Informe contra el lavado de dinero de moneda digital de 2020: la innovación financiera juega con los ataques DeFi sofisticados

Título original: Shield 2020 Informe anual contra el lavado de dinero de moneda digital: la innovación financiera juega con los ataques de lujo DeFi

DeFi (Finanzas Descentralizadas) se encuentra en una era caótica de Estados Combatientes.

2020 se llama "el primer año de DeFi", y cientos de proyectos DeFi han surgido en todo el mundo para competir. Estos proyectos DeFi bloquean más de 10 mil millones de activos de moneda virtual, que son como "honeypots" para los piratas informáticos.

Según el "Informe anual contra el lavado de dinero de moneda digital 2020" publicado por PeckShield, la pérdida de los ataques DeFi en octubre de 2020 alcanzó los 33,8 millones de dólares estadounidenses, que fue el mes con más pérdidas causadas por los ataques DeFi durante todo el año; en noviembre , hubo 10 ataques DeFi, que es el mes con mayor frecuencia de ataques en todo el año.

Incidentes de seguridad DeFi y estadísticas de pérdidas en 2020

En 2020, además de centrarse en los intercambios y las carteras de gestión de patrimonio que reúnen la gran mayoría de los activos virtuales de los usuarios, los piratas informáticos también se dirigieron al novato DeFi.

Dado que la mayoría de los productos DeFi se construyen en base a contratos inteligentes y protocolos interactivos, cada vez hay más combinaciones, los códigos son generalmente de código abierto, los activos están completamente en la cadena y la industria tiene un gran potencial de crecimiento, por lo que se ha convertido en un objetivo clave. de piratas informáticos en 2020.

Según el "Informe anual contra el lavado de dinero de moneda digital de Paydun 2020", los incidentes de piratería de moneda virtual siguen mostrando una tendencia explosiva en 2020, llegando a 170, un aumento del 300% en comparación con 2018 y 2019; las pérdidas económicas alcanzaron los 2330 millones de dólares estadounidenses. , un 660 % más que en 2019 y un 7,2 % más que en 2018.

Nueva Jersey retrasa la fecha de vigencia de la orden de cese y desistimiento contra BlockFi hasta diciembre: Jinse Finance informa que Nueva Jersey ha retrasado la fecha de vigencia de la orden de cese y desistimiento para las cuentas de interés del prestamista de criptomonedas BlockFi hasta el 1 de diciembre. Según BlockFi, el Departamento de Valores de Nueva Jersey otorgó la tercera extensión de su orden de cese y desistimiento. La agencia emitió originalmente la orden en julio, argumentando que, sin el apoyo de la FDIC, las cuentas de interés de BlockFi eran valores. La orden exige bloquear la creación de todas las nuevas cuentas de interés de BlockFi. [2021/9/23 16:59:24]

Estadísticas sobre incidentes de seguridad de ataques de piratería de moneda virtual

Estadísticas sobre pérdidas económicas causadas por incidentes de seguridad de ataques de piratería de moneda virtual

Entre ellos, hubo 60 ataques DeFi, con una pérdida de más de 250 millones de dólares estadounidenses. Entre los 60 ataques DeFi, al menos 10 fueron ataques de préstamos flash, incluidos múltiples proyectos DeFi como bZx, Balancer, Harvest, Akropolis, Cheese Bank, Value DeFi y Origin Protocol. Los piratas informáticos utilizan préstamos rápidos para movilizar grandes cantidades de fondos a costos extremadamente bajos y realizan manipulación de precios o arbitraje entre múltiples acuerdos.

Se produjeron al menos 5 ataques de reingreso relacionados con DeFi. Los ataques de reingreso son uno de los métodos de ataque más clásicos en los contratos inteligentes de Ethereum. El famoso incidente de robo de DAO es que los atacantes utilizaron ataques de reingreso para causar puntos duros de Ethereum. bifurcación , perdiendo 50 millones de dólares en éter. la

Por un lado, el vigoroso desarrollo de la industria de la cadena de bloques ha promovido continuamente la mejora de la vinculación de la industria y la autodisciplina; por otro lado, la innovación tecnológica ha generado nuevos métodos de lavado de dinero, y la lucha contra el lavado de dinero de la moneda virtual ha enfrentado nuevos desafíos. .

El 26 de septiembre, se robaron más de $ 200 millones en moneda virtual del intercambio KuCoin. Después del incidente, KuCoin se puso en contacto con varios intercambios de moneda virtual centralizados (CeFi), partes del proyecto, agencias de seguridad y la policía, y tomó algunas medidas efectivas para hacer todo lo posible para cazar los activos robados. A partir de ahora, según el sitio web oficial de KuCoin, se ha recuperado el 85% de los activos robados. la

Después del incidente de seguridad, el intercambio y CeFi (finanzas centralizadas) detuvieron las pérdidas a tiempo. Aunque algunos activos perdidos fueron efectivamente congelados y recuperados, después de ser congelados conjuntamente por CeFi, los piratas informáticos transfirieron gradualmente los activos robados a intercambios descentralizados (DEX), incluido Uniswap. , Kyber, etc., fueron vaciados uno a uno de manera arrolladora.

Este ataque de piratas informáticos fue pionero en la combinación de tecnología y lavado de dinero financiero, y trajo nuevos desafíos a la lucha contra el lavado de dinero de los intercambios de moneda virtual.

PeckShield señaló que después de que los piratas informáticos atacaran los intercambios para robar moneda digital en el pasado, simplemente sacaron directamente los activos virtuales robados del intercambio a través de la mezcla de divisas y otras tecnologías, y luego retiraron las monedas para obtener ganancias. Los hackers utilizaron DEX para vaciar uno a uno en este ataque, que precisamente apuntaba al lugar donde el mercado de divisas virtuales relajaba su vigilancia frente a los campos emergentes.

Desde noviembre de este año, los ataques de préstamos rápidos han ocurrido con frecuencia y ha habido 4 ataques rápidos de préstamos en una semana. Flash Loan es una herramienta financiera innovadora que se utiliza para proporcionar de manera eficiente grandes cantidades de fondos y promover ciclos de valor. Sin embargo, los atacantes lo utilizan con frecuencia y se convierte en una gallina prestada por los piratas informáticos para poner "huevos de oro". la

El préstamo flash en blockchain es un método de préstamo que se puede pedir prestado sin garantía, pero el prestamista debe pagar el préstamo dentro del mismo bloque, de lo contrario, la transacción fallará. Por lo tanto, los préstamos flash son básicamente de costo cero y riesgo cero para las plataformas de préstamo. Y los piratas informáticos pueden usar este método de préstamo para prestar una gran cantidad de dinero a un costo pequeño y luego usar este dinero para causar fluctuaciones de precios en algunas monedas virtuales y luego beneficiarse de ello. la

bZx Flash Loan Attack

Tomando bZx como ejemplo, el atacante prestó 10 000 ETH a través del préstamo flash dYdX; luego, el atacante depositó 5500 ETH en Compound como garantía, prestó 112 WBTC y el WBTC prestado se vendió en el cuarto paso; luego el atacante El atacante usa el función comercial apalancada de bZx para acortar ETH para comprar una gran cantidad de WBTC, elevando así el precio de WBTC en Uniswap; después de que el precio de WBTC en Uniswap se dispare (el precio es 61.4 WETH / WBTC), el atacante pasará el segundo paso Todos los 112 WBTC prestados por Compound se vendieron en Uniswap y se devolvió el WETH correspondiente. Al final, el atacante pagó el préstamo flash y obtuvo una ganancia de 6871,41 ETH. la

PeckShield Paidun cree: "Flash Loan es una innovación financiera muy significativa, una innovación para las finanzas tradicionales, pero la innovación debe alentarse sobre la base de la seguridad para construir la piedra angular del desarrollo sostenible de DeFi".

Tags：

SHIB