目录:
一、前言
二、2019年主流数字资产活跃情况
三、2019年数字资产犯罪事件总结及分析
?黑客攻击盗取数字资产
1、交易所漏洞
2、智能合约漏洞
3、钱包漏洞
4、公链漏洞
5、用户使用不当
?利用数字资产进行暗网非法交易
?利用数字资产
?网络犯罪
?资金盘、盘、庞氏局及项目方跑路
恶意挖矿
?信息泄露
四、数字资产犯罪活动危害
五、数字资产犯罪应急方案及总结
一、前言
随着现代化信息技术和应用的快速发展,数字资产这种以计算机信息技术为基础的货币形式应运而生。其可追溯、防伪造、防篡改的特性,提升了交易安全性,2019年已成为业界关注的热点,发展十分迅速。
从世界数字资产市场的发展状况来看,世界上已拥有1500多种数字货币,但目前数字货币仍存在法律地位不明确,监管力度不够的问题。致使不法分子利用数字货币的匿名性特征逃避监管,进行投机炒作、非法集资等活动,严重威胁了数字货币的价值储存功能。
2019年数字货币发展过程中面临的问题越来越多,数字货币交易平台安全性差,数据结构与算法复杂致使工作效率低等,尤其是各种不规范的操作行为,使数字货币的发展受到了阻碍。
2019年,基于区块链数字资产引发的区块链安全问题总体呈上升趋势,各种原因导致的安全事件也显著增加,数字货币犯罪五花八门,、、盗窃、贩、挖矿犯罪等案件频发。
二、2019年主流数字资产活跃情况
2008年10月,中本聪发表名为《比特币:一种点对点的电子现金系统》的论文,阐述了基于区块链技术的比特币电子现金系统理论框架。
至2009年1月,第一个包含50个比特币的区块正式诞生。其去中心化、开放自治、匿名、不可篡改等特性立即受到社会广泛关注,发展势头迅猛。其生态系统已延伸到物联网、云计算、大数据、人工智能等多个领域,应用场景也涵盖了金融、投资、监管等机构,引发了新一轮的技术创新和产业变革。在金融领域,2019年区块链已成为金融技术热点,金融科技引擎,推动比特币等加密货币迅猛发展。
据2019年数据统计显示,全球非法定加密货币超过1800种,交易市场数量超过9600个,市值曾高达8200亿美元,可见其市场发展势头之迅猛。
根据链上的相关数据我们进行了统计,截至2019年12月20日,十大主流币的供给量、交易份额、流通量、市值如下表:
三、2019年数字资产犯罪事件总结及分析
科技是一把双刃剑,有利也有弊,数字资产也不例外。技术本身的特性和缺陷,加上监管的滞后与不足,金融风险如影随形,安全问题不断暴露出来,金融案件如期而至。数字资产成为了、恐怖融资、金融、非法集资等涉众型经济犯罪的重要工具,各种数字货币非法犯罪案件愈演愈烈。
企鹅号发布2019版权保护年度报告 持续发力区块链确权取证:3月16日,腾讯内容开放平台(企鹅号)发布《2019企鹅号版权保护年度报告》,从技术维权手段、原创及版权内容保护、平台责任等多方面体现企鹅号作为“内容服务中台”的价值。报告显示,2019年企鹅号全年保护原创作品5300万篇,发起维权并成功下架侵权作品800万次,“一键维权”系统日均发起维权3万次。通过持续发力区块链确权取证、提升伪原创识别技术和加大力度打击侵权行为,企鹅号维权措施成效凸显,平台内创作生态向好。(腾讯科技)[2020/3/16]
在2019年数字资产犯罪案件中,美国占比为28%为全球最多,欧洲占24%,其后为中国占比18%。通过数据统计,从2019年1月至2019年12月中旬,全球约发生超万次数字资产黑客事件,我国发生的与数字资产相关刑事案件多达2000件。
2019年全球数字资产犯罪案件类型包括黑客攻击盗币、、非法集资、、暗网非法交易等,总计损失超60亿美元,网络犯罪和暗网交易类涉案金额大体相当,项目方跑路类涉案金额是前二者的2倍还多,其中由于系统漏洞对区块链造成的损失超过10亿美元。
数字资产非法犯罪案例不仅从未停止,并且2019年犯罪手段层出不穷,勒索软件、资金盘跑路模式花样新翻,犯罪团伙来源广泛,犯罪案件数量、犯罪活动涉及总金额呈递增趋势。
黑客攻击盗取数字资产
1、交易所漏洞
在近一年来,交易所安全事件层出不穷,从1月的Cryptopia交易所两次遭受黑客攻击,被盗ETH和ERC20币种代币损失超过1600万美元,再到11月27日韩国Upbit交易所被盗34万ETH,预计损失超过4900万美元。
在2019年内,共计超过28起交易所安全事件,其中超过7成为交易所数字资产被盗事件,其余包括交易所跑路、交易所信息泄露及其他资产丢失事件,共计超过13亿美元损失。
典型案例:
·2019年3月24日,DragonEx平台钱包遭受黑客入侵,导致用户和平台的数字资产被盗,统计显示,DragonEx交易所共损失了价值6,028,283美元的数字资产。
·2019年5月8日早晨,币安官方发出公告称在系统中发现“大规模安全漏洞”,黑客使用了复合型技术,包括网络钓鱼、病等其他攻击手段,在区块高度575012处从币安热钱包中盗取7000枚比特币。致使交易所损失4100万美金。
声音 | 腾讯安全:2019年最活跃的挖矿木马为WannaMiner、MyKings、DTLMiner:腾讯安全今日发布“2019年度挖矿木马报告”。报告指出,2019年挖矿木马最活跃的三个家族分别为WannaMiner、MyKings、DTLMiner(永恒之蓝下载器木马)。其中MyKings是老牌的僵尸网络家族,而WannaMiner和DTLMiner分别在2018年初和年底出现。在2019年这几个家族都有超过2万用户的感染量,他们的共同特点为利用“永恒之蓝”漏洞进行蠕虫式传播,使用多种类的持久化攻击技术,难以被彻底清除。2019年挖矿木马主要入侵方式前三名分别是漏洞攻击、弱口令爆破和借助僵尸网络。由于挖矿木马需要获取更多的计算资源,所以利用普遍存在的漏洞和弱口令,或者是控制大量机器的僵尸网络进行大规模传播成为挖矿木马的首选。[2020/2/17]
·2019年11月27日,韩国交易所UpBit安全系统遭到破坏,失窃34200个以太币。致使交易所损失超5000万美金。
针对交易所漏洞问题,我们建议:
交易所要对系统安全体系有足够的重视,不仅要有合理的安全架构,更要对系统进行整体的安全测试,对于安全公司已经报出来的安全漏洞要及时自查,避免遭到同样攻击。
交易所要建立完善的风控应急预案,交易所无论技术多么成熟也可能百密一疏被黑客找到可以利用的漏洞,因此在交易所系统中,突发事件引起交易异常和资金被盗时,完善的应急处理机制和补偿机制就显得尤为重要,例如采取风险基金来应对出现的安全事故,或者为用户资金投保,来对冲数据泄露或盗币事件对用户资金带来的影响。
交易所项目方在难以对自身交易所系统进行全面的安全系统架构时,就需要考虑使用第三方的安全产品或与安全公司合作来共同打造交易所的安全交易环境和风控应急处理机制。
2、智能合约漏洞
2019年DApp数量持续增加,据统计,截止12月初,目前运行在ETH、EOS、波场等公链上的DApp总数量超3000个,智能合约漏洞事件今年超百起,大多被黑事件发生于EOSDApp,截止目前DApp被黑总损失超1000万美元。
EOS公链上今年共发生超60起典型攻击事件,1-4月为集中爆发期,占全年攻击事件的67%,主要原因为EOS公链上菠菜类应用的持续火爆,加之项目合约代码安全性薄弱,导致黑客在多个DApp上就同一个漏洞进行连续攻击,手法主要以交易阻塞、回滚交易攻击,假EOS攻击,随机数破解等。
TRON公链上今年共发生近20起典型攻击事件,主要集中在4、5、7月,以小规模攻击为主,手法为回滚交易为主。
ETH公链今年未发生较严重的DApp攻击事件,一是因为ETH公链上菠菜竞猜类合约数量较少,热度不够,二是因为整体来说ETH智能合约项目方在安全方面做的较完善。
现场|蚂蚁金服资深总监李杰力:2019年区块链的商业应用将加速落地:金色财经现场报道,1月4日,以“数字金融新原力”为主题的蚂蚁金服ATEC城市峰会在上海举办。蚂蚁金服资深总监、BaaS业务负责人李杰力在现场表示:2019年区块链的商业应用将加速落地,主要将体现在三个方面:解决实际问题创造真实价值;企业级应用为先,通过To B传递到C端;新的商业模式将会开始涌现。[2019/1/4]
典型案例:
·2019年4月11日凌晨00:17,TCX1Cay开头的黑客,创建了大量BTTx假币,并于凌晨00:25至01:00之间向多个地址转入共计4,000万个BTTx代币,并把假的BTTx洗成真BTT进而对TXHFhq开头的BTTBank游戏合约实施攻击,共计损失1.8亿BTT。
·2019年7月23日,18:49至22:24分,黑客向波场竞猜类游戏TronChip发起连续攻击,共计获利61,867个TRX。造成此次攻击的原因为游戏合约遭到随机数被破解。
·2019年9月14日,EOSDAppEOSPlay中的DICE游戏遭受新型随机数攻击,损失金额高达数万EOS。攻击者在此次攻击过程中利用EOS中的经济模型的缺陷,使用了一种新型的随机数攻击手法对项目方进行攻击。
针对智能合约漏洞问题,我们建议:
游戏合约开发者应该重视游戏逻辑严谨性及代码安全性。
尽快将合约代码开源,让更多专业人士和技术团队参与进来,分析整理出易发生的意外事件,提升合约编写的安全性和功能准确性,防患于未然。
项目方全方面做好智能合约安全审计并加强风控策略,必要时可联系第三方专业审计团队,在上链前进行完善的代码安全审计。
3、钱包漏洞
在过去的一年内,钱包安全问题从未停止过,与之交易所类似,准入门槛低,安全性差,在缺乏监管的情况,极易爆发出钱包携巨款跑路事件。
钱包本身也存在很多安全隐患,容易受到黑客攻击,包括存在钱包APP伪造漏洞、交易密码未检测弱口令、核心代码未加固、未检测到系统运行环境、操作存在截屏及录屏记录等隐患。从6月初钱包GateHub爆出已经被盗超过2300万XRP开始,全年有超过7起钱包安全事件,损失过亿人民币。
典型案例:
·GateHub是一个用于安全存储/处理XRP的钱包和网关,从第一名被害者被盗1万XRP开始,到2019年6月,已经有超过80-90个用户的超过2300万XRP被盗。其中已经有超过1300万个XRP通过交易所或服务洗白。
·10月11日,加密货币钱包ZenGoCEOOurielOhayon推特爆料,网页加密货币钱包Safuwallet被黑客通过注入恶意代码窃取了大量资金。
动态 | 2018可信区块链全球创新大赛启动:金色财经10月9日讯,在今日举办的2018可信区块链峰会上,ITU-T FG DLT副主席、可信区块链推进计划秘书长魏凯宣布2018可信区块链全球创新大赛正式启动。大赛由可信区块链推进计划以及华为云主办,中国信通院HypreLedger、中国计算机学会区块链专委会联合支持。魏凯介绍,此次大赛的口号为“小链接,大未来”,将主要解决经济生活中的难题。[2018/10/9]
·8-9月,比特币钱包Electrum两次遭黑客钓鱼攻击,据多方统计,伪造Electrum升级提示的钓鱼攻击已盗窃至少1450枚BTC,价值1160万美元。
针对钱包漏洞问题,我们建议:
数字货币钱包服务商一方面应加强对钱包进行安全审计,另一方面要进行包括域名系统安全检测、主机实例安全检测、服务端应用安全检测等一系列审核,同时还要监控私钥、助记词、交易过程、数据存储的安全。
对于会经常使用到在线钱包的用户,在不同平台设置不同的密码,并且开启二次认证,其次建议资产占有量较大的个人投资者最好将冷钱包与热钱包配合使用,根据具体使用需求分配使用冷热钱包,做到冷热分开,以便隔离风险。
4、公链漏洞
2019年共发生超8起公链被攻击事件,其中半数以上为51%攻击,相对于2018年攻击频率减少,造成损失较小。
典型案例:
·1月5日,以太坊经典遭多次51%攻击,8万枚ETC被用于双花。
·?8月9日,黑客向莱特币发起“粉尘攻击”,受影响的地址达294582个。
目前除了BTC、ETH等足够大的公链几乎不可能遭受51%攻击之外,各非大型公链以及一些小公链币种都应小心来自51%攻击的威胁。
在应对51%攻击时,应尽量保持算力分散,过度集中的算力是导致51%攻击的直接原因,在中本聪的共识基础下,51%攻击理论上是永远存在,设置完善的风控预警机制,交易所采用良好的防御机制,在遭遇51%攻击时可以提高区块确认数,暂停充提币,冻结可疑账户等措施及时避免损失。
5、用户使用不当
2019年整体用户的安全意识上升,仍有个别用户因使用钱包私钥操作不当、访问钓鱼网站等问题造成资产损失。
利用数字资产进行暗网非法交易
2019年暗网仍然是作为网络犯罪的不法之地,利用数字货币匿名性的特性进行交易,逃避监管,整年已有价值10.35亿美元的比特币被用于非法活动,比特币在暗网交易品类最大的是药品,比特币也是最受“欢迎”的数字货币,其次为莱特币。
《2018第一季度胡润大中华区独角兽指数》发布 区块链企业未上榜:胡润研究院今日发布《2018第一季度胡润大中华区独角兽指数》。报告指出,“由于区块链领域公司在特定交易平台存在公开交易,区块链领域没有一家企业上榜。”[2018/4/17]
暗网中充斥着军火、*****、、等非法活动,一直在威胁着社会、企业和国家的安全。暗网贩卖的非法商品多种多样,主要涉及数据、信息、非法软件、军火、*****等,而不法分子多选择数字货币作为交易货币,例如:
1、用户数据泄露,在暗网兜售
2、信用卡身份证伪造贩卖
3、Visa贩卖
4、匿名银行账户、信用卡账户贩卖
5、恶意程序贩卖
6、军火*****伪身份证贩卖
7、*****交易
利用数字资产
由于数字货币是游离于现有货币体系之外的暗线,自成一套体系,其特殊属性使得数字货币交易极其简便,有网络即可转账,若有违法操作也很难追踪到,这给予了犯罪活动以新的资金转移渠道,隐藏赃款。
数字货币相比于其他金融工具,对于者来说更便捷,他们不再需要找人用脏钱去购买黄金、购买实物然后再卖掉去换钱。2019年已查处的案中已有超50亿美金是通过加密货币进行的,其中比特币是犯罪分子的首选。较为典型的案例如下:
此外,虚数字货币也能实现,因为网站都不需要求实名认证,所以执法部门也很难知道到底是谁往网站的账户里冲提数字货币。现在全球有100-200家网站可以用数字货币进行资支付。犯罪分子在这些网站上开设账号,然后将资金转入账户,进行一些小额,有的甚至都不进行的操作,随后提币到新的地址,实现目的。
数字货币已经成为了全球犯罪分子的重要工具,对于执法部门来说,发现行为、追寻资金源头和目的地也越来越困难。
?网络犯罪
网络犯罪包括、勒索、相关区块链服务应用商被破环事件,犯罪分子利用比特币具有匿名性的特点,更频繁的选择比特币作为赎金,通过勒索软件或其他某些不法手段进行敲诈勒索活动。
在2019年的网络勒索式攻击给全球造成5—15亿美元的损失,相较于去年增加20%,敲诈勒索数字货币的犯罪活动一直不断,甚至有
增无减,较为典型的案例如下:
不难看出,今年仍是各类犯罪事件猖獗的一年,各类网络事件在网络犯罪活动中仍然占有很大的比例,我们在网络理财平台进行理财时,在面对巨大诱惑的时候,不要轻信所谓的“内幕消息”。
?资金盘、盘、庞氏局及项目方跑路
犯罪分子可能将数字货币作为非法集资或集资的支付工具,以投资发行数字货币、开发比特币底层技术应用、利用数字货币“搬砖”套利等为幌子,以资金盘、盘、庞氏局等运作模式进行非法集资或集资,一旦“时机”到达,或问题出现,团伙直接跑路。
2019年在众多资金盘、盘、钱包、交易所跑路事件中,最受瞩目的莫过于6月29日的Plustoken钱包跑路事件,当天众多用户反映Plustoken钱包已经无法提现,Plustoken钱包的项目方疑似跑路,涉案金额或超200亿元。截至12月初,今年跑路的区块链项目方涉及资金超过250亿人民币。
(六)?恶意挖矿
电力消耗是挖矿的主要成本,也是决定挖矿收益的关键所在,随着挖矿难度增加,正常手段挖矿所得的收益已经越来越低,不少人便打起了非法挖矿的歪主意。
挖矿木马通过完成大量计算,来获得数字货币系统的奖励,挖矿木马和蠕虫在计算的过程中会占用计算机大量的CPU、GPU资源,导致电脑变得异常卡慢,虽然不会给中电脑带来直接损失,但会干扰正常系统的运行,并且传播速度,感染量大,给政府机关和企业服务带来极大影响和损失。
我们建议用户避免使用弱口令密码,一个密码不重复使用;关闭不必要的端口,升级系统固件;及时更新重要补丁,卸载来源不明的软件;提高安全意识,不要点击和浏览一些高风险页面,谨慎打开一些来历不明的文件、邮件、链接等。
(七)?信息泄露
在2019年中,总共报出超5起较典型的信息泄露事件,虽然区块链技术可以一定程度上摆脱中心化机构对大数据信息的控制,通过加密手段保证个人隐私数据的传输,但目前很多交易所、钱包仍是中心化运作方式,不可避免会存储用户的个人数据,一旦遭受攻击,黑客便有可能获取大量用户数据,并通过暗网等方式出售数据,获得暴利。
四、数字资产犯罪活动危害
由于数字资产犯罪活动门槛低,利用数字资产进行资金转移极为便利,数字资产犯罪正在演变成传统犯罪的一部分,许多传统的犯罪组织已经使用不局限于比特币的数字货币来支持他们的业务,这种趋势将在2020年持续下去。
据相关信息透露,部分犯罪组织正在引进数字资产专家为他们提供关于将数字货币与欺诈、和非法活动相结合的建议,甚至还有一些犯罪集团正在接管交易所和比特币矿工作为清洁资金的来源。
数字资产犯罪案件的危害将会是巨大的。
案件往往传播范围极广,案件一旦发生,即可迅速蔓延至世界各国,影响极其恶劣,不仅给全球消费者带来惨重损失,还将严重破坏、扰乱金融市场,并且不法分子借助数字货币进行如上文所述的、非法集资、恐怖融资等活动也会危害社会稳定,扰乱社会秩序,对世界的和平与稳定会造成恶劣影响。
具体来看,不法分子利用数字货币实施犯罪,对于数字货币行业内正规企业与普通用户而言都会遭受到不同程度的损失。
对企业而言:
对企业而言,由于数字货币交易所、钱包提供商、公链这些平台所占有资金量巨大,涉及用户面极为广泛,而相关交易机构在网络安全和保护投资人资产方面存在不足经验,往往是黑客攻击的首要目标。
黑客利用其本身存在的漏洞,通过各种攻击方式对平台进行攻击,盗取的数字货币一般都是巨大数额,对大多平台而言可以说都是重度创伤,部分交易所受到黑客攻击,资产几乎被盗空,随之面临的便是无法正常运营,最终倒闭,还可能会影响金融市场的稳定。
对普通用户而言:
对普通用户而言,不法分子使用的攻击软件也可能侵袭普通用户的电脑和手机,不仅数字货币会损失,法币、私人信息被窃取也是有可能的。
不法分子使用数字货币进行暗网交易,使*****一类有害物品更容易流通,个人安全也可能会面临威胁,个人隐私信息也随时面临着被放在暗网上抛售的危险。而由于加密货币的交易缺乏约束,如果对行业不过了解,知识储备不够,很容易被投机者操纵和利用,受到不法分子的,陷入非法融资、非法集资、敲诈勒索的局之中。
2019年全球已出现上百种币,后来这些币的受害者遭受了惨重的损失,一夜倾家荡产的大有人在,还有许多受害者的家庭幸福也受到了不良影响,事实证明这样的危害与损失是普通投资者无法承受的。
总体来看,数字货币非法犯罪行为给行业带来的影响极其恶劣:
1、当前私人数字货币或准数字货币已经在社会经济体系内发展成为一种“不稳定的力量”。
部分不法分子利用数字货币做掩护进行非法集资与活动,造“币”,恶意炒作数字货币价格,这样导致大量数字货币的创新以及巨量私人数字货币的交易规模、价格极速飙升破坏了市场稳定性。
2、数字货币如今已成为金融行业中的一部分,数字货币价格的暴涨也会推高涉案金额,从而使损失加大,并且由于数字货币通过网络发行,非法犯罪案件一旦发生,可以迅速向世界各国蔓延,对全球造成危害,对金融行业无疑也会起到消极影响,扰乱正常金融秩序。
3、一些严重的非法犯罪案件也可能会造成市场恐慌,增大卖方市场,导致数字货币的价格下跌,挤压市场泡沫。
4、数字货币被大量用于*****,提供服务,转移非法资产,买卖*****和地下军火等交易,这会扰乱社会秩序,对社会的稳定发展构成威胁,还会影响行业正规运营的企业的发展,对整个数字货币行业、对金融行业、对整体社会无疑都是具有极大危害的。?
五、数字资产犯罪应急方案及总结
伴随区块链的不断发展,与之而来的安全事件也将层出不穷。在我们看不到的背后,区块链的世界无时无刻不在上演着一场场触目惊心的安全攻防战。如何在当前区块链新时代风口下,切实保障区块链全生态的安全,一直以来都是行业及从业者应该思考和努力的方向,我们呼吁并建议:
重视区块链安全问题
在中央局第十八次集体学习上,习总书记特别强调了要“推动区块链安全的有序发展”,国家层面上越发重视区块链的安全问题,也必将激励社会大众越发关注到区块链的安全问题。
要搭建起我国“自主创新的区块链安全技术和保障体系”
为进一步贯彻中央局的重要指示,安全公司将作为区块链安全领域的中坚力量,需搭建起我国“自主创新、自主可控”的区块链安全技术和保障体系,以增强区块链自身安全能力,防止被攻击而造成重大损失。
当前区块链行业面临的安全风险
当前区块链行业仍面临大量安全风险,比如因企业自身忽视建设安全防线,以及数字资产的安全漏洞所引发的如、敲诈、暗网交易等社会安全问题。加强安全监管,建立起牢固的安全防线,是当前区块链发展的重要任务。
整个行业需要正向引导
要想区块链技术更好地服务于我们的实体经济,就必须将其用到“正处”。要善用区块链技术、活用区块链技术,而不是一味地滥用。这就需要区块链从业者从自身养成积极正向的行业态度,共同推动区块链行业健康发展。
区块链安全公司的作用
面对当前时有发生的因区块链系统安全漏洞引起的资产被盗事件,以及利用数字资产进行犯罪、、跑路等不法行为,区块链安全公司需全力以赴,承担起责任,为行业健康发展多做贡献,一方面协助相关企业做好安全防护工作,提升安全防护能力,减少安全损失;另一方面,继续大力协助政府监管机构做好调查取证等工作,以切实加强安全监管,多为行业发展发出正能量的声音,带头建立起有序的行业规范,并促进安全标准建设。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。