数字货币合约入门 区块链 kyt

制作 |区块链营（ID：blockchain_camp）

如果说在 2018 年，我们对区块链安全有了“上帝视角”，那么在 2019 年，我们获得了“处女之心”。

2018年，我们基于底层代码技术，忽略交易所、钱包、矿池、DApps等所有生态环节，挖漏洞，搭建态势感知平台，发送威胁情报，普及技术漏洞背后的行业原则，引领行业从安全事件的“教育”上加强安全防护，夯实安全壁垒。

2019年，我们通过渗透业务逻辑，深入到智能合约、DeFi、地址溯源、暗网等不同行业的底层，构建链上数据预警系统，早日获得洞察安全威胁，深入社区与开发者协作。应急响应，誓为行业发展扫清一切障碍。

据数据，2019年发生177起区块链安全事件，造成经济损失7美元6.79亿美元，较2018年增长约60%。

在过去的一年里，我们敏锐地观察到：

1）区块链安全已经蔓延到更广泛的领域数字货币合约入门，从交易所到数字钱包再到DeFi领域，离钱越近，就越有可能成为黑客的重灾区；

2）开发者的安全意识普遍提高。 DApp、智能合约等现有溢出，重放、随机数等基本攻击手段整体减少，开发者的安全防御普遍提升，倒逼黑客攻击手段不断演进；

3）安全危机背后的原因越来越神奇了。私钥的丢失、为代码保留的后门、对冷钱包的攻击以及创始人的离奇死亡正变得越来越引人入胜。技术bug容易去除，人为bug很难修复；

4）理财钱包诈骗、失控事件等成为行业新问题。不法分子基于大众对区块链技术的认知盲区，炮制了各种传销币、模型币、空气币。行业风气；

5）交易所的跨境资产流动更加频繁。随着数字资产的广泛普及，区块链生态第一大玩家“交易所”的核心作用越来越突出。交易所间资金流转的背后，是不受监管的资金大规模“出海”。

交易所安全回归公众视野

2019年5月8日，全球知名交易所币安被曝黑客进行大规模系统性攻击。黑客获取大量API密钥、谷歌验证2FA码等信息，一次性提取7000 BTC。

这一突如其来的交易所安全事件让人想起去年 3 月币安的恐怖之夜。部分币安用户发现其账户中的代币被售出，导致数字资产价格下跌 10%。 %。

相比之下，在今年币安再次遭遇灾难后，数字资产市场波动不大，用户应对黑天鹅事件的心态日趋成熟。创始人兼CEO赵长鹏立即宣布通过SAFU全额赔偿，迅速平息了事件的负面影响。最终并未对二级市场造成太大影响。

然而，这一事件表明，交易所面临的安全挑战尤为艰巨。除了巩固自身服务器的安全，币安还要提防中介资产托管服务是否被木马入侵，尤其是用户客户端被劫持时。这迫使交易所也从业务层加强审核机制，如提币额度自动分级、提币人工审核等。

事实上，去年年底Upbit交易所遭遇攻击数字货币合约入门，损失34万ETH，再次为交易所的安全敲响了警钟，尤其是网络钓鱼、API劫持等意外攻击因素，服务器木马攻击等。这也提醒市场，最大的安全风险可能不是来自企业保护层，而是与每个用户的安全意识和操作习惯有关。

DeFi安全将成为未来行业重灾区

2019年，以太坊公链赛道跑出DeFi野马，让业界普遍知晓。区块链技术具备基于DeFi金融应用场景大规模应用的可能。

目前DeFi应用以MakerDAO、Compound、dYdX、instaDApp等金融借贷平台为主，主要满足用户抵押数字资产借入稳定币的需求。此外，还开发了 Synthetix 和 Augur 等衍生产品。产品平台。 DeFi独特的乐高式可组合特性让DeFi赛道展现出超强的生命力，很有可能成为未来两三年区块链领域的焦点。

DeFi 产品基于智能合约和交互协议构建。代码一般开源，资产完全上链，很容易成为黑客攻击的重点。

今年 5 月 7 日，领先的 DeFi 借贷平台 MakerDAO 被曝其治理合约存在安全漏洞。区块链安全公司立即介入并号召社区用户参与。第一时间转移面临危险的MKR资产，同时独立分析研究漏洞细节，协助MakerDAO官方修复漏洞。好在最后没有攻击损失。

其实在今年年初，Compound 和 Nuo 也被曝出智能合约问题。在接下来的六个月里，Synthetix、0x 协议、Edgeware 等 DeFi 相关应用也暴露了潜在的安全风险。 0x 去中心化交换协议合约在验证订单签名方面存在缺陷。受此影响，大量部署了0x协议的DEX平台可能存在安全隐患。但在安全威胁暴露后，这些 DeFi 平台立即与安全公司合作修复漏洞，最终没有出现明显的安全损失。

但它揭示了一个危险信号，即黑客已经将目光投向了 DeFi 领域。一旦 DeFi 平台的资产抵押规模和受众达到一个数量级，该领域很可能是继 DApp 之后的下一个安全事件频发领域。

理财钱包诈骗成行业新毒瘤

2019年，PlusToken、TokenStore、OneCoin等理财钱包被曝光，卷走百亿数字资产，让数百万投资者争相走上“维权之路”。区块链技术的概念已经被一些不法分子包装成一种低投入、高收益的理财模式，用来骗取一些对区块链行业不了解的普通用户。

PlusToken号称是在韩国注册的加密货币钱包和交易所，其真面目是一个以高回报吸引投资者的庞氏骗局。 PlusToken 向投资者承诺每月 10%-30% 的利息，并以高回报吸引大量投资者投资 20 万 BTC、78 万 ETH、2600 万 EOS 等有价值的数字资产，涉及资金达 200 亿元以上，超过300万用户，影响范围很广，危害很大。

2019 年 6 月 29 日，PlusToken 用户反映无法提币，项目方也被媒体曝光逃跑，随后有消息称 6 名主要负责人被中国警方逮捕。然而，涉案巨额赃款仍未追回并归还给受害人。在接下来的几个月里，PlusToken 的 BTC 资产、ETH 资产和 EOS 资产经历了多次洗钱活动。 CoinHolmes是一家区块链安全公司旗下的可视化资产追踪平台，监测到PlusToken的部分资产开始汇聚、分散和转移，然后使用ChipMixer等工具进行混淆，然后通过OTC渠道出售。但目前只有一小部分资金被成功洗掉，大部分数字资产仍未解决，以至于一旦市场出现不明原因的大跌，有分析师称PlusToken被砸。 PlusToken 效应就像股市的螃蟹效应一样，已经成为一个令人恐惧的存在。

但是，从客观的角度来看，理财钱包的出现可以让一些普通用户访问区块链和各种数字资产，为行业带来新的流量和资金。短期内，对行业产生积极影响。但从长远来看，恰恰相反，随着此类理财钱包的崩盘和离家出走，大量普通用户将成为受害者，他们可能会带着偏见和认知差，永远告别这个行业。

过去的一切都是序幕。

虽然过去三年，区块链行业安全事件造成的经济损失越来越严重。通过黑客攻击手段的演进和生态当前面临的安全威胁，我们发现区块链行业的安全正在从艰难时期逐渐走向成熟，如图：

1）一群优秀的区块链安全公司。他们专注于区块链安全攻防，为行业生态系统提供专业的安全监控、态势感知、威胁情报、反洗钱可视化等专业工具，组建正义团队打击隐藏在区块链黑暗森林中的黑客力量；

2）智能合约和 DApp 生态正在逐渐减少一些简单的和相关的威胁。虽然黑客不断进行网络投机攻击企图，但项目开发者的基本安全意识已经形成，一些相对低级的安全漏洞已经明显减少；

3）金融钱包、金融钱包等距离用户比较近的交易平台已经成为安全事件频发的重灾区。这是由于行业发展初期用户安全意识薄弱造成的隐患。例如，网络钓鱼木马入侵和针对用户的高额财务收入欺诈。从另一个角度看，表明区块链市场安全的薄弱环节已经从B端转移到C端，安全防护工作逐步做到可控可防，这也是一个进步；

4） 数字资产“合规”引领下一轮行业发展。一方面，国家顶层设计将区块链技术定义为核心技术的突破，另一方面，不受监管的数字资产数量正在增加。区块链数字资产领域开始面临“合规”的新挑战。包括，交易所KYT服务、AML反洗钱服务、黑客赃款追踪服务等。短期来看，监管清关可能会给生态带来致命的打击，但从长远来看，被纳入监管可能是下一轮快速发展的开始。