乏監管的情況,錢包安全問題屢次爆發,極易爆發出錢包攜鉅款跑路事件。目前,錢包存在多方安全隱患,包括存在錢包APP偽造漏洞、交易密碼未檢測弱口令、核心程式碼未加固、未檢測到系統執行環境、操作存在截圖及錄屏記錄等。
從今年6月初錢包GateHub爆出已經被盜超過2300萬XRP開始,全年有超過7起錢包安全事件,損失過億人民幣。
10月11日,加密貨幣錢包ZenGoCEO Ouriel Ohayon推特爆料,網頁加密貨幣錢包Safuwallet被駭客透過注入惡意程式碼竊取了大量資金。
8-9月,比特幣錢包Electrum兩次遭駭客釣魚攻擊,據多方統計,偽造Electrum升級提示的釣魚攻擊已盜竊至少1450枚BTC,價值1160萬美元。
公鏈安全事件累計超過8起
半數以上為51%攻擊,中小型公鏈更受威脅
2019年共發生超8起公鏈被攻擊事件,其中半數以上為51%攻擊,相對於2018年攻擊頻率減少,造成損失較小。
公鏈攻擊事件中,較為典型的是1月5日,以太坊經典(ETC)遭多次51%攻擊,8萬枚ETC被用於雙花。8月9日,駭客向萊特幣發起“粉塵攻擊”,受影響的地址達294582個。目前除了BTC、ETH等足夠大的公鏈幾乎不可能遭受51%攻擊之外,各非大型公鏈以及一些小公鏈幣種都應小心來自51%攻擊的威脅。
在應對51%攻擊時,應儘量保持算力分散,過度集中的算力是導致51%攻擊的直接原因,在中本聰的共識基礎下,51%攻擊理論上是永遠存在,設定完善的風控預警機制,交易所採用良好的防禦機制,在遭遇51%攻擊時可以提高區塊確認數,暫停充提幣,凍結可疑賬戶等措施及時避免損失。
2019年整體使用者的安全意識上升
個別使用者使用不當造成資產損失
2019年整體使用者的安全意識上升,仍有個別使用者因使用錢包私鑰操作不當、訪問釣魚網站等問題造成資產損失。
2019年比特幣成暗網流量最多的數字貨幣
全年交易價值總額約為 10.35 億美元
2019年暗網仍然是作為網路犯罪的不法之地,利用數字貨幣匿名性的特性進行交易,逃避監管,整年已有價值 10.35 億美元的比特幣被用於非法活動,比特幣在暗網交易品類最大的是藥品,比特幣也是最受“歡迎”的數字貨幣,其次為萊特幣。
暗網販賣的非法商品多種多樣,主要涉及資料、資訊、非法軟體、軍火、*****等,而不法分子多選擇數字貨幣作為交易貨幣,例如:
2019年共查處超過50億美元洗錢案件
其中比特幣為首選洗錢工具
2019年已查處的洗錢案中已有超50億美金是透過加密貨幣進行的,其中比特幣是犯罪分子洗錢的首選。數字貨幣已經成為了全球犯罪分子洗錢的重要工具,目前,全球有100-200家賭博網站可以用數字貨幣進行賭資支付。犯罪分子在這些網站上開設賬號,然後將資金轉入賬戶,進行一些小額賭博,有的甚至都不進行賭博的操作,隨後提幣到新的地址,實現洗錢目的。
2019年網路勒索式攻擊至多造成15億美元損失
各類詐騙犯罪事件仍然猖獗
網路犯罪包括詐騙、勒索、相關區塊鏈服務應用商被破環事件,犯罪分子利用比特幣具有匿名性的特點,更頻繁的選擇比特幣作為贖金,透過勒索軟體或其他某些不法手段進行敲詐勒索活動。
在2019年的網路勒索式攻擊給全球造成 5-15 億美元的損失,相較於去年增加20%,敲詐勒索數字貨幣的犯罪活動一直不斷,甚至有增無減。此外,今年仍是各類詐騙犯罪事件猖獗的一年,各類網路詐騙事件在網路犯罪活動中仍然佔有很大的比例。較為典型的案例如下:
專案方跑路涉及資金超250億元
Plustoken錢包跑路事件涉及200億元金額
2019年在眾多資金盤、傳銷盤、錢包、交易所跑路事件中,最受矚目的莫過於6月29日的Plustoken錢包跑路事件,當天眾多使用者反映Plustoken錢包已經無法提現,Plustoken錢包的專案方疑似跑路,涉案金額或超200億元。截至12月初,今年跑路的區塊鏈專案方涉及資金超過250億人民幣。
挖礦難度增大 收益降低
惡意非法挖礦間接造成社會損失
電力消耗是挖礦的主要成本,也是決定挖礦收益的關鍵所在,隨著挖礦難度增加,正常手段挖礦所得的收益已經越來越低,不少人便打起了非法挖礦的歪主意。非法挖礦手段——挖礦木馬透過完成大量計算,來獲得數字貨幣系統的獎勵,挖礦木馬和蠕蟲在計算的過程中會佔用計算機大量的CPU、GPU資源,導致電腦變得異常卡慢,干擾正常系統的執行,並且傳播速度,感染量大,給政府機關和企業服務帶來極大影響和損失。
全年超5起較典型資訊洩露事件
使用者個人資料因中心化運作方式存在巨大隱患
在2019年中,總共報出超5起較典型的資訊洩露事件,由於目前很多交易所、錢包仍是中心化運作方式,不可避免會儲存使用者的個人資料,一旦遭受攻擊,駭客便有可能獲取大量使用者資料,並透過暗網等方式出售資料,獲得暴利。
總結及建議
數字貨幣被大量用於*****,提供色情服務,轉移非法資產,買賣*****和地下軍火等交易,這會擾亂社會秩序,對社會的穩定發展構成威脅,還會影響行業正規運營的企業的發展,對整個數字貨幣行業、對金融行業、對整體社會無疑都是具有極大危害的。
從系統架構上,相關企業與專業區塊鏈安全研究應組織合作,及時發現、修復系統漏洞,避免導致嚴重的大規模資金被盜事件發生。企業網站、伺服器資源的管理者,應部署企業級網路安全防護系統,防止企業伺服器被入侵安裝挖礦病毒,防止受到勒索病毒侵害。
對於參與數字虛擬幣交易的網民來講,應充分了解可能存在的風險,在電腦端、手機端使用安全軟體,避免掉進網路釣魚陷阱,避免數字虛擬幣錢包被盜事件發生。
對於普通網民而言,應防止電腦中毒成為被人控制的“礦工”,謹慎使用遊戲外掛、破解軟體、影片網站客戶端破解工具,這些軟體被人為植入惡意程式的概率較大。對於虛擬貨幣,要警防炒幣行為。
