Revisión anual de 2020: principales incidentes de seguridad en la industria de la cadena de bloques y las criptomonedas

¿Qué está pasando en el campo de la seguridad Blockchain en 2020? ¿Qué lecciones se pueden aprender de esto? Después de un tumultuoso 2019, ¿cómo pinta el 2020? Repasémoslo juntos. Para tener una idea de nuestro proceso de escritura, consulte nuestro Resumen anual de 2019 escrito anteriormente. Si 2019 se puede resumir como un viaje salvaje, entonces 2020 es completamente poco convencional. A lo largo del año, hemos publicado muchos artículos que hablan sobre los sombreros blancos que recuperan activos de los phishers, una campaña masiva que impulsa la proliferación de complementos de navegador maliciosos, las 10 acciones principales para evitar la pérdida de criptoactivos y Risky Business: DeFi. Cada uno de nuestros artículos publicados menciona varios elementos de amenazas que los usuarios deben tener en cuenta al usar criptomonedas, con ejemplos de la vida real. La información compartida en estos artículos no es solo para los usuarios de MyCrypto y Ethereum: las lecciones se pueden aplicar en toda la industria, sin importar qué cadena, intercambio o billetera prefiera. Echemos un vistazo más profundo a estos accidentes para ver qué sucedió y qué lecciones podemos aprender de ellos como industria. La siguiente lista enumera los principales incidentes de seguridad que ocurrieron en 2020. Sin embargo, no enumeraremos todos los accidentes, porque hay demasiados... El primer trimestre de 2020 comenzó con algunas buenas noticias y algunas malas noticias (salvo la pandemia mundial de enfermedades infecciosas y el confinamiento posterior). Atrapamos a algunos malos y buscamos formas de atacar las billeteras de hardware, pero también aumentaron los ataques y las pérdidas de dinero. Historia: el intercambio de criptomonedas Poloniex emite una advertencia de restablecimiento de contraseña Resumen: Poloniex emitió un anuncio de servicio público en un correo electrónico a fines de diciembre de 2019, anunciando que algunos usuarios tenían que restablecer sus contraseñas después de que se filtró un documento que contenía direcciones de correo electrónico en Twitter y una lista de contraseñas. Banco Central de Filipinas: logrará el objetivo del pago digital en 2023: según las noticias del 28 de diciembre, el Banco Central de Filipinas: logrará el objetivo del pago digital en 2023. (Golden Ten) [2021/12/28 8:08:20] Historia: Cuenta de YouTube secuestrada por estafa de criptomonedas Resumen: Si bien no es exactamente una estafa nueva, el modus operandi se está volviendo cada vez más común y popular. Los estafadores pregraban videoclips de conferencias sobre criptomonedas en las que participan celebridades y luego secuestran cuentas de Youtube para transmitir videos falsos de sorteos de criptomonedas. Historia: Upbit actualiza las medidas de seguridad para las billeteras ETH después de un ataque de $ 50 millones Resumen: un intercambio de Corea del Sur declaró públicamente que su billetera caliente fue robada en noviembre de 2019, perdiendo 342,000 ETH (con un valor aproximado de $ 50 millones). Historia: Un adolescente estafó a un experto en blockchain por más de 50 millones de dólares estadounidenses a través del intercambio de tarjetas SIM Resumen: El intercambio de tarjetas SIM (SIM-Swapping) es un cáncer en la industria. Mucha gente piensa que es más seguro usar SMS para la autenticación 2FA en sus cuentas. Un adolescente se aprovechó de esto y ganó más de $50 millones de múltiples víctimas. El joven de 18 años ha sido arrestado y enfrenta múltiples cargos criminales. Historia: Kraken descubre una falla crítica en las carteras de hardware de Trezor RESUMEN: Kraken Exchange (Security Labs) descubrió y reveló un método de ataque físico que podría extraer frases mnemotécnicas de la mayoría de los productos de Trezor. Historia: Criptomoneda IOTA cierra toda la red después de que el software de la billetera oficial fuera pirateado Resumen: IOTA ha estado cerrada durante bastante tiempo debido a que los piratas informáticos explotaron un error en la billetera oficial de IOTA (Trinity) para robar los fondos de los usuarios de su red. Historia: Negocios riesgosos: DeFi, Ethereum seguirá creciendo (traducción al chino) Resumen: Taylor Monahan, fundadora de MyCrypto, compiló su discurso sobre DeFi y sus riesgos en ETHDenver 2020. Taylor analiza las posibles trampas y los ataques anteriores, lo que hemos aprendido y lo que no hemos aprendido de los errores del pasado y cómo podemos mejorar en esta área. Bloomberg: Bitcoin alcanza la mayor caída en un día desde marzo de 2020: Noticias del 4 de enero, Bitcoin superó el máximo de $34 000 al comienzo del nuevo año y luego fluctuó. A las 10:41 a. m., hora de Londres, el precio de bitcoin era $ 29,168, una caída de un día del 13%. En el "Jueves Negro" de marzo de 2020, la caída de un día de Bitcoin fue del 17%. Bloomberg dijo que es difícil encontrar la causa directa de las últimas fluctuaciones violentas. Al momento de escribir este artículo, el precio de Bitcoin ha repuntado, según datos de CoinGecko, es de 29987,36 dólares estadounidenses, un aumento del 2,5% en 1 hora. [2021/1/4 16:25:40] Historia: ¿El ataque de préstamo flash BZx significa el fin de DeFi? Resumen: un popular protocolo DeFi sufrió dos ataques de préstamo rápido en un corto período de tiempo. Se perdieron 1193 ETH en el primer ataque y otros 2378 ETH al final del segundo ataque. Historia: Los estafadores continúan explotando el caos de Covid-19 en el Reino Unido para defraudar a Bitcoin Resumen: Con la noticia de la pandemia mundial causada por el coronavirus (COVID-19), algunos delincuentes solicitan donaciones de Bitcoin haciéndose pasar por una organización de investigación de los CDC , Pánico riquezas. BZx fue atacado nuevamente y, aunque se repitió el truco, los piratas informáticos utilizaron préstamos rápidos para lanzar un segundo ataque contra el protocolo BZx en unos pocos días. https://twitter.com/dsearch3r/status/1228657292792549383 En el segundo trimestre, vimos que se explotaban más vulnerabilidades de contratos inteligentes, así como la proliferación a gran escala de una extensión de navegador maliciosa que atrajo la atención. Las extensiones imitan marcas conocidas. en la industria para obtener las claves de los usuarios. Historia: Los piratas informáticos robaron $ 250,000 al explotar un error en el intercambio descentralizado de bitcoin Bisq Chicago Exchange Group lanzará futuros de Ethereum el 8 de febrero de 2021: Golden Finance Report, noticias del 16 de diciembre, CME Group (CME) anunció su intención de lanzar futuros de Ethereum a partir el 8 de febrero de 2021. El nuevo contrato se liquidará en efectivo y actualmente está pendiente de revisión regulatoria. Ethereum es actualmente la segunda criptomoneda más grande por capitalización de mercado y volumen de negociación diario. Desde 2020, el contrato de futuros de Bitcoin de CME ha negociado un promedio de 8560 lotes (equivalentes a unos 42 800 Bitcoins) por día. [2020/12/16 15:26:14] Resumen: Después de descubrir que los atacantes estaban usando software para robar los fondos de los usuarios, Bisq tomó una respuesta "sin precedentes" y detuvo las transacciones. Según los informes, el atacante robó 3BTC y 4000XMR. Historia: Se encontraron extensiones de navegador falsas dirigidas a usuarios como Ledger, Trezor, MEW, Metamask y más. Resumen: MyCrypto y PhishFort publican un informe de investigación sobre cómo las extensiones de navegador maliciosas que imitan a marcas conocidas que usan Google Ads para impulsar la caza de usuarios de criptomonedas. Historia: Etherscan lanza "ETH Protect" para identificar y marcar el análisis de direcciones ETH contaminadas) y mostrar rápidamente si han recibido criptomonedas de una dirección incorrecta conocida. Historia: dForce perdió $ 25 millones debido a la vulnerabilidad del contrato inteligente DeFi Resumen: Se dice que el acuerdo de préstamo dForce es una bifurcación que modificó el código Compound y fue atacado de manera similar al grupo de liquidez de Uniswap. El ataque explota un estándar utilizado por el contrato imBTC (Nota del traductor: se refiere a ERC-777). Historia: 'Evil Genius' acusado de robar criptomonedas por valor de millones RESUMEN: Se ha publicado información sobre un cargo de intercambio de SIM de alto perfil presentado por Michael Terpin. Uno de los principales forajidos tenía solo 15 años en el momento del ataque. Presuntamente robó más de $23 millones intercambiando las tarjetas SIM de varias personas. Analista de Bloomberg: Bitcoin puede experimentar un crecimiento parabólico en 2021: el 5 de noviembre, el estratega senior de materias primas de Bloomberg, Mike McGlone, tuiteó que Bitcoin podría experimentar un crecimiento parabólico en 2021, similar a los máximos de 2013 y 2017. Los nuevos máximos son la próxima iteración potencial, y puede que solo sea cuestión de tiempo, a menos que no podamos prever algo que conduzca a una mayor adopción y una mayor demanda con una oferta limitada. (atozmarkets) [2020/11/5 11:43:26] Historia: Múltiples supercomputadoras en toda Europa pirateadas para la minería de criptomonedas Resumen: Múltiples supercomputadoras en el Reino Unido, Alemania y Suiza infectadas con software de minería malicioso de criptomonedas, a través del inicio de sesión SSH descifrado para minar Monero - una moneda criptográfica que enfatiza la protección de la privacidad. El truco de dForce/LendfLendf es interesante porque el estándar ERC777 utilizado para llevar a cabo ataques de reingreso acaba de ser criticado en el grupo de liquidez imBTC de Uniswap hace unos días. Pero dForce no auditó su sistema, aunque también son compatibles con imBTC. Un largo tuit de defiprime lo resume muy bien: evidencia de que el código se bifurcó de Compound Finance, otro tema espinoso incluso en el mundo del código abierto. Historia: Bloqueó y defendió $ 5,000 en criptomonedas de incidentes de phishing Resumen: Cuando nosotros (MyCrypto) buscamos kits de phishing, encontramos una puerta abierta para operaciones activas y las monitoreamos para evitar que la clave privada del usuario se viera comprometida. En raras ocasiones, hemos interceptado con éxito activos de criptomonedas robados a las víctimas. Limpiamos estos activos antes que los delincuentes y los devolvimos a sus propietarios verificados. Historia: Twitter Attack Postmortem Report: Los dispositivos móviles serán objetivos clave para la piratería en 2020: McAfee lanzó hoy su Mobile Threat Report 2020, que encuentra que los piratas informáticos están utilizando aplicaciones móviles ocultas, inicios de sesión de terceros y videos de juegos falsos para atacar a los consumidores. El año pasado, los piratas informáticos utilizaron todo, desde puertas traseras hasta minería de criptomonedas para atacar a los consumidores, y las aplicaciones móviles ocultas fueron responsables de aproximadamente el 50 por ciento de las amenazas maliciosas. Según un nuevo estudio, McAfee descubrió que los piratas informáticos han ampliado las formas en que ocultan sus ataques, lo que dificulta cada vez más identificarlos y eliminarlos, y parece que 2020 será una amenaza aún mayor para los dispositivos móviles. (BusinessWire) [4/3/2020] RESUMEN: El 15 de julio de 2020, se produjo una campaña de adquisición de cuentas a gran escala en la plataforma de Twitter, que incluía el uso de cuentas políticas verificadas para "transacciones de crédito" de MLM/estafa de bitcoin prepago. En general, se robaron "solo" $150,000, lo cual es un poco insignificante en comparación con la exposición generalizada que los delincuentes obtuvieron de las cuentas que tomaron. Historia: Asociación con Binance para devolver USD 10 000 en criptomonedas robadas a las víctimas Resumen: Nosotros (MyCrypto) investigamos más campañas de phishing y encontramos otro puerto abierto a un servidor utilizado por los delincuentes. Una vez más, nos encontramos entre sus frentes de phishing y los canales de comunicación de los delincuentes para evitar que esos activos phishing caigan en los bolsillos equivocados. Historia: Haga bien estas 10 cosas y diga adiós a las monedas perdidas Resumen: MyCrypto ha publicado un breve enfoque de 10 pasos de mejores prácticas con pautas de acción claras sobre cómo proteger sus tenencias de criptomonedas y cuentas vinculadas. Nos hemos basado en nuestro amplio conocimiento sobre el robo de criptomonedas para compilar una lista de control procesable de acciones. Historia: Los piratas informáticos roban $ 16 millones en Bitcoin a través de las vulnerabilidades de la billetera Bitcoin Resumen: un usuario no pudo instalar actualizaciones de seguridad críticas para su billetera Electrum, luego fue víctima de un (antiguo) método de ataque que resultó en el robo de 1,400 BTC. Este usuario fue engañado para que se conectara a un servidor Electrum malicioso que permitía mostrar texto enriquecido en sus ventanas emergentes de error. El error devuelto le recordó al usuario que actualice su software Electrum, pero en su lugar se vinculó a una dirección de descarga para el malware. Sinopsis: Escape from the Dark Woods: Samczsun (y compañía) lograron ahorrar $9.6 millones de un contrato defectuoso en una campaña de sombrero blanco. La historia es interesante, ya que Samczsun explica cómo vencieron a los robots rápidos. Envían de forma privada transacciones firmadas directamente a los mineros en lugar de transmitirlas a grupos de transacciones. Historia: $280 millones robados del intercambio de KuCoin Resumen: KuCoin, un popular intercambio asiático, ha sufrido el robo de su billetera caliente y ha sido alertado de retiros masivos de Bitcoin y Ethereum. KuCoin está investigando con las fuerzas del orden internacionales y se ha comprometido a utilizar su fondo de seguro para cubrir todas las pérdidas de fondos de los clientes. Fuga de datos de Ledger Ledger es una de las billeteras de hardware líderes en la industria y ha acumulado una gran cantidad de clientes en este campo. En julio de 2020, emitieron un comunicado en el que decían que se habían filtrado datos de su plataforma de comercio electrónico y su plataforma de marketing. El 14 de julio de 2020, se les alertó sobre una posible fuga de datos de su programa de recompensas. Después de una investigación interna, Ledger descubrió que la violación de datos ocurrió el 25 de junio de 2020 y algunos de sus clientes se vieron afectados. En mayo de 2020, el usuario de Twitter UnderTheBreach tuiteó sobre una posible violación de datos. KuCoin Una brecha de seguridad en KuCoin resultó en el robo de su clave privada.

Tags：

TUSD