2021 年第一季度虚拟货币⾏业共发⽣重⼤安全事件共 162 起,其中⿊客攻击近 100 起,诈骗事件逾 56 起,勒索攻击近 10 起。

黑客攻击

从细分赛道来看,在 2021 年第一季度⿊客攻击事件中,⿊客攻击仍主要集中在离交易最近的地⽅,包括交易所、智能合约 & DApp、DeFi、理财钱包等多个领域。 

2021 年 第一季度,除了以太坊以外,新生态也正处于快速发展期。尤其是中心化交易所都在发力建设底层公链设施并深入打造 DeFi 生态,但其成熟度仍然不高,这为以后安全事件频发留下了隐患。

据 PeckShield 「派盾」统计,2021 年第一季度 DeFi 安全事件达到 43 件,造成损失逾 6.12 亿美元,同比增长 94%。

其中出现单个损失逾上亿美元的安全事件有 2 件,即火币 Heco 链上的 DeFi 项目 HBO 因减产测试误将 500 万枚币转进了 LP 池导致价格闪崩,损失逾 2 亿美元;币安智能链(BSC)上的跨链稳定币 True Seigniorage Dollar(TSD)因攻击者利用 TSD DAO 在其账户中铸造 118 亿枚 TSD 代币,导致其价格短时跌至 0.000000012 BUSD,并全部在去中心化交易所 PancakeSwap 中抛售,造成损失约 1.18 亿美元。

此外,3 月 15 日,币安智能链(BSC)上多个 DeFi 项目遭遇 DNS 劫持攻击,其中包括借贷平台 Cream Finance 和 BSC 头部 DEX PancakeSwap,虽未造成经济损失,但让一些投资者一度陷入恐慌。

DNS 劫持通过攻击域名解析服务器(DNS),或伪造域名解析服务器(DNS)的方法,把目标网站域名解析到错误的 IP 地址从而实现用户无法访问目标网站的目的或者蓄意或恶意要求用户访问指定IP地址(网站)的目的。在此次攻击中,很多用户在被劫持的网站中连接钱包(如 MetaMask)时,会弹出页面,要求用户提交个人私钥或者助记词,一旦用户提交信息,就会面临财产被盗的损失。

欺诈事件

2021 年第一季度,造成经济损失的涉及虚拟货币的欺诈安全事件数 56 件,其中假借“Elon Musk”(特斯拉创始人)的名义实施数字货币诈骗的钱包地址,已陆续接收数百万美元的比特币打款(近 140 万美元)。

面对迅猛发展的数字货币产业所带来的网络安全问题和挑战,全球执法部门也在加速输出有效方案,联合各方力量进行积极探索,在实践中突破部分技术难点并积累相关经验。

经 PeckShield 「派盾」监控发现,除了利用虚拟货币进行非法吸收公众存款、电信诈骗、网络赌博等违法犯罪行为,随着执法机关加大对此类在涉及虚拟货币案件的打击力度,也倒逼相关团伙升级出新的洗钱、盗窃等手段。以下是 PeckShield 「派盾」收集、观察到的典型案例。

最高检披露虚拟货币洗钱案例:购买比特币矿工密钥转移非法资产

最高人民检察院、央行联合发布的一例虚拟货币洗钱案细节曝光。

2015 年 8 月至 2018 年 10 月间,陈某波注册成立某金融信息服务公司,未经国家有关部门批准,以公司名义向社会公开宣传定期固定收益理财产品,自行决定涨跌幅。他还开设数字货币交易平台发行虚拟币,通过虚假宣传诱骗客户在该平台充值、交易,虚构交易数据,并拖延甚至拒绝提现。

2018 年 11 月,陈某波以涉嫌集资诈骗罪被立案侦查,涉案金额 1200 余万元,陈某波潜逃境外。陈某波除了利用虚拟币非法集资,还教唆妻子陈某枝利用银行转账、兑换比特币的方式,将赃款汇往境外,并通过“假离婚”逃避监管。

检察院审查认定陈某枝以帮助陈某波向境外转移集资诈骗款,构成洗钱罪。

虚拟货币上涨带动显卡价格疯涨 男子偷换电竞酒店显卡

随着虚拟货币价格的上涨,用来“挖矿”的显卡,无论在二手市场,还是已经残旧的老系列显卡,其价格都和新显卡一样水涨船高。

重庆一男子卓某,在得知显卡行情后,就对显卡动起了歪心思。

据悉,3 月 1 日,卓某入住了某家电竞酒店,这类酒店往往都配置着数台性能较高的电脑。为了防止被发现,他还用自己 300 元收的二手 GTX 650 TI 显卡调包了酒店的 GTX 2070 显卡,在将显卡偷到手之后,卓某以 2900 元的价格迅速将显卡出手,为了防止酒店人员起疑,他回到酒店住到第二天才退房。

在民警的调查中,卓某交代这并不是第一次“偷梁换柱”了,在 2 月 23 日他曾在另一家电竞酒店实施过显卡盗窃。

勒索事件

虽然 2021 年第一季度所发生的涉虚拟货币的勒索攻击时间数量不多,但勒索金额巨大。

其中较典型的事件为,3 月,知名电脑厂商宏碁(Acer)遭遇勒索软件团伙 REvil 攻击,要求支付高达 5000 万美元的门罗币, REvil 加密了宏碁公司的文件。据悉,宏碁是全球最大的个人电脑制造商之一,市场份额约占全球总销售额的 6%。该公司在 2020 年第四季度的总收入约为 30 亿美元,该笔勒索赎金需求创下了新纪录。

据统计,截至 2020 年 10 月,REvil 黑客的年收入超过 1 亿美元。

防范与提示

2021 年 第一季度,除了以太坊以外,其他多个公链,尤其是中心化交易所都在发力建设 DeFi 生态,但新生态的发展成熟度仍然不高,这为安全事件频发留下了隐患。

PeckShield 「派盾」提示投资者在参与 DeFi 项目前需做好尽调工作,例如,查询、验证项目是否开展过全面和专业的安全审计工作,如果该项目没有通过任何安全审计,在参与时需要提高警惕,注意风险;如果项目通过安全审计,也不能放松警惕,需时刻怀揣理性。

由于虚拟货币和传统⾦融的区别大,具备天然的匿名性、复杂性和跨国性等特点,传统⾦融的监管思路、技术⼿段和⼯具都需要新⼯具⽀持。

除了需要完善相关的法律法规,也急需引⼊新的监管⼯具和技术。相关执法部门应当用好区块链技术之利、克服区块链技术之弊,既要夯实自身技术基础,也要整合多方技术力量,从宣传防范、侦查取证、严厉打击等各方面设立完整的处置流程,在办理案件中总结、积累经验,不断调研归纳理论,提炼相关侦查取证技战法,全方位地为区块链产业健康发展提供坚实保障。