2019年数字资产犯罪事件总结及分析

科技是一把双刃剑，有利也有弊，数字资产也不例外。技术本身的特性和缺陷，加上监管的滞后与不足，金融风险如影随形，安全问题不断暴露出来，金融案件如期而至。数字资产成为了洗钱、恐怖融资、金融诈骗、非法集资等涉众型经济犯罪的重要工具，各种数字货币非法犯罪案件愈演愈烈。

在2019年数字资产犯罪案件中，美国占比为28%为全球最多，欧洲占24%，其后为中国占比18%。通过数据统计，从2019年1月至2019年12月中旬，全球约发生超万次数字资产黑客事件，我国发生的与数字资产相关刑事案件多达2000件。

2019年全球数字资产犯罪案件类型包括黑客攻击盗币、诈骗、非法集资、洗钱、暗网非法交易等，总计损失超60亿美元，网络犯罪和暗网交易类涉案金额大体相当，项目方跑路类涉案金额是前二者的2倍还多，其中由于系统漏洞对区块链造成的损失超过10亿美元。

数字资产非法犯罪案例不仅从未停止，并且2019年犯罪手段层出不穷，勒索软件、资金盘跑路模式花样新翻，犯罪团伙来源广泛，犯罪案件数量、犯罪活动涉及总金额呈递增趋势。

（一） 黑客攻击盗取数字资产

1、交易所漏洞

在近一年来，交易所安全事件层出不穷，从1月的Cryptopia交易所两次遭受黑客攻击，被盗ETH和ERC20币种代币损失超过1600万美元，再到11月27日韩国Upbit交易所被盗34万ETH，预计损失超过4900万美元。

在2019年内，共计超过28起交易所安全事件，其中超过7成为交易所数字资产被盗事件，其余包括交易所跑路、交易所信息泄露及其他资产丢失事件，共计超过13亿美元损失。

典型案例：

• 2019年3月24日，DragonEx平台钱包遭受黑客入侵，导致用户和平台的数字资产被盗，统计显示，DragonEx 交易所共损失了价值 6,028,283 美元的数字资产。

• 2019年5月8日早晨，币安官方发出公告称在系统中发现“大规模安全漏洞”，黑客使用了复合型技术，包括网络钓鱼、病毒等其他攻击手段，在区块高度575012处从币安热钱包中盗取7000枚比特币。致使交易所损失4100万美金。

• 2019年11月27日，韩国交易所UpBit安全系统遭到破坏，失窃34200个以太币。致使交易所损失超5000万美金。

针对交易所漏洞问题，我们建议：

（1）、交易所要对系统安全体系有足够的重视，不仅要有合理的安全架构，更要对系统进行整体的安全测试，对于安全公司已经报出来的安全漏洞要及时自查，避免遭到同样攻击。

（2）、交易所要建立完善的风控应急预案，交易所无论技术多么成熟也可能百密一疏被黑客找到可以利用的漏洞，因此在交易所系统中，突发事件引起交易异常和资金被盗时，完善的应急处理机制和补偿机制就显得尤为重要，例如采取风险基金来应对出现的安全事故，或者为用户资金投保，来对冲数据泄露或盗币事件对用户资金带来的影响。

（3）、交易所项目方在难以对自身交易所系统进行全面的安全系统架构时，就需要考虑使用第三方的安全产品或与安全公司合作来共同打造交易所的安全交易环境和风控应急处理机制。

2、智能合约漏洞

2019年DApp数量持续增加，据统计，截止12月初，目前运行在ETH、EOS、波场等公链上的DApp总数量超3000个，智能合约漏洞事件今年超百起，大多被黑事件发生于EOS DApp，截止目前DApp被黑总损失超1000万美元。

EOS公链上今年共发生超60起典型攻击事件，1-4月为集中爆发期，占全年攻击事件的67%，主要原因为EOS公链上菠菜类应用的持续火爆，加之项目合约代码安全性薄弱，导致黑客在多个DApp上就同一个漏洞进行连续攻击，手法主要以交易阻塞、回滚交易攻击，假EOS攻击，随机数破解等。

TRON公链上今年共发生近20起典型攻击事件，主要集中在4、5、7月，以小规模攻击为主，手法为回滚交易为主。

ETH公链今年未发生较严重的DApp攻击事件，一是因为ETH公链上菠菜竞猜类合约数量较少，热度不够，二是因为整体来说ETH智能合约项目方在安全方面做的较完善。

典型案例：

• 2019年4月11日凌晨00:17，TCX1Cay开头的黑客，创建了大量BTTx假币，并于凌晨00:25至01:00之间向多个地址转入共计4,000万个BTTx代币，并把假的BTTx洗成真BTT进而对TXHFhq开头的BTTBank游戏合约实施攻击，共计损失1.8亿BTT。

• 2019年7月23日，18:49至22:24分，黑客向波场竞猜类游戏TronChip发起连续攻击，共计获利61,867个TRX。造成此次攻击的原因为游戏合约遭到随机数被破解。

• 2019年9月14日，EOS DApp EOSPlay 中的 DICE 游戏遭受新型随机数攻击，损失金额高达数万 EOS。攻击者（账号：muma**mm）在此次攻击过程中利用 EOS 中的经济模型的缺陷，使用了一种新型的随机数攻击手法对项目方进行攻击。

针对智能合约漏洞问题，我们建议：

（1）、游戏合约开发者应该重视游戏逻辑严谨性及代码安全性。

（2）、尽快将合约代码开源，让更多专业人士和技术团队参与进来，分析整理出易发生的意外事件，提升合约编写的安全性和功能准确性，防患于未然。

（3）、项目方全方面做好智能合约安全审计并加强风控策略，必要时可联系第三方专业审计团队，在上链前进行完善的代码安全审计。

3、钱包漏洞

在过去的一年内，钱包安全问题从未停止过，与之交易所类似，准入门槛低，安全性差，在缺乏监管的情况，极易爆发出钱包携巨款跑路事件。

钱包本身也存在很多安全隐患，容易受到黑客攻击，包括存在钱包APP伪造漏洞、交易密码未检测弱口令、核心代码未加固、未检测到系统运行环境、操作存在截屏及录屏记录等隐患。从6月初钱包GateHub爆出已经被盗超过2300万XRP开始，全年有超过7起钱包安全事件，损失过亿人民币。

典型案例：

• GateHub是一个用于安全存储/处理XRP的钱包和网关，从第一名被害者被盗1万XRP开始，到2019年6月，已经有超过80-90个用户的超过2300万XRP被盗。其中已经有超过1300万个XRP通过交易所或洗钱服务洗白。

• 10月11日，加密货币钱包ZenGo CEO Ouriel Ohayon推特爆料，网页加密货币钱包Safuwallet被黑客通过注入恶意代码窃取了大量资金。
  

• 8-9月，比特币钱包Electrum两次遭黑客钓鱼攻击，据多方统计，伪造Electrum升级提示的钓鱼攻击已盗窃至少1450枚BTC，价值1160万美元。

针对钱包漏洞问题，我们建议：

（1）、数字货币钱包服务商一方面应加强对钱包进行安全审计，另一方面要进行包括域名系统安全检测、主机实例安全检测、服务端应用安全检测等一系列审核，同时还要监控私钥、助记词、交易过程、数据存储的安全。

（2）、对于会经常使用到在线钱包的用户，在不同平台设置不同的密码，并且开启二次认证，其次建议资产占有量较大的个人投资者最好将冷钱包与热钱包配合使用，根据具体使用需求分配使用冷热钱包，做到冷热分开，以便隔离风险。

4、公链漏洞

2019年共发生超8起公链被攻击事件，其中半数以上为51%攻击，相对于2018年攻击频率减少，造成损失较小。

典型案例：

• 1月5日，以太坊经典（ETC）遭多次51%攻击，8万枚ETC被用于双花。

• 8月9日，黑客向莱特币发起“粉尘攻击”，受影响的地址达294582个。

目前除了BTC、ETH等足够大的公链几乎不可能遭受51%攻击之外，各非大型公链以及一些小公链币种都应小心来自51%攻击的威胁。

在应对51%攻击时，应尽量保持算力分散，过度集中的算力是导致51%攻击的直接原因，在中本聪的共识基础下，51%攻击理论上是永远存在，设置完善的风控预警机制，交易所采用良好的防御机制，在遭遇51%攻击时可以提高区块确认数，暂停充提币，冻结可疑账户等措施及时避免损失。

—-

编译者/作者：顺其自然吧

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。