虚拟货币交易软件有什么漏洞

⑴ 盘点2021年虚拟货币（空气币）骗局

2021年是加密货币主流化的重要一年，流行的加密货币，如比特币、以太坊和Dogecoin等，在1月份发生的memestock热潮之后，迎来了辉煌的一年。这些加密货币飙升至新高，吸引了大量之前可能不熟悉该行业的人关注。

不过，加密货币是不可预测的，它仍然是一个令人难以置信的波动性市场，并且它几乎完全没有保护虚拟货币投资者的法律法规。但是在过去的一年里，还是有这么多的加密货币新手跳入这个“一半天堂、一半地狱”的市场中打算碰碰运气，而他们与一些骗子则组成了2021年虚拟货币市场最独特、最无耻的骗局

Squid Game鱿鱼币

把今年最大的最火爆的电视剧《鱿鱼 游戏 》变成一种加密货币，你会得到什么？

答案是你将成为本年度最“社死”的骗局之一——Squid Game的主角。

鱿鱼币是一款与鱿鱼 游戏 同名的 游戏 平台的独家代币。该平台模仿了电视剧中的六轮比赛，最终赢家获得的奖金（剧中大奖上限为3850万美元，而这个虚拟货币项目没有上限）将以鱿鱼币的形式发放。不过玩家必须先支付预设价格的鱿鱼币才能参与每场 游戏 ，有些回合还需要用户购买在平台上出售的定制NFT（非同质化代币，在此 游戏 中类似于 游戏 皮肤或道具）。

就是这样一个听着都是镰刀割韭菜声音的项目却获得了巨大的成功。据悉，鱿鱼币在10月20日的预售中不到1秒就售罄了，而在10月29日正式发行时，1美分一个的鱿鱼币在24小时内被炒到2.22美元，暴涨2400%，并且在接下来的几周，鱿鱼币币价达到惊人的2861.8美元（约合人民币18309元），这引得CNBC、《福布斯》、《商业内幕》和其他一系列媒体对鱿鱼币的争相报道。

不过与多数庞氏骗局一样，鱿鱼 游戏 虚拟货币项目体量到了一定阶段后也会很快装不下去。在币价炒到高峰时，曾有投资者抱怨，他们无法在唯一可交易该币种的虚拟货币平台Pancakeswap上出售持有的鱿鱼币，这本应给大家敲响警钟，但大家还是被高涨的鱿鱼币给冲昏了头脑，选择相信鱿鱼币创始人LinkedIn的解释，即该项目部署了一种创新的“反倾销技术”，暂时会限制人们在需求下降时出售鱿鱼币。

然而事实证明这是又一个“拉地毯”骗局。美东时间11月1日，鱿鱼币突然闪崩，5分钟内从每个币2861美元跌到了0.0007美元，跌幅为99.999976%。而此时，鱿鱼币创始人LinkedIn已兑现了等值的币安币，将资金转移。

SaveTheKids币

2021年，美国社交媒体上的KOL推销加密货币是今年的一大特色。

例如近期抛售大量特斯拉股票，打算辞职的做“网红”的马斯克，他就多次在社交媒体上推销狗狗币，而今天所说的这个骗局也是由KOL在社交媒体平台上给加密货币宣传与站台所引起的。

2021年6月初，洛杉矶电子竞技组织FaZeClan的4位成员Kay、Teeqo、Jarvis、Nikan和YouTuber RiceGum开始推广一种名为“SaveTheKids”的加密货币，该项目宣称将会为儿童慈善机构筹集资金，这对于项目与KOL来说本应是一个双赢的结果，但这又是一个“拉地毯”骗局。

当一个开发者创建一个加密货币，意图带着投资者的资金逃跑时，就会出现这种情况。在SaveTheKids代币正式推出后不久，由于那些持有大部分代币的初始投资者的大规模抛售，该加密货币下跌，SaveTheKids一上市，就变得毫无价值。

从这里看也许并不是一个骗局，但是，有人注意到，FaZe的 Kay特别喜欢推广加密货币，而这些加密货币都以这种方式结束，像Coffeezilla、SomeOrdinaryGamers和Barely Sociable这样的，FaZe 的Kay都在推广。

最终在7月初，洛杉矶电子竞技组织FaZeClan宣布自查结果，4位成员因涉嫌加密诈骗，一位成员被开除，另外三位成员直接进行停赛处理。

MILF代币

如果不对Adin Ross（阿丁·罗斯）推广MILF币的行为进行处罚，那就是失职。

Ross是一个受欢迎的Twitch媒体人，在该平台上有数百万的追随者，但他本人却是一个不折不扣的骗子。

在社交媒体上不经意晒出自己在什么项目中赚了多少钱是Ross的惯用伎俩。在以前，Ross是通过这种方式推广线上赌场，也正因如此在过去的一年里，他备受批评；而在今年5月份，Ross也紧跟时代潮流，杀入了加密货币世界，开始推广一种名为MILF币的虚拟货币。

Ross照常在社交媒体上晒出自己通过MILF币所获得的几十万美元报酬，以展现自己购买该加密货币的繁琐过程。然而，仅仅三周之后，当谈到这个投资机会时，Ross口子的信息传递发生了鲜明的变化。

"顺便说一下，我前段时间做的那个MILF Token，简直就是狗屎！我已经告诉过你们不要买那玩意。"罗斯在一次直播中笑着说。"

截至发稿时，MILF币已经比Ross推广时损失了约98%的价值。

Meme Coin币

去年，如果没有假的埃隆·马斯克推特账户的回复，你不可能遇到一条关于新的Meme Coin计划的推文。

今年，假新闻稿将这种骗局提升到了新的水平。

在2021年的两个不同场合，全球零售企业的假新闻稿欺骗了媒体，让他们发布了公司将开始接受加密货币的假消息。9月，一份假的新闻稿宣布，沃尔玛将开始接受莱特币。就在几个月后，一份假新闻稿声称克罗格公司将接受比特币现金作为付款。

然而，两则新闻都不是真的。这些虚假文件背后的欺诈者能够成功地通过大的新闻发布公司发布这一假消息，在那里他们被传播给主流新闻机构并被报道。随着加密货币倡导者继续为他们年轻的行业寻求验证和合法性，声称提供这种验证和合法性的骗局将继续增长。

这些行为引起了前股票经纪人乔丹贝尔福特（华尔街之狼）的批评，他在接受《太阳报》采访中警告投资者，不要将资金投入加密货币Meme Coin，如狗狗币 (DOGE) 和柴犬 (SHIB)，因为柴犬和狗狗币是毫无价值的笑话。

Poly Network （一个去中心化交易平台）

2021年的虚拟货币骗局中，Poly Network的这场世纪大劫案必须留下姓名。

今年夏天，一名黑客发现了去中心化金融平台Poly Network的一个漏洞，能够使得他们将6亿多美元的虚拟货币转移到他们的账户。

然而，这么大的一笔钱很难无罪地消失。在随后的几周里，黑客向Poly Network伸出援手，并声称他们一直打算归还这笔钱。Poly Network也很配合，甚至把黑客称为 "白帽子先生"（正义的黑客），试图通过他们查找到平台的安全缺陷，以便在邪恶的行为者出现之前将其修复。

最后，好在黑客履行承诺将大部分加密货币资金转回了平台，这才使得Poly Network及其平台用户未产生更大的损失。

黑客从中得到了什么好处？首先，他们逃脱了任何可能的不利影响，因为他们进行了 历史 上最大的加密货币抢劫案，其次Poly Network还向归还资金的黑客提供了50万美元的奖励，可谓是名利双收。

Africrypt （一个虚拟货币投资平台）

据外海媒体报道，今年年中，南非加密货币投资平台Africrypt的创始人Ameer Cajee和Raees Cajee已确定失联，与其一同消失的还有6.9万枚BTC（目前价值约23亿美元），该起事件或成史上最大一起加密货币骗局。

据悉，Africrypt是由南非两兄弟，现年21岁的Raees Cajee和17岁的Ameer Cajee创立于2019年的加密货币投资平台，其目标受众为高净值个人和名人。

与任何其他骗局一样，Africrypt也承诺为投资者提供难以置信的高额回报，甚至曾声称可以提供10%的每日回报。该公司非常擅长瞄准受害者，以至于大多数投资者都将其视为通往财富自由的秘密钥匙。正是这个目标市场，让Africrypt在过去有机会接触其他富有的投资者圈子，其客户平均的投资额达到10.5万美元，有些甚至高达140万美元。

其实，在2021年4月Africrypt便已在谋划跑路了，Cajee兄弟声称他们的投资公司被黑客攻击，他们所有客户的账户都被泄露了，并恳请他们不要采取法律行动，因为这会影响他们对加密货币的追回，而在跑路前七天，Africrypt公司员工已经无法访问系统后台，此时大家逐渐变得焦虑了起来。事后证明大家的担心并不多余，Cajee兄弟最终与6.9万枚BTC一起消失在大众的视野中了。

代表投资者的律师声称，有多达6.9万枚BTC被Cajee兄弟盗走。如果这是真的，Africrypt将是迄今为止最大的加密货币诈骗案。然而南非金融部门行为监管局（Finance Sector Conct Authority）相关负责人Brandon Top ham表示，在法律上，加密资产并不属于金融产品，因此目前该机构被禁止启动正式调查。

The stolen NFT

与通过本文上述的其他骗局被盗的金额相比，Jeff Nicholas（杰夫·尼古拉斯）的故事是小巫见大巫，但它仍然值得一提。

Nicholas是三个NFT的所有者（分别是猿、猫、狗，由计算机生成的艺术品），他购买这些不可伪造的代币，以证明它们所连接的物品的所有权。

Nicholas说，骗子以提供技术支持为幌子，在接下来的一个小时里，骗子从Nicholas的钱包里清除了 NFT猿、猫和狗。据Nicholas透露，本次诈骗损失总计约 150 ETH，约合 48万美元。

当NFT第一次被盗时，Nicholas试图传播消息，通知其他人不要购买他的被盗NF，而且平台OpenSea第一时间也锁定了Nicholas的资产，但骗子已经抢先将其卖给出价最高的人，虽然Nicholas理论上仍然有机会将其拿回来，但是得通过真金白银买回来。

事后，虽然区块链显示他不再拥有它们，但Nicholas声称，区块链上这些无可争议的记录是不相关的，他才是真正的所有者，Nicholas最后还是否定了了NFT倡导者声称赋予任何这种价值的基础，即信任。

将来币圈还会有更多新型骗局，大家要注意防范，保护好自己的资产。 （完）

⑵ 360发现区块链史诗级漏洞是什么情况

近日，360公司Vulcan（伏尔甘）团队发现了区块链平台EOS的一系列高危安全漏洞。经验证，其中部分漏洞可以在EOS节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管EOS上运行的所有节点。

5月29日凌晨，360第一时间将该类漏洞上报EOS官方，并协助其修复安全隐患。EOS网络负责人表示，在修复这些问题之前，不会将EOS网络正式上线。

EOS超级节点攻击：虚拟货币交易完全受控

在攻击中，攻击者会构造并发布包含恶意代码的智能合约，EOS超级节点将会执行这个恶意合约，并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块，进而导致网络中所有全节点（备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等）被远程控制。

由于已经完全控制了节点的系统，攻击者可以“为所欲为”，如窃取EOS超级节点的密钥，控制EOS网络的虚拟货币交易；获取EOS网络参与节点系统中的其他金融和隐私数据，例如交易所中的数字货币、保存在钱包中的用户密钥、关键的用户资料和隐私数据等等。

更有甚者，攻击者可以将EOS网络中的节点变为僵尸网络中的一员，发动网络攻击或变成免费“矿工”，挖取其他数字货币。

来源：科技讯

⑶ 怎么防止区块链货币,区块链有什么技术,可以实现“防篡改”

数字货币的合约交易不安全。数字货币交易平台依然存在诸多漏洞，比如最常见的就有以下六种：

一、拒绝服务攻击

拒绝服务攻击是目前最主要的针对数字货币交易平台的攻击方式，攻击者通过拒绝服务攻击，让交易平台无法正常访问，而用户因为无法准确分辨攻击程度，往往会造成恐慌性的资产转移，从而带来一定的损失影响。

二、钓鱼事件

即使是目前最好的技术措施也无法让数字货币交易平台避免钓鱼攻击，一些黑客和不法分子可以通过虚假的域名或者仿冒页面的方式迷惑数字货币投资者，而一般的投资者又无从辨别真伪，因此很容易就造成资产上的损失。

三、热钱包防护问题

很多数字货币交易平台使用单个私钥来保护热钱包，如果黑客们可以访问单个私钥，他们就可以破解与私钥相关的热钱包。例如，2017年首尔交易所Yapizon的攻击，攻击者一年内前后两次对交易平台发起了针对平台上热钱包的盗取，总共造成交易平台近50%的资产损失，并最终导致了交易平台破产。

四、内部攻击

没有完善的风险隔离措施，或对于员工权限监督不力，数字货币交易平台也存在员工监守自盗，部分拥有平台操作权限的员工利用内部信任为自己谋取不义之财。例如，2016年交易平台ShapeShift发生的员工盗取比特币事件，通过私下盗取和将敏感信息转卖给他人的方式给交易平台共造成23万美元损失。

五、软件漏洞

数字货币交易平台的软件漏洞则包括单点登录漏洞、oAuth协议漏洞等。目前各国都有法律要求银行或其他金融机构实施信息安全措施，以保护客户的存款。但由于区块链领域还处于起步阶段，目前缺少适用于加密数字资产的此类规范。因此，许多交易平台在缺乏安全规范约束的条件下，存在大量漏洞并非偶然。

六、交易可锻性

区块链的技术支持者常常认为区块链交易是高度安全的，因为它们被记录在据称不可更改的记录上，但是每个交易都需要有相应签名，而在交易最终确认之前，记录是可以被暂时伪造的。

区块链项目（尤其是公有链）的一个特点是开源。通过开放源代码，来提高项目的可信性，也使更多的人可以参与进来。但源代码的开放也使得攻击者对于区块链系统的攻击变得更加容易。近两年就发生多起黑客攻击事件，近日就有匿名币Verge（XVG）再次遭到攻击，攻击者锁定了XVG代码中的某个漏洞，该漏洞允许恶意矿工在区块上添加虚假的时间戳，随后快速挖出新块，短短的几个小时内谋取了近价值175万美元的数字货币。虽然随后攻击就被成功制止，然而没人能够保证未来攻击者是否会再次出击。

当然，区块链开发者们也可以采取一些措施

一是使用专业的代码审计服务，

二是了解安全编码规范，防患于未然。

密码算法的安全性

随着量子计算机的发展将会给现在使用的密码体系带来重大的安全威胁。区块链主要依赖椭圆曲线公钥加密算法生成数字签名来安全地交易，目前最常用的ECDSA、RSA、DSA等在理论上都不能承受量子攻击，将会存在较大的风险，越来越多的研究人员开始关注能够抵抗量子攻击的密码算法。

当然，除了改变算法，还有一个方法可以提升一定的安全性：

参考比特币对于公钥地址的处理方式，降低公钥泄露所带来的潜在的风险。作为用户，尤其是比特币用户，每次交易后的余额都采用新的地址进行存储，确保有比特币资金存储的地址的公钥不外泄。

共识机制的安全性

当前的共识机制有工作量证明（ProofofWork，PoW）、权益证明（ProofofStake，PoS）、授权权益证明（DelegatedProofofStake，DPoS）、实用拜占庭容错（，PBFT）等。

PoW面临51%攻击问题。由于PoW依赖于算力，当攻击者具备算力优势时，找到新的区块的概率将会大于其他节点，这时其具备了撤销已经发生的交易的能力。需要说明的是，即便在这种情况下，攻击者也只能修改自己的交易而不能修改其他用户的交易（攻击者没有其他用户的私钥）。

在PoS中，攻击者在持有超过51%的Token量时才能够攻击成功，这相对于PoW中的51%算力来说，更加困难。

在PBFT中，恶意节点小于总节点的1/3时系统是安全的。总的来说，任何共识机制都有其成立的条件，作为攻击者，还需要考虑的是，一旦攻击成功，将会造成该系统的价值归零，这时攻击者除了破坏之外，并没有得到其他有价值的回报。

对于区块链项目的设计者而言，应该了解清楚各个共识机制的优劣，从而选择出合适的共识机制或者根据场景需要，设计新的共识机制。

智能合约的安全性

智能合约具备运行成本低、人为干预风险小等优势，但如果智能合约的设计存在问题，将有可能带来较大的损失。2016年6月，以太坊最大众筹项目TheDAO被攻击，黑客获得超过350万个以太币，后来导致以太坊分叉为ETH和ETC。

对此提出的措施有两个方面：

一是对智能合约进行安全审计，

二是遵循智能合约安全开发原则。

智能合约的安全开发原则有：对可能的错误有所准备，确保代码能够正确的处理出现的bug和漏洞；谨慎发布智能合约，做好功能测试与安全测试，充分考虑边界；保持智能合约的简洁；关注区块链威胁情报，并及时检查更新；清楚区块链的特性，如谨慎调用外部合约等。

数字钱包的安全性

数字钱包主要存在三方面的安全隐患：第一，设计缺陷。2014年底，某签报因一个严重的随机数问题（R值重复）造成用户丢失数百枚数字资产。第二，数字钱包中包含恶意代码。第三，电脑、手机丢失或损坏导致的丢失资产。

应对措施主要有四个方面：

一是确保私钥的随机性；

二是在软件安装前进行散列值校验，确保数字钱包软件没有被篡改过；

三是使用冷钱包；

四是对私钥进行备份。