盘点：黑客今年卷走币圈 10 亿美金，交易所、DApp、钱包无一幸免

2018 年，加密货币领域发生了大量黑客攻击事件。据统计，这一年黑客卷走超过 10 亿美金，交易所是重灾区，DApp、个人钱包、公司服务器无一幸免，纷纷沦为黑客的「提款机」。

目前，全球加密货币总市值约为 1000 亿美金，天量的财富，监管的缺失，层出不穷的技术漏洞，都给了黑客可乘之机。

2018 年，有哪些严重的黑客攻击事件呢？

被盗的加密货币交易所

据网络安全公司 CiferTrace 10 月发布的一份报告显示，2018 年前 9 个月，通过黑客入侵交易所窃取的加密货币飙升至 9.27 亿美金，已经是整个 2017 年的 2.5 倍。

这其中最具代表性的是号称全球第四大加密货币交易所 Bithumb 被盗事件。Bithumb 也是韩国最大的交易所，在不到一年半时间内，该交易所被「黑客」攻破 3 次，导致价值 3000 多万美金的加密货币被盗，3 万名用户资料遭泄露。

今年 1 月 26 日，日本第二大加密货币交易所 Coincheck 发生了新经币（XEM）被盗事件，直接经济损失达到 5.34 亿美金。这也是 2018 年最大的加密货币被盗案件。

3 月 7 日，币安出现了新型的黑客攻击事件，黑客攻破了系统后，没有直接提币，而是借助「金融手段」，利用声东击西的方式，造成全球加密货币大跌，进而在二级市场做空套利，神不知鬼不觉。

为什么加密货币交易所安全问题层出不穷？

今年 6 月 20 日，韩国科技部（MIC）表示，他们在调查了韩国 21 家加密货币交易所，结果显示，其中大多数交易所都存在安全漏洞。

漏洞形式包括网络隔离不足，缺乏针对异常或可疑活动的监视系统，以及密钥和密码安全管理不足等等。MIC 还发现，有 12 所加密货币交易所甚至完全没有安全系统。

而交易所安全漏洞问题，不仅出现在韩国， 就像韩国科技部调查报告所显示的那样：「大部分交易所都存在安全漏洞。」

以下是我们梳理的 2018 年加密货币交易所被盗事件，以及相关事件的具体细节。

2018 年，交易所安全事件

（1） 1 月，日本最大的数字加密货币交易所 Coincheck 被盗走价值 5.34 亿美元的 XEM。Coincheck 是日本第二大交易所，在之后的官方发布会上，Coincheck 表示，XEM 被盗是因为存储 XEM 的热钱包的私钥被黑客所窃取，但是没有其他币种被盗。受此事件影响，XEM 当天下跌 9.8%。

（2） 2 月 11 日，意大利加密货币交易所 BitGrail 被攻击，价值 1.7 亿美元的加密货币 NANO 被盗。

（3） 3 月 7 日，Binance 遭到黑客入侵，黑客通过控制币安部分账户，卖出这些账户持仓的比特币，买入 VIA 币，导致 VIA 逆市大涨。币安将异常交易进行了回滚处理，但此事件依然引起市场恐惧，随后几天比特币跌幅超过 15%。

（4） 4 月 1 日，Bit-Z 遭遇黑客攻击，未造成资金损失。为此 Bit-Z 专门设立了 10000 个 ETH 安全基金，用于奖励安全漏洞提交者。这笔奖励在当时价值 400 万美金。

（5） 4 月 13 日，印度三大比特币交易所之一 Coinsecure 在官网发布公告称，该交易所 438 个 BTC 失窃，价值约 330 万美元。该交易所首席安全官 Amitabh Saxena 被列为嫌疑人。这是印度最大的加密货币被盗事件。

（6） 6 月 5 日，Bitfinex 遭到「拒绝服务（denial-of-service）」攻击，Bitfinex 随即暂停了交易所的所有交易。

（7） 6 月 10 日，韩国数字加密货币交易所 Coinrail 遭到黑客攻击，损失超过 5000 万美元。Coinrail 加密货币总量的 70% 被保存在冷钱包，被盗总量的三分之二已被追回。

（8） 6 月 20 日，韩国加密货币交易所 Bithumb 被黑客攻击，价值 3000 万美元的加密货币被盗，这是 Bithumb 第三次被黑客攻击。

此前，该交易所还遭受了两次「黑客攻击」。

第一次：2017 年 4 月，Bithumb 某员工电脑被黑，导致超过 3 万名用户的资料被窃，Bithumb 也因此被韩国监管机构罚款 5.5 万美元。

第二次：2017 年 12 月 22 日，韩国 MBC 电视台雇佣了一家安保公司，对包括 Bithumb 在内的 5 家韩国交易所进行安全测试。该安保公司成功「黑入」包括 Bithumb 在内的 5 家交易所，并获取了部分用户数据和资金。受雇「黑客」声称仅使用了「基本的黑客技巧」。

但是，安全问题并未引起交易所足够重视，这才导致了 2018 年 6 月份的黑客事件发生。

（9） 9 月 20 日，日本数字货币交易所 Zaif 宣布遭受黑客攻击，损失 5967 万美元。其中 1959 万美元属于该交易所自有资金，其余 4007 万美元属于客户资金。

被黑客瞄上的 DApp

交易所是重灾区，最近话题度颇高的 DApp，也已经被黑客顶上。

自从以太坊主网上线以来，DApp 数量逐渐增加。据 Dapp.review 最新数据显示，目前运行在以太坊、EOS、波场等公链上的 DApp 总数量超过 1900 个。

虽然 DApp 生态建设只处于初步发展阶段，但是 DApp 相关的安全问题却层出不穷。截止 12 月份，由于 DApp 漏洞导致的损失已经高达 39.5 万个 EOS 与 1.3 万个 ETH。按照两者最高市值计算，损失财富超过 2700 万美金。

据公开资料，2018 年下半年 DApp 安全事件集中爆发，黑客攻击事件主要发生在 EOS 主网。而黑客攻击手段花样百出：随机数攻击、种子漏洞、假币攻击 ......

EOS 作为被寄予厚望的企业级区块链操作系统，基于此的 DApp 为什么会发生如此多黑客攻击事件？

今年 5 月份，EOS 创始人 BM 曾表示，为 EOS 主网提供有价值的漏洞将获得 1 万美金的报酬。该悬赏令颁布之后，一位名叫「Jon Bottarini」的网友透漏，有人仅一天就发现了 8 个漏洞，获得 8 万美金奖励。这也充分说明 EOS 主网本身存在大量安全问题。

实际上，针对 EOS 上 DApp 的攻击，正越来越专业化、团队化。

11 月份以来，作为三大 EOS 竞猜类 DApp，EOSDice、FFgame 和 EOS.WIN 先后发生了「随机数漏洞」攻击。据知情人士爆料，这些攻击案件系一人或者同一团队所为。该知情人士表示，已经成功锁定黑客交易所账户。

相较于 EOS 网络，以太坊的黑客攻击事件要稍微少一些。

目前最为严重的是发生在今年 8 月份的 Fomo 3D 被黑事件。黑客堵塞了以太坊网络，利用该游戏本身的规则设定，赢得了 10469 个以太坊。按照当时价格计算，这笔以太坊价值 300 万美金。

随后，在 9 月 24 日，黑客采用相似手段拿到了第二轮游戏的奖励。

下面是 2018 年以来 DApp 上发生的黑客攻击事件，以及相关事件具体细节：

2018 年，DApp 安全事件

（1） 7 月 25 日，狼人游戏（EOS 版本的 Fomo3D）出现「溢出」漏洞，导致游戏损失 60686 个 EOS。EOS 核心仲裁论坛（EACF）对黑客的行为仲裁后，签发新的仲裁令，冻结黑客的 EOS 账户：eosfomoplay1。

（2） 8 月 22 日，Fomo 3D （Last Winner）遭受黑客攻击，损失 10469 个 ETH （价值约 300 万美金）。安比（SECBIT）实验室首次宣布断定 Fomo3D 大奖获得者采取了一些「特殊攻击技巧」，攻击者通过高额手续费吸引矿工优先打包，最终以较低成本针对性地堵塞区块，加速游戏结束，提高自己获胜概率。

9 月 24 日，Fomo 3D 第二轮游戏开始之后，黑客采用相似的攻击手段，拿到了 3264.668 个以太坊奖励。

（3） 8 月 27 日，Luckyos 旗下的石头剪刀布游戏被黑客攻破，损失未知。

（4） 9 月 2 日，EOS.win 「随机数」被黑客攻击，导致损失 2000ESO。

（5） 9 月 10 日，EOSBet 遭到黑客攻击，共计损失了 4000 个 EOS；4 天后，EOSBet 再次遭黑客「假通知」攻击，损失 145321 个 EOS，目前损失已被追回。

（6） 9 月 12 日，LuckyGo 遭到攻击者 iloveloveeos （恶意合约）而被迫下线。当天晚上，iloveloveeos 又迅速攻击了新上线的游戏 LuckyGo。这两次攻击都属于「随机数缺陷攻击」。

（7） 9 月 12 日 EOS Happy Slot 遭黑客重放攻击，损失 5000 个 EOS。一名账号为 imeosmainnet 的黑客利用「重放攻击」，导致项目方损失了 5000 个 EOS。

（8） 9 月 14 日，去中心化交易所 Newdex 遭到黑客攻击。黑客利用假币在交易所换区真币，共计获利 11803 个 EOS。

攻击过程是这样的：攻击者创造了一种全新的代币，发行量也是 10 亿（EOS 发行量为 10 亿），并将其命名为「EOS」。攻击者采用特殊的方法，用 11800 个假 EOS 在 Newdex 上兑换出了大量等值真币。

（9） 9 月 15 日，EOS.Win 遭受黑客假币攻击，共计损失超过 4000 个 EOS。

11 月 11 日， EOS.Win 还在 11 月 11 日遭受了第二次攻击。此次攻击黑客在一分钟之内，共计向 EOS.WIN 游戏合约（eosluckydice）发起 10 次攻击，获利超 9180 个 EOS。

（10） 10 月 16 日，World Conquest 遭受黑客「缴税规则」攻击，拒绝其他玩家参与，进而盈利 4555 个 EOS；

（11） 10 月 26 日，EOS Royale 遭受黑客「随机数」攻击，损失 10800 个 EOS。过程是这样的：黑客通过调用随机数发生器，计算出先前区块的信息，进而获得游戏随机数，从而破解 EosRoyale 钱包，并窃取价值 60000 美金的 EOS 代币。

（12） 10 月 28 日，EOS Poker 遭受黑客「种子漏洞」攻击，损失 1374 个 ESO。

（13） 10 月 31 日，EOSCast 遭遇黑客假币攻击，导致 72912 个 EOS 被黑客转走。根据游戏规则，黑客分别用 100、1000、10000 个假 EOS 代币进行攻击，每次攻击可得到 198、9800、19600 个不等的 EOS。在进行最后一次攻击时，游戏方察觉到异常攻击，及时转走了奖金池仅剩的 8000 个 EOS。

（14） 11 月 1 日，EOS CAST 遭到黑客攻击，导致 72912 个 EOS 被盗。ECAF （EOS 核心仲裁委员会，对智能合约有仲裁权限）针对此事件即时响应，并发布了仲裁令，冻结了相关涉事账户。

（15） 11 月 4 日，EOSDice 发公告称智能合约遭到攻击，但由于其拥有自动检测功能，在攻击之后，合约自动将剩余资金转移至安全地址。此事件导致 EOSDice 损失 2545 个 EOS。

（16） 11 月 8 日，FFgame 遭遇了黑客攻击，黑客账户 jk2uslllkjfd 向 FFgame 游戏合约 (eoswallet415) 发起多达 304 次攻击，共计获利 1331.2922 个 EOS。

（17） 11 月 10 日，黑客向 MyEosVegas 游戏合约 (eosvegasjack) 发起超 700 次攻击，已获利超 9000 个 EOS。

（18） 11 月 26 日，竞技类 DApp 遭遇了前所未有的回滚攻击。慢雾安全团队表示：「此次攻击手法为新型攻击手法，相关 DApp 项目方应立即自查。」

（19） 12 月 3 日，Dice3D 遭遇黑客攻击，损失 10569 个 EOS。黑客已将被盗的 EOS 转至火币。Dice3D 官方决定自费拿出部分 EOS 给予玩家补偿。

2018 年钱包安全事件

今年 12 月 5 日，网络黑客 TheHackerGiraffe 声称自己仅仅通过低级别攻击就控制了 5 万台网络打印机。

黑客控制这些打印机绝不是为了炫技，而是为了获得打印机内存中的文件。

从加密货币安全角度来看，用联网打印机打印比特币钱包密钥是非常危险的行为。密钥相关文件被存储于设备的内存中，就有可能被黑客盗走，进而提走钱包中的比特币。

更为严重的是，该黑客表示，自己只需要 30 分钟，就能成功控制这 5 万台打印机。加密货币钱包的安全问题确实不容忽视。

相对而言，确保加密货币钱包安全是系统性问题，需要考虑的问题包括基础安全体系、秘钥管理安全管理、开发流程安全、用户行为安全。每一个方面都是一门全新的课题。

也许正是由于钱包安全管理的复杂性，才导致目前层出不穷的安全问题出现。

2018 年，最具代表性的加密货币盗窃事件是发生在中国陕西西安的价值 6 亿人民币的加密货币被盗案件。虽然黑客最终被警方抓获，但是已经造成无法挽回的损失。

就如透社所报道的，由于加密货币可以轻易地跨越不同的国界，目前被盗的加密货币只有 20% 被找回。

下面是 2018 年以来钱包相关的黑客攻击事件：

2018 年，钱包相关安全事件汇总

（1） 1 月 8 日，Reddit Tippr 用户被黑客盗走了数千个 BCH （比特币现金）。

（2） 1 月 17 日，XLM 钱包被攻击，超 40 万美元 XLM 被盗。事件起源是黑客劫持了 BlackWallet.co 的 DNS 服务器，据估计，此次攻击事件，导致近 70 万个 XLM 被盗，价值超过 40 万美元。

（3） 1 月 19 日，imToken 钱包被黑客攻击，导致用户价值超过 250 万人民币的 BTM 被盗。受害者表示其手机和电脑都有存私钥，但不清楚盗币者如何得逞。同时，imToken 也积极帮助用户进行调查，但未找到关于盗币黑客的任何信息。

（4） 1 月 22 日，黑客入侵 IOTA 钱包，盗走价值 400 万美金的 IOTA。据 CCN 报道，原因出在用户用来生成 IOTA 钱包私钥的网站被黑。

（8） 3 月 4 日，钛合金区块链（TBIS）发布推特宣称遭受黑客攻击，公司钱包被盗窃了 1870 万 BAR 代币（约 90 万美元）。

（5） 4 月 17 日，数字货币投资者和 Youtube 博主 Ian Balina 昨晚在直播评论 ICO 项目时受到黑客攻击，黑客从他的 Etherscan 钱包中转移了超过 200 万美元的数字货币。

（6） 4 月 25 日，MyEtherWallet 遭劫，共损失约 500 个 ETH。

（7） 6 月 6 日，日本零售商 Shopin 的 MEW 钱包遭到黑客攻击，损失了超 1000 万美元的加密货币。其中包括以太坊、Level Up、Orbs 与 Shopin。

（8） 8 月 15 日，陕西省西安市警方抓获了三名高级黑客嫌疑人，三人曾共同合作，盗取价值了 6 亿元加密货币。

今年 3 月 30 日，盗窃事件发生之后，受害人张姓男子报案，称自己的电脑被非法攻击，价值数亿元的虚拟货币被洗劫一空。随后警方展开搜捕工作，今年 8 月 15 日，三名黑客被警方逮捕。

（9） 9 月 25 日，EOS 持仓大户 gm3dcnqgenes 账号被盗，共计损失 209 万个 EOS （约 1080 万美元）。

（10） 10 月 22 日，瑞士区块链公司 Trade.io 称，其冷钱包中的 5000 万 TIO 被盗，价值 750 万美金，其中 130 万 TIO 被转移到 Kucoin 和 Bancor 两个交易所。Kucoin 已经暂停了 TIO 的交易，而 Bancor 则永久删除了 TIO。

（11） 10 月 25 日，Reddit 用户账户遭黑客攻击，黑客从他的钱包中盗窃了 14 个比特币 (89500 美元)、22 个 ETH(4400 美元) 和大约 1170 万个 COSS 代币 (77 万美元)，这些加密货币总共价值 86.4 万美金。

针对企业、政府部门黑客攻击事件

2017 年 5 月 12 日，WannaCry 勒索病毒全球大爆发，至少 150 个国家、30 万名用户中招，造成损失达 80 亿美元。

WannaCry 是继「熊猫烧香」之后，影响范围最大网络黑客勒索事件。中招的用户被要求在 72 小时内支付价值 300 美元的比特币。黑客之所以选中比特币，是因为它比传统支付手段更难以追踪。

虽然 WannaCry 影响范围很大，但与黑客们关联的三个账户一共收到了 14.3 万美元的赎金，折合 52.2 枚比特币。有人戏称：「闹了这么大动静，收益这么点，这是黑客界的耻辱」。

这显然是「不划算」的，随着加密货币体量迅速增长，黑客攻击方式也逐渐增多。

进入 2018 年以来，「植入挖矿软件」恶意挖矿受到了黑客青睐。谷歌、甲骨文、YouTube、特斯拉等知名大企业纷纷中招，更有甚者罗马尼亚市政厅电脑也被黑，而被黑客植入挖矿程序的个人电脑更是不计其数。据公开资料，黑客劫持政府、公司、个人电脑，大多是为了挖掘门罗币。

而之前只存在于理论的双花攻击，也在这一年出现了，比特币黄金因此损失了 1800 万美金。

今年，黑客也利用以太坊网络智能合约漏洞对 BEC、SMT 进行了攻击，造成相关项目市值大跌。

下面是 2018 年以来公司、组织、政府遭到的黑客攻击事件：

2018 年，针对企业、政府部门黑客攻击事件

（1） 1 月 4 日，谷歌浏览器插件 Archive Poster 被网络安全研究人员发现遭植入采矿程序，用户只要开启谷歌浏览器，电脑资源就会被用来开采门罗币，该插件在 Google App Store 下载次数数超过 10 万。

（2） 1 月 7 日，黑莓手机网站被植入程序用以挖门罗币。

（3） 1 月 10 日，黑客利用 Web 漏洞，将甲骨文服务器变成了挖矿工具。研究人员表示，攻击者利用该漏洞获得了至少
611 个门罗币（XMR），总价值约 22.6 万美元。

（4） 1 月 27 日，安全专家研究发现，黑客将一段恶意 JavaScript 代码注入 YouTube 网站和广告中，用户加载 YouTube 视频时，名为 Cryptojacking 的恶意代码就会启动，占用掉用户 80% 的 CPU 性能来挖掘门罗币。

（5） 2 月 2 日，加密货币初创企业 BeeToken 被黑客入侵，成功盗走价值 100 多万美元的 Ethereum。

（6） 2 月 23 日，湖北襄阳南漳县人民医院系统被植入勒索病毒后陷入瘫痪，黑客要求支付比特币才能恢复正常。据知情人士透露，黑客要求支付价值 30 万元的比特币之后，才会解锁。24 日，湖南儿童医院也同样受到了黑客的入侵，并被要求支付 1 枚比特币。

（7） 2 月 26 日，特斯拉云计算账户被黑客植入病毒，用于挖掘加密货币。

（9） 3 月 16 日，元界 (ETP) 宣布主网受黑客攻击，为保证网络安全，元界在 1030000 区块高度进行了硬分叉。

（10） 4 月 22 日，BEC 智能合约出现溢出漏洞，攻击者通过利用代币合约的批量转账方法无限生成代币，导致 BEC 代币价格直线下跌。4 月 25 日，SMT 被爆出现与 BEC 相同漏洞。

（11） 5 月 22 日，XVG 协议出现漏洞，黑客利用该漏洞盗取了大约 60 万美元的 XVG 代币。

（12） 5 月 28 日，比特币黄金（Bitcoin Gold）遭到双花攻击，损失 1800 万美金。

（13） 8 月 22 日，游戏平台 God.Game 称遭黑客攻击，智能合约中以太坊总量归零。

（14） 9 月 11 日，巴西被感染挖矿病毒的路由器总量达 28 万台。据当时调查，黑客在巴西各地创建了一个庞大的门罗币挖掘僵尸网络，该网络能够用恶意代码感染设备。

（15） 9 月 26 日，Crowd Machine 团队遭黑客攻击，10 亿 CMCT 被盗。

（16） 10 月 16 日，黑客挟持罗马尼亚市政厅所有电脑，并要求比特币赎金。

（17） 11 月 4 日，11 名黑客盗窃价值逾 8 万美元 BTC，已被土耳其警方拘留。

（18） 11 月 12 日，比特大陆发起了一起诉讼，称一位化名为「John Doe」的黑客攻击了其币安账户，有 617 枚比特币被盗，当时价值约 550 万美元。

频繁的黑客事件已经引起了政府部门、媒体机构、个人投资者的高度关注。

有人认为这个行业已经变得极度危险，因而需要敬而远之。也有人认为这恰恰说明加密货币领域受到了前所未有的关注。

如 BItcoin.com CEO Roger Ve 所言：「这（黑客攻击事件频发）也从侧面证明了加密货币行业的价值所在。如果毫无价值，黑客怎么会花时间攻击呢？」

—-

编译者/作者：31区

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。