近十几年来，国内互联网建设飞速发展，然而网络安全建设却是直到近几年才上升到国家层面，因此国内网络安全的发展依然远远跟不上互联网发展的速度，也正因此已经造成很多无法弥补的损失，而个人信息风险在这其中又是一个重灾区。据不完全统计，国内个人信息泄露数已知的已达到55.3亿条左右，平均每人就有4条相关的个人信息泄露。作为一种符号系统的个人信息在传统的社会生活中往往是抽象和难以固化的，得益于数据收集和处理技术的发展，当代的个人信息大都已经被一定载体固化，对个人信息的收集和处理也越来越高效。个人信息在利用与收集越来越高效的同时也面临着更大的泄露与滥用风险。因此，在享用网络给人们带来的便捷与欢愉的同时，也要注重人们的个人信息保护。本文从个人信息的风险与保护两个角度出发，分析大数据时代背景下个人信息存在的风险以及相对应的应对与保护措施。一、 个人信息风险1.1个人信息收集的不透明与传统的大量个人信息未被固定的载体记录不同，信息时代的大多数个人数据都已经被一定的信息载体记录，而且信息记录的过程和方式都已经不同于传统的收集方式，传统收集方式往往都是在个人信息主体知情的情况下收集。信息时代大多数个人信息收集技术都是由个人信息管理者主导，各种信息收集技术手段最重要的特征就是技术手段默认对个人信息进行主动收集，而非默认关闭收集信息功能等待个人信息主体确认再启动收集，而且在收集数据时个人信息主体并不会被告知收集的目的。当前很多网站和APP在用户使用前需要用户提供一些个人相关信息，合法的APP和网站在收集个人信息前会告知和提醒用户收集信息的目的以及可能存在的风险，会让用户在知情的情况下自行选择是否授予权限，在这种情况下，个人信息的收集是透明的。例如：仅申请业务功能所需权限、告知申请权限的目的、增强用户的权限控制机制等。在这种透明收集个人信息或者请求权限的过程中，个人信息的决定权是握在用户自己手中的，用户自行决定是否授权或者是否提供个人的相关信息，相对来说还是有一定的安全性的。然而，仍有一些非法网站、APP或者是黑客非法收集个人信息，在这种情况下，个人信息的收集往往是不透明的，用户的个人信息在用户不知情的情况下就已经遭到泄露。这种情况下的个人信息的泄露往往是通过黑客入侵窃取、钓鱼网站骗取、专门扫号软件扫取密码等方法来实现的。而利用这些方法不透明获取的个人信息涉及领域广泛，涉及金融、电信、教育、医疗、工商、房产、快递等40余类，银行和第三方支付平台的账号及密码等也成为交易对象。当然，这种不透明非法收集个人信息往往都是出于一定目的的，这种目的大多数情况下都表现为利益关系。不法分子获取公民个人信息后贩卖给电信网络诈骗、网络盗窃等侵财犯罪团伙，人民群众财产面临直接威胁。1.2信息管理者滥用信息收集技术以及用户信息保护不当造成的风险 用户在信息收集环节授予权限以及提供个人相关信息（如手机号、身份证号等）之后，信息管理者就已经掌握了用户的一些个人信息，因此信息管理者也承担了保护用户个人信息的责任与义务，信息管理者的管理失误会直接导致用户个人信息的泄露风险。 当然最大的风险还是信息管理者本身，假如信息管理者出于经济利益而售卖用户的个人信息，在这种情况下，用户的个人信息泄露风险无疑是最大的。例如：2018年1月，某警方侦破了一起新生婴儿信息倒卖链条。从新学婴儿数据泄露的源头来看：某社区卫生服务中心工作人员徐某，掌握了某市“妇幼信息某管理系统”市级权限账号密码，利用职务之便，多次将2016年至2017年的某市新生婴儿信息及预产信息导出。被抓获前，他累计非法下载新生婴儿数据50余万条，贩卖新生婴儿信息数万余条。从卫生系统“内鬼”徐某到公开出售信息的黄某，多名犯罪嫌疑人层层转手，组成了一条长长的新生婴儿信息倒卖链条。下图是一些个人信息在黑市中的价格，很难不排除有很多信息管理者为了经济利益而售卖用户个人信息的可能。 除此之外，还有信息管理者滥用信息收集技术而给人们个人信息安全所带来的一些风险。在网络环境下，最普遍的例子便是当我们使用微博、QQ等社交工具账号登陆由第三方提供服务的网站时，第三方网站往往除了要求提供社交工具账号之外还会要求信息主体提供头像、分享动态等与其提供的服务并不相关的个人信息；个人智能手机的普及也将获取个人信息的方式拓展到了各种手机应用软件上，很多应用软件都在实时收集个人定位、通讯录名单、安装软件情况等信息，而很多软件收集的个人信息与其提供的服务并没有关联性。在以上情况下，信息管理者要求信息主体提供个人信息时并没有提供个人信息主体拒绝提供个人信息的选项。生产企业和互联网信息服务提供者所提供移动智能终端应用软件调用与所提供服务无关的终端功能、未经明示且经用户同意第三方软件实施收集使用用户个人信息、开启应用软件、捆绑推广其他应用软件等行为都会使用户的个人信息安全受到威胁。 最后，是一些有关信息管理者存在的具体的失误。一是使用泄露，如操作失误、打印、外发文件、拍摄屏幕等方式泄露内部数据；二是存储泄露，包括数据中心、服务器和数据库的数据被入侵造成的泄露（如黑客在目标网站或者服务器中植入木马、设置后门、盗取信息或撞库等）；离职人员通过移动存储随意或者有意拷走机密资料，或者离职人员对在职期间的涉密邮件导出；移动终端被盗、丢失或维修造成数据泄露；三是传输泄露，通过网络监听、拦截等方式对传输数据进行篡改、伪造和窃取（如域名欺诈等）。1.3信息技术特点决定的个人信息风险 信息时代，由于人们管理和分析数据的容量和精度需求不断扩大，大数据技术也应运而生。在大数据环境下，个人信息也带有了信息量大、信息多样化、信息整体价值量高等特点。但由于大数据没有内外部数据库区别的特点，决定了它无法隐藏用户私人数据，数据完全开放，这就大大节省了黑客攻击的时间成本和资金成本。同时，由于大数据容量大、数据多样化，单个数据的质量难以得到保证，大数据环境下数据隐藏木马和病毒的可能性较大。除此之外，互联网技术业务的快速发展，已经将个人信息安全的环境彻底改变。如果缺乏其他的数据资源，很多信息将保持匿名的状态。但是，如今的网络环境中，有无数可以利用的数据资源。企业甚至是普通个人都越来越容易获得有关个人的大量信息。此外，大数据技术等高新技术的发展使得大量数据更易被关联和聚合，大大增强了人们将非个人信息转化为个人信息的能力。获取信息以及将信息恢复身份属性的成本已越来越低。对于已经去除掉身份特征的姓名，可以通过大数据分析，重新恢复数据的身份属性。同时，大数据带来的效益也大大刺激了信息收集的动机。大数据的出现使得信息成为更加珍贵的战略级资源。今天收集的信息未必在当下就可以被利用，它所蕴含的价值还可以留待未来发掘。在大数据的刺激之下，在收集实现业务目的所必需的信息的同时，也收集无关的信息。这也是移动互联网中普遍存在App超出业务目的、超出范围收集用户个人信息现象的重要原因。并且在云计算技术的支撑下，可以更为长久的保存这些信息，以待日后挖掘。这意味着大量的个人信息不仅可能在今天被滥用，在几年甚至几十年后仍然可能被滥用。在信息新技术业务特别是大数据带来的巨大冲击面前，个人信息保护机制将无可避免地面临重大挑战。受互联网环境的影响，越来越多的人在隐私观念上已经有了显著的变化，更年轻的一代更加积极主动地接纳网络，将自己的生活状态乃至于日常生活的方方面面都公布于网络，并从中获得分享乐趣，为个人信息安全带来各种隐患。如何注重加强对个人信息的保护，革新个人信息保护机制，是新技术变革对个人信息安全防护提出的新挑战。一、 个人信息保护保护个人信息需要联合多方、共同发力。具体表现为个人、企业、国家的有机结合。1.1个人（保护自己） 从个人角度出发保护个人信息，首先要增强人们的信息防护意识。只有人们自己认识到保护个人信息、个人隐私的重要性，才能从根本上减少因个人原因而造成的个人信息泄露风险。 其次是人们要知道保护个人信息的一些具体做法或者说是一些避免踩雷的方法，下面是一些常见的做法：网上注册内容时不填写个人隐私信息、尽量远离社交平台涉及的互动类活动、安装病毒防护软件、不要连接不明WIFI热点、警惕伪基站诈骗、不要在网上晒私密照片、重要信息要加密保护等。我们应从自身做起，积极回应网络运营主体在信息收集和处理等环节中的询问与互动请求，强化自身的参与意识和责任意识；并在参与的过程中不断提升自我保护意识和能力，严守个人隐私防线，勇敢对侵犯自身合法权益的行为作斗争。1.2企业/运营商（保护用户） 由行业内部进行规制，增强网络运营商的社会责任感、形成行业自律标准也是尤为关键的问题。 一、在用户信息的收集使用上。总体而言，网络运营商应当遵守如下基本原则：（1）合法原则。运营商应在法律允许的范围内制定服务条款的内容，不得违反法律与用户的意愿超出授权范围采集个人信息。（2）相关原则。除与用户另有约定外，不得收集与其提供的服务内容无关的用户信息，也不得将收集来的个人信息用于提供服务之外的目的。（3）明示原则。在收集使用用户信息之前，应以通俗易懂的合理方式向用户具体明确地告知收集使用信息的用途与范围，以及拒绝提供信息的后果，确保用户的知情权，而不得以概括性的方式获得授权。（4）自主原则。涉及用户个人私密的信息，应充分尊重用户的真实意愿，真正赋予用户自主选择接受与否的权利，保障信息主体的参与权。二、在用户信息的保密维护上。运营商对收集来的用户个人信息应当严格保密，并采取必要的技术保密措施保障信息安全，不断提高网络安全的防护水平，禁止私自篡改、泄露或非法向他人提供。也就是说，要给运营商收集个人信息划定一个底线，即收集个人信息是出于运营商提供服务的需要，那么就一定要确保个人信息的安全，谁泄露了用户的个人信息，就应该承担相应的法律责任。此外，更要加大力度严厉打击网络违法犯罪活动，以此来震慑不法分子。1.3政府（立足国家）在保护个人信息甚至保护网络空间安全这场战役中，政府职能无疑是其中最重要的一个环节。政府职能在这个过程中有着多样性的表现，下面本文将会从战略方向、政府监管以及对政府监管的建议三个方面来谈。1.3.1战略方向战略方向是政府职能的根本体现。政府要充分重视个人信息的风险问题与保护工作，以及由此延伸到政府对网络空间的战略布局。政府要充分认识保护个人信息的重要性以及网络空间战略布局的深层意义，长远布局。在一般情况下，政府的态度往往体现出一个国家整体的意识。政府的高度重视往往能引起整个社会的关注，从而有助于政府有目的地开展布局，防范问题、未雨绸缪。1.3.2政府监管（现状剖析）法律依据。过去，我国网络安全领域的立法强调对网络犯罪和有害信息的管制，强调国家安全和网络环境治安，具体来说主要是利用计算机从事欺诈、危害国家安全，泄露国家秘密，传播淫秽色情信息和散播谣言等违法行为。近年来，个人信息的保护成为我国网络安全领域的立法重点，尤其体现在2016年以来发布的诸多立法成果中。包括法律层面、行政法规层面、部门规章层面以及地方性法规层面等方面，均对个人信息保护作出诸多规定。执法主体和手段。《网络安全法》和国家网信办的许多规定都于2017年6月施行，国家网信办在《网络安全法》的指导下依法行政执法。2017年5月发布的《互联网信息内容管理行政执法程序规定》是网络信息安全行政监管领域的重要突破。2015年4月发布的《互联网新闻信息服务单位约谈工作规定》对约谈进行细化规范，体现了现阶段“约谈”在我国网络信息保护形势下的重要地位。　　当前，政府必须认识到约谈也将对个人信息保护起到至关重要的作用，只有将约谈引入并实践于个人信息保护领域，才能在丰富个人信息保护政府监管手段的同时，充分发挥约谈的作用。1.3.3对政府监管的建议建立专门的个人信息保护机构。我国至今没有设立专门性的个人信息保护机构，法律对相关权力主体的职责和权限的规定都较为概括，存在交叉或漏洞。组织机构不专业、职权划分不清晰是我国个人信息保护执法主体的局限性。　　个人信息保护的法律实践具有很高的技术成分，需要通过招聘和培养高质、专门、富有经验的高素质安全技术人员，熟练地运用法律和信息技术知识对相关问题加以分析和解决。。　　完善立法体系。在个人信息保护方面，应当形成由立法和执法两方面相辅相成的保护机制。在我国，个人信息保护的专门立法近年来才刚开始起步。加强专门立法，细化规范体系，对关键性原则进行阐释是我国个人信息政府监管的必要前提。加强不同机构之间和法律之间的联动保护。（本文参考了许多报道、相关文件、文章内容，从而整合、撰写出一个相对比较完善的观点。如有冒犯，请予以指责，本人绝对认真改正！）

自2022年2月24日俄乌冲突以来，通过与部分银行渠道的沟通了解到，美国OFAC（备注1）将部分俄罗斯企业、组织、个人列入了SDN（备注2）制裁清单。企业在对俄交易中如有和SDN制裁清单上的企业、个人、银行有交易，应该及时了解相关要求，做好防范措施，保障资金安全。1、从哪里可以查询到SDN的清单？OFAC公布的SDN清单可以通过官网进行查询和了解相关要求：关于OFAC的要求和介绍可以查阅：https://home.treasury.gov/policy-issues/financial-sanctions/specially-designated-nationals-and-blocked-persons-list-sdn-human-readable-lists关于SDN清单的查询，可以查阅：https://sanctionssearch.ofac.treas.gov/查询时，输入需要查询的企业、个人、银行等信息，即可查阅。2、交易资金等信息命中SDN的清单该怎么办？通过与部分银行渠道的沟通，了解到针对部分交易资金若涉及SDN清单，如付款银行被列入了OFAC的SDNlist，则通过该付款银行付款过来的资金将会被冻结，此时如需解冻资金，需要付款人向OFAC申请相关的许可证，取得许可证后，再通过付款银行联系收款银行进行解冻。关于解冻的流程：按照OFAC介绍，申请解冻需要申请相关的许可证，申请OFAC许可证的介绍可以查阅：https://home.treasury.gov/policy-issues/financial-sanctions/ofac-license-application-page如申请过程遇到相关的咨询，OFAC提供了FAQ可以查阅：https://home.treasury.gov/policy-issues/financial-sanctions/faqs/topic/1506/print3、SDN清单的更新频率是否会影响资金到账？目前国际形势复杂多变，OFAC会不定期随着局势变化进行SDN清单的更新，而所有资金入账前，银行都会进行SDN清单实时扫描，如扫描过程中发现涉及了命中，则该笔资金将会被冻结。因为SDN更新的频率比较高，有不小的几率会遇到资金从付款人处付出时并未涉及命中SDN清单，但是资金来到收款银行进行入账扫描时因命中SDN清单而被冻结资金，建议广大商家及时了解当前国际形势，时刻关注SDN清单更新情况4、付款人和银行不在SDN清单上，但是资金从俄罗斯付出来，是否会被冻结？截止发稿时OFAC并未对俄罗斯进行全面制裁，根据相关渠道提供的情况分析，并非所有的俄罗斯付出来的外汇都会被冻结，但是鉴于当前国际形势的影响，部分银行加强了针对俄罗斯外汇的监测和风险管控，从而会影响近期部分交易的资金入账延迟。建议广大商家需要在交易时充分了解交易对手的情况，避免交易相关的信息和资金来源涉及制裁。5、如何进一步保障交易资金安全？针对当前特殊的国际形势情况，建议广大商家应及时了解当前的国际动态，在交易过程中时刻关注各交易对手国家的政策要求，妥善留存交易过程中的所有单据，完善合同中的应急条款，做好交易对手的尽职调查，出货前充分把控资金入账状态，避免钱货两失。备注1：什么是OFAC？OFAC，即美国财政部海外资产控制办公室（The Office of Foreign Assets Control of the US Department of the Treasury，它的使命在于管理和执行所有基于美国国家安全和对外政策的经济和贸易制裁，包括对一切恐怖主义、跨国毒品和麻醉品交易、大规模杀伤性武器扩散行为进行金融领域的制裁。OFAC直接隶属于美国总统战时和国家紧急情况委员会，经特别立法授权可对美国境内的所有外国资产进行控制和冻结，同时负责在对外经济和贸易制裁事宜上，与美国的欧洲盟国进行紧密合作。备注2：什么是SDN？特殊指定国家和个人的制裁（Specially Designated Nationals Sanctions ）

2020 年，无论从哪个角度来讲，对区块链和数字货币来说都是非凡的一年。我们见证了 DeFi 和开放金融生态系统的爆炸性增长。我们见证了作为新技术基础设施代表之一的区块链被纳入“新基建”，我们见证了中国推出央行数字货币 (CBDC) 的同时，更多的国家地区开始关注并发展区块链，全球性区块链的“竞赛”已经开始。据慢雾科技区块链被黑档案库 (hacked.slowmist.io) 数据统计，2020 年区块链生态被公开的区块链安全事件共 122 起：其中智能合约及代币安全事件 54 起，交易所安全事件 29 起，公链攻击事件 12 起，钱包攻击事件 12 起，其他攻击事件 15 起。慢雾区块链被黑档案库攻击事件累计随着各种应用落地，区块链数字资产引发的安全问题总体呈上升趋势，数字货币犯罪五花八门，盗币、诈骗、非法集资、洗钱、暗网非法交易、犯罪等案件频发，各种原因造成的“黑天鹅”事件层出不穷。通过数据统计，可以看到今年智能合约安全事件明显增多，交易所攻击事件也是占比较大，数字货币诈骗、勒索、洗钱事件几乎每月都会发生。慢雾科技将通过这篇文章梳理 2020 年区块链安全与隐私生态发生的影响重大的事件，为读者回顾事件详解，同时对每类事件附上慢雾观点。虽然本文列举的仅是冰山一角，但具有很大的代表性，让我们通过本文一起来窥见 2020 年区块链生态世界的“不平凡”。01 DApp及DeFi安全事件
bZx 遭遇两次闪电贷攻击2 月 15 日，DeFi 贷款协议 bZx 遭受攻击，攻击者同时跨多个协议完成了一笔闪电贷杠杆套利交易，导致价值 35 万美元的 ETH 被盗。2 月 18 日，bZx 再次遭受闪电贷攻击，攻击者通过控制预言机价格获利 2388 个 ETH，约 64.4 万美金。（详解参阅：慢雾：详解 DeFi 协议 bZx 二次被黑）MakerDAO 清算机制异常3 月 12 日，由于以太坊 ETH 的价格暴跌，MakerDAO 的大量抵押债仓跌破清算门槛，引发了清算程序执行。原本应该参与到清算过程中的清算机器人(Keeperbot)因为设置了较低的 gas 值，导致出价受阻，一位清算人(Keeper)在没有竞争者的情况下，以 0DAI 的出价赢得了拍卖。Uniswap 的 ERC777 重入风险4 月 18 日，黑客利用 DeFi 平台 Uniswap 和 ERC777 标准的兼容性问题缺陷，对 Uniswap 实施了重入攻击。具体而言，黑客在交易 ETH-imBTC 时，利用 ERC777 标准中进行转账的 tokensToSend 回调函数实现了重入攻击，总获利 34 万美元。（详解参阅：慢雾：详解 Uniswap 的 ERC777 重入风险）DeFi 平台 Lendf.Me 遭受重入漏洞攻击4 月 19 日，以太坊 DeFi 平台 Lendf.Me 遭受重入漏洞攻击，损失约 2500 万美元。后慢雾安全团队协助追回了被盗资产。（详解参阅：慢雾：DeFi平台Lendf.Me被黑细节分析及防御建议）DeFi 项目 Hegic 代码出现漏洞致用户资产被永久锁定4 月 27 日，DeFi 项目 Hegic 代码出现漏洞导致用户资产被用户永久锁定。在该项目上线几小时后，其代码中的一个错误锁定了该平台智能合约价值 2.8 万美元的用户资金，由于该漏洞将资金锁定在了过期合约中，使其无法被访问。Bancor 新合约出现安全漏洞6 月 18 日，由于新的 Bancor Network 合约上未经验证的 safeTransferFrom () 函数，用户资金即将被耗尽。Bancor 团队表示：1. 两天前发布的新 Bancor Network v0.6 合约中发现了一个安全漏洞；2. 在发现漏洞之后团队进行了白帽攻击，以将资金转移到安全地址；3. 智能合约已完成审核。但还有 135,229 美元的资金被两个未知套利机器人抢先交易了。Balancer 流动性池两次遭黑客闪电贷攻击6 月 29 日，知名 DeFi 平台 Balancer 流动性池遭黑客闪电贷攻击，损失 50 万美金。Balancer 流动性池遭闪电贷攻击，损失 50 万美金，Balancer 上遭遇损失的为 STA 和 STONK 两个代币池，目前这两个代币池的流动性已枯竭。6 月 30 日，黑客再次利用 dYdX 的闪电贷攻击了 Balancer 部分流动性矿池中的 COMP 交易对，将池子中未领取的 COMP 奖励抽走，获利 10.8 ETH，约合 2408 美金。（详解参阅：慢雾：Balancer 第一次被黑详细分析）Vether (VETH) 遭黑客攻击7 月 1 日，VETH 在去中心化交易所 Uniswap 遭遇黑客攻击。黑客仅使用 0.9ETH 就盗走了 919,299 VETH (价值 90 万美元)。攻击事件发生后，VETH 官方表示，「该合约被其放置在 transferForm() 中的 UX 改进所利用，这是我们的过错。我们将重新部署 vether4，并将补偿所有受影响的 Uniswap 质押者。」（详解参阅：慢雾：VETH 合约被黑分析）Opyn 看跌期权被外部参与者恶意利用8 月 5 日，链上期权平台 Opyn 披露其以太坊看跌期权被外部参与者恶意利用。Opyn 指出，除以太坊看跌期权外的所有其他 Opyn 合约均不受此漏洞的影响。攻击者双重利用 oToken 并窃取了看跌期权卖方的抵押资产。据 Opyn 统计，截至目前共有 371,260 枚 USDC 被盗。Opyn 团队根据 Convexity Protocol 进行的白帽黑客攻击，成功从未偿付的保险库中收回了 439,170 USDC，以进一步减轻损失。（详解参阅：慢雾：Opyn 合约被黑详细分析）DeFi 项目 YAM 合约存在漏洞8 月 13 日，知名以太坊 DeFi 项目 YAM 官方通过 Twitter 发文表明发现合约中存在漏洞，24 小时内价格暴跌 99% ，导致了治理合约被“永久破坏”，价值 75 万美元的 Curve 代币被锁定而无法使用。（详解参阅：DeFi YAM，一行代码如何蒸发数亿美元？）DeFi 项目 YFValue 在 YFV 质押池中发现漏洞8 月 25 日，DeFi 项目 YFValue(YFV) 官方发布公告称，团队于昨日在 YFV 质押池中发现一个漏洞，恶意参与者借此漏洞对质押中的 YFV 计时器单独重置，1.7 亿美元资金存在被锁定风险。目前已有一名恶意参与者正试图以此漏洞勒索团队。（详解参阅：慢雾：YFValue，一行代码如何锁定上亿资产）EOS 项目 EMD 跑路9 月 9 日，据慢雾区情报，EOS 项目 EMD 疑似跑路。截至目前，项目合约 emeraldmine1 已向账号 sji111111111 转移 78 万 USDT、49 万 EOS 及 5.6 万 DFS，并有 12.1 万 EOS 已经转移到 changenow 洗币平台。当前损失总市值：2,468,838 美金 = 17,281,866 人民币。DeFi 流动性挖矿项目“珊瑚”遭攻击9 月 10 日，EOS 生态 DeFi 流动性挖矿项目“珊瑚”的 wRAM 遭到黑客攻击，损失逾 12 万 EOS。Bantiample 团队砸盘套现跑路9 月 19 日，币安智能链上的项目 Bantiample 团队已砸盘套现 3000 个 BNB 跑路，团队的主要开发者已经删除 Telegram 账号，项目代币 BMAP 单日跌幅超过 90%。以太坊挖矿项目 LV Finance 项目跑路9 月 20 日，据慢雾区情报，以太坊挖矿项目 LV Finance 项目疑似跑路，不到一个小时已有 400 万被转走，该项目通过伪造虚假审计网站并提供虚假审计信息诱骗投资者进行投资，待一段时间后资金池内金额足够大时进行跑路。目前，该项目网站 lv.finance 已无法访问。SushiSwap 仿盘项目 GemSwap 跑路9 月 26 日，名为 GemSwap 的 SushiSwap 仿盘项目被曝跑路，LP 被卷走。查询发现，该项目在 15 点左右发布推特自曝其遭受了“ whatitdobb”开发者的攻击，据了解，该项目早些时候完成了流动性迁移，但发起攻击的开发者在迁移之前就获得了相关许可，能够将流动池中的代币取走，目前尚不清楚此次攻击造成的具体损失。Eminence (EMN) 遭遇闪电贷攻击9 月 29日，yearn.finance 创始人 Andre Cronje 刚推出的游戏项目 Eminence(ENM) 遭遇闪电贷攻击，黑客将 800 万美元的资金返还给了 yearn 部署者合约。官方将重新分配受攻击的 800 万美元。DeFi Saver 交易所漏洞致 31 万 DAI 被盗10 月 8 号，去中心化钱包 imToken 发推表示，用户报告称 31 万枚 DAI 被盗，这与 DeFi Saver Exchange 漏洞有关。DeFi Saver 对此回应称，被盗资金仍旧安全，正在联系受害用户。截至目前，资金已全部归还受害用户。（详解参阅：慢雾：DeFi Saver 用户的 31 万枚 DAI 是如何被盗的？）以太坊项目 WLEO 合约遭到黑客攻击10 月 11 日，以太坊项目 WLEO 合约遭到黑客攻击，导致价值 4.2 万美元的资金被盗。黑客通过将向自己铸造 WLEO，并将其换成以太坊，从去中心化交易所 Uniswap 的池中窃取了以太坊。Harvest.finance 遭闪电贷攻击，被巨额套利10 月 26 日，有用户发现 DeFi 挖矿项目 Harvest.finance 被使用闪电贷功能实现了巨额套利。Harvest 官方发推解释称，这次套利攻击起源于一笔巨额闪电贷，并通过多次操纵 Curve y Pool 的价格，以套取 fUSDT、fUSDC 的价差进而获利。（详解参阅：慢雾：Harvest.Finance 被黑事件简析）SharkTron 匿名开发者跑路11 月 10 日，基于 Tron 区块链的 DeFi 项目、JustSwap 白名单项目 SharkTron 的匿名开发者 Daniel Wood 跑路，尽管目前不清楚具体损失，但推特用户报告称损失了 3.66 亿至 4 亿枚 TRX (价值约 1000 万美元)。Akropolis 合约遭多次连续重入攻击11 月 13 日，黑客利用 Akropolis 项目存在的存储资产校验缺陷，向合约发起连续多次的重入攻击，致使 Akropolis 合约在没有新资产注入的情况下，凭空增发了大量的 pooltokens，进而再利用这些 pooltokens 从 YCurve 和 sUSD 池子中提取 DAI，最终导致项目合约损失了203万枚 DAI。（详解参阅：无中生有？DeFi 协议 Akropolis 重入攻击简析）Value DeFi 协议遭闪电贷攻击11 月 15 日，Value DeFi 协议周六遭到了闪电贷攻击。据悉，攻击者从 Aave 协议借了 80000 ETH，执行了一次闪电贷攻击，在 DAI 和 USDC 之间进行套利。攻击者在利用 740 万美元 DAI 后，向 Value DeFi 退还了 200 万美元，保留了 540 万美元。随后，Value DeFi 团队发推证实其 MultiStables vault 遭到了“一次复杂的攻击，净损失达 600 万美元。（详解参阅：如何使用闪电贷从 0 撬动百万美元？Value DeFi 协议闪电贷攻击简要分析）Cheese Bank 遭攻击损失 330 万美元11 月 16 日，基于以太坊的去中心化自治数字银行平台 Cheese Bank 因黑客攻击遭受了 330 万美元的损失。黑客通过利用基于自动做市商 (AMM) 的预言机在 dYdX、Uniswap 等平台上进行了一系列恶意借贷操作，共导致价值超 330 万美元的损失，其中包括 200 万美元的 USDC。OUSD 遭闪电贷+重入攻击11 月 17 日，DeFi 协议 Origin Protocol 稳定币 OUSD 遭到攻击，攻击者利用 dYdX 的闪电贷进行重入攻击，造成价值 770 万 美元的 ETH 和 DAI 的损失。（详解参阅：闪电贷+重入攻击，OUSD 损失 700 万美金技术简析）Pickle Finance 未经审核的合约漏洞被利用11 月 22 日，曾被 V 神 发推文赞赏的 DeFi 项目 Pickle Finance (酸黄瓜)，因被黑客攻击未经审核新创建的智能合约漏洞，损失近 2000 万 美元的 DAI。（详解参阅：假钱换真钱，揭秘 Pickle Finance 被黑过程）Compound 喂价错误致 9000 万美元资产遭清算11 月 26 日，Compound 9000 万美元资产遭清算。Debank 创始人 hongbo表示，此次 Compound 巨额清算事件其实是因预言机数据源 Coinbase Pro 的 DAI 价格剧烈波动而导致，通过操控预言机所依赖的信息源可以实现短时间的价格操纵，以误导链上价格。Sushi Swap 遭到流动性提供者攻击11 月 30 日，据慢雾区情报，以太坊 AMM 代币兑换协议 Sushi Swap 遭到流动性提供者攻击，损失约 1.5 万美元。（详解参阅：以小博大，简析 Sushi Swap 攻击事件始末）Warp Finance 遭遇闪电贷攻击12 月 18 日，流动性 LP 代币抵押借贷 DeFi 协议 Warp Finance 遭遇闪电贷攻击，约 800 万美元被盗。后 Warp Finance 针对遭到的闪电贷攻击发布声明。据称，闪电贷攻击者最多可盗走价值 770 万美元的稳定币，不过 Warp Finance 团队已拟定计划来追回仍在抵押金库中的价值约 550 万美元的稳定币，这 550 万美元将按比例分给遭受损失的用户。（详解参阅：采用延时喂价还被黑？Warp Finance 被黑详解）Cover 合约漏洞遭黑客攻击推特网友表示，由于奖励合同中的一个漏洞，Cover Protocol 损失了 300 万美元。此外，链上数据显示，已有攻击者 (0xf05Ca...943DF) 利用 Cover 合约共增发了约 1 万枚 COVER，并且已将其换成了 WBTC 和 DAI 等资产。后区块浏览器显示，此前通过增发 COVER 获利 300 万美元的攻击者 (地址标签为 Grap Finance: Deployer) 将 4350 枚 ETH 返还给标签为 YieldFarming.insure: Deployer 的地址。Cover Protocol 官方发推文宣布，将根据漏洞被滥用之前的快照提供全新的 COVER 代币。并且攻击者退还的 4350 ETH也将通过快照处理归还给 LP 代币持有者。（详解参阅：一次由存储状态引发的惨案 — Cover 协议被黑简要分析）慢雾观点由于 DeFi 项目的火热，针对 DeFi 项目的钓鱼攻击活动越来越频繁，手法也越来越高级。投资者在进行项目投资时应注意项目风险，要注意平台用的智能合约有没有开源、平台本身有没有安全审计、智能合约有没有问题，同时任何 DeFi 项目上线前都应该经过专业安全团队的充分审计。02 交易所安全事件 Altsbit 交易所遭攻击后关闭2 月 5 日，意大利加密货币交易所 Altsbit 存放热钱包私钥的服务器被入侵，导致损失了 6.929 个比特币、23 个 ETH，以及其他数量的加密货币，随后交易所宣布于 5 月 8 日关闭。VBITEX 交易所被入侵2 月 17 日，VBITEX 交易平台发布公告称被黑客入侵，导致平台数据被恶意篡改、虚拟资产被盗。加密货币交易所 Bisq 被盗4 月 9 日，加密货币交易所 Bisq 被盗，攻击者利用 Bisq 交易协议中的一个缺陷，针对单笔交易来窃取交易资金。7 名受害者共损失 3 个 BTC 和 4,000 个 XMR。LMEX 联交所遭黑客入侵5 月 27 日，LMEX 联交所在社群发布关于交易所运营调整通知称：平台遭黑客入侵被盗损失了 15 万枚 USDT，致使平台资不低债，目前已关闭充提。加密货币交易所 Cashaa 被盗7 月 12 日，英国加密货币交易所 Cashaa 表示，黑客从其中一个钱包中窃取了超过 336 枚比特币。目前，该交易所已停止所有与加密有关的交易。西班牙加密货币支付应用 2gether 被盗7 月 31 日，西班牙加密货币支付应用 2gether 宣布被黑客盗取了 140 万美元。暗网市场 Empire Market 骗取资金后关闭运营8 月 30 日，著名暗网市场 Empire Market 已关闭运营，退出时该网站共骗取了 130 万用户的约 2638 枚比特币，价值近 3000 万美元。欧洲交易所 ETERBASE 部分热钱包被盗9 月 8 日，欧洲加密交易所 ETERBASE 遭遇黑客攻击，导致部分热钱包被盗，包括 BTC、ETH 及 ERC-20 代币、XRP、TRX、XTZ 和 ALGO。损失逾 500 万美元资产。其中，ETH 和 ERC-20 代币地址损失的资金最多，达约 390 万美元，其次是 XTZ 地址，损失约 47.1 万美元。Kucoin 交易所遭黑客攻击9 月 26 日，Kucoin 库币交易所遭到黑客攻击，大量 ETH 和 ERC20 代币被转移，其中包括 11,486 枚以太坊、19,788,586 枚 USDT、525,405 枚 Gladius (GLA)、77,874 枚 Hawala (HAT)、21,660,274 枚 Ocean Token (OCEAN)、8,893,428 枚 Chroma (CHR)、30,452,178 枚 Ampleforth (AMPL)、198,678,919 枚 Ankr Network (ANKR)等。此后，该黑客跑路资金遭到各个大交易所联合封堵。Liquid 数据泄露加密货币交易所 Liquid 首席执行官 Mike Kayamori 在官网发布通知说，11 月 13 日交易所发生了一起数据泄漏安全事件。管理一个核心域名的域名托管提供商错误地将该帐户和域名的控制权转移给了一个恶意入侵者，使其可以改变 DNS 记录，进而控制大量的内部电子邮件帐户，并且能够部分破坏交易所的基础设施并获得存储文档的访问权限。英国交易所 Exmo 发生重大安全漏洞12 月 21 日，英国加密货币交易所 Exmo 发生重大安全漏洞，导致平台已冻结所有提款。根据 The Block 的研究分析师的说法，Exmo 似乎损失了 1,050 万美元的资金。俄罗斯交易平台 Livecoin 遭攻击12 月 24 日，俄罗斯加密货币交易平台 Livecoin 遭遇黑客攻击，平台上的代币价格已被操控。慢雾观点交易所资金量巨大，很容易引来黑客的攻击，一旦出现问题几乎所有用户都会受到影响，交易所应加大防范。同时。黑客也会恶意入侵交易所使其数据泄露借此获利，平台在早期架构设计时应做好所有安防措施，避免此类信息泄露事件的发生。此外还有一些平台方暴雷跑路的恶意行为，毕竟在金钱面前，人性经不住考验。03 公链安全事件
Bitcoin Gold 遭两次 51% 攻击1 月 28 日，Bitcoin Gold 遭遇两次 51% 算力攻击，两笔对交易所的充值交易均被撤销，涉及约 1900 个 BTG 和 5267 个 BTG，接近 9 万美元。Cocos-BCX 映射钱包信息遭盗取4 月 3 日，Cocos-BCX 经与交易所核实和内部调查，由于映射钱包信息遭恶意盗取，所以出现了资产丢失和恶意抛售。与交易所核实确认后，本次被盗取的代币总额为 1,087,522,819.2 个 COCOS，交易所确认该总额已被抛售完毕。Filecoin 代码漏洞可实现 Filecoin 无限增发5 月 28 日，石榴矿池技术人员发现 Filecoin 代码中的严重漏洞，通过该漏洞可以实现 Filecoin 的无限增发。石榴矿池表示，为了证明漏洞的有效性，6 Block 旗下的三个矿工账号 t01043、t027999、t0234783 通过该漏洞已实现 16 亿 Filecoin 的增发，占据了 Filecoin 富豪榜前三名。Ravencoin (RVN) 区块链存在漏洞7 月 3 日，CryptoScope 团队发现 Ravencoin (RVN) 区块链存在漏洞，经过 rvn 首席开发团队确认后已发布了紧急更新。据悉，该漏洞可生成额外的 RVN，但是不会影响或控制已经存在的 RVN 资产。由于该漏洞造成了 RVN 总量比原计划多出了 1.5%，并且漏洞产生的 RVN 已经流入市场，因此无法进行回滚等操作。ETC 连遭三次大规模攻击8 月 1 日，Bitfly 发推称，ETC 区块链在区块高度 10904146 经历了一次 3693 个区块的链重组。这导致所有状态修建节点停止同步。ETC 链近 6 小时没有出块，随后出块恢复正常。8 月 6 日，Bitfly 官方发推称，今日 ETC 又遭遇了一次大规模 51% 攻击。攻击已导致 4000 多个区块发生重组。报告显示，此次攻击的发起者与第一次攻击事件的发起者是同一名矿工。攻击者从本次攻击中获利了至少 168 万美元。8 月 30 日，Bitfly 官方发推称，今日 ETC 又遭遇了一次大规模 51% 攻击，导致 7000 多个区块发生重组，相当于大约两天的挖矿时间。所有丢失的区块将从未到期的余额中移除，其将检查所有支出以查找丢失的交易。Chainlink 节点运营商遭垃圾邮件攻击9 月 5 日，九个 Chainlink 节点运营商遭到所谓“垃圾邮件攻击”，攻击者从他们的“热钱包”中获取了大约 700 枚 ETH。Grin 网络遭 51％ 攻击11 月 10 日，Grin 网络最近遭受 51％ 攻击。一个未知实体在周六控制了超过 57% 的网络算力。Aeternity(AE) 遭51%攻击12 月 8 日，据 Aeternity 官方推特证实，Aeternity(AE) 昨日遭到了黑客 51% 攻击，据 Aeternity 社区核心成员披露，此次 51% 攻击造成的损失超过 3900 万枚 AE 代币，官方团队正在解决问题，此次受损的主要是交易所和矿池，交易所集中于 OKEx、Gate、Binance。慢雾观点公链一旦出现漏洞就会影响整个链，所以公链在上线前一定要经过专业的安全审计。建议公链团队与可信且职业的安全团队进行深入合作，部署因地制宜的安全建议，提升安全维度。04 钱包安全事件
Electrum 多次遭遇钓鱼攻击1 月 19 日，Electrum 遭遇“钓鱼”盗币行为。8 月 30 日，GitHub 用户 ”1400 BitcoinStolen“ 表示其比特币巨额款项消失在黑客攻击中。该用户使用的是比特币钱包 Electrum 软件，该用户一直没有安全更新此软件，因此当他转移比特币时提示更新和修补潜在问题，但当他根据提示操作时，该软件利用了一个漏洞连接了黑客的服务器，1400 枚比特币(价值 1600 万美元) 被存入了黑客的钱包。10 月 12 日，ZDNet 一项调查显示，黑客通过引诱用户安装假软件更新，从比特币钱包 Electrum 的用户那里窃取了 2200 万美元。而该手法最高出现在 2018 年。而自两年前首次发现这种攻击以来，Electrum 团队已经采取了一些措施来防止这种攻击。但这种攻击仍然适用于使用旧版本应用程序的用户。IOTA 官方钱包应用 Trinity 出现漏洞2 月 12 日，黑客利用 IOTA 官方钱包应用 Trinity 的漏洞窃取资金，官方之后宣布关闭整个网络。EtherCrash 冷钱包被盗10 月 30 日，网络犯罪情报公司 HudsonRock 首席技术官 AlonGal 发推表示，10 月 27 日，自称“以太坊最成熟、规模最大的菠菜游戏 ”EtherCrash“ 冷钱包被盗，损失约 250 万美元，疑似为内部人员所为。Ledger 遭数据泄露12 月 21 日，包含 270,000 多个 Ledger 客户个人信息的数据库在 RaidForums 上泄漏，这些被泄露的信息包括 Ledger 硬件钱包购买者的电子邮件、实际地址和电话号码。RaidForums 是一个买卖、共享和共享被黑信息的市场。此次被泄漏的 Ledger 信息是由今年 6 月遭受数据泄露导致，包含超过 100 万 Ledger 客户的电子邮件。Ledger CEO 随后表示不会为遭到数据泄露的用户提供补偿。慢雾观点用户在选择钱包时尽量选择国际知名、一流的钱包，同时注意看钱包App的代码是否开源、代码是否经过安全审计、团队内是否有CSO或安全负责人，这些都可能影响到钱包不断迭代、升级过程中的安全是否有保障。同时，作为用户一定要从钱包的官网下载App，避免误入钓鱼网站下载到被植入了后门的钱包App。05 其他类型安全事件SIM 卡被黑导致被盗2 月 22 日，Bitcoin Builder 创始人、Mt.Gox 第二大债权人 Josh Jones SIM卡被黑，导致价值 $45,000,000 的数字货币被盗。Trident Crypto Fund 被攻击致数据泄露3 月 5 日，加密基金 Trident Crypto Fund 遭黑客攻击，26.6 万名用户数据被泄露。加密货币挖矿组织 BitClub Network 电信欺诈7 月 10 日，根据美国新泽西州联邦检察局发布的公告显示，程序员 Silviu Catalin Balaci 承认参与建立了加密货币挖矿组织 BitClub Network，并进行电信欺诈，出售未经注册的证券。Balaci 确认，在该计划实施的五年过程中，BitClub 从投资者手中共骗取至少 7.22 亿美元的比特币。多个推特账号被黑7 月 16 日凌晨，多位名人政要以及一些公司的推特账号被黑客袭击，这些推特账户都发布了相关的数字货币钓鱼骗局信息。不过，这些钓鱼信息在发布几分钟后就被删除。截至目前，诈骗者共收到 12.86 枚比特币。CWT 被劫持并同意支付比特币8 月 1 日，美国第五大旅游公司 CWT 同意向劫持其计算机系统的黑客支付价值 450 万美元的比特币。以色列无线芯片和摄像头传感器制造商遭勒索软件攻击9 月 7 日，黑客向以色列纳斯达克上市无线芯片和摄像头传感器制造商 Tower Semiconductor Ltd (TSEM) 进行勒索软件攻击，并索要数十万美元比特币赎金。为了安全起见，TSEM 关闭了一些正在运行的服务器，并暂停了部分工厂的生产。富士康遭勒索软件攻击12 月 8 日，富士康遭到了勒索软件的攻击，短暂地导致其在墨西哥的生产设施出现问题，并导致数据被盗。 对此，富士康回应称，其美洲工厂近日确实遭受网络勒索病毒攻击，目前其内部资安团队已完成软件以及作业系统安全性更新，同时提高了资安防护层级。同时，受影响的厂区的正在恢复网络，对集团整体营运影响不大。DeFi 保险协议 Nexus Mutual 创始人个人地址被攻击12 月 14 日，DeFi 保险协议 Nexus Mutual 在推特上表示，其创始人 Hugh Karp 的个人地址被一位平台用户攻击，被盗 37 万 NXM，损失超过 800 万美元。官方表示这是一次具有针对性的攻击，只有 Karp 的地址收到影响，Nexus Mutual 或其他成员没有后续风险。官方称，Karp 使用的是硬件钱包，攻击者获得了对他电脑的远程访问权限，并修改了钱包插件 MetaMask，欺骗他签署了交易，将资金转移到攻击者自己的地址。OneCoin 加密货币庞氏骗局12 月 14 日，阿根廷科尔多瓦市检察院起诉了涉及 OneCoin 加密货币庞氏骗局案件的 12 名诈骗者，并于上周四下令逮捕，目前其中八人已被捕。此前报道，OneCoin 庞氏骗局使相关投资者在从 2014 年 4 月至 2018 年 3 月期间因投资该项目遭受了共 44 亿美元的财务损失。慢雾观点最近市场变热，随之而来的是勒索、诈骗、传销、钓鱼事件层出不穷。针对平台或个人的各类攻击形势严峻，目前已经造成大量个人百万到千万级别的损失！请大家务必提高警惕，加强自身安全意识，务必开启二次认证 (短信或 GA，不推荐使用邮箱验证码)，谨慎保管好各类私密信息。2020 年是跌宕起伏的一年，疫情黑天鹅、比特币从 3.12 事件低谷恢复并于近期涨至接近历史高点、流动性挖矿 DeFi 繁荣增长并快速落地等。区块链既是未知的，又是充满可能性的，希望区块链新的一年能迸发出更大的能量，创造出更多元化的产业。