黄金公开课X成都联安| 第二阶段：数字资产犯罪分析解决方案

金色公开课由金色财经主办，定位于与行业领先企业合作，打造行业最全面、最专业的知识共享平台。 课程将以社区分享、在线直播、全网直播的形式，打造业内最具影响力的网络栏目。 将积累100门课程，覆盖超过10万个社区，展示数千万内容。

金色财经联合成都联安打造了区块链安全系列课程，邀请成都联安各领域安全负责人为大家讲解区块链安全。 本次课程邀请了成都联安安全研究室负责人Earl作为嘉宾，为大家讲解数字资产犯罪分析及解决方案。

以下为课程详情：

问题一：数字资产犯罪频发。 能否介绍一下数字资产犯罪的主要手法？

伯爵：

目前全球数字资产犯罪案件的手法主要有黑客窃取数字资产、利用数字资产在暗网进行非法交易、利用数字资产洗钱、网络犯罪、资金盘、传销、庞氏骗局和项目等。当事人跑路、恶意挖矿、信息泄露等

据成都联安“区块链安全态势感知平台”（Beosin-Eagle Eye）数据监测显示，2020年，区块链领域的安全事件将持续扩大，包括持续升温，但问题也在增多。 新兴的 Defi 项目； 暗网市场依然活跃，洗钱问题、加密诈骗、合约漏洞是当前形势下不容忽视的安全问题，也是现阶段各交易所合规的关键。 问题。

问题二：2020年黑客主要利用交易所漏洞、Defi安全、智能合约漏洞、钱包漏洞、公链漏洞、用户不当使用等方式实施窃取数字资产的犯罪行为。 能否通过一个案例给我们具体分析一下？

伯爵：

◇ 2020年交易所发生多起典型安全事件：

1、FCcoin交易所入不敷出，赎回困难。 该交易所创始人表示，资金缺口在 7000-13000 BTC 之间。

2、新加坡交易所Coinhako受攻击后限制用户提现。 Coinhako发言人实施账户限制以防止“未经授权的交易”，并将于3月1日恢复运营。

3、去中心化加密衍生品交易所Digitex称，一名前员工窃取了8000多名用户的隐私信息。

4、OKEx、Bitfinex等交易所陆续遭受DDOS攻击，出现宕机等情况。 OKEx声称遭受了至少600G流量的DDOS攻击。

5、黑客田银银、李家栋在多家交易所洗钱超过1亿美元。

6、OMNI链出现新的USDT假充值攻击。

问题三：近几个月，随着Defi金融持续升温，安全问题日益突出。 2020 年 Defi 有哪些典型的安全事件？

伯爵：

◇关于Defi安全：

1、2月15日，BZX协议被曝遭受可组合资产流动性套利攻击。 攻击者通过闪贷从BZX借入ETH，然后通过一系列操作抬高币价，套利ETH，获利1000多ETH。

2、2月18日，BZX再次遭遇类似攻击。 攻击者通过抬高币价“欺骗”了BZX合约。 BZX多次验证币价失败，导致损失2378ETH。

3、去中心化交易平台Curve发生异常交易。 在本次交易中，价值8.9万美元的USDC被兑换成价值46.5万美元的BUSD。 攻击者使用 Curve 的 busd.curve.fi 和 y.curve.fi 资金池进行夹击攻击。

4月和3月，bZx第二次发生闪贷攻击，导致用户损失14万美元。

5月和3月，以ETH为抵押资产的MakerDao去中心化Defi项目清算，1462笔拍卖在0dai卖出，平台共损失780万美元。

在 6 月和 3 月，Defi 项目 Synthetix 披露了一个合约漏洞。

Defi 项目发展迅速。 据统计，截至2020年，以太坊Defi应用锁定的资产已达10亿美元。 Defi项目的火爆主要来自其高回报。 Defi也被称为“去中心化金融”。 开放金融的基础是高达8%-10%的收益率必然伴随着巨大的风险。

这是一个快速迭代的领域，所以各方Defi团队可以自由开发自己的合约产品； 但是没有统一标准的安全方案可以遵守，或者必须通过严格的安全审核，导致各种合约漏洞和相关的安全问题层出不穷。

成都链安在此建议任何Defi项目方在开发合约时注意合约安全问题，以应对各种突发事件和合约的各种异常使用，以免造成损失； 同时，建议借助专业的区块链安全公司，做好相关安全审计工作，规避安全隐患。

问题四：总体来看，2020年区块链安全事件还是时有发生，成都联安如何分析数字资产犯罪？ 有什么解决办法吗？

伯爵：

◇2020年典型安全事件涉及网络诈骗和加密诈骗4起：

1、部分不法分子利用人们对新冠病毒的担忧，进行与新冠病毒相关的加密诈骗。

2. BTC假二维码骗局。 一些网站声称可以免费将用户的BTC地址映射成二维码，方便用户收款和转账； 生成的二维码实际上是黑客的地址。 目前已有0.6多BTC转入黑客地址。

3、空气币PETH上线雪碧交易所，开盘后立即归零。 受害者均为前期私募受害者，金额从80USDT到1000USDT不等，约228人。 初步估计涉案金额约40万元，不幸涉及部分大学生。

4、区块链资本市场“硅谷区块鸡”疑似崩盘。 “硅谷区块鸡”是典型的虚拟宠物基金，类似于区块猫和区块狗。 宠物以低价买入usdt混币，一段时间后以高价卖出。 这种加密骗局实际上是一种敲锣打鼓的资金转移，直到无人接盘，也就是项目崩盘的时刻。

不法分子可能利用数字货币作为支付工具进行非法集资或集资诈骗。 以投资发行数字货币、开发比特币底层技术应用、利用数字货币“搬砖”套利等为幌子，利用资金、传销、庞氏骗局等经营方式进行违法犯罪活动集资或集资诈骗。 一旦“时间”一到，或者出现问题，那帮人就会直接跑路。 作为普通用户，您必须提前具备安全意识，对投资项目有一个整体正确、透明的认识。

◇个人用户方面usdt混币，2020年发生1起巨鲸被SIM卡攻击的案例。

2月22日，巨鲸“周健福”在推特上称，自己的钱包被黑，1547枚BTC和6万枚BCH被盗，价值超过2亿人民币。 跟踪被盗资产的流向。

◇2020年其他典型安全事件包括：

1. Kraken安全实验室发现Trezor硬件钱包存在物理漏洞。 通过打开物理外壳，访问STM32微芯片获取用户私钥，进而进行盗币。

2、近期诈骗勒索事件频发：加州某学区系统被加密勒索软件瘫痪； 基于谷歌广告系统的骗局； OMG钓鱼网站空投诈骗，导致用户私钥被盗； 比特币钱包 Electrum“更新网络钓鱼” 硬币盗窃仍在继续。

3、加密投资基金Trident被黑，26.6万用户数据泄露。

4. 5.23亿微博用户数据被泄露并在暗网出售。

5.韩国N号房事件。 用户使用 Telegram 和虚拟货币进行通信和支付。 由于韩国警方决定彻查所有参与直播间的用户，Upbit、Bithumb、Korbit、Coinone、火币、Kucoin等交易所均表示愿意配合警方调查用户信息。

6、以太坊“一键发币”平台在开发的代币合约中植入后门，在向项目方发行代币的同时偷偷将代币转入自己的账户，然后在项目方发币时出售代币获利开始交易。

安全事故数量处于中等水平，事故造成的损失也处于中等水平。 不过，这并不意味着区块链严峻的安全形势趋于缓和，而是表明已经发生的安全事件涉及的层面更广泛。

如何持续监控和评估链上交易风险，是支撑VASP（虚拟资产服务商）、监管部门、执法部门等开展风险管理、合规监管、调查取证等工作的重要任务开展生态安全监管，推进合规建设。

针对亟待解决的痛点，成都联安推出“反洗钱合规调查取证系统”——Beosin-AML。 作为成都联安“Beosin一站式区块链安全服务平台”的四大核心安全产品之一，Beosin-AML将全力助力区块链生态应用建立完善的防护体系。

免费提问环节

Q1：AML可以查询个人账户地址吗？

A1：反洗钱系统跟踪地址，无论是个人地址还是公司地址。

Q2：BSV是骗局吗？

A2：BSV是不是骗局，这个我们不能轻易下定论，用户需要自己辨别，建议多阅读相关新闻，并与其他被锤过的骗局进行类比。

Q3：目前有哪些混币平台？ 如何识别混币地址？

A3：混币地址需要大量的地址标签进行判断。 如果个人做出判断，需要耗费大量的时间和精力。 如果需要，您可以使用成熟的跟踪平台。

▪“黄金公开课X成都联安”系列课程陆续推出，欢迎持续关注