PeckShield 資安報告：2019 年度區塊鏈十大安全事件總結，損失高達76.79 億美元

根據動區專欄作者機構《PeckShield》數據顯示，2019年全年區塊鏈安全事件177起，造成的經濟損失高達76.79億美元，相比2018年增長了60%左右。

本文目錄

過去一年，區塊鏈安全領域概況速覽：

區塊鏈安全波及範圍面更廣了，從交易所到數字錢包，再到DeFi 領域，越是離錢越近的地方，越會是駭客攻擊的重災區；
開發者安全意識普遍有所提高，DApp、智能合約等原先存在的溢出、重放、隨機數等基礎型攻擊方式整體減少了，開發者安全防禦普遍有所提高，反倒逼駭客攻擊方式不斷演變；
安全危機事發背後的原因越來越魔幻了，私鑰丟失、代碼預留後門、冷錢包被攻擊、創始人離奇死亡等花式「漏洞」撲簌迷離，技術BUG 易除，人性BUG 難平；
資金盤詐騙、跑路事件等成為產業新患，基於普通大眾在區塊鏈技術上的認知盲區，不法分子炮製各類傳銷幣、模式幣、空氣幣攪亂產業風氣；
交易所跨國資產流動更加頻繁了，隨著數字資產的廣泛普及，區塊鏈生態頭號玩家「交易所」的中樞作用愈發凸顯，交易所之間資金流動的背後存在未監管資金大規模「出海」事實。

交易所安全重回公眾視野

2019年05月08日，全球知名的交易所幣安被曝遭遇了駭客大規模系統性攻擊，駭客獲取了大量API 密鑰，Google驗證2FA 碼等資料，一次性提走了7,000 枚BTC。

這次突發的交易所安全事件，讓人聯想到去年3月份幣安的驚魂一夜，部分幣安用戶發現自己帳戶中的代幣被拋售，導致數字資產價格下跌10%。相比之下，今年幣安再遭一劫後，加密貨幣市場並沒有太大的波動，用戶在應對黑天鵝事件的心態正趨於成熟，且攻擊發生後，幣安創始人兼CEO 趙長鵬隨即宣布通過SAFU 進行全額賠付，很快將事件的負面影響平息了下來，最終，並沒有對二級市場造成太大衝擊。

不過，這次事件暴露出了交易所安防面臨的挑戰尤為艱鉅。幣安除了鞏固自身服務器安全之外，還得提防中間資產託管服務是否遭到木馬入侵，尤其是用戶客戶端遭劫持的情況下。這就倒逼交易所同樣需要從業務層加強審核機制，比如，自動化提幣額度分級，人工審核提幣等。

PeckShield 點評：

事實上，在去年年底Upbit交易所被曝遭遇攻擊，損失了34萬ETH，再次給交易所安全敲響了警鐘，尤其是釣魚、API劫持、服務器木馬攻擊等等偶然性攻擊因素。這同時給市場提了一個醒，最大的安全風險可能不是來自企業防護層，而關係到每一個用戶的安全意識和操作習慣。

延伸閱讀：官方公告出爐！韓國Upbit遭駭: 34.2 萬以太 (15億台幣) 從交易所轉出，將暫停取款兩週

DeFi 安全成未來產業重災區

2019年，以太坊公鏈賽道跑出了DeFi 這匹野馬，讓業界普遍認知到，區塊鏈技術基於DeFi 金融應用場景獲得大規模落地應用的可能。

目前DeFi 應用中，以MakerDAO、Compound、dYdX、instaDApp 等金融借貸平台為主，主要滿足用戶抵押數字資產借貸穩定幣的需求，此外還發展出了諸如Synthetix、Augur 等衍生品平台。DeFi 特有的類樂高積木似的可組合特性，讓DeFi 賽道展現出超強的活力，很可能會是未來兩三年區塊鏈領域的焦點。

DeFi 產品基於智能合約和交互協議搭建，代碼普遍開源，資產完全在鏈上，極容易成為駭客攻擊的重心。

今年5 月7 日，頭部DeFi 借貸平台MakerDAO 被曝治理合約存在安全漏洞，PeckShield 隨即介入參與，呼籲社區用戶盡快轉移暴露在危險下的MKR 資產，同時獨立分析研究了漏洞細節，協助MakerDAO 官方進行了漏洞修復，所幸最終並沒有產生任何攻擊損失。

延伸閱讀：面對 3.4 億美元的駭客洗劫風險，MakerDAO 開啟社群投票是否延遲「治理安全模塊（GSM）」

事實上，今年年初Compound、Nuo 也先後被曝出過智能合約問題，在此後的半年時間內，Synthetix、0x 協議、Edgeware 等DeFi 相關應用也被曝出存在潛在安全隱患。0x 去中心化交易所協議合約在校驗訂單簽名時存在缺陷，受其影響一大批部署了0x 協議的DEX 平台可能都存在潛在安全風險。不過，這些DeFi 平台在曝出安全威脅後，第一時間聯合安全公司進行了漏洞修復，最終並沒有產生較明顯的安全損失。

PeckShield 點評：

不過以上卻透露出一個危險信號，駭客已經盯上DeFi 領域了。一旦DeF i平台的資產抵押規模和受眾群體再上一個量級，這個領域很可能會是繼DApp 之後的下一個安全事件多發區。

資金盤詐騙成產業新毒瘤

2019年，PlusToken、TokenStore、OneCoin 等項目被曝跑路，捲走數百億數字資產，令數百萬投資者奔上了漫漫「維權路」。區塊鏈技術概念被一些不法分子包裝成低投入、高收入的理財模式，用來詐騙一些對區塊鏈產業認知欠缺的普通用戶。

PlusToken 號稱是一家在韓國註冊的加密幣錢包和交易所，其真實面目是一個用高回報吸引投資者的龐氏騙局。PlusToken 許諾給投資者 10% – 30% 的月利率，並以高回報吸引大量投資者相繼投入了20萬枚BTC，78萬枚ETH，和2,600 萬EOS 等價值不菲的數字資產，涉及資金達到200 多億人民幣，用戶超300餘萬人，影響範圍非常廣且危害巨大。

2019年6月29日，PlusToken用戶反饋無法提幣，項目方也被媒體曝光跑路，隨後又傳出六名主要負責人被中國警方逮捕。然而，其涉及的巨額贓款仍沒有追回並返還受害者。在隨後的數月內，PlusToken的BTC資產、ETH資產，EOS資產出現多次洗錢操作。PeckShield 旗下可視化資產追踪平台 CoinHolmes 監控到，

PlusToken的部分資產開始匯聚、分散轉移，再通過類似ChipMixer 的工具進行混淆，再通過場外OTC的渠道賣出。

但目前而言，只有少部分資金被洗成功了，大部分數字資產依然懸而未決，以至於一旦出現行情不明緣由大跌的情況，就有分析稱是PlusToken砸盤。PlusToken 效應如同股市裡的丁蟹效應一樣，成了大家畏懼的存在。

延伸閱讀：大型資金盤 PlusToken 已轉走近 3 萬顆比特幣，交易紀錄留下一句：「抱歉，我們先閃啦」

延伸閱讀：最大資金盤 PlusToken 再轉移12,422比特幣(價值38億)，恐趁 BTC 飆漲破萬點時銷贓

PeckShield 點評：

不過，客觀來看，資金盤的出現，能讓一部分普通用戶接觸到區塊鏈以及各類數字資產，給產業帶入新的流量和資金。短期看對產業是利好影響。然而，長期來看恰恰相反，隨著這類項目的崩盤和跑路，大批的普通用戶會成為受害者，帶著偏見和認知差可能會永遠的告別這個產業。

凡是過往，皆為序章

儘管過去三年以來，區塊鏈產業安全事件造成的經濟損失呈愈演愈烈之勢。我們通過駭客攻擊方式的演變以及生態目前面臨的安全威脅發現，區塊鏈產業安全正在從草莽期逐漸趨向成熟，表現在：

出現了一批優秀的區塊鏈安全公司。他們專注於區塊鏈安全攻防，為產業生態提供專業的安全監測、態勢感知、威脅情報、AML可視化等專業化工具，和躲在區塊鏈黑暗森林的駭客，形成了一支相抗衡的正義力量；
智能合約、DApp 生態上一些簡單且具有連帶威脅的漏洞正逐漸減少。儘管駭客們仍持續進行撒網式的攻擊嘗試，但項目開發者基礎的安全攻防意識已初步形成，一些較為低級的安全漏洞明顯有所減少；
交易所、資金盤項目等離用戶比較近的平台成為安全事件頻發的重災區，這是由於產業發展早期，用戶端安全意識薄弱造成的隱患。比如針對用戶進行的釣魚木馬入侵和高理財收益詐騙等。換個角度來看，說明區塊鏈市場的安全薄弱環節從B 端已經轉移到了C 端，安全守護工作逐漸變得可控、可防也是一種進步；
數字資產「合規化」引領下一輪產業發展。一方面，中國政府頂層設計將區塊鏈技術定義為核心技術突破口，另一方面未受監管的數字資產數額越來越大。區塊鏈數字資產領域開始面臨「合規化」的新挑戰。包括，交易所KYC 服務、AML 反洗錢服務、駭客贓款追蹤服務等等。短期看，監管肅清可能會給生態帶來致命打擊，但長期看，被納入監管或許是下一輪高速發展的開端。