原文标题:《2019 年区块链安全事件总结,全球损失超 60 亿美元》
原文来源: Beosin 成都链安
目录:
一、前言
二、2019 年主流数字资产活跃情况
三、2019 年数字资产犯罪事件总结及分析
(一)黑客攻击盗取数字资产
1、交易所漏洞
2、智能合约漏洞
3、钱包漏洞
4、公链漏洞
5、用户使用不当
(二)利用数字资产进行暗网非法交易
(三)利用数字资产洗钱
(四)网络犯罪
(五)资金盘、传销盘、庞氏骗局及项目方跑路
(六) 恶意挖矿
(七)信息泄露
四、数字资产犯罪活动危害
五、数字资产犯罪应急方案及总结
一、前言
随着现代化信息技术和应用的快速发展,数字资产这种以计算机信息技术为基础的货币形式应运而生。其可追溯、防伪造、防篡改的特性,提升了交易安全性,2019 年已成为业界关注的热点,发展十分迅速。
从世界数字资产市场的发展状况来看,世界上已拥有 1500 多种数字货币,但目前数字货币仍存在法律地位不明确,监管力度不够的问题。致使不法分子利用数字货币的匿名性特征逃避监管,进行投机炒作、非法集资等活动,严重威胁了数字货币的价值储存功能。
2019 年数字货币发展过程中面临的问题越来越多,数字货币交易平台安全性差,数据结构与算法复杂致使工作效率低等,尤其是各种不规范的操作行为,使数字货币的发展受到了阻碍。
2019 年,基于区块链数字资产引发的区块链安全问题总体呈上升趋势,各种原因导致的安全事件也显著增加,数字货币犯罪五花八门,洗钱、诈骗、盗窃、贩毒、挖矿犯罪等案件频发。
二、2019 年主流数字资产活跃情况
2008 年 10 月,中本聪发表名为《比特币:一种点对点的电子现金系统》的论文,阐述了基于区块链技术的比特币电子现金系统理论框架。
至 2009 年 1 月,第一个包含 50 个比特币的区块正式诞生。其去中心化、开放自治、匿名、不可篡改等特性立即受到社会广泛关注,发展势头迅猛。其生态系统已延伸到物联网、云计算、大数据、人工智能等多个领域,应用场景也涵盖了金融、投资、监管等机构,引发了新一轮的技术创新和产业变革。在金融领域,2019 年区块链已成为金融技术热点,金融科技引擎,推动比特币等加密货币迅猛发展。
据 2019 年数据统计显示,全球非法定加密货币超过 1800 种,交易市场数量超过 9600 个,市值曾高达 8200 亿美元,可见其市场发展势头之迅猛。
根据链上的相关数据我们进行了统计,截至 2019 年 12 月 20 日,十大主流币的供给量、交易份额、流通量、市值如下表:
三、2019 年数字资产犯罪事件总结及分析
科技是一把双刃剑,有利也有弊,数字资产也不例外。技术本身的特性和缺陷,加上监管的滞后与不足,金融风险如影随形,安全问题不断暴露出来,金融案件如期而至。数字资产成为了洗钱、恐怖融资、金融诈骗、非法集资等涉众型经济犯罪的重要工具,各种数字货币非法犯罪案件愈演愈烈。
在 2019 年数字资产犯罪案件中,美国占比为 28% 为全球最多,欧洲占 24%,其后为中国占比 18%。通过数据统计,从 2019 年 1 月至 2019 年 12 月中旬,全球约发生超万次数字资产黑客事件,我国发生的与数字资产相关刑事案件多达 2000 件。
2019 年全球数字资产犯罪案件类型包括黑客攻击盗币、诈骗、非法集资、洗钱、暗网非法交易等,总计损失超 60 亿美元,网络犯罪和暗网交易类涉案金额大体相当,项目方跑路类涉案金额是前二者的 2 倍还多,其中由于系统漏洞对区块链造成的损失超过 10 亿美元。
数字资产非法犯罪案例不仅从未停止,并且 2019 年犯罪手段层出不穷,勒索软件、资金盘跑路模式花样新翻,犯罪团伙来源广泛,犯罪案件数量、犯罪活动涉及总金额呈递增趋势。
(一)黑客攻击盗取数字资产
1、交易所漏洞
在近一年来,交易所安全事件层出不穷,从 1 月的 Cryptopia 交易所两次遭受黑客攻击,被盗 ETH 和 ERC20 币种代币损失超过 1600 万美元,再到 11 月 27 日韩国 Upbit 交易所被盗 34 万 ETH,预计损失超过 4900 万美元。
在 2019 年内,共计超过 28 起交易所安全事件,其中超过 7 成为交易所数字资产被盗事件,其余包括交易所跑路、交易所信息泄露及其他资产丢失事件,共计超过 13 亿美元损失。
典型案例:
· 2019 年 3 月 24 日,DragonEx 平台钱包遭受黑客入侵,导致用户和平台的数字资产被盗,统计显示,DragonEx 交易所共损失了价值 6,028,283 美元的数字资产。
· 2019 年 5 月 8 日早晨,币安官方发出公告称在系统中发现「大规模安全漏洞」,黑客使用了复合型技术,包括网络钓鱼、病毒等其他攻击手段,在区块高度 575012 处从币安热钱包中盗取 7000 枚比特币。致使交易所损失 4100 万美金。
· 2019 年 11 月 27 日,韩国交易所 UpBit 安全系统遭到破坏,失窃 34200 个以太币。致使交易所损失超 5000 万美金。
针对交易所漏洞问题,我们建议:
(1)、交易所要对系统安全体系有足够的重视,不仅要有合理的安全架构,更要对系统进行整体的安全测试,对于安全公司已经报出来的安全漏洞要及时自查,避免遭到同样攻击。
(2)、交易所要建立完善的风控应急预案,交易所无论技术多么成熟也可能百密一疏被黑客找到可以利用的漏洞,因此在交易所系统中,突发事件引起交易异常和资金被盗时,完善的应急处理机制和补偿机制就显得尤为重要,例如采取风险基金来应对出现的安全事故,或者为用户资金投保,来对冲数据泄露或盗币事件对用户资金带来的影响。
(3)、交易所项目方在难以对自身交易所系统进行全面的安全系统架构时,就需要考虑使用第三方的安全产品或与安全公司合作来共同打造交易所的安全交易环境和风控应急处理机制。
2、智能合约漏洞
2019 年 DApp 数量持续增加,据统计,截止 12 月初,目前运行在 ETH、EOS、波场等公链上的 DApp 总数量超 3000 个,智能合约漏洞事件今年超百起,大多被黑事件发生于 EOS DApp,截止目前 DApp 被黑总损失超 1000 万美元。
EOS 公链上今年共发生超 60 起典型攻击事件,1-4 月为集中爆发期,占全年攻击事件的 67%,主要原因为 EOS 公链上菠菜类应用的持续火爆,加之项目合约代码安全性薄弱,导致黑客在多个 DApp 上就同一个漏洞进行连续攻击,手法主要以交易阻塞、回滚交易攻击,假 EOS 攻击,随机数破解等。
TRON 公链上今年共发生近 20 起典型攻击事件,主要集中在 4、5、7 月,以小规模攻击为主,手法为回滚交易为主。
ETH 公链今年未发生较严重的 DApp 攻击事件,一是因为 ETH 公链上菠菜竞猜类合约数量较少,热度不够,二是因为整体来说 ETH 智能合约项目方在安全方面做的较完善。
典型案例:
· 2019 年 4 月 11 日凌晨 00:17,TCX1Cay 开头的黑客,创建了大量 BTTx 假币,并于凌晨 00:25 至 01:00 之间向多个地址转入共计 4,000 万个 BTTx 代币,并把假的 BTTx 洗成真 BTT 进而对 TXHFhq 开头的 BTTBank 游戏合约实施攻击,共计损失 1.8 亿 BTT。
· 2019 年 7 月 23 日,18:49 至 22:24 分,黑客向波场竞猜类游戏 TronChip 发起连续攻击,共计获利 61,867 个 TRX。造成此次攻击的原因为游戏合约遭到随机数被破解。
· 2019 年 9 月 14 日,EOS DApp EOSPlay 中的 DICE 游戏遭受新型随机数攻击,损失金额高达数万 EOS。攻击者(账号:muma**mm)在此次攻击过程中利用 EOS 中的经济模型的缺陷,使用了一种新型的随机数攻击手法对项目方进行攻击。
针对智能合约漏洞问题,我们建议:
(1)、游戏合约开发者应该重视游戏逻辑严谨性及代码安全性。
(2)、尽快将合约代码开源,让更多专业人士和技术团队参与进来,分析整理出易发生的意外事件,提升合约编写的安全性和功能准确性,防患于未然。
(3)、项目方全方面做好智能合约安全审计并加强风控策略,必要时可联系第三方专业审计团队,在上链前进行完善的代码安全审计。
3、钱包漏洞
在过去的一年内,钱包安全问题从未停止过,与之交易所类似,准入门槛低,安全性差,在缺乏监管的情况,极易爆发出钱包携巨款跑路事件。
钱包本身也存在很多安全隐患,容易受到黑客攻击,包括存在钱包 APP 伪造漏洞、交易密码未检测弱口令、核心代码未加固、未检测到系统运行环境、操作存在截屏及录屏记录等隐患。从 6 月初钱包 GateHub 爆出已经被盗超过 2300 万 XRP 开始,全年有超过 7 起钱包安全事件,损失过亿人民币。
典型案例:
· GateHub 是一个用于安全存储/处理 XRP 的钱包和网关,从第一名被害者被盗 1 万 XRP 开始,到 2019 年 6 月,已经有超过 80-90 个用户的超过 2300 万 XRP 被盗。其中已经有超过 1300 万个 XRP 通过交易所或洗钱服务洗白。
· 10 月 11 日,加密货币钱包 ZenGo CEO Ouriel Ohayon 推特爆料,网页加密货币钱包 Safuwallet 被黑客通过注入恶意代码窃取了大量资金。
· 8-9 月,比特币钱包 Electrum 两次遭黑客钓鱼攻击,据多方统计,伪造 Electrum 升级提示的钓鱼攻击已盗窃至少 1450 枚 BTC,价值 1160 万美元。
针对钱包漏洞问题,我们建议:
(1)、数字货币钱包服务商一方面应加强对钱包进行安全审计,另一方面要进行包括域名系统安全检测、主机实例安全检测、服务端应用安全检测等一系列审核,同时还要监控私钥、助记词、交易过程、数据存储的安全。
(2)、对于会经常使用到在线钱包的用户,在不同平台设置不同的密码,并且开启二次认证,其次建议资产占有量较大的个人投资者最好将冷钱包与热钱包配合使用,根据具体使用需求分配使用冷热钱包,做到冷热分开,以便隔离风险。
4、公链漏洞
2019 年共发生超 8 起公链被攻击事件,其中半数以上为 51% 攻击,相对于 2018 年攻击频率减少,造成损失较小。
典型案例:
· 1 月 5 日,以太坊经典(ETC)遭多次 51% 攻击,8 万枚 ETC 被用于双花。
· 8 月 9 日,黑客向莱特币发起「粉尘攻击」,受影响的地址达 294582 个。
目前除了 BTC、ETH 等足够大的公链几乎不可能遭受 51% 攻击之外,各非大型公链以及一些小公链币种都应小心来自 51% 攻击的威胁。
在应对 51% 攻击时,应尽量保持算力分散,过度集中的算力是导致 51% 攻击的直接原因,在中本聪的共识基础下,51% 攻击理论上是永远存在,设置完善的风控预警机制,交易所采用良好的防御机制,在遭遇 51% 攻击时可以提高区块确认数,暂停充提币,冻结可疑账户等措施及时避免损失。
5、用户使用不当
2019 年整体用户的安全意识上升,仍有个别用户因使用钱包私钥操作不当、访问钓鱼网站等问题造成资产损失。
(二)利用数字资产进行暗网非法交易
2019 年暗网仍然是作为网络犯罪的不法之地,利用数字货币匿名性的特性进行交易,逃避监管,整年已有价值 10.35 亿美元的比特币被用于非法活动,比特币在暗网交易品类最大的是药品,比特币也是最受「欢迎」的数字货币,其次为莱特币。
暗网中充斥着军火、毒品、色情、诈骗等非法活动,一直在威胁着社会、企业和国家的安全。暗网贩卖的非法商品多种多样,主要涉及数据、信息、非法软件、军火、毒品等,而不法分子多选择数字货币作为交易货币,例如:
1、用户数据泄露,在暗网兜售
2、信用卡身份证伪造贩卖
3、Visa 贩卖
4、匿名银行账户、信用卡账户贩卖
5、恶意程序贩卖
6、军火毒品伪身份证贩卖
7、毒品交易
(三)利用数字资产洗钱
由于数字货币是游离于现有货币体系之外的暗线,自成一套体系,其特殊属性使得数字货币交易极其简便,有网络即可转账,若有违法操作也很难追踪到,这给予了犯罪活动以新的资金转移渠道,隐藏赃款。
数字货币相比于其他金融工具,对于洗钱者来说更便捷,他们不再需要找人用脏钱去购买黄金、购买实物然后再卖掉去换钱。2019 年已查处的洗钱案中已有超 50 亿美金是通过加密货币进行的,其中比特币是犯罪分子洗钱的首选。较为典型的洗钱案例如下:
此外,虚数字货币赌博也能实现洗钱,因为赌博网站都不需要求实名认证,所以执法部门也很难知道到底是谁往赌博网站的账户里冲提数字货币。现在全球有 100-200 家赌博网站可以用数字货币进行赌资支付。犯罪分子在这些网站上开设账号,然后将资金转入账户,进行一些小额赌博,有的甚至都不进行赌博的操作,随后提币到新的地址,实现洗钱目的。
数字货币已经成为了全球犯罪分子洗钱的重要工具,对于执法部门来说,发现洗钱行为、追寻资金源头和目的地也越来越困难。
(四)网络犯罪
网络犯罪包括诈骗、勒索、相关区块链服务应用商被破环事件,犯罪分子利用比特币具有匿名性的特点,更频繁的选择比特币作为赎金,通过勒索软件或其他某些不法手段进行敲诈勒索活动。
在 2019 年的网络勒索式攻击给全球造成 5—15 亿美元的损失,相较于去年增加 20%,敲诈勒索数字货币的犯罪活动一直不断,甚至有增无减,较为典型的案例如下:
不难看出,今年仍是各类诈骗犯罪事件猖獗的一年,各类网络诈骗事件在网络犯罪活动中仍然占有很大的比例,我们在网络理财平台进行理财时,在面对巨大诱惑的时候,不要轻信所谓的「内幕消息」。
(五)资金盘、传销盘、庞氏骗局及项目方跑路
犯罪分子可能将数字货币作为非法集资或集资诈骗的支付工具,以投资发行数字货币、开发比特币底层技术应用、利用数字货币「搬砖」套利等为幌子,以资金盘、传销盘、庞氏骗局等运作模式进行非法集资或集资诈骗,一旦「时机」到达,或问题出现,团伙直接跑路。
2019 年在众多资金盘、传销盘、钱包、交易所跑路事件中,最受瞩目的莫过于 6 月 29 日的 Plustoken 钱包跑路事件,当天众多用户反映 Plustoken 钱包已经无法提现,Plustoken 钱包的项目方疑似跑路,涉案金额或超 200 亿元。截至 12 月初,今年跑路的区块链项目方涉及资金超过 250 亿人民币。
(六) 恶意挖矿
电力消耗是挖矿的主要成本,也是决定挖矿收益的关键所在,随着挖矿难度增加,正常手段挖矿所得的收益已经越来越低,不少人便打起了非法挖矿的歪主意。
挖矿木马通过完成大量计算,来获得数字货币系统的奖励,挖矿木马和蠕虫在计算的过程中会占用计算机大量的 CPU、GPU 资源,导致电脑变得异常卡慢,虽然不会给中毒电脑带来直接损失,但会干扰正常系统的运行,并且传播速度,感染量大,给政府机关和企业服务带来极大影响和损失。
我们建议用户避免使用弱口令密码,一个密码不重复使用;关闭不必要的端口,升级系统固件;及时更新重要补丁,卸载来源不明的软件;提高安全意识,不要点击和浏览一些高风险页面,谨慎打开一些来历不明的文件、邮件、链接等。
(七) 信息泄露
在 2019 年中,总共报出超 5 起较典型的信息泄露事件,虽然区块链技术可以一定程度上摆脱中心化机构对大数据信息的控制,通过加密手段保证个人隐私数据的传输,但目前很多交易所、钱包仍是中心化运作方式,不可避免会存储用户的个人数据,一旦遭受攻击,黑客便有可能获取大量用户数据,并通过暗网等方式出售数据,获得暴利。
四、数字资产犯罪活动危害
由于数字资产犯罪活动门槛低,利用数字资产进行资金转移极为便利,数字资产犯罪正在演变成传统犯罪的一部分,许多传统的犯罪组织已经使用不局限于比特币的数字货币来支持他们的业务,这种趋势将在 2020 年持续下去。
据相关信息透露,部分犯罪组织正在引进数字资产专家为他们提供关于将数字货币与欺诈、洗钱和非法赌博活动相结合的建议,甚至还有一些犯罪集团正在接管交易所和比特币矿工作为清洁资金的来源。
数字资产犯罪案件的危害将会是巨大的。
案件往往传播范围极广,案件一旦发生,即可迅速蔓延至世界各国,影响极其恶劣,不仅给全球消费者带来惨重损失,还将严重破坏、扰乱金融市场,并且不法分子借助数字货币进行如上文所述的洗钱、非法集资、恐怖融资等活动也会危害社会稳定,扰乱社会秩序,对世界的和平与稳定会造成恶劣影响。
具体来看,不法分子利用数字货币实施犯罪,对于数字货币行业内正规企业与普通用户而言都会遭受到不同程度的损失。
对企业而言:
对企业而言,由于数字货币交易所、钱包提供商、公链这些平台所占有资金量巨大,涉及用户面极为广泛,而相关交易机构在网络安全和保护投资人资产方面存在不足经验,往往是黑客攻击的首要目标。
黑客利用其本身存在的漏洞,通过各种攻击方式对平台进行攻击,盗取的数字货币一般都是巨大数额,对大多平台而言可以说都是重度创伤,部分交易所受到黑客攻击,资产几乎被盗空,随之面临的便是无法正常运营,最终倒闭,还可能会影响金融市场的稳定。
对普通用户而言:
对普通用户而言,不法分子使用的攻击软件也可能侵袭普通用户的电脑和手机,不仅数字货币会损失,法币、私人信息被窃取也是有可能的。
不法分子使用数字货币进行暗网交易,使毒品一类有害物品更容易流通,个人安全也可能会面临威胁,个人隐私信息也随时面临着被放在暗网上抛售的危险。而由于加密货币的交易缺乏约束,如果对行业不过了解,知识储备不够,很容易被投机者操纵和利用,受到不法分子的欺骗,陷入非法融资、非法集资、敲诈勒索的骗局之中。
2019 年全球已出现上百种传销币,后来这些传销币的受害者遭受了惨重的损失,一夜倾家荡产的大有人在,还有许多受害者的家庭幸福也受到了不良影响,事实证明这样的危害与损失是普通投资者无法承受的。
总体来看,数字货币非法犯罪行为给行业带来的影响极其恶劣:
1、当前私人数字货币或准数字货币已经在社会经济体系内发展成为一种「不稳定的力量」。
部分不法分子利用数字货币做掩护进行非法集资与诈骗活动,造「传销币」,恶意炒作数字货币价格,这样导致大量数字货币的创新以及巨量私人数字货币的交易规模、价格极速飙升破坏了市场稳定性。
2、数字货币如今已成为金融行业中的一部分,数字货币价格的暴涨也会推高涉案金额,从而使损失加大,并且由于数字货币通过网络发行,非法犯罪案件一旦发生,可以迅速向世界各国蔓延,对全球造成危害,对金融行业无疑也会起到消极影响,扰乱正常金融秩序。
3、一些严重的非法犯罪案件也可能会造成市场恐慌,增大卖方市场,导致数字货币的价格下跌,挤压市场泡沫。
4、数字货币被大量用于办理假护照,提供色情服务,转移非法资产,买卖毒品和地下军火等交易,这会扰乱社会秩序,对社会的稳定发展构成威胁,还会影响行业正规运营的企业的发展,对整个数字货币行业、对金融行业、对整体社会无疑都是具有极大危害的。
五、数字资产犯罪应急方案及总结
伴随区块链的不断发展,与之而来的安全事件也将层出不穷。在我们看不到的背后,区块链的世界无时无刻不在上演着一场场触目惊心的安全攻防战。如何在当前区块链新时代风口下,切实保障区块链全生态的安全,一直以来都是行业及从业者应该思考和努力的方向,我们呼吁并建议:
(一)、重视区块链安全问题
在中央政治局第十八次集体学习上,习总书记特别强调了要「推动区块链安全的有序发展」,国家层面上越发重视区块链的安全问题,也必将激励社会大众越发关注到区块链的安全问题。
(二)、要搭建起我国「自主创新的区块链安全技术和保障体系」
为进一步贯彻中央政治局的重要指示,安全公司将作为区块链安全领域的中坚力量,需搭建起我国「自主创新、自主可控」的区块链安全技术和保障体系,以增强区块链自身安全能力,防止被攻击而造成重大损失。
(三)、当前区块链行业面临的安全风险
当前区块链行业仍面临大量安全风险,比如因企业自身忽视建设安全防线,以及数字资产的安全漏洞所引发的如洗钱、敲诈、暗网交易等社会安全问题。加强安全监管,建立起牢固的安全防线,是当前区块链发展的重要任务。
(四)、整个行业需要正向引导
要想区块链技术更好地服务于我们的实体经济,就必须将其用到「正处」。要善用区块链技术、活用区块链技术,而不是一味地滥用。这就需要区块链从业者从自身养成积极正向的行业态度,共同推动区块链行业健康发展。
(五)、区块链安全公司的作用
面对当前时有发生的因区块链系统安全漏洞引起的资产被盗事件,以及利用数字资产进行犯罪、传销、跑路等不法行为,区块链安全公司需全力以赴,承担起责任,为行业健康发展多做贡献,一方面协助相关企业做好安全防护工作,提升安全防护能力,减少安全损失;另一方面,继续大力协助政府监管机构做好调查取证等工作,以切实加强安全监管,多为行业发展发出正能量的声音,带头建立起有序的行业规范,并促进安全标准建设。
原文来源:mp.weixin.qq.com
区块律动 BlockBeats 提醒,根据银保监会等五部门于 2018 年 8 月发布《关于防范以「虚拟货币」「区块链」名义进行非法集资的风险提示》的文件,请广大公众理性看待区块链,不要盲目相信天花乱坠的承诺,树立正确的货币观念和投资理念,切实提高风险意识;对发现的违法犯罪线索,可积极向有关部门举报反映。