成都联安：1月份，区块链典型安全事件超过25起，环比下降

一月份发生了三起典的安全事件，但区块链欺诈事件的数量仍然居高不下。

原题：成都连锁安全盘点：1月份发生典安全事件25起以上，整体风险等级为“中”
作者：成都连锁安全

根据成都联安[beosin eagle eye]的安全舆情监测数据，2021年1月，据不完全统计，整个区块链生态中有25起以上的典安全事件，其造成的经济损失仍主要包括交易所、DeFi、诈骗/加密诈骗等，以及敲诈软件/挖矿木马、黑网络等方面。总体而言，2021年1月的总体安全风险评级为[中等]，不应掉以轻心。

与2020年12月相比，1月份典安全事件有所减少，但在欺诈/加密诈骗方面，事件数量仍然较高，值得业内从业人员关注。随着区块链技术和虚拟资产的日益普及，公众的相关知识储备并没有得到同样程度的提高，导致许多投机者和骗子开始炮制各种骗局，导致这一领域的安全事件高发。

以下是本月安全月报的详细内容。

交易所发生“2”起典安全事件

俄罗斯虚拟资产交易所Livecoin宣布将终止其服务，并敦促其客户继续取款。

日本虚拟资产交易所Liquid最近公布了对去年11月因入侵导致用户数据泄露的调查最终结果。Liquid表示，169782项用户数据，包括电子邮件地址、姓名、加密密码、API密钥等，已经被泄露。

DEFI发生“3”起典安全事件

1月2日，twitter用户努尔·哈里迪（nour haridy）在推特上表示，ycredit的智能合约易受攻击，或导致所有用户资金损失；并建议使用ETH存入合约或在SushSwap上购买ycredit的用户立即撤回或出售，然后再发布漏洞利用程序。

pickle pdai池的黑客地址（0x701781。。。7a4e08）在1月8日更改后，于1月14日再次更改。此前，这名黑客的地址从1500万戴转到了5个新地址。现在，除了地址（0x64ba3e。。。F62db），其他四个地址发生了变化，总共转移了400万个Dai。

1月27日，sughiswap的digg wbtc交易对的服务费被攻击者通过特殊手段窃取。

诈骗/加密诈骗“6”典安全事件

今年1月1日，印度警方在英迪拉甘地国际机场逮捕了60岁男子乌梅什·维尔马，罪名是通过加密方案，用2.5亿卢比（约350万美元）诈骗至少45人。

美国联邦调查局（FBI）正在调查一个庞氏骗局，其中三名嫌疑人通过承诺虚拟资产和其他投资回报，从投资者手中窃取了约2800万美元。

1月9日，西班牙警方拘留了4名不同国籍的人，他们涉嫌实施一项价值约1500万美元的加密庞氏骗局。

在过去的几周里，假冒特斯拉首席执行官埃隆•马斯克（elonmusk）个人数据的twitter虚拟资产赠品诈骗案有所增加。到目前为止，这些骗局在BTC赚了58万多美元。

加州一名男子称，在这起SIM交换加密诈骗案中，BTC损失约2.7万美元。

最近，几位移动“矿工”报告称，在智能能源链的硬币上还有一个DeFi“本地矿”爆米花交换，项目方拥有近4.8万个bnbs，价值约215万美元。另外三个项目（ZapFinance和TinFinance，sharkyield）将在几天内运行。目前，鲨鱼产量估计已达到6000磅。

贝奥辛点评：从近几个月的安全形势来看，（欺诈/加密诈骗）事件数量呈稳步上升趋势，造成的经济损失远远超过黑客的攻击和**。同时，无论是诈骗还是逃逸行为，案件范围都通过互联网向全球蔓延。鉴于如此严峻的安全形势，作为用户和投资者，我们需要更加谨慎。

勒索软件/挖矿木马存在“5”类典安全事件

一个网站的所有者收到一封电子邮件威胁说他需要发布一个coinmama.com网站五星级评论，点赞或分享两次。如果接受者在48小时内没有完成这些事情，勒索者声称会制造数百万个****到接受者网站的反向链接，损害其声誉。

据说，在世界各地的公司入侵之后，Ryuk勒索软件的运营商从赎金中赚取了价值超过1.5亿美元的BTC。

互联网安全公司intezer发现了一种新的恶意病毒electrorat，它可以运行在windows、Linux和Mac操作系统上窃取虚拟资产。该恶意软件已经活跃了一年多，并通过专门论坛和营销活动进行了推广。Intezer估计，下载恶意软件的受害者人数约为6500人。

1月11日，密歇根州警方表示，一名匿名人士向州长格雷琴·惠特默（Gretchen Whitmer）和州政府雇员发出死亡威胁信，试图收集价值约200万美元的BTC。

智能解决方案提供商Radware的5名客户分别在去年12月和今年1月收到勒索信。如果他们不向一个组织支付5个BTC（约16万美元），他们将面临DDoS攻击的威胁。

暗网共发生“4”起典安全事件

黑暗网络论坛梦想的管理员Hugbunter说，目前，所有V3洋葱地址都无法访问，事故原因不明，但可能对整个网络造成巨大攻击。

1月11日，德国警方切断并关闭了被认为是全球**的黑暗网络交易平台“黑市”。这个非法交易平台上有2400多个卖家和近50万个客户。

网络安全公司checkpoint在黑暗的互联网上发现了许多covid-19疫苗的销售商。卖家要求用比特币付款，但付款后没有发货。

Joker’s的藏品将于下月关闭，安全公司Gemini advisory的一份报告显示，该网站去年的比特币收入超过10亿美元。

贝奥辛点评：本月[暗网]事件增多，这给从事网络安全和区块链安全的从业者敲响了警钟。我们不能忽视整个产业生态的安全建设。长期以来，黑网充斥着各种非法犯罪，无形中威胁着国际社会的稳定与安全。这是加强暗网治理技术，提升全球暗网治理和管理整体实力的有效举措。

其他地区发生“5”起典安全事件

一位英国it工程师不小心把装有7500个BTC私钥的硬盘当作垃圾扔掉了，按32000美元计算，估计价值约2.4亿美元。

据《金融论坛报》报道，伊朗当局关闭了1620处非法虚拟资产矿井，这些矿井在过去18个月内耗电250兆瓦。

极端右翼极端分子因在BitTorrent的流媒体平台Dlive上播放美国国会大厦的暴力骚乱而受到批评。一些用户称，Dlive自成立以来，通过在网站提供的服务中构建虚拟资产，向极端分子支付了数十万美元。

去中心化虚拟游戏平台上的SandBox游戏sandbox表示，SandBox资产智能合约容易出现重复。目前，还没有恶意用户利用该漏洞进行攻击。所有其他智能合约均不受影响，沙地和陆地智能合约也没有风险。

1月27日，coin base wallet项目总监皮特·金（Pete Kim）在推特上表示，如果在苹果IOS设备上使用移动加密钱包，必须尽快更新IOS系统。因为IOS系统更新包含远程代码执行漏洞修复。该漏洞可能威胁到手机加密钱包的安全。

针对区块链生态的安全现状，“成都联安”在此总结：

虽然2021年牛年春节即将到来，但黑客、骗子、攻击者等犯罪分子不会因为春节的到来而放慢违法活动的步伐。相反，越是节日，犯罪分子越会抓住公众忽视防范的心理，潜在的安全隐患就有可能中心化爆发。

因此，离春节越近，越需要筑牢牢固的安全防线。虽然从总体上看，2021年1月区块链整个生态系统的典安全事件低于2020年12月，整体安全风险也由[高]降到[中]，但从[欺诈/加密诈骗]、[勒索软件/挖矿木马]来看，形势依然严峻，[其他方面]。

特别是，[骗局运行/加密骗局]涉及人员多、案件范围广、金额高。世界各国开始关注骗局运行和加密骗局带来的不利影响，相继出台虚拟资产安全监管和合规政策法规，推动区块链生态监管全过程建设。

在此，成都联安提醒用户和投资者在项目选择阶段要慎重。他们不应该被所谓的“利益”所蒙蔽。世界上没有免费的午餐，馅饼也不会落入他们的嘴里。春节期间，要提高安全防范意识，摒弃不切实际的心态。