漏洞

针对“去中心化金融（DeFi）贷款协议bZx被操纵导致以太坊损失”一事。莱特币创始人李启威（Charlie Lee）在推特上表示，这就是我不相信DeFi的原因。这是两个世界中最糟糕的。大多数DeFi可以被一个中心化的部门关闭，所以它只是一个去中心化的“戏院”。然而，除非我们增加更多的中心化，否则没有人能够撤销黑客攻击或漏洞利用。

据CoinTelegraph消息，美国电子商务巨头Overstock首席执行官Jonathan Johnson发表声明支持区块链投票应用Voatz。他表示，Voatz可以防止选举欺诈，保护每个选民的隐私。他指出，最近关于选举中使用科技的猜测已经走向极端，转向了反科技和反学习的立场。据悉，美国国土安全部（DHS）在对Voatz总部进行网络安全审计时，发现了该公司技术基础设施的多个安全漏洞。麻省理工学院(MIT)的研究人员此前也曾发表一份技术论文，声称详细列出了Voatz应用程序的一些重大漏洞。

加密交易平台FCoin刚刚发布关于系统维护最新进度及开放提现申请的公告。公告针对此前网传Fcoin被黑客入侵一事予以否定，表示由于关键人员失联，以及部分系统和数据严重受损，导致无法按计划及时恢复。FCoin表示为了满足部分急需提现用户的需求，在系统暂时无法恢复的情况下，将开放以邮件形式申请提现的操作。据悉，FCoin 2020年2月10日宣布临时停机维护，初步预计时长4个小时。随后在2月11日再次发布公告称在昨日的紧急维护中，发现了可能引发风控问题的系统漏洞。由于平台部分人员尚未到位，且系统某些模块需要重建，预计网站恢复正常还需要1至2天的时间。随后网上流传出“FCoin 永久停服”以及疑似Fcoin资金流动的图片。不过经查证，上述图片为PS，FCoin官网并未发布此公告。目前FCoin仍未完成修复，官方表示修复完成之后将会发布公告。

典型的企业应用程序开发人员会发现以确定性的方式编写代码是困难的或不切实际的。你的生意就会面临欺诈或黑客攻击的风险。如硬件上的浮点行为或哈希表的插入顺序。

Bitcoin Miner应用程序最近几周进行了多次更新，以修复各种性能和崩溃的漏洞。此外，该应用也做出了相当重大的调整，以应对去年10月生效的一项新的微软商店政策——禁止商店中的任何应用使用用户的计算机进行加密货币挖矿。受新政策影响，基于Windows 10的Bitcoin Miner应用转向了云挖矿，但由于微软广告货币化平台将于6月关闭，云挖矿将不再盈利，该应用现计划完全离开微软商店。一位开发者称：“我们正在开发一个新的Bitcoin Miner，它不再需要微软商店。我们感谢你的耐心，因为我们公司正在努力应对这些意想不到的发展。”（Onmsft）

上个月，印度安全研究员Nitesh Surana在美国国防部的漏洞赏金页面上提交了一份漏洞报告，Surana称其在国防部运营的一个网络服务器上发现了一个僵尸挖矿程序。据悉，该漏洞的主要影响是，攻击者可以通过Java在服务器上运行远程命令，上传他们需要的任何文件。看起来，似乎确实有不法分子利用这个漏洞安装了僵尸程序来挖掘门罗币（Monero），但尚不清楚究竟获利了多少。在Surana发布证据支持其说法后，国防部迅速控制了该系统，并已将其关闭。（Decrypt）

美国金融犯罪执法网络（FinCEN）副主任 Jamal El-Hindi 在反洗钱会议上表示，具有加密技术抱负的社交媒体网络必须保护其系统免受犯罪利用，指出涵盖「新支付技术」的企业必须与现有金融机构保持相同的反洗钱标准，以免给金融犯罪者提供漏洞。Jamal El-Hindi 同时表示，监管机构需要开始警惕由潜在的金融犯罪，未来将判断新兴金融机构是否以及如何使他们的系统防治洗钱、恐怖分子融资、逃避制裁、贩运人口、贩毒及其他潜在的非法活动，并对此作出报告。

据华尔街日报报道，美国财政部在一份新报告中说，缺乏披露公司实益所有权信息的要求是美国金融体系中的最严重漏洞之一。此外，数字资产的滥用日益严重，以及外国司法管辖区未能有效监管数字资产活动，构成了另一个漏洞。

瑞士区块链公司Insolar正在启动自己的主网，并首次推出Insolar Coin（XNS）以取代其以前使用的基于以太坊的代币INS，Insolar用户将能够将其XNS代币存储在Insolar的本地加密货币钱包Insolar Wallet中。Insolar还宣布将通过漏洞赏金平台HackerOne提供赏金，以提高网络的安全性。（Cointelegraph）

针对此前Kraken称Trezor硬件钱包存在漏洞一事，前门罗币首席开发者Riccardo Spagni表示，密码短语（passphrase）就是答案。特别是Trezor当前的形式，很容易发生故障攻击，因此要使用密码短语。密码短语确实让Trezor变得更麻烦，但至少密码短语没有存储在设备上，所以它几乎像是第二个身份验证因素。（AMBCrypto）

以太坊混币平台 Tornado.cash 确认了一个由推特用户 epheph 提交的基于用户界面的漏洞，有 12 名用户和 13.2 ETH 已受到影响，对于所有受影响的充值地址，用户只需要提现后再次充值即可，因为该漏洞已经被修复。除此之外，还有 86 个充值地址已经进行过了提现，但是他们的隐私信息可能已经被泄漏，所以 Tornado.cash 建议这些用户可以再次使用 Tornado.cash 以增强隐私。Tornado.cash 表示该问题仅限于用户界面（UI）层面，而且智能合约仍然是安全的，对于该漏洞的全部细节将在两周后也就是 2 月 14 日公开。链闻之前报道，Tornado.cash 是一个基于零知识证明的匿名交易工具，用户可以将资产向 Tornado.cash 的智能合约存款，另一个地址可以从这个合约中提取金额，这样就无法将存款和提款的地址进行关联。

以太坊隐私交易工具Tornado.cash因一个用户界面bug泄漏了一些用户的交易细节。漏洞报告显示，12名用户和总共13.2 ETH（约2416美元）的交易在这个过程中受到影响。该平台称漏洞已经修复，同时要求通过指定的12个地址存款的用户尽快取款，并立即重新存款。（News Logical）

据CoinDesk 1月27日消息，英国央行金融市场基础设施局执行董事Christina Segal-Knowles 在1月23日的讲话中证明了该行金融政策委员会（FPC）12月裁决的合理性，称若不加监管，英国可能会遭受“稳定币漏洞”。这是因为稳定币可能会试图在现有的金融基础架构之外运营。这些活动在授权，清算和结算过程中受到监管，以保证资金的流动和各方的放心。”Segal-Knowles 表示，只要监管者有发言权，这些支付创新在英国就很受欢迎。FPC在12月的裁决中概述的必须执行的标准如下：“使用稳定币的支付链应该受到与适用于传统支付链的等同标准的监管。基于稳定币的系统性支付链中对其功能至关重要的公司应受到相应的监管。”“在系统支付链中将稳定币用作类似于货币的工具的情况下，在价值稳定性、法律主张的稳健性和法定赎回能力方面，稳定币应达到与商业银行货币预期的标准相当的标准。”

对此前2019年10月份报道的“Seth Shapiro起诉美国无线运营商AT&T，称其员工辅助SIM交换导致其价值180万美元的加密货币被盗”一案，在1月22日提交的支持其12月撤案动议的文件中，AT&T称Shapiro的指控存在“关键漏洞”，因为它从黑客获取他的电话号码“跳到”提取价值数百万美元的加密货币。”但AT&T 12月的撤案动议表示，Shapiro的指控是基于“简单的结论”。文件显示，黑客需要的不仅仅是一个电话号码来访问交易所账户，原告没有说明黑客是如何知道他的账户的，以及他们是如何知道他是AT&T客户的。动议还说，Shapiro并没有确切地说明这次黑客攻击的责任在AT&T公司。该文件还驳斥了原告关于“故意不当行为”的指控，即披露社会安全号码和交易所密码等信息，而AT&T称其从未拥有这些信息。AT&T的律师还强调，Shapiro没有说明他的手机是否被用于交易所账户的双重认证机制，并认为“Shapiro自己的疏忽”可能是这次黑客攻击的罪魁祸首。法院将于2月18日在洛杉矶西部加利福尼亚中心区听取AT&T公司的撤案动议。（CoinDesk）

据日本时事通讯社消息，日本中央银行：日本银行和欧洲中央银行等6家银行以及国际结算银行21日晚表示，将进行共同研究。各央行加紧研究的背景是对美国脸书计划中的加密资产“libra”的警惕。如果民间企业发行的数字货币在世界范围内使用，就会在反洗钱对策上出现漏洞，金融政策的影响力也会下降。各国计划分享经验技术，提高研究效率，并在年内汇总报告书。

到目前为止，基于Windows的系统还没有将私钥暴露，但威胁在于使用隐蔽的门罗币（Monero）挖矿软件。

学习时报发文表示，借助于区块链发票，税务机构便可自动封堵各种程序漏洞，同时湮灭各种非法违规行为，实现对国家税收的高效治理。区块链具有溯源性，区块链电子发票上的每一个干系人都能够追溯到发票真伪的来源，税务机关更可做到无界和跨界监控，这种发票信息的全场景透明完全可以使各种违法犯罪行为无法遁形。

学习时报发文表示，借助于区块链发票，税务机构便可自动封堵各种程序漏洞，同时湮灭各种非法违规行为，实现对国家税收的高效治理。一方面，根据分布式账本要求，区块链发票由税务机关、开票方、流转方、报销方多方参与共同记账，且共识机制确保了只有税务机关写出的发票才能得到校验与认可，其他任何节点写出的发票都不能得到确认，从而保证了发票源头的真实性；另一方面，借助区块链智能合约，交易与发票同时发生，消费支付与发票开具无缝进行，实物流与资金流、资金流与发票流做到二流合一，由此保证了发票的唯一性。这种全新的信用体系完全可以将一票多开、一票多用以及虚报虚抵的违规行为消弭于无形；不仅如此，区块链具有溯源性，区块链电子发票上的每一个干系人都能够追溯到发票真伪的来源，税务机关更可做到无界和跨界监控，这种发票信息的全场景透明完全可以使各种违法犯罪行为无法遁形。

据BeInCrypto消息，分析师CryptoWolf最近在推特发表一些大胆的声明，并发布一张图表，附有他对2020年以太坊的预测。他表示，以太坊将跟随比特币在2010年代的抛物线上涨。其图表描绘了比特币在过去十年中的增长与以太坊在最新十年中的潜在增长，两者惊人地吻合。“这十年的投资将是以太坊。这张图表不容忽视。”

BeInCrypto文章指出，比特币的图表看起来确实与以太坊相吻合，但这种想法有太多漏洞。以太坊未来的大部分增长依赖于ETH 2.0的发布。一个功能齐全的ETH 2.0还需要几年的时间才能使用。另外，假设以太坊将追随比特币的轨迹似乎也是非常武断的。图表并不完全是这样显示的。然而，这些相似之处确实让人感到惊讶。此外，推特用户对该预测的回应各不相同。一些人批评CryptoWolf，并认为“十年的投资”将是一个巨大的未知数，尚未揭晓。

据CoinDesk，网络安全公司趋势科技（Trend Micro）周三发布博客文章称，国际刑警组织（Interpol）曾领导了一项为期5个月的行动，该行动阻止网络罪犯利用MicroTik路由器漏洞安装cove cryptojacker，使得亚洲各地电脑路由器免受加密货币挖掘恶意软件的侵扰。