以下為課程詳情:
問題一:數字資產犯罪頻頻發生,您能給介紹一下手法數字資產犯罪主要有哪些?
Earl:
目前,全球數字資產犯罪案件手法主要包括駭客攻擊盜取數字資產、利用數字資產進行暗網非法交易、利用數字資產洗錢、網路犯罪、資金盤、傳銷盤、龐氏騙局及專案方跑路、惡意挖礦、資訊洩露等。
據成都鏈安『區塊鏈安全態勢感知平臺』(Beosin-Eagle Eye)資料監測顯示,2020年,區塊鏈領域所發生的安全事件涉及犯罪手法持續擴大,其中包括持續升溫,但問題也日漸顯現的Defi專案;仍趨於活躍的暗網市場、洗錢問題、加密騙局、合約漏洞,是當前形勢下難以忽視的安全問題,同樣也是現階段各個交易所趨於合規化首要面臨的關鍵性問題。
問題二:2020年,駭客主要利用交易所漏洞、Defi安全、智慧合約漏洞、錢包漏洞、公鏈漏洞、使用者使用不當進行盜取數字資產的犯罪行為。您能透過案例具體給大家分析一下麼?
Earl:
◇2020年,交易所發生多起典型安全事件:
1、FCcoin交易所入不敷出,兌付困難,交易所創始人稱資金缺口在7000-13000BTC之間。
2、新加坡交易所Coinhako在遭受攻擊後限制使用者取款,Coinhako發言人實施賬戶限制是防止『未經授權的交易』,3月1日將恢復運營能力。
3、去中心化加密衍生品交易所Digitex對外表示,一名前僱員盜取8000多名使用者的私人資訊。
4、OKEx、Bitfinex等交易所相繼遭到DDOS攻擊,紛紛出現宕機等情況,OKEx宣稱遭到至少600G流量DDOS。
5、駭客田寅寅、李家東在數家交易所洗錢超1億美元。
6、OMNI鏈上出現新型USDT假充值攻擊。
熱門交易所FCoin的暴雷,ZG交易所平臺幣的暴跌以及多個交易平臺的退場,再次提醒作為使用者選擇加密貨幣交易所時需謹慎。目前頭部交易所佔據了80%的市場使用者,其餘中小交易所爭奪著剩餘20%的市場。激烈的競爭下,使得較為年輕化的工作群體爭相推出各種創新特色專案。然而,在透過創新特色專案吸引使用者的同時卻在安全以及長遠發展方面重視不夠,難以保證交易所資本穩定運營。
OMNI出現假充值問題已經是老生常談的問題了。從最開始假充值問題頻發的EOS,再到後來的以太坊及各種代幣,以及OMNI鏈上的USDT,都曾遭遇過假充值問題。造成假充值的原因主要在於兩個問題,代幣的真實性驗證和交易的成功與否驗證。因此成都鏈安建議:交易所和錢包等專案方在驗證交易的時候應驗證交易是否成功、代幣是否正確,以避免假充值攻擊。
問題三:近幾月來,隨著Defi金融持續升溫,隨之顯現而出的安全問題也日益突出,2020年Defi方面發生多起典型安全事件又有哪些呢?
Earl:
◇關於Defi安全:
1、2月15日,BZX協議被爆出遭到可組合資產流動性套利攻擊,攻擊者透過閃貸從BZX借出ETH後透過一系列操作抬高幣價,套利ETH,獲利1000多ETH。
2、2月18日,BZX再次遭到類似攻擊,攻擊者透過抬高幣價對BZX合約進行『矇騙』,BZX未對幣種價格進行多次驗證,導致損失2378ETH。
3、去中心化交易平臺Curve出現異常交易,該筆交易使用價值8.9萬美元的USDC兌換了價值46.5萬美元的BUSD,攻擊者對Curve的busd.curve.fi以及y.curve.fi兩種資金池進行一次鉗形攻擊 (Pincer Attack)。
4、3月,bZx閃電貸二度開花攻擊,導致使用者損失14萬美元。
5、3月,以ETH作為抵押資產的MakerDao去中心化Defi專案清算,有1462場拍賣以0dai成交,導致平臺共計損失780萬美元。
6、3月,Defi專案Synthetix公開一個合約漏洞。
Defi專案正在快速發展壯大,據統計截止2020年,鎖定在以太坊Defi應用中的資產已達到了10億美元。Defi專案的火爆主要來源它的高收益。Defi又被稱為『去中心化金融』,開放式金融的基礎,則是高達8%-10%的收益率必然會伴隨著巨大的風險。
這是一個快速迭代的領域,因此各方Defi團隊開發自己的合約產品也是自由發揮;但並沒有一個統一的、標準的安全方案去遵守,或者說是必須透過嚴格的安全審計,這就導致了各種合約漏洞與相關安全問題層出不窮。
成都鏈安在此建議:任何Defi專案方在開發合約時應重視合約安全問題,以應對各種突發情況和各種非正常使用合約情況,從而避免造成損失;同時建議做好相關安全審計工作,藉助專業的區塊鏈安全公司的力量,避免潛在的安全隱患。
問題四:總的來說,2020年關於區塊鏈的安全事件仍然時有發生。成都鏈安針對數字資產犯罪是如何分析的?有什麼解決方案麼?
Earl:
◇2020年發生4起典型詐騙跑路、加密騙局方面安全事件:
1、部分不法分子利用人們對新冠病毒的擔憂,進行與新冠病毒有關的加密騙局。
2、BTC虛假二維碼騙局。有網站聲稱免費將使用者的BTC地址對映成二維碼,便於使用者收錢轉賬;生成的二維碼實則為駭客地址。目前該駭客地址已有超過0.6BTC的轉入。
3、雪碧交易所上線空氣幣PETH,開盤即歸零。所有受害者皆為前期私募受害者,額度在80USDT到1000USDT不等,約為228人。初步估計涉及金額約40萬人民幣,有大學生不幸涉及其中。
4、區塊鏈資金盤『矽谷區塊雞』疑似跑崩盤路。『矽谷區塊雞』是典型的虛擬寵物類資金盤,類似於區塊貓,區塊狗,低價買入寵物,一段時間後高價賣出。此類加密騙局實則為擊鼓傳花類資金盤,直到無人接盤,即是專案崩盤的時刻。
犯罪分子可能將數字貨幣作為非法集資或集資詐騙的支付工具,以投資發行數字貨幣、開發比特幣底層技術應用、利用數字貨幣『搬磚』套利等為幌子,以資金盤、傳銷盤、龐氏騙局等運作模式進行非法集資或集資詐騙,一旦『時機』到達,或問題出現,團伙直接跑路,作為普通使用者一定要提前有安全意識,對投資專案有整體正確、透明的瞭解。
◇個人使用者方面,2020年發生1起巨鯨大戶遭遇SIM卡攻擊事件。
2月22日,巨鯨大戶『zhoujianfu』在其推特稱自己錢包遭遇駭客攻擊,1547個BTC和60000BCH被盜,價值超過2億人民幣,成都鏈安迅速響應,根據其給出的地址對被盜資產流向展開追蹤。
◇2020年其他方面較典型安全事件還包括:
1、Kraken安全實驗室找到Trezor硬體錢包物理漏洞,可透過開啟物理外殼,訪問STM32微晶片以獲得使用者私鑰,進而實施盜幣。
2、近期騙局勒索事件頻發:美國加利福尼亞一學區系統遭到加密勒索軟體而癱瘓;基於谷歌廣告系統的騙局;OMG釣魚網站空投詐騙,導致使用者私鑰被盜;比特幣錢包Electrum『更新釣魚』盜幣行為仍在繼續。
3、加密投資基金Trident遭駭客攻擊,26.6萬使用者資料遭洩露。
4、微博使用者5.23億使用者資料洩露,並在暗網進行售賣。
5、韓國N號房事件。使用者使用Telegram和虛擬貨幣進行交流和付款,由於韓國警方決定徹查參與直播間觀看的所有使用者,Upbit、Bithumb、Korbit、Coinone、火幣和Kucoin等交易所都表示願意配合警方調查使用者資訊。
6、以太坊『一鍵發幣』平臺向開發的代幣合約植入後門,在給專案方發幣的同時偷偷轉幣至自己的賬號,待專案方代幣開始交易時再賣掉獲利。
安全事件發生的數量處於一箇中等水平,事件導致的損失也處於一箇中等的水平。然而這並不代表區塊鏈嚴峻的安全形勢趨於緩和,反而表現出所發生的安全事件涉及層面更廣。
如何對鏈上交易風險進行持續監測和評估,以支撐VASP(虛擬資產服務商)、監管部門、執法部門等開展風險管理、合規監管和調查取證等業務,是成都鏈安後續開展區塊鏈生態安全監管和推動合規建設的重要攻堅工作。
成都鏈安已針對需解決的痛點,推出了『反洗錢合規和調查取證系統』——Beosin-AML。作為成都鏈安『Beosin一站式區塊鏈安全服務平臺』四大核心安全產品之一,Beosin-AML將全力助力區塊鏈生態應用建立完備的防護體系。
自由提問環節
Q1:AML能查個人賬戶地址麼?
A1:AML系統是針對地址進行追蹤,不管是個人還是企業的地址都可以的。
Q2:請問BSV是不是詐騙?
A2:BSV是不是詐騙,這個我們不能輕易的下定論,需要使用者自行進行辨別,建議多看看相關的新聞,並和其他詐騙已經被實錘的進行類比一下。
Q3:請問現在的混幣平臺有哪些?如何能夠分辨混幣地址?
A3:對於混幣地址這些,需要大量的地址標註進行判斷,如果個人去判斷的話,花費的時間和精力投入會很多,如果有需要可以使用成熟的追蹤平臺。
