数据与安全

  • 数字货币交易所安全事件频发,盘点10大安全风险

    本文原发于:CSDN CSA GCR 区块链安全工作组交易所安全小组对于过去几年交易所发生的安全事件进行了分析,按照安全事件的发生频率和资金损失程度总结了主要的十个安全风险。 【原创作者】邓永凯、黄连金、谭晓生、叶振强、余晓光、余弦(按拼音字母排序)【审核专家】陈大宏、赵勇 1 高级长期威胁(APT:Advanced Persistent Threat) 风险描述:高级长期威胁(英语:Advanced Persistent Threat,缩写:APT),又称高级持续性威胁、先进持续性威胁等,是指隐匿而持久的电脑入侵过程,通常由某些人员精心策划,针对特定的目标。其通常是出于商业或政治动机,针对特定组织或国家,并要求在长时间内保持高隐蔽性。高级长期威胁包含三个要素:高级、长期、威胁。高级强调的是使用复杂精密的恶意软件及技术以利用系统中的漏洞。长期暗指某个外部力量会持续监控特定目标,并从其获取数据。威胁则指人为参与策划的攻击。数字货币交易所的高级长期威胁一般是黑客在攻击之前对攻击对象的业务流程和目标系统进行精确的收集。在此收集的过程中,此攻击会主动挖掘被攻击对象身份管理系统和应用程序的漏洞,并利用电子邮件和其他钓鱼手段安装恶意软件潜伏等待成熟时机会,再利用0 day 漏洞或者交易所流程方面的漏洞进行攻击。比较著名的针对数字货币交易所的APT黑客团队包括CryptoCore(也被称呼为:Crypto-gang”,“Dangerous Password”, “Leery Turtle”大概成功盗取2亿美金)和 Lazarus(大概盗取5亿美金)。 2 分布式拒绝服务(DDOS) 风险描述:分布式拒绝服务攻击DDoS是一种基于拒绝服务攻击(DoS)的特殊形式。是一种分布的、协同的大规模攻击方式。单一的DoS攻击一般是采用一对一方式的,它利用网络协议和操作系统的一些缺陷,采用欺骗和伪装的策略来进行网络攻击,使网站服务器充斥大量要求回复的信息,消耗网络带宽或系统资源,导致网络或系统不胜负荷以至于瘫痪而停止提供正常的网络服务。与DoS攻击由单台主机发起攻击相比较,分布式拒绝服务攻击DDoS是借助数百、甚至数千台被入侵后安装了攻击进程的主机同时发起的集团行为。数字货币交易所经常受到DDOS攻击。 3 内鬼监守自盗(Insider Attack) 风险描述:交易所内部人员利用公司内部安全流程的漏洞,监守自盗;或者在离开交易所以后利用流程和安全控制方面的漏洞发起攻击。 4 API 安全风险问题 风险描述:交易所一般都会公开订单查询、余额查询、市场价格交易、限价交易等等API。API的安全如果没有管理好,黑客可以利用API安全漏洞盗取资金。一般可能的API安全漏洞如下: (1)没有身份验证的API API必须有身份验证和授权机制。符合行业标准的身份验证和授权机制(例如OAuth / OpenID Connect)以及传输层安全性(TLS)至关重要。 (2)代码注入 这种威胁有多种形式,但最典型的是SQL,RegEx和XML注入。在设计API时应了解这些威胁并为避免这些威胁而做出了努力,部署API后应进行持续的监控,以确认没有对生产环境造成任何漏洞。 (3)未加密的数据 仅仅依靠HTTPS或者TLS对于API的数据参数进行加密可能不够。对于个人隐私数据和资金有关的数据,有必要增加其他在应用层面的安全,比如Data Masking, Data Tokenization, XML Encryption 等等。 (4)URI中的数据 如果API密钥作为URI的一部分进行传输,则可能会受到黑客攻击。当URI详细信息出现在浏览器或系统日志中时,攻击者可能会访问包括API密钥和用户的敏感数据。最佳实践是将API密钥作为消息授权标头(Message Authorization Header)发送,因为这样做可以避免网关进行日志记录。 (5)API Token 和 API Secret 没有保护好 如果黑客能够获得客户甚至超级用户的API Token 和 API Secret ,资金的安全就成为问题。 没有对于API的使用进行有效的检测,黑客可能利用API进行多账户、多笔的转账。API的实时安全检测如果不能判断这种攻击,就会有损失。 5 假充值问题(False Top-up) 风险描述:假充值是指链上逻辑错误或交易所链上链下对接的时候,对交易的检验不够严谨导致的错误入账的问题。 6 交易所热钱包存储过多资金,成为黑客目标 风险描述:交易所热钱包存储过多资金,成为黑客目标,这个风险与交易所热钱包有关的IT系统的漏洞、采用不安全的存储方式对私钥进行存储、安全意识较低有关。黑客采用包括但不限于以下的方式进行攻击: 恶意链接钓鱼收集用户信息。黑客投放恶意链接引导用户点击,借此收…

    2021年1月29日
    118 0
  • 2020年加密货币领域的黑客攻击、漏洞攻击和盗窃事件

    与前几年不同的是,2020年的主要加密货币新闻并不是大型交易所遭遇黑客攻击和价值数百万美元的比特币遭遇盗窃。然而,仍然有相当多的黑客事件发生,其中大部分都起源于新兴的去中心化金融(DeFi)领域。 DeFi是2020年加密市场发展势头的主要推动力量之一,并且这有理由说明为什么DeFi一直吸引诈骗者和黑客。大量未经审计的智能合约加上克隆代码让黑客加以利用,它们经常导致数百万美元的数字资产被窃取。 CipherTrace 11月的一份报告称,2020年上半年发生的所有盗窃和黑客行为导致了超过5000万美元损失,这些事件中DeFi占了45%。报告称,今年下半年,这一比例升至50%。在接受Cointelegraph采访时,CipherTrace首席执行官Dave Jevans警告称,DeFi可能会遭受监管打击:“DeFi黑客事件现在占2020年所有加密货币黑客事件的一半以上,这一趋势正吸引监管机构的注意。” 他补充说,监管机构更担心的是缺乏反洗钱合规:“KuCoin被盗2.8亿美元资金是2020年最大的黑客攻击,黑客是利用DeFi协议进行这次洗钱的。”Jevans还认为,2021年监管机构可能会明确规定,DeFi协议将采取哪些行动,以避免未能遵守反洗钱的后果、夺旗(指被攻击)和可能的制裁。   2020年交易所遭遇的黑客攻击   KuCoin黑客事件发生在9月底,当时该交易所首席执行官Johnny Lyu证实,在私钥泄露后,黑客入侵影响了该交易所的比特币、以太坊和ERC-20热钱包。 KuCoin在10月初表示,它已经找出了嫌疑人并且正式让执法部门参与了调查。到11月中旬,这个交易所宣称,它已经追回了84%的被盗加密货币,并且恢复了大部分可交易资产的全部服务。 今年还有其他交易所遭到黑客攻击,但KuCoin黑客事件是最大的一起。今年2月,意大利交易所Altsbit在一场7万美元的黑客攻击中损失了几乎所有资金,其他几所小型加密货币交易所也遭遇了黑客入侵。2020年10月,多达75家中心化加密货币交易所由于各种原因关闭,黑客入侵就是其中一个原因。   2020年DeFi遭遇的黑客攻击和漏洞攻击   随着数十亿美元投入到DeFi协议和流动性挖矿,DeFi成为黑客的温床。2020年第一起主要黑客入侵事件发生在DeFi借贷平台bZx,bZx在2月份遭遇了两次闪电贷攻击,损失了近100万美元的用户资金。闪电贷是指在同一笔交易中借入和偿还加密货币质押品。 bZx为了防止进一步损失而停止了运营,但是这引发了加密行业观察人士的批评浪潮,这些观察人士称,bZx终究还是一个中心化平台,并且它可能是“DeFi的终结”。 市场在3月份崩溃,导致大量抵押品清算,特别是Maker的MKR代币,但这些不是黑客攻击。接下来的一个月,黑客使用一种称为ERC-777代币标准可重入方法攻击了与比特币挂钩的imBTC。这名黑客窃取了Uniswap流动性池的全部资产,当时估计为30万美元。 4月份,黑客利用同样的漏洞窃取了借贷平台dForce的所有流动性。这名黑客不断提高他们借贷其他资产的能力,并带着大约2500万美元的资金逃跑了。 6月份,Bancor的智能合约中出现了一个漏洞,导致多达46万美元的代币流失。这个DeFi自动做市商表示,他们已经部署了新版本的智能合约,新的合约修复了该漏洞。 Balancer是下一个被利用的DeFi协议,黑客利用精心策划的套利攻击,从其流动性池中窃取了50万美元的WETH。在对一个漏洞的攻击中,黑客进行了一系列闪电贷和套利代币掉期,而Balancer团队显然已经知道了这个漏洞。 与其说是黑客攻击,不如说是另一个漏洞,但bZx在7月份再次因可疑的代币出售而上了新闻,这次出售是机器人操纵的,机器人将购买订单放置在标记代币生成的同一区块上。这些黑客窃取了近50万美元的利润,这些利润是由代币价格上涨带来的。 8月份,DeFi期权协议Opyn成为了下一个受害者,黑客利用其ETH看跌期权合约盗走了超过37万美元资金。该漏洞允许攻击者使用以太坊看跌期权oToken的双重行权并窃取了质押的ETH。Opyn通过白帽黑客从金库中收回了大约44万枚USDC,并将它们返还给了看跌期权卖方。 同样,不是直接的黑客攻击,而是未经审计的Yam Finance智能合约中的代码缺陷影响了治理代币YFI的重新设定,导致了8月中旬YFI价格暴跌。Yam Finance协议被迫呼吁DeFi鲸鱼通过投票重新启动版本2来得到拯救。   SushiSwap火爆的时候   8月底,SushiSwap的传奇开始了,并且产生了“吸血鬼挖矿”和“rug pull” (指一些项目通过包装自己来骗取用户质押和投资,随后立刻卷款逃跑)。Sush…

    2021年1月2日
    170 0
  • Ledger被黑前在中国就不香了? 国民最佳钱包该是什么样丨链节点AMA

    12 月 21 日,黑客网站 Raidforums 公开了从硬件钱包制造商 Ledger 中窃取的 100 多万封客户电子邮件。Ledger 随后表示“确实可能是我们 2020 年 6 月电子商务数据库的内容”。 硬件钱包尽管主打安全牌,但是硬件钱包漏洞和丢币事件却也从未销声匿迹。随着比特币逼近30000美元,用户继续安全的地方来存储自己的比特币,而硬件钱包真的安全吗? 12月30日,周三,下午2:00,HolderWallet 负责人、巴比特 UED 总监阿本、库神钱包商务VP吴美霖做客链节点进行AMA,教你如何选择一款适合自己的硬件钱包。 以下是本场AMA的精彩部分(查看全部内容): 硬件钱包采用开源普通芯片Vs.和安全芯片问题,哪个更重要些? 阿本: 开源不等于安全(否则 Defi 就不会有那么多被黑事件了),开源只是自证清白的手段。在硬件钱包都属于完全隔绝网络的情况下,其实主要考虑的是如何不被「物理攻破」从而获取钱包里的私钥。在「物理攻破」层面,采用安全芯片会更加安全。 打个比方,如果硬件钱包是我们为用户搭建的「私人金库」,开源应用层代码其实是把「金库图纸」交给所有人,从而告诉你们该金库并没有保留用户所不知道的「后门」(自证清白),但同时增加了不法之徒想要通过图纸了解金库结构从而采用其他方式进入金库的可能性(尤其是一些 API 接口很容易被非法调用)。而安全芯片可以理解为「私人金库」里为你量身定做的军工级「保险箱」,里面存储着你的「私钥」,这样哪怕黑客进入了你的私人金库,但是没有保险箱的密码,他也永远拿不走你的「私钥」。 所以其实在「金库图纸」都公布的情况下,采用「安全芯片」相当于给用户在「私人金库」里再加了一个经过计算机安全国际标准认证的「保险箱」,成本虽然高了,但是更安全了。 吴美霖 : 安全芯片和钱包开源是不能兼顾的,目前库神钱包也是因为我们使用的是安全芯片,而安全芯片提供的算法致使我们无法开源。安全芯片和普通芯片的差别还是很大的。我们都在说数字货币加密,而加密算法背后最重要的核心就是随机数。安全芯片可以生成真随机数,随机性(安全性)大于非安全芯片生成的伪随机数。所以我们权衡利弊的时候,一定要保留安全芯片。 开源=绝对去信任?你手上的硬件钱包的代码真的是厂商说的代码吗? 吴美霖 : 开源与不开源决定不了钱包的安全性,开源就是把代码公开,更透明一些,至于代码以及到手的硬件钱包是否采用的源代码用户是不得而知的,除非像你说的那样把硬件拆下来拿去反编译一下。对没有过硬技术的普通用户来说,还是选择靠谱的品牌钱包比较重要。 4. HolderWallet 的双芯片架构智能硬件钱包,是否可以理解同时具备智能钱包和硬件钱包的优点?智能硬件钱包会是以后钱包的方向吗? 阿本: HolderWallet 采用双芯片架构,「安全芯片」保障私钥的安全,「AI 芯片」优化产品体验产品,所以同时兼顾了安全和智能。 我认为以后的硬件钱包能做更多事情,而不仅仅是「存储」,所以我们称 HolderWallet 为「第一款智能硬件钱包」,再加上今年 Defi 的爆发作为契机,以后的智能硬件钱包会有更多可能性。 DeFi保险类COVER最近被黑客侵入,价格甚至一度归零。硬件钱包如何解决这类问题? 阿本: COVER 这个案例特别典型,它的代码就是全开源的,但正是因为开源,让黑客发现了它的漏洞,从而铸造了基本无限量的 COVER 代币,这就是为什么「开源不等于安全,开源只是自证清白的手段」。 而 HolderWallet 采用的「双芯片架构」分工明确:「AI智能芯片」负责应用层的逻辑交互,而「安全芯片」只负责生成并存储用户的「私钥」以及在使用过程中的「签名」,而 CC EAL 6+ 是由国际权威机构认证的安全级别,保障了私钥的生成过程足够随机、「存储」及「签名」的方式足够安全。 CC 是指信息技术安全评估标准,这是基于计算机安全认证的国际标准(ISO / IEC 15408),而 EAL 是经过 CC 标准评估后给出的安全级别,目前共有 1-7 级,越高越安全。到目前为止,HolderWallet 采用的 CC EAL 6+ 安全芯片已经是业内最高标准,达到了军工级别。 安全芯片提供了增强型的安全特性,支持电气环境监测,可对抗功耗分析和故障注入等。具备安全芯片隔离区内生成密钥树种子,加密存储私钥,隔离区离线签名;具备防暴力撞击和暴力自毁保护,防供应链攻击、女佣攻击和字典攻击,防系统漏洞和中间人攻击。 芯片内置了物理真随机发生器,通过采集量子随机运动状态生成无规律的真随机数,摒弃一切软件钱包依赖的伪随机函数和算法,真正做到去伪存真,让规律碰撞攻击无从下手。 硬件钱包性价比本来就不高,安全芯片更是推高了成本。即便有硬件钱包,总还要把助记词备份在卡片上吧,明文…

    2021年1月1日
    159 0
  • 盘点 | 12月发生典型安全事件超31起,整体风险评级为『高』

    据成都链安【链必安-区块链安全态势感知平台(Beosin-Eagle Eye)】安全舆情监控数据显示:2020年12月,据不完全统计,整个区块链生态共发生31起较为典型的安全事件。经成都链安·安全实验室评级,12月整体风险评级为【高】,需整个行业生态参与方引起重视。 相较于11月,12月发生的安全事件数量有所增加。尤其需要注意的是,在【诈骗跑路/加密骗局】方面,本月发生典型安全事件数量较多;作为用户和投资者,在项目选择阶段,应仔细甄别该项目的部署和运营状况,以及是否经过第三方安全公司的安全审计,是否具备权威的安全审计报告,切不可掉以轻心。 ​ 以下为本月安全月报的详细事项。 交易所方面,共发生『2』起典型安全事件 01 12月19日,当日早些时候,Bitcoin.org遭到DDoS攻击,导致该网站瘫痪。 02 俄罗斯加密货币交易所Livecoin遭到了所谓的“精心计划的攻击”。该交易所“失去了对所有服务器、后端和节点的控制权”,并恳请客户停止存款、交易或与该交易所进行互动。 Defi方面,共发生『5』起典型安全事件 01 Compounder.Finance项目位于0x0b283b107f70d23250f882fbfe7216c38abbd7ca地址处智能合约发生多笔大额交易。经过技术人员验证,确认为内部人员攻击,共损失约8000万人民币的代币。 02 12月7日,Harvest Finance官方宣布上线GRAIN、USDC和USDT索赔门户网站。官方表示,根据此前黑客退还250万美元资金,这将用户损失减少到13.5%。官方正在通过USDC、USDT和GRAIN代币进行混合赔偿的方式,帮助此前受攻击事件影响的用户进行索赔。 03 据TheBlockCrypto报道,DeFi保险协议Nexus Mutual创始人Hugh Karp的个人地址遭到攻击,该地址中有370000个XNM代币,损失超过800万美元。 04 北京时间12月18日06:34,流动性LP代币抵押借贷DeFi协议Warp Finance遭遇闪电贷攻击,约800万美元被盗。 05 12月28日,此前通过增发COVER获利300万美元的攻击者(地址标签为Grap Finance: Deployer)将4350枚ETH返还给标签为YieldFarming.insure: Deployer的地址,并留言“Next time, take care of your own shit.”(下一次,照顾好你自己的东西。) Beosin评论: Defi生态本月依然是整个行业的热门趋势,因此也是黑客和攻击者重点“光顾”的对象,多个DeFi项目于本月相继遭到了巨额资产损失。成都链安建议Defi生态各大项目方切记做好前置预防工作,寻求第三方安全公司进行严格的安全审计,是提升DeFi项目安全性最为有效和可行的防护措施。 诈骗跑路/加密骗局方面,共发生『7』起典型安全事件 01 Ripple将YouTube告上了法庭,原因是YouTube未能将XRP相关的欺诈行为从其平台上移除。Ripple首席执行官Brad Garlinghouse表示,YouTube不仅没有采取积极主动的方法来处理这些骗局,甚至在收到Ripple的通知后也继续无视它们。 02 12月1日,行业人士向币扑爆料称:大富翁项目方私自篡改合约转移用户资产,抽取超1亿GOLD代币后,砸盘90%跑路。 03 12月8日,据媒体报道YouTube上出现两个假冒Gemini账号,黑客用Gemini的名称以及LOGO将相关的YouTube帐户重新命名。Gemini表示,已经将这些假帐号报告给了YouTube。 04 合成资产发行平台Synthetix于12月10日在推特发文向Telegram官方喊话称,几个月以来已经发现有诈骗团伙在Telegram上冒充Synthetix并且骗取了人们的钱财。 05 一位名为“Artura $”的推特用户在推特上爆料称,DeTrade Fund是一个加密货币骗局,该平台允许任何用户通过套利系统投入资金来获利,并在预售中骗取了1400多个以太坊。 06 据英国《卫报》12月16日消息,一个欺诈性的比特币广告方案通过未经授权的名人图片吸引了数千名受害者,该骗局已被追查到来自俄罗斯。 07 一名Localbitcoins和Paxful交易员针对比特币诈骗有关的指控认罪。美国司法部指控该交易员故意向欺诈计划的受害者出售比特币。 Beosin评论: 诈骗跑路/加密骗局方面的各类安全事件发生一直层出不穷,很大程度上是源于当前区块链行业的安全监管进程建设依然亟需推进;另外,用户自身的安全意识欠缺也是不可忽视的重要原因。成都链安在此提醒,妥善保管个人各类隐私信息,谨慎分辨网络上的相关消息。 勒索软件/挖矿木马方面,…

    2021年1月1日
    167 0
  • Cover Protocol发布赔偿计划:将向流动性提供者分发共4441枚ETH

    12月30日,DeFi保险协议Cover Protocol正式发布了新代币分发和ETH返还计划。将以攻击发生前的区块高度 11541218 作为快照来计算每个用户对所有未偿还的 Cover/ETH LP 代币的所有权百分比,并按比例分配 4,441.8 枚 ETH,最终分配额度是开发者返回给 dev-multisig地址的 ETH 的总量。 公告内容如下: 这次快照将设定于区块高度11541218,位于第一次漏洞攻击发生之前。所有有资格参与此补偿计划的利益相关者和数据都来自该快照。 有资格获取新的COVER代币的人包括: Uniswap上的COVER-ETH流动性提供者 Sushiswap上的COVER-ETH流动性提供者 所有COVER代币持有者(在钱包中和CEX上的持有者) 所有未迁移的SAFE2 所有未迁移的SAFE 对于Uniswap和SushiSwap上的COVER-ETH流动性提供者,我们将确定1个LP代币对应的COVER数量,以确定每个地址的COVER“余额”,并奖励相等数量的新 COVER代币。 对于那些在CEX上持有COVER的用户,我们正在与这些交易所合作,以新的COVER代币(1:1)奖励在上述区块高度中余额中有COVER的用户。 币安已经确认他们将使用相同的区块高度来确定能够获得新代币的合格用户。 对于那些钱包里有COVER的用户,这次快照将确定每个用户的COVER余额并奖励新的COVER代币(按1:1)。 有资格领取黑客返还的大约4441个ETH的利益相关者 Uniswap的COVER-ETH流动性提供者 SushiSwap上的COVER-ETH流动性提供者 我们将使用快照来计算每个用户对所有未偿还的COVER-ETH LP代币的所有权百分比,并按比例分配ETH。 我们总共收到了4,441.8(4,350 +1 + 90.8)个ETH。 最终分配的数量将是攻击者返回给开发多重签名(dev-multisig)的ETH总量。 更新: DeFi保险协议Cover Protocol再次更新其赔偿计划称,已将在Balancer上为COVER-ETH池提供流动性的用户、以及所有持有YETI和YPIE代币(依据快照结果)的用户添加为有资格获得新COVER代币的各方。符合ETH赔偿条件的各方不变。 文章来源:Cover Protocol发布赔偿计划:将向流动性提供者分发共4441枚ETH

    2020年12月30日
    157 0
  • TokenInsight | 2020年12月币本位永续合约研究报告

    要点总结 1. 今年数字资产衍生品市场成交量不断增长。根据TokenInsight《2020Q3数字资产衍生品交易所行业研究报告》显示,2020年Q3数字资产衍生品市场成交规模达到2.7万亿美金。 2. 2016年BitMEX推出币本位永续合约。币本位永续合约没有到期日,通过费率机制与现货市场锚定。在数字资产的交易风险事件频出的当时,币本位永续合约赢得了很多用户的青睐。 3. 数字资产从业者不断优化改进币本位永续合约的结构框架,增加了阶梯型保证金等机制,进而保证合约交易的安全性,提升币本位永续合约的用户体验。 4. TokenInsight数据显示,币本位永续合约的日成交量在11月27日达到266亿美金,创下历史新高。币本位永续合约占据永续合约市场份额的49.3%。 5. 从2020年9月至今,币本位永续合约累计成交量排名前三的交易所为:Huobi、BitMEX、Bybit。Binance上线BTC币本位永续合约不到4个月,周成交量排名市场第5。 6. 看跌反向合约具有价格凸性,在投资者在买入反向永续合约进行做空时,会得到一定的收益保护。 7. 对比样本交易所的交易费用,BitMEX和Bybit的挂单手续费率为负,极为友好,交易平台愿意给予流动性提供者一定补偿。Binance的吃单手续费率最优,仅为0.040%。 8. 币本位永续合约目前仍然以BTC、ETH等数字资产作为主要标的。交易所在用户保护和产品创新等方面还有很多进步空间。 9. 数字资产交易平台将会不断进行产品创新,衍生品将成为交易平台的主要增长点。 1. 合约市场 1.1 传统合约市场 在欧洲,期货合约17世纪出现在荷兰。在1636年荷兰郁金香狂热高潮时期,荷兰交易市场出现了著名的郁金香期货。在东方,最早的期货市场出现于江户幕府时代的日本。由于当时的稻米价格,对经济及军事活动造成很重大的影响。米商往往会根据稻米的生产以及市场对稻米的期待而决定库存米的买卖。1697年大阪堂岛成立堂岛米相场会所。各地的贸易商通过白银来交易以稻米为标的的远期合约[1]。 [1] 相关信息参考维基百科。 现代期货交易是从远期交易发展而来,第一家现代意义的期货交易所1864年成立于美国芝加哥。该所在1865年确立了以标准期货合约为标的的商品贸易模式。后来随着保证金、合约相互轧差等制度的逐渐丰富,期货合约交易已经是现在最通用的国际化商品交易方式。 传统市场合约运行机制 在现代期货体系中,交易所推出以商品为标的的标准化期货合约。交易所通过连续报价、订单驱动等自动化机制保证商品交易的顺利进行。交易所内不同类型的市场参与者对大宗商品报价。源源不断的报价订单维持着商品市场的流动性。大型商贸制造公司和国际金融机构在二级市场对期货合约不断进行密集交易,使得各月期货合约具有连续的报价曲线,以此保证市场对于远期商品的合理定价。 CFTC主要商品未平仓合约,来源:CFTC;统计日期2020年12月1日 1.2 数字资产合约市场 数字资产经历十余年的发展,以BTC为代表的数字资产已经成为世界投资者的价值共识。数字资产现货市场愈发成熟,合约市场随之产生。 2013年OKCoin推出BTC交割合约。用户可以在合约到期之前对数字资产合约进行双向买卖交易。随后BitMEX在2016年推出永续合约。永续合约没有到期日,为用户省去了到期需要移仓的步骤。2017年12月芝加哥商品交易所面向机构投资者推出BTC期货合约。2019年9月Bakket推出可实物交割的BTC期货合约,该合约在美国清算所清算。这标志着传统金融机构对数字资产的认可。 数字资产合约推出时间,来源:tokeninsight.com 根据合约是否有到期日,我们可以将数字资产期货合约分为交割合约与永续合约。随着产品的逐渐成熟,数字资产合约市场规模不断扩大。目前数字资产衍生品市场已经形成了以永续合约为主的市场结构。根据TokenInsight《2020Q3数字资产衍生品交易所行业研究报告》显示,2020年Q3数字资产衍生品市场成交规模达到2.7万亿美金,其中永续合约成交量占比80.01%。 20Q3永续合约与交割合约成交量对比,来源:tokeninsight.com 19Q2-20Q3数字资产衍生品市场成交量变化,来源:tokeninsight.com 2. 币本位永续合约 2.1 币本位永续合约 永续合约按照计价结算的参考标的,可以分为币本位永续合约、U本位永续合约。本文主要对币本位永续合约进行研究分析。 币本位合约:币本位永续合约分为反向合约(Inverse Futures)和双币种合约(Quanto Futures)。 反向合约(Inverse Futures):反向合约的保证金及盈亏以基础货币进行计算。如Binance推出的BTCUSD永续合约,合…

    2020年12月29日
    163 0
  • 数据显示:自圣诞节以来,比特币鲸鱼的购买力度加大

    链上数据显示,自圣诞节以来,比特币(BTC)鲸鱼的购买量有所增加。这表明高净值投资者正在继续买入新供应的比特币。 通过链上数据将机构投资者与个人投资者区分开来几乎是不可能的。然而,这一趋势表明,尽管比特币价格上涨,但拥有大量资本的投资者正越来越多地进入比特币市场。 大量比特币供应持有者  来源:Santiment 鲸鱼为什么继续购买更多的比特币? 据Santiment的分析师称,大约6.47亿美元的比特币可能从小地址转移到大地址。 持有超过1000个比特币或更多的地址被许多分析师视为鲸鱼,因为以目前的价格27100美元计算,1000个比特币相当于超过2700万美元。分析师写道: “自圣诞节以来的过去48小时内,拥有1000或更多比特币的地址现在拥有的供应量比之前较小的地址多0.13%。这大约是24158个比特币,在写这篇文章时,这相当于6.477亿美元。” 自2020年年中以来,比特币上涨了近三倍,可以说,在不久的将来,比特币的上行空间是有限的。 尽管如此,大多数链上数据显示,在主要交易所中出售的鲸鱼较少。CryptoQuant首席执行官Ki Young Ju表示: “比特币鲸似乎疲于出售。较少的鲸鱼将比特币存入交易所。我认为,随着机构投资者继续购买并且交易所鲸鱼比率保持在85%以下,本轮牛市将继续下去。” 比特币交易所鲸鱼比率  来源:CryptoQuant 鲸鱼可能在当前价格范围内囤积比特币的主要原因有两个。 首先,尽管比特币的涨势过度,但鲸鱼可能会认为3万美元的心理关口将突破。如果是这样,期权数据表明36000美元可能是短期内的目标。 其次,除了CME缺口和期货市场高资金费率之外,没有充分的理由预期会出现一次重大调整。 但如果比特币在每次反弹后都出现盘整,就像过去两天那样,那么资金费率可能会正常化。当这种情况发生时,衍生品市场的过热程度将有所降低,从而提高了新一轮上涨的可能性。 一位名叫“Byzantine General”的匿名交易员表示,市场目前发出相互矛盾的信号。多头和空头合约的持有人都具有侵略性,这使得多头和空头都可能受到挤压。他说: “这种矛盾的信号。多头和空头都过于激进。我也许应该袖手旁观。” 近期可能的情况是出现更多盘整 通常,Coinbase上的比特币价格高于币安和其他一些交易所。然而,在过去一周中,比特币在Coinbase上的交易价格略有下降,约为20至30美元。 尽管价差很小,但这表明在整个12月推动比特币上涨的美国买家需求可能正在放缓。但是亚洲市场和衍生品市场的买家需求正在增加。 考虑到美国现货市场对比特币的需求似乎正在降温,因此比特币可能会在较低波动率的情况下盘整更长的时间。 Cointelegraph中文作为区块链新闻资讯平台,所提供的资讯仅代表作者个人观点,与Cointelegraph中文平台立场无关,且不构成任何投资理财建议。如需转载请联系Cointelegraph中文相关工作人员。 文章来源:数据显示:自圣诞节以来,比特币鲸鱼的购买力度加大

    2020年12月29日
    150 0
  • 盘点:2020年加密货币领域的黑客攻击、漏洞攻击和盗窃事件

    与前几年不同的是,2020年的主要加密货币新闻并不是大型交易所遭遇黑客攻击和价值数百万美元的比特币遭遇盗窃。然而,仍然有相当多的黑客事件发生,其中大部分都起源于新兴的去中心化金融(DeFi)领域。 DeFi是2020年加密市场发展势头的主要推动力量之一,并且这有理由说明为什么DeFi一直吸引诈骗者和黑客。大量未经审计的智能合约加上克隆代码让黑客加以利用,它们经常导致数百万美元的数字资产被窃取。 CipherTrace 11月的一份报告称,2020年上半年发生的所有盗窃和黑客行为导致了超过5000万美元损失,这些事件中DeFi占了45%。报告称,今年下半年,这一比例升至50%。在接受Cointelegraph采访时,CipherTrace首席执行官Dave Jevans警告称,DeFi可能会遭受监管打击:“DeFi黑客事件现在占2020年所有加密货币黑客事件的一半以上,这一趋势正吸引监管机构的注意。” 他补充说,监管机构更担心的是缺乏反洗钱合规:“KuCoin被盗2.8亿美元资金是2020年最大的黑客攻击,黑客是利用DeFi协议进行这次洗钱的。”Jevans还认为,2021年监管机构可能会明确规定,DeFi协议将采取哪些行动,以避免未能遵守反洗钱的后果、夺旗(指被攻击)和可能的制裁。   2020年交易所遭遇的黑客攻击   KuCoin黑客事件发生在9月底,当时该交易所首席执行官Johnny Lyu证实,在私钥泄露后,黑客入侵影响了该交易所的比特币、以太坊和ERC-20热钱包。 KuCoin在10月初表示,它已经找出了嫌疑人并且正式让执法部门参与了调查。到11月中旬,这个交易所宣称,它已经追回了84%的被盗加密货币,并且恢复了大部分可交易资产的全部服务。 今年还有其他交易所遭到黑客攻击,但KuCoin黑客事件是最大的一起。今年2月,意大利交易所Altsbit在一场7万美元的黑客攻击中损失了几乎所有资金,其他几所小型加密货币交易所也遭遇了黑客入侵。2020年10月,多达75家中心化加密货币交易所由于各种原因关闭,黑客入侵就是其中一个原因。   2020年DeFi遭遇的黑客攻击和漏洞攻击   随着数十亿美元投入到DeFi协议和流动性挖矿,DeFi成为黑客的温床。2020年第一起主要黑客入侵事件发生在DeFi借贷平台bZx,bZx在2月份遭遇了两次闪电贷攻击,损失了近100万美元的用户资金。闪电贷是指在同一笔交易中借入和偿还加密货币质押品。 bZx为了防止进一步损失而停止了运营,但是这引发了加密行业观察人士的批评浪潮,这些观察人士称,bZx终究还是一个中心化平台,并且它可能是“DeFi的终结”。 市场在3月份崩溃,导致大量抵押品清算,特别是Maker的MKR代币,但这些不是黑客攻击。接下来的一个月,黑客使用一种称为ERC-777代币标准可重入方法攻击了与比特币挂钩的imBTC。这名黑客窃取了Uniswap流动性池的全部资产,当时估计为30万美元。 4月份,黑客利用同样的漏洞窃取了借贷平台dForce的所有流动性。这名黑客不断提高他们借贷其他资产的能力,并带着大约2500万美元的资金逃跑了。 6月份,Bancor的智能合约中出现了一个漏洞,导致多达46万美元的代币流失。这个DeFi自动做市商表示,他们已经部署了新版本的智能合约,新的合约修复了该漏洞。 Balancer是下一个被利用的DeFi协议,黑客利用精心策划的套利攻击,从其流动性池中窃取了50万美元的WETH。在对一个漏洞的攻击中,黑客进行了一系列闪电贷和套利代币掉期,而Balancer团队显然已经知道了这个漏洞。 与其说是黑客攻击,不如说是另一个漏洞,但bZx在7月份再次因可疑的代币出售而上了新闻,这次出售是机器人操纵的,机器人将购买订单放置在标记代币生成的同一区块上。这些黑客窃取了近50万美元的利润,这些利润是由代币价格上涨带来的。 8月份,DeFi期权协议Opyn成为了下一个受害者,黑客利用其ETH看跌期权合约盗走了超过37万美元资金。该漏洞允许攻击者使用以太坊看跌期权oToken的双重行权并窃取了质押的ETH。Opyn通过白帽黑客从金库中收回了大约44万枚USDC,并将它们返还给了看跌期权卖方。 同样,不是直接的黑客攻击,而是未经审计的Yam Finance智能合约中的代码缺陷影响了治理代币YFI的重新设定,导致了8月中旬YFI价格暴跌。Yam Finance协议被迫呼吁DeFi鲸鱼通过投票重新启动版本2来得到拯救。   SushiSwap火爆的时候   8月底,SushiSwap的传奇开始了,并且产生了“吸血鬼挖矿”和“rug pull” (指一些项目通过包装自己来骗取用户质押和投资,随后立刻卷款逃跑)。Sush…

    2020年12月29日
    155 0
  • 卖意外险的保险公司也遭受了意外?Cover Protocol漏洞分析

    北京时间12月28日晚, CertiK安全验证团队发现Cover Protocol发生代币无限增发漏洞攻击。本文为你分析事件详情始末。 作为币民如果加密资产不幸被盗,但项目方或者你个人购买了保险,那么也大可放心让保险公司偿还损失的资产。 可还有最差的一种情况:但是如果连保险公司都出了安全事故,受到攻击了呢? 北京时间12月28日晚, CertiK安全技术团队发现Cover Protocol发生代币无限增发漏洞攻击。 攻击者通过反复对项目智能合约进行质押和取回操作,触发其中包含铸造代币的操作,对Cover代币进行无限增发,导致Cover代币价格崩盘。 技术分析  主要攻击分为以下步骤: 1. 攻击者设置攻击必要的假代币。 2. 攻击者使用假代币,为Balancer Pool提供流动性: ①总计向Balancer Pool提供了2,573个DAI的流动性 ②攻击者通过向Balancer Pool提供流动性,获得了约132,688个Balancer流动性证明代币BPT 3. 攻击者向Cover Protocal中的Blacksmith.sol智能合约质押(stake)前一步中所得的所有Balancer流动性证明代币。质押时,攻击者调用位于0xe0b94a7bb45dd905c79bb1992c9879f40f1caed5的Blacksmith.sol智能合约中的deposit函数,如图一所示: 图一:The deposit() function in blacksmith.sol 通过调用deposit函数,攻击者将得到的BPT流动性证明质押到cover protocol中。 首先通过图一中118行将当前流动性证明代币的pool数据读取到memory,然后调用121行代码对当前pool的数据进行更新。 图二:blacksmith.sol中的updatePool()函数 如图二第75行所示,在updatePool()函数中修改的当前流动性证明代币的pool数据是一份存储在storage中的数据,与在deposit()中存储在memory中当前流动性证明代币的pool数据是两份数据。在图二第84行lpTotal的值代表当前合同中总共存入的流动性证明代币数目,由于该变量数值较小,因此通过84行公式pool.accRewardsPerToken的数值将会增大,更新过的accRewardsPerToken值存储在storage中。 图三:blacksmith.sol中的_claimCoverRewards()函数接下来 如图三中318行所示,deposit()通过调用_claimCoverRewards()函数,向函数调用者(msg.sender)铸造一定数目的cover代币。 铸造cover代币的数目与pool.accRewardsPerToken, CAL_MULTIPLIER以及miner.rewardWriteoff三个变量相关。 请注意这里pool.accRewardsPerToken的数值是使用了存放在memory中的pool数据,并非使用图二中update()函数更新之后的数值。 同时,通过图1中deposit函数得知,miner.rewardWriteoff的数值更新是在_claimCoverRewards()函数执行完成之后发生。 因此原本设计上应使用更新过的miner.rewardWriteoff的数值计算需要铸造cover代币的数目,这里错误的使用了未更新过的miner.rewardWriteoff的数据,导致实际铸造cover代币数目比应铸造代币数目增多,最终导致了代币增发。 质押成功之后,攻击者通过调用blacksmith.sol智能合约中的withdraw()函数,将质押的BPT取回,同时取得额外铸造的cover代币,完成攻击。 通过对比执行deposit()函数和执行withdraw()函数之后的代币结余表,我们可以发现通过这一组deposit和withdraw函数调用之后,攻击者可以获得约704个COVER代币。 deposit()之后: withdraw()之后: 攻击者通过反复执行deposit和withdraw函数,可以使Blacksmith函数无限铸造代币,并将代币转到自己的地址中,由此获利。攻击发生后,截止发稿时,cover官方已经将blacksmith迁移到安全版本: 有漏洞的blacksmith地址: 0xe0b94a7bb45dd905c79bb1992c9879f40f1caed5 临时修复后的blacksmith地址: 0x1d5fab8a0e88020309e52b77b9c8edf63c519a26 临时修复后的blacksmith合同临时禁止了一切质押和取回操作,以…

    2020年12月29日
    143 0
  • 从COVER到OVER,攻击事件复盘

    作者:秦晓峰 来源:Odaily星球日报 有些 DeFi 项目如果出现问题,可以通过保险挽回损失。但如果保险公司被攻击了,又该怎么办? 28日晚上,DeFi 保险项目 Cover Protocol 遭遇黑客攻击,导致代币增发超过万亿枚。黑客先后在 SuShiSwap、Uniswap 等 DEX 上进行套现,直接导致代币 COVER 价格从 800 美元暴跌超过 90%,截至发稿前 Uniswap 上 Cover 暂报 23 美元。 事件发生后,OKEx、抹茶等中心化交易所第一时间关闭 Cover 充提,币安方面暂停 Cover 交易。 欧科云链OKLink数据显示,攻击也导致 Cover Protocol 的总锁仓量短时出现大幅下降,当前Cover 总锁仓量约合 3112 万美元,降幅达 31.17%。 今年 11 月 28日,Cover Protocol 与 Yearn Finance(YFI) 进行合并。截至发稿前,Yearn Finance 的核心开发人员 Banteg 表示,他们正在调查此问题,Cover Protocol 官方团队也劝告投资者不要再次购买 COVER。 一、事件复盘:合约漏洞增发 今晚 18 点,推特用户 CryptoKebab 表示,Cover 疑似遭到黑客攻击,增发了 1 万枚 COVER 代币,并且已将其换成了 WBTC 和 DAI 等资产。 虽然未被证实,但消息传出后,COVER 价格一度下跌暴跌 50%,从 800 美元下跌至 370 美元左右。        社群中,也有不少投资者认为这只是谣言,在 400 美元附近开始逐步抄底。然而,没过多久,不少用户发现 COVER 在一些去中心化交易中的价格开始狂跌,其中以 Uniswap 和 SushiSwap 为主,价格一度跌至 20 美元一线,近乎归零,相较于今日开盘价暴跌超过 90%。 区块浏览器显示,目前 Cover Protocol 原生代币 COVER 的总量已被增发至 40,796,131,214,802,600,000 个(4000京个,基本等于无限增发),一个标签为 Grap Finance 的地址增发了这些代币,并在 DEX 中持续抛售。        这些增发的「假币」从何而来? 根据多方信息整理,Odaily星球日报总结黑客攻击过程如下,其中涉及两波黑客: 第一波黑客首先自己构造假币(合约地址1),然后将假币拿去 Balancer 做流动性换取 bpt(合约地址2),然后拿着假币的 bpt 去做了质押(合约地址3),之后再解压换得真币 COVER(合约地址4);如此反复,黑客总共获得 11000 多个 COVER 真币,最终套现获利。 该攻击者的地址创建于两天前,初始资金约 200 ETH,目前该地址资产超过 1400 ETH和 100 万美元其他代币。该地址在 Etherscan 上已被打上了 CoverExploiter1(Cover剥削者1)的标签。 第二波则是利用 Cover Protocol 奖励合约中一个名为「无限挖矿 BUG」的漏洞,增发了 40 万亿个 Cover;由于同出一个智能合约,这些币也被交易平台误认为是「真币」;黑客通过 Uniswap 等 DEX 进行批量套现,据 DeFi 开发者@banteg表示,攻击者最终获益超过兑现了 4374 枚ETH,约合 320 万美金。 目前第一波黑客身份不明,但第二波增发的黑客地址,被网络标记为 Grap Finance 开发者的地址。在获利后,该攻击者将所得收益还给了 Cover 团队,销毁了剩余增发的 COVER ,并给 Yield Farming 保险地址(Cover 协议的前身)留言:下一次,管好你自己的事。 “果然,grap.finance 的创始人是一位 DeFi 义侠,刚刷了一下,4350 个 eth 已经打给了 cover 团队。  ”加密 KOL「超级比特币」评价说。 听起来不图名不图利,COVER 攻击者似乎是一名正义的「白帽子」。但通过砸盘,让众多的投资者血本无归,这样的“侠义精神”真的值得提倡吗? 目前,YFI 创始人 Andre Cronje 尚未对此事发表任何评论,Cover Protocol 也并未给出事故解释。攻击事件发生后,币安等中心化交易所第一时间暂停了 COVER 充提。 二、DeFi 无险可保 COVER 并不是今年第一个被攻击的 DeFi 项目。 北京时间 12 月 14 日下午,DeFi 保险龙头项目 Nexus Mutual 创始人 Hugh Karp 账户遭遇黑客攻击,被盗 37 万 NXM(833 万美金)。黑客先是…

    2020年12月29日
    146 0
  • Cover Protocol 被攻击全过程!

    cover被攻击过程:这人用了精心构造的假币 https://etherscan.io/token/0x53df0bfa014b7522299c129c5a7b318f02adb469 然后把这个币拿去到Balancer做流动性换取bpt https://etherscan.io/tx/0x3631f3ad7351921f522b5634a4416536cb008d03b69dde8a001fdedc273a5be7 然后拿着假币的bpt去做了质押 0xd721b0ef2886f14b75548b70d2d1fd82bea085ca24f5de29b833a64cfd8f7a50 然后再解压出来的时候就是真币cover https://etherscan.io/tx/0xadf27f5dd052482d46fdf69a5208a27cc7352522c7c19bbde5aee18f6ea4373b   文章来源:币圈财经

    2020年12月28日
    173 0
  • 数据 | 1inch最高日活1523个地址,目前持币地址已达到8041个

    PAData 12月25日消息,DEX聚合器1inch于今日正式发行治理代币1inch。所有在12月24日零点(北京时间12月24日早 8 点)之前与1inch进行过交互的钱包地址,只要满足以下条件之一,就可以领到1inch的圣诞“壕礼”:在9月15日之前至少有一次交易,或至少总共 4 次交易,或交易总额至少为 20 美元。另外,1INCH-ETH、1INCH-DAI、1INCH-WBTC、1INCH-USDC、1INCH-USDT和1INCH-YFI这六个资金池的流动性提供者将额外获得1INCH。 根据投放计划,1INCH总供应量为15亿枚,发行当天的初始发行量为总发行量的6%,即9000万枚。另外0.5%,即750万枚将通过为期两周的流动性挖矿释放。按照当前币价折算,稀释后的市值已经超过了34亿美元,与UNI稀释后的市值相当。 截至今天15:00,根据Etherescan的数据,共有8041个地址持有1INCH,较前一日增长89%。根据DappRadar对1inch V2(含早期1inch)的用户追踪,今年单日与1inch发生交互的平均地址数约为485个,单日交互地址峰值约为1523个。 造成持币地址远高于单日交互地址的原因之一可能是1INCH今日一发行已经登录各大交易所交易,此外也说明用户的此前交易的频率较低。根据统计,目前Binance、Huobi、OKEx、Uniswap等都已经上线了相关交易对。其中,Binance目前是最大的1INCH交易市场,代币余额约为1231万枚,占总流通量的2.88%。 1INCH是1inch“即时治理”(instant governance)模式的治理代币。即时治理允许社区在去中心自治组织(DAO)模型下,以透明、用户友好和高效的方式对特定协议设置。目前这一模式包括Pool governance和Factory governance两种。前者将包括特定于每个池的参数配置,如互换费、价格影响费和衰减期。后者将负责所有池共享的参数,如违约掉期费、违约价格影响费、违约衰减期、引荐奖励和治理奖励。 文章来源:数据 | 1inch最高日活1523个地址,目前持币地址已达到8041个

    2020年12月25日
    144 0
公众号
公众号
CN客服
CN客服
HK客服
HK客服
返回顶部