虛擬貨幣交易軟體有什麼漏洞

⑴ 盤點2021年虛擬貨幣（空氣幣）騙局

2021年是加密貨幣主流化的重要一年，流行的加密貨幣，如比特幣、以太坊和Dogecoin等，在1月份發生的memestock熱潮之後，迎來了輝煌的一年。這些加密貨幣飆升至新高，吸引了大量之前可能不熟悉該行業的人關注。

不過，加密貨幣是不可預測的，它仍然是一個令人難以置信的波動性市場，並且它幾乎完全沒有保護虛擬貨幣投資者的法律法規。但是在過去的一年裡，還是有這么多的加密貨幣新手跳入這個「一半天堂、一半地獄」的市場中打算碰碰運氣，而他們與一些騙子則組成了2021年虛擬貨幣市場最獨特、最無恥的騙局

Squid Game魷魚幣

把今年最大的最火爆的電視劇《魷魚 游戲 》變成一種加密貨幣，你會得到什麼？

答案是你將成為本年度最「社死」的騙局之一——Squid Game的主角。

魷魚幣是一款與魷魚 游戲 同名的 游戲 平台的獨家代幣。該平台模仿了電視劇中的六輪比賽，最終贏家獲得的獎金（劇中大獎上限為3850萬美元，而這個虛擬貨幣項目沒有上限）將以魷魚幣的形式發放。不過玩家必須先支付預設價格的魷魚幣才能參與每場 游戲 ，有些回合還需要用戶購買在平台上出售的定製NFT（非同質化代幣，在此 游戲 中類似於 游戲 皮膚或道具）。

就是這樣一個聽著都是鐮刀割韭菜聲音的項目卻獲得了巨大的成功。據悉，魷魚幣在10月20日的預售中不到1秒就售罄了，而在10月29日正式發行時，1美分一個的魷魚幣在24小時內被炒到2.22美元，暴漲2400%，並且在接下來的幾周，魷魚幣幣價達到驚人的2861.8美元（約合人民幣18309元），這引得CNBC、《福布斯》、《商業內幕》和其他一系列媒體對魷魚幣的爭相報道。

不過與多數龐氏騙局一樣，魷魚 游戲 虛擬貨幣項目體量到了一定階段後也會很快裝不下去。在幣價炒到高峰時，曾有投資者抱怨，他們無法在唯一可交易該幣種的虛擬貨幣平台Pancakeswap上出售持有的魷魚幣，這本應給大家敲響警鍾，但大家還是被高漲的魷魚幣給沖昏了頭腦，選擇相信魷魚幣創始人LinkedIn的解釋，即該項目部署了一種創新的「反傾銷技術」，暫時會限制人們在需求下降時出售魷魚幣。

然而事實證明這是又一個「拉地毯」騙局。美東時間11月1日，魷魚幣突然閃崩，5分鍾內從每個幣2861美元跌到了0.0007美元，跌幅為99.999976%。而此時，魷魚幣創始人LinkedIn已兌現了等值的幣安幣，將資金轉移。

SaveTheKids幣

2021年，美國社交媒體上的KOL推銷加密貨幣是今年的一大特色。

例如近期拋售大量特斯拉股票，打算辭職的做「網紅」的馬斯克，他就多次在社交媒體上推銷狗狗幣，而今天所說的這個騙局也是由KOL在社交媒體平台上給加密貨幣宣傳與站台所引起的。

2021年6月初，洛杉磯電子競技組織FaZeClan的4位成員Kay、Teeqo、Jarvis、Nikan和YouTuber RiceGum開始推廣一種名為「SaveTheKids」的加密貨幣，該項目宣稱將會為兒童慈善機構籌集資金，這對於項目與KOL來說本應是一個雙贏的結果，但這又是一個「拉地毯」騙局。

當一個開發者創建一個加密貨幣，意圖帶著投資者的資金逃跑時，就會出現這種情況。在SaveTheKids代幣正式推出後不久，由於那些持有大部分代幣的初始投資者的大規模拋售，該加密貨幣下跌，SaveTheKids一上市，就變得毫無價值。

從這里看也許並不是一個騙局，但是，有人注意到，FaZe的 Kay特別喜歡推廣加密貨幣，而這些加密貨幣都以這種方式結束，像Coffeezilla、SomeOrdinaryGamers和Barely Sociable這樣的，FaZe 的Kay都在推廣。

最終在7月初，洛杉磯電子競技組織FaZeClan宣布自查結果，4位成員因涉嫌加密詐騙，一位成員被開除，另外三位成員直接進行停賽處理。

MILF代幣

如果不對Adin Ross（阿丁·羅斯）推廣MILF幣的行為進行處罰，那就是失職。

Ross是一個受歡迎的Twitch媒體人，在該平台上有數百萬的追隨者，但他本人卻是一個不折不扣的騙子。

在社交媒體上不經意曬出自己在什麼項目中賺了多少錢是Ross的慣用伎倆。在以前，Ross是通過這種方式推廣線上賭場，也正因如此在過去的一年裡，他備受批評；而在今年5月份，Ross也緊跟時代潮流，殺入了加密貨幣世界，開始推廣一種名為MILF幣的虛擬貨幣。

Ross照常在社交媒體上曬出自己通過MILF幣所獲得的幾十萬美元報酬，以展現自己購買該加密貨幣的繁瑣過程。然而，僅僅三周之後，當談到這個投資機會時，Ross口子的信息傳遞發生了鮮明的變化。

"順便說一下，我前段時間做的那個MILF Token，簡直就是狗屎！我已經告訴過你們不要買那玩意。"羅斯在一次直播中笑著說。"

截至發稿時，MILF幣已經比Ross推廣時損失了約98%的價值。

Meme Coin幣

去年，如果沒有假的埃隆·馬斯克推特賬戶的回復，你不可能遇到一條關於新的Meme Coin計劃的推文。

今年，假新聞稿將這種騙局提升到了新的水平。

在2021年的兩個不同場合，全球零售企業的假新聞稿欺騙了媒體，讓他們發布了公司將開始接受加密貨幣的假消息。9月，一份假的新聞稿宣布，沃爾瑪將開始接受萊特幣。就在幾個月後，一份假新聞稿聲稱克羅格公司將接受比特幣現金作為付款。

然而，兩則新聞都不是真的。這些虛假文件背後的欺詐者能夠成功地通過大的新聞發布公司發布這一假消息，在那裡他們被傳播給主流新聞機構並被報道。隨著加密貨幣倡導者繼續為他們年輕的行業尋求驗證和合法性，聲稱提供這種驗證和合法性的騙局將繼續增長。

這些行為引起了前股票經紀人喬丹貝爾福特（華爾街之狼）的批評，他在接受《太陽報》采訪中警告投資者，不要將資金投入加密貨幣Meme Coin，如狗狗幣 (DOGE) 和柴犬 (SHIB)，因為柴犬和狗狗幣是毫無價值的笑話。

Poly Network （一個去中心化交易平台）

2021年的虛擬貨幣騙局中，Poly Network的這場世紀大劫案必須留下姓名。

今年夏天，一名黑客發現了去中心化金融平台Poly Network的一個漏洞，能夠使得他們將6億多美元的虛擬貨幣轉移到他們的賬戶。

然而，這么大的一筆錢很難無罪地消失。在隨後的幾周里，黑客向Poly Network伸出援手，並聲稱他們一直打算歸還這筆錢。Poly Network也很配合，甚至把黑客稱為 "白帽子先生"（正義的黑客），試圖通過他們查找到平台的安全缺陷，以便在邪惡的行為者出現之前將其修復。

最後，好在黑客履行承諾將大部分加密貨幣資金轉回了平台，這才使得Poly Network及其平台用戶未產生更大的損失。

黑客從中得到了什麼好處？首先，他們逃脫了任何可能的不利影響，因為他們進行了 歷史 上最大的加密貨幣搶劫案，其次Poly Network還向歸還資金的黑客提供了50萬美元的獎勵，可謂是名利雙收。

Africrypt （一個虛擬貨幣投資平台）

據外海媒體報道，今年年中，南非加密貨幣投資平台Africrypt的創始人Ameer Cajee和Raees Cajee已確定失聯，與其一同消失的還有6.9萬枚BTC（目前價值約23億美元），該起事件或成史上最大一起加密貨幣騙局。

據悉，Africrypt是由南非兩兄弟，現年21歲的Raees Cajee和17歲的Ameer Cajee創立於2019年的加密貨幣投資平台，其目標受眾為高凈值個人和名人。

與任何其他騙局一樣，Africrypt也承諾為投資者提供難以置信的高額回報，甚至曾聲稱可以提供10%的每日回報。該公司非常擅長瞄準受害者，以至於大多數投資者都將其視為通往財富自由的秘密鑰匙。正是這個目標市場，讓Africrypt在過去有機會接觸其他富有的投資者圈子，其客戶平均的投資額達到10.5萬美元，有些甚至高達140萬美元。

其實，在2021年4月Africrypt便已在謀劃跑路了，Cajee兄弟聲稱他們的投資公司被黑客攻擊，他們所有客戶的賬戶都被泄露了，並懇請他們不要採取法律行動，因為這會影響他們對加密貨幣的追回，而在跑路前七天，Africrypt公司員工已經無法訪問系統後台，此時大家逐漸變得焦慮了起來。事後證明大家的擔心並不多餘，Cajee兄弟最終與6.9萬枚BTC一起消失在大眾的視野中了。

代表投資者的律師聲稱，有多達6.9萬枚BTC被Cajee兄弟盜走。如果這是真的，Africrypt將是迄今為止最大的加密貨幣詐騙案。然而南非金融部門行為監管局（Finance Sector Conct Authority）相關負責人Brandon Top ham表示，在法律上，加密資產並不屬於金融產品，因此目前該機構被禁止啟動正式調查。

The stolen NFT

與通過本文上述的其他騙局被盜的金額相比，Jeff Nicholas（傑夫·尼古拉斯）的故事是小巫見大巫，但它仍然值得一提。

Nicholas是三個NFT的所有者（分別是猿、貓、狗，由計算機生成的藝術品），他購買這些不可偽造的代幣，以證明它們所連接的物品的所有權。

Nicholas說，騙子以提供技術支持為幌子，在接下來的一個小時里，騙子從Nicholas的錢包里清除了 NFT猿、貓和狗。據Nicholas透露，本次詐騙損失總計約 150 ETH，約合 48萬美元。

當NFT第一次被盜時，Nicholas試圖傳播消息，通知其他人不要購買他的被盜NF，而且平台OpenSea第一時間也鎖定了Nicholas的資產，但騙子已經搶先將其賣給出價最高的人，雖然Nicholas理論上仍然有機會將其拿回來，但是得通過真金白銀買回來。

事後，雖然區塊鏈顯示他不再擁有它們，但Nicholas聲稱，區塊鏈上這些無可爭議的記錄是不相關的，他才是真正的所有者，Nicholas最後還是否定了了NFT倡導者聲稱賦予任何這種價值的基礎，即信任。

將來幣圈還會有更多新型騙局，大家要注意防範，保護好自己的資產。 （完）

⑵ 360發現區塊鏈史詩級漏洞是什麼情況

近日，360公司Vulcan（伏爾甘）團隊發現了區塊鏈平台EOS的一系列高危安全漏洞。經驗證，其中部分漏洞可以在EOS節點上遠程執行任意代碼，即可以通過遠程攻擊，直接控制和接管EOS上運行的所有節點。

5月29日凌晨，360第一時間將該類漏洞上報EOS官方，並協助其修復安全隱患。EOS網路負責人表示，在修復這些問題之前，不會將EOS網路正式上線。

EOS超級節點攻擊：虛擬貨幣交易完全受控

在攻擊中，攻擊者會構造並發布包含惡意代碼的智能合約，EOS超級節點將會執行這個惡意合約，並觸發其中的安全漏洞。攻擊者再利用超級節點將惡意合約打包進新的區塊，進而導致網路中所有全節點（備選超級節點、交易所充值提現節點、數字貨幣錢包伺服器節點等）被遠程式控制制。

由於已經完全控制了節點的系統，攻擊者可以「為所欲為」，如竊取EOS超級節點的密鑰，控制EOS網路的虛擬貨幣交易；獲取EOS網路參與節點系統中的其他金融和隱私數據，例如交易所中的數字貨幣、保存在錢包中的用戶密鑰、關鍵的用戶資料和隱私數據等等。

更有甚者，攻擊者可以將EOS網路中的節點變為僵屍網路中的一員，發動網路攻擊或變成免費「礦工」，挖取其他數字貨幣。

來源：科技訊

⑶ 怎麼防止區塊鏈貨幣,區塊鏈有什麼技術,可以實現「防篡改」

數字貨幣的合約交易不安全。數字貨幣交易平台依然存在諸多漏洞，比如最常見的就有以下六種：

一、拒絕服務攻擊

拒絕服務攻擊是目前最主要的針對數字貨幣交易平台的攻擊方式，攻擊者通過拒絕服務攻擊，讓交易平台無法正常訪問，而用戶因為無法准確分辨攻擊程度，往往會造成恐慌性的資產轉移，從而帶來一定的損失影響。

二、釣魚事件

即使是目前最好的技術措施也無法讓數字貨幣交易平台避免釣魚攻擊，一些黑客和不法分子可以通過虛假的域名或者仿冒頁面的方式迷惑數字貨幣投資者，而一般的投資者又無從辨別真偽，因此很容易就造成資產上的損失。

三、熱錢包防護問題

很多數字貨幣交易平台使用單個私鑰來保護熱錢包，如果黑客們可以訪問單個私鑰，他們就可以破解與私鑰相關的熱錢包。例如，2017年首爾交易所Yapizon的攻擊，攻擊者一年內前後兩次對交易平台發起了針對平台上熱錢包的盜取，總共造成交易平台近50%的資產損失，並最終導致了交易平台破產。

四、內部攻擊

沒有完善的風險隔離措施，或對於員工許可權監督不力，數字貨幣交易平台也存在員工監守自盜，部分擁有平台操作許可權的員工利用內部信任為自己謀取不義之財。例如，2016年交易平台ShapeShift發生的員工盜取比特幣事件，通過私下盜取和將敏感信息轉賣給他人的方式給交易平台共造成23萬美元損失。

五、軟體漏洞

數字貨幣交易平台的軟體漏洞則包括單點登錄漏洞、oAuth協議漏洞等。目前各國都有法律要求銀行或其他金融機構實施信息安全措施，以保護客戶的存款。但由於區塊鏈領域還處於起步階段，目前缺少適用於加密數字資產的此類規范。因此，許多交易平台在缺乏安全規范約束的條件下，存在大量漏洞並非偶然。

六、交易可鍛性

區塊鏈的技術支持者常常認為區塊鏈交易是高度安全的，因為它們被記錄在據稱不可更改的記錄上，但是每個交易都需要有相應簽名，而在交易最終確認之前，記錄是可以被暫時偽造的。

區塊鏈項目（尤其是公有鏈）的一個特點是開源。通過開放源代碼，來提高項目的可信性，也使更多的人可以參與進來。但源代碼的開放也使得攻擊者對於區塊鏈系統的攻擊變得更加容易。近兩年就發生多起黑客攻擊事件，近日就有匿名幣Verge（XVG）再次遭到攻擊，攻擊者鎖定了XVG代碼中的某個漏洞，該漏洞允許惡意礦工在區塊上添加虛假的時間戳，隨後快速挖出新塊，短短的幾個小時內謀取了近價值175萬美元的數字貨幣。雖然隨後攻擊就被成功制止，然而沒人能夠保證未來攻擊者是否會再次出擊。

當然，區塊鏈開發者們也可以採取一些措施

一是使用專業的代碼審計服務，

二是了解安全編碼規范，防患於未然。

密碼演算法的安全性

隨著量子計算機的發展將會給現在使用的密碼體系帶來重大的安全威脅。區塊鏈主要依賴橢圓曲線公鑰加密演算法生成數字簽名來安全地交易，目前最常用的ECDSA、RSA、DSA等在理論上都不能承受量子攻擊，將會存在較大的風險，越來越多的研究人員開始關注能夠抵抗量子攻擊的密碼演算法。

當然，除了改變演算法，還有一個方法可以提升一定的安全性：

參考比特幣對於公鑰地址的處理方式，降低公鑰泄露所帶來的潛在的風險。作為用戶，尤其是比特幣用戶，每次交易後的余額都採用新的地址進行存儲，確保有比特幣資金存儲的地址的公鑰不外泄。

共識機制的安全性

當前的共識機制有工作量證明（ProofofWork，PoW）、權益證明（ProofofStake，PoS）、授權權益證明（DelegatedProofofStake，DPoS）、實用拜占庭容錯（，PBFT）等。

PoW面臨51%攻擊問題。由於PoW依賴於算力，當攻擊者具備算力優勢時，找到新的區塊的概率將會大於其他節點，這時其具備了撤銷已經發生的交易的能力。需要說明的是，即便在這種情況下，攻擊者也只能修改自己的交易而不能修改其他用戶的交易（攻擊者沒有其他用戶的私鑰）。

在PoS中，攻擊者在持有超過51%的Token量時才能夠攻擊成功，這相對於PoW中的51%算力來說，更加困難。

在PBFT中，惡意節點小於總節點的1/3時系統是安全的。總的來說，任何共識機制都有其成立的條件，作為攻擊者，還需要考慮的是，一旦攻擊成功，將會造成該系統的價值歸零，這時攻擊者除了破壞之外，並沒有得到其他有價值的回報。

對於區塊鏈項目的設計者而言，應該了解清楚各個共識機制的優劣，從而選擇出合適的共識機制或者根據場景需要，設計新的共識機制。

智能合約的安全性

智能合約具備運行成本低、人為干預風險小等優勢，但如果智能合約的設計存在問題，將有可能帶來較大的損失。2016年6月，以太坊最大眾籌項目TheDAO被攻擊，黑客獲得超過350萬個以太幣，後來導致以太坊分叉為ETH和ETC。

對此提出的措施有兩個方面：

一是對智能合約進行安全審計，

二是遵循智能合約安全開發原則。

智能合約的安全開發原則有：對可能的錯誤有所准備，確保代碼能夠正確的處理出現的bug和漏洞；謹慎發布智能合約，做好功能測試與安全測試，充分考慮邊界；保持智能合約的簡潔；關注區塊鏈威脅情報，並及時檢查更新；清楚區塊鏈的特性，如謹慎調用外部合約等。

數字錢包的安全性

數字錢包主要存在三方面的安全隱患：第一，設計缺陷。2014年底，某簽報因一個嚴重的隨機數問題（R值重復）造成用戶丟失數百枚數字資產。第二，數字錢包中包含惡意代碼。第三，電腦、手機丟失或損壞導致的丟失資產。

應對措施主要有四個方面：

一是確保私鑰的隨機性；

二是在軟體安裝前進行散列值校驗，確保數字錢包軟體沒有被篡改過；

三是使用冷錢包；

四是對私鑰進行備份。