成都链安：1 月区块链典型安全事件超 25 起，环比有所下降

1 月 DeFi 方面共发生 3 起典型安全事件，但区块链诈骗事件数量依然居高不下。

原文标题：《盘点 | 成都链安：1 月发生典型安全事件超 25 起，整体风险评级为「中」》
撰文：成都链安

据成都链安【链必安-区块链安全态势感知平台（Beosin-Eagle Eye）】安全舆情监控数据显示：2021 年 1 月，据不完全统计，整个区块链生态发生的典型安全事件超 25 起，所造成的经济损失依然主要覆盖在交易所、DeFi、诈骗跑路 / 加密骗局、勒索软件 / 挖矿木马、暗网、其他等几个方面。总的来看，2021 年 1 月整体安全风险评级为【中】，仍然不可掉以轻心。

相较于 2020 年 12 月，1 月所发生的典型安全事件的数量有所减少；然而，在【诈骗跑路 / 加密骗局方面】，事件数量依然居高不下，值得行业各方从业者重点关注。随着区块链技术与虚拟资产的普及程度不断上升，而大众的相关知识储备却并未得到同等程度的提高，导致不少投机者及诈骗者开始炮制各类骗局，进而导致该领域安全事件数量呈高发态势。

以下为本月安全月报的详细事项。

交易所方面共发生 「2」 起典型安全事件

俄罗斯虚拟资产交易所 Livecoin 宣布将终止其服务，并敦促其客户继续提款。

日本虚拟资产交易所 Liquid 近日公布针对去年 11 月因遭入侵而用户数据泄漏的最终调查结果。Liquid 表示，包括电子邮件地址，名称，加密密码，API 密钥等 169782 项用户数据信息已泄漏。

DeFi 方面共发生 「3」 起典型安全事件

1 月 2 日，推特用户 NourHaridy 发推表示，yCredit 的智能合约容易受到攻击，或导致所有用户资金受到损失；并建议已使用 ETH 存入合约或在 Sushiswap 上购买了 yCredit 的用户立即将其撤回或出售，随后其将发布漏洞利用程序。

pickle pDAI 池的黑客地址（0x701781...7a4E08）继 1 月 8 日异动后，再次于 1 月 14 日发生异动。此前黑客地址转移了 1500 万 DAI 到 5 个新地址，现除了地址（0x64bA3e...fF62DB），其余四个地址均发生异动，共转入 400 万 DAI。

1 月 27 日，SushiSwap 的 DIGG-WBTC 交易对的手续费被攻击者通过特殊的手段盗取。

诈骗跑路 / 加密骗局方面共发生 「6」 起典型安全事件

1 月 1 日，印度警方于英迪拉·甘地国际机场逮捕一名 60 岁男子 Umesh Verma，罪名是通过加密骗局诈骗至少 45 人，诈骗金额共计 2.5 亿卢比（约 350 万美元）。

美国联邦调查局（FBI）正在调查一起庞氏骗局，3 名嫌疑人通过承诺虚拟资产和其他投资回报从投资者处窃取了约 2800 万美元。

1 月 9 日，西班牙警方拘留了 4 名不同国籍的人，因其涉嫌实施一起价值约 1500 万美元的加密庞氏骗局。

在过去几周内，假冒特斯拉首席执行官埃隆·马斯克（Elon Musk）个人资料的推特虚拟资产赠品骗局有所增加。到目前为止，这些骗局已经获得了超过 58 万美元的 BTC。

加利福尼亚州一男子声称，在 SIM 交换加密骗局中损失了约 27000 美元的 BTC。

近日，网传多名流动性“矿工”称币安智能链上又一个 DeFi“土矿”popcornswap 跑路，项目方卷走近 48000 个 BNB，价值约 215 万美金。数日内还有 3 个项目（Zap Finance 和 Tin Finance、SharkYield）跑路。目前 SharkYield 跑路疑似带走了 6000 个 BNB。

Beosin 评论：从近几个月的安全形势来看，【诈骗跑路 / 加密骗局方面】所发生的事件数量呈现出稳步爬升的走向，并且所造成的经济损失远远超于来自黑客的攻击行为和盗窃行为。与此同时，无论是诈骗行为，还是跑路行为，涉案范围都通过互联网进而波及全球。针对如此严峻的安全形势，作为用户和投资者，更需要擦亮双眼，谨慎甄别。

勒索软件 / 挖矿木马方面共发生 「5」 起典型安全事件

某网站所有者收到电子邮件威胁称，需要发表对于 coinmama.com 的 5 星评论，并要点赞或分享两次。如果收件人在 48 小时内不完成这些事情，勒索者声称将从色情网站创建数以百万计的反向链接到收件人网站，破坏其声誉。

在世界各地的公司遭到入侵后，据称 Ryuk 勒索软件的运营者从赎金支付中赚取价值超过 1.5 亿美元的 BTC。

网络安全公司 Intezer 发现了一种新型恶意病毒 ElectroRAT，该病毒可以在 Windows，Linux 和 macOS 上运行以窃取虚拟资产。该恶意程序已经活跃了 1 年多，并通过专门的论坛和市场营销活动进行推广，Intezer 估计下载了该恶意软件的受害者数量约为 6500 人。

1 月 11 日，美国密歇根州警方称，一名匿名人士向州长 Gretchen Whitmer 和该州雇员邮寄死亡威胁信，试图收取价值约 200 万美元的 BTC。

智能化解决方案供应商 Radware 的 5 名客户在去年 12 月和今年 1 月收到了勒索信。威胁称，如果他们不向一个组织支付 5 个 BTC （价值约 16 万美元），就会遭到 DDoS 攻击。

暗网方面共发生 「4」 起典型安全事件

暗网论坛 Dread 的管理员 Hugbunter 称，目前所有 v3 洋葱地址均已无法访问，事故发生原因未知，但可能会对整个网络造成巨大攻击。

1 月 11 日，德国警方切断并关闭了被认为是世界上最大的暗网交易平台服务器“黑市”（DarkMarket），该非法交易平台上卖家超过 2400 个，客户近 50 万。

网络安全公司 Check Point 在暗网上发现了许多销售 Covid-19 疫苗的卖家，卖方要求用比特币进行付款；但在付款后，并没有交付货物。

暗网 Joker's Stash 将于下个月关闭，暗网网络安全公司 Gemini Advisory 的报告显示，该网站过去一年的比特币收入超过 10 亿美元。

Beosin 评论：本月，【暗网方面】所发生的事件数量有所提升，对从事网络安全及区块链安全的各方从业者敲响警钟，不能忽视整个行业生态的安全建设。长久以来，暗网充斥着各类非法犯罪行为，无形中威胁着国际社会的稳定与安全。加强暗网治理有关技术，提升全球治理和管理暗网的整体实力，是必须采取的高效措施。

其他方面共发生 「5」 起典型安全事件

英国一 IT 工程师不小心将藏有 7500 个 BTC 私钥的硬盘当垃圾扔掉，按照 3.2 万美元估算约为 2.4 亿美元。

据 Financial Tribune 一份报告显示，伊朗当局关闭了 1620 个非法虚拟资产矿场，在过去 18 个月中，这些矿场共消耗了 250 兆瓦的电力。

因极右翼极端分子在 BitTorrent 旗下流媒体平台 DLive 直播美国国会大厦的暴力暴动事件，DLive 遭到抨击。有用户指控称，DLive 自成立以来，已经通过将虚拟资产内置在网站提供的服务中，向极端分子支付了数十万美元资金。

去中心化虚拟游戏平台沙盒游戏 The Sandbox 表示，The Sandbox ASSET 智能合约很容易出现重复问题，目前还没有恶意用户利用该漏洞进行攻击，其他所有智能合约均不受影响，SAND 和 LAND 智能合约也没有风险。

1 月 27 日，Coinbase 钱包工程主管 Pete Kim 发推称，如果在苹果 iOS 设备上使用移动加密钱包，一定要尽快更新 iOS 系统。因为 iOS 系统更新包含一个远程代码执行漏洞的修复。该漏洞可能会威胁移动加密钱包的安全。

鉴于当前区块链生态的安全态势，「成都链安」在此总结：

尽管 2021 辛丑牛年的新春佳节来临在即，但黑客、诈骗者、攻击者等犯罪分子并不会因为春节到来而减缓非法行为的推进步伐。相反，愈逢佳节，犯罪分子愈将抓住大众疏于防范的心态，潜藏的安全风险也很有可能集中性爆发。

因此，越是临近春节，越要筑牢安全防线。虽然整体上来看，2021 年 1 月的区块链整个生态的典型安全事件较 2020 年 12 月呈有所下降，整体安全风险也从【高】回落到【中】，但依然可以清楚地看到，在【诈骗跑路 / 加密骗局方面】、【勒索软件 / 挖矿木马方面】、【其他方面】仍旧态势严峻。

尤其是，【诈骗跑路 / 加密骗局方面】涉案人员多、涉案范围广、涉案金额高，全球范围内各国都已开始重视诈骗跑路及加密骗局所造成的恶劣影响，并相继发布关于虚拟资产安全监管和合规的政策法规，以推动整个区块链生态监管进程建设。

在此，成都链安提醒广大用户和投资者在项目选择阶段，切记一定要谨慎，不要被所谓的“利益”蒙蔽了双眼，天下没有免费的午餐，馅饼也不会不偏不倚地恰好掉进自己的嘴里，切莫因小失大。在春节期间，更要提高自身安全防骗意识，抛弃不切实际的心态。