資產(chǎn)安全一直是數(shù)字世界中的重中之重,而賬戶被盜也一直是加密世界中老生常談。無論是個人用戶還是交易所都曾因為數(shù)字資產(chǎn)安全問題而煩惱。究竟發(fā)生了什么呢?以史為鑒,就讓我們來盤點一下區(qū)塊鏈歷史上曾出現(xiàn)的重大黑客攻擊事件。
價值溢出事件(2010年8月)
2010年8月15日,未知黑客對比特幣發(fā)動攻擊,利用大整數(shù)溢出漏洞,繞過了系統(tǒng)的平衡檢查,將比特幣的總量有限的設(shè)定打破,黑客憑空創(chuàng)造出了1844.67億個比特幣。
在這一局面中,中本聰為挽救比特幣,被迫發(fā)動了比特幣歷史上的第一次硬分叉。
Bitcoinica (2012年3月和5月)
Bitcoinica是一家老牌交易所,它曾在2012年遭遇兩次黑客攻擊。黑客利用其安全松懈的服務(wù)器,獲取了客戶數(shù)據(jù)(包括密鑰),共計盜走61000個BTC,最終導(dǎo)致Bitcoinica破產(chǎn)。
與Bitcoinica的被盜過程相似,黑客入侵了Bitfloor的服務(wù)器,盜走了24000個BTC。Bitfloor從此一蹶不振,并于次年4月關(guān)閉。
Poloniex(2014年3月)
2014年3月,剛成立兩個月的Poloniex交易所的服務(wù)器被入侵。一名黑客發(fā)現(xiàn)Poloniex的漏洞,即提現(xiàn)系統(tǒng)在同時收到多個請求的情況下允許出現(xiàn)負余額。提現(xiàn)系統(tǒng)注意到異常活動后,關(guān)閉了進入受影響賬戶的通道。
MtGox(2014年2月)
MtGox是當時規(guī)模最大的老牌交易所,也遭遇了最嚴重的黑客攻擊。由程序員Jed McCaleb創(chuàng)建。2010年7月,他讀到一篇關(guān)于比特幣的文章,于是修改了網(wǎng)站代碼,用于交易比特幣,并于2011年將該網(wǎng)站賣給了Mark Karpeles(法胖)。到了2014年,MtGox處理的比特幣交易占全球70%。
2014年2月7日,MtGox宣布暫停交易,理由是其安全軟件存在漏洞。兩周后,網(wǎng)站突然關(guān)閉,MtGox申請破產(chǎn)。此次損失共計85萬BTC,在當時價值4.7億美元。這個問題導(dǎo)致投資者信心受挫,比特幣直接暴跌36%。
許多人懷疑是法胖監(jiān)守自盜,他于2015年因欺詐、挪用公款和操縱用戶余額等罪名被捕,但這并不能直接證明他與交易所被盜事件有關(guān)。2017年,美國當局在希臘逮捕了俄羅斯人Alexander Vinnik,他控制的錢包不僅有MtGox被盜的比特幣,還包括Bitcoinica、Bitfloor的。
Bitstamp (2015年1月)
安全事件不斷發(fā)生,交易所開始把幣存儲在兩個錢包上:冷錢包和熱錢包。冷錢包,即不聯(lián)網(wǎng)的服務(wù)器,又稱離線錢包。熱錢包則用來存儲足夠的錢以滿足用戶的每日交易需求。
2015年1月,Bitstamp熱錢包里的19000個比特幣被黑客通過釣魚手段竊取。幸運的是,Bitstamp 90%的幣都存儲在冷錢包里,并沒有受到影響。
The DAO (2016年6月)
基于以太坊網(wǎng)絡(luò)發(fā)行的加密貨幣運行方式跟比特幣不同,但同樣都是黑客攻擊的對象。以太坊區(qū)塊鏈環(huán)境有別于其他數(shù)值貨幣,可以通過智能合約進行交易的。
所謂智能合約即設(shè)置好要求,一旦滿足設(shè)定條件就會自動執(zhí)行。以太坊全網(wǎng)有6000臺電腦,因此網(wǎng)絡(luò)難以被修改或被控制。以太坊架構(gòu)支持去中心化自治組織DAO,把規(guī)則和決策通過代碼的形式寫進區(qū)塊鏈之中,允許智能合約在不受人為監(jiān)控的條件下自動執(zhí)行。
2016年4月,Genesis DAO創(chuàng)造了一個投資者可以給項目投票的社區(qū),獲得20%以上支持的項目可獲得資金支持。DAO在以太坊上融到了2.5億美金。6月份,黑客發(fā)現(xiàn)了一個支持單一幣種多次提現(xiàn)的漏洞,而智能合約更新的速度比不上提現(xiàn)的速度。短短幾個小時內(nèi),DAO 合約里面30%的ETH都被轉(zhuǎn)移了。
盜竊事件被公開后,Genesis DAO 執(zhí)行了硬分叉,創(chuàng)造出了一條新的區(qū)塊鏈。但是這次分叉受到了社區(qū)部分持幣者的反對,他們認為篡改時間戳就是在稀釋其他人手上以太坊的價值。之后,社區(qū)發(fā)起投票,89%的人支持硬分叉。反對者從社區(qū)分離出去,重組了原鏈,改名Ethereum Classic。
Bitfinex (2016年8月)
這是繼MtGox熱錢包被盜后發(fā)生的第二大交易所被盜事件。諷刺的是,Bitfinex進行軟件升級本是為了提高安全,卻沒想到軟件內(nèi)含有漏洞。Bitfinex當初使用的是BitGo提供的多簽交易軟件。
時至今日,沒人清楚黑客是怎么避開多個簽名盜走幣的?,F(xiàn)在最主流的解釋是Bitfinex服務(wù)器安裝了不合適的軟件。Bitfinex事件中,黑客盜走了12萬個比特幣, 當時價值7200萬美元。
隨后,為了補還客戶的損失,Bitfinex通過代幣進行股權(quán)融資,并使用營業(yè)額按月賠償客戶后逐步彌補虧空,艱難的熬了過來。
Parity(2017年7月和11月)
以太坊也受過多重簽名系統(tǒng)缺陷的影響。2017年7月17日,有人攻擊了多重簽名錢包服務(wù)商Parity,目標是三家最近剛完成ICO的公司。黑客一共竊取了152037個比特幣,價值3200萬美元。Parity將本次攻擊歸咎于Parity錢包版本中智能合約代碼存在漏洞,并于7月20日發(fā)布了補丁。
糟糕的是,該補丁解決了智能合約的問題,卻還存在另一個安全隱患。Parity在其智能合約代碼上新增了“kill” 功能,該功能允許用戶永久鎖定Parity錢包。Parity開發(fā)者沒有將這一代碼更新到所有的用戶錢包中,而是選擇跟一個中心化library(合約庫)進行函數(shù)調(diào)用。
11月6日,用戶名為“devops199”的編程新手意外鎖死了library,所有與library相連的錢包也被鎖死了。受影響的錢包共計587個,包含513,774個ETH,價值約1.5億美元。
這不是犯罪也不是惡意行為,卻給以太坊帶來一個大問題:是否再次進行硬分叉以恢復(fù)被鎖定的587個錢包?4月,Parity向以太坊社區(qū)發(fā)起投票,最終以55%反對票拒絕了硬分叉,丟失的幣也就永遠找不回來了!
NiceHash(2017年12月)
NiceHash是一家位于斯洛文尼亞的礦場。黑客利用釣魚成功竊取一名員工的證件,盜走4700個BTC,當時價值近8000萬美元。
Coincheck(2018年1月)
Coincheck是一家日本交易所,被盜取了5億個NEM。黑客取出NEM后迅速兌換成其他加密貨幣,以至于NEM基金會放棄了恢復(fù)工作。這次損失高達5.3億美元,超過了2014年MtGox的損失。由于Coincheck在被黑后隨即凍結(jié)提現(xiàn),因此穩(wěn)住了用戶,交易所最終才得以存活下來。
Coinrail和Bithumb(2018年6月)
2018年6月,韓國兩家交易所的熱錢包遭遇攻擊。其中Coinrail損失了5300個 BTC(價值接近4000萬美元),Bithumb損失了近3100萬美元。
事實上,區(qū)塊鏈應(yīng)用存在一些中心化數(shù)據(jù)庫所沒有的安全問題。
區(qū)塊鏈在數(shù)據(jù)安全方面確實超過了傳統(tǒng)數(shù)據(jù)庫。如果區(qū)塊鏈想要實現(xiàn)在自己諾言——改變傳統(tǒng)數(shù)據(jù)的存儲和操作方式,那么它就必須去緩解和解決存在的這些安全問題!那到底有哪些安全漏洞?需要怎么去解決應(yīng)對呢?
訪問區(qū)塊鏈需要公鑰和私鑰等一些密鑰。密鑰是足夠長度的加密字符串,想猜出來它,呵呵。要是沒有公鑰和私鑰的正確組合,你想訪問區(qū)塊鏈中的數(shù)據(jù)那是不實際的,這同時說明了區(qū)塊鏈技術(shù)的優(yōu)勢和弱點。沒有正確的密鑰,黑客就無法訪問你的數(shù)據(jù),這說明區(qū)塊鏈很安全。但另一方面,黑客的目的就是想拿到正確的密鑰來完成他不可告人的目的。在區(qū)塊鏈的世界中,擁有你的密鑰和擁有你的數(shù)據(jù)所有權(quán)完全是同義詞。這也就說明了區(qū)塊鏈的缺陷。確保你的密鑰安全,保證不要被黑客竊取。
黑客也知道猜密鑰沒用,所以他們花費大量的時間來竊取你的密鑰。獲得密鑰的最佳機會是攻擊整個區(qū)塊鏈系統(tǒng)中最脆弱的點——PC、手機等終端設(shè)備。Windows、安卓中的安全漏洞最容易成為區(qū)塊鏈黑客的目標,因為區(qū)塊鏈密鑰在任何時候都可以在這些設(shè)備上輸入、顯示和存儲。而黑客們就可以窺探并捕獲,如果我們沒有充分保護我們的設(shè)備,那你的財富就不翼而飛啦,而且老鐵你還找不回來!下面簡單幾步可以非常有效地防止黑客竊取你的區(qū)塊鏈密鑰:
給你的Windows、安卓設(shè)備裝上殺軟吧,并確保同時更新殺軟和操作系統(tǒng)!定期查殺惡意軟件!不要將密鑰存儲在記事本,word或其他文件中。如果確需,那就用可靠的加密軟件強加密!別以任何理由給任何人通過郵件發(fā)送密鑰。如果確需,那就用區(qū)塊鏈的電子錢包!各種密鑰分開放!
我們的信息只有通過區(qū)塊鏈輸入或者輸出,區(qū)塊鏈才會有價值。隨著分布式賬本的使用,提供第三方解決方案的市場將越來越大??梢灶A(yù)見,在區(qū)塊鏈平臺整合、錢包、支付、科技金融、智能合約等5個方面會有大量第三方的解決方案。兄弟,我想你也想到了,分布式賬本的強烈需求為區(qū)塊鏈的開發(fā)帶來春天!但是第三方的供應(yīng)商也存在一些安全隱患,可能一些第三方自己也沒有意識到自己開發(fā)的系統(tǒng)的安全性有待提高,代碼可能有瑕疵,甚至在員工的層面存在漏洞,這都可能使其客戶的區(qū)塊鏈憑證和數(shù)據(jù)暴露給未經(jīng)授權(quán)的人員。區(qū)塊鏈供應(yīng)商中存在的安全隱患。
當?shù)谌?a target="_blank">產(chǎn)品涉及到智能合約(如果對智能合約不了解或感興趣,請關(guān)注本號并查看之前的文章錯過比特幣?難道還要錯過區(qū)塊鏈的下一個應(yīng)用風口——智能合約?)時,這種安全風險尤為嚴重。因為你的整個系統(tǒng)的所有行為或多或少的以智能合約的方式存儲在區(qū)塊鏈上,一個漏洞就可以造成災(zāi)難性的后果!因此,如果你需要第三方的區(qū)塊鏈解決方案,你需要考察整個區(qū)塊鏈行業(yè)的生態(tài)系統(tǒng),經(jīng)驗和信譽應(yīng)該作為參考的兩個關(guān)鍵的指標!
福布斯的報道是這么說的,區(qū)塊鏈中首要的安全問題就是缺乏標準和規(guī)定!其實,只要有規(guī)定或標準,區(qū)塊鏈純粹主義者就會高度警惕。好奇boy也許會問了:區(qū)塊鏈不是和治理、規(guī)定處在對立面嗎?那得看你怎么它!如果回顧咱們上面說的第二個風險,供應(yīng)商風險。如果沒有標準,如果沒有規(guī)定,那上面提到的5個領(lǐng)域哪一個會從中獲益?顯然沒有!標準讓應(yīng)用更安全。
缺乏標準協(xié)議意味著區(qū)塊鏈開發(fā)人員很難從其他人的錯誤中受益。此外,在某些情況下,可能需要整合鏈條,隨著多種技術(shù)的融合,缺乏標準化可能意味著新的安全風險。標準和規(guī)定問題比技術(shù)問題要復(fù)雜的多。和其他技術(shù)發(fā)展類似,隨著歷史進程的發(fā)展,這些問題終會得到解決,歷史也許會驚人的相似:
強制的標準和規(guī)定慢慢的便可可以說的通。(互聯(lián)網(wǎng)發(fā)展初期的標準和監(jiān)管)在一些創(chuàng)新領(lǐng)域,大的企業(yè)聯(lián)合體內(nèi)部實施自己的標準和監(jiān)管。(如今大型互聯(lián)網(wǎng)公司在一些垂直領(lǐng)域的自由標準和監(jiān)管)僅用于大型企業(yè)內(nèi)部,進行自我管理的區(qū)塊鏈將沒有具體標準和監(jiān)管。(如今大型互聯(lián)網(wǎng)公司會制定自己的私有協(xié)議)
雖然自比特幣出世已經(jīng)有八年,但區(qū)塊鏈能否安全應(yīng)用于數(shù)字貨幣還是處在實驗階段的。但是一些分布式賬本的開發(fā)者很急,想在區(qū)塊鏈上部署未曾驗證測試的代碼。一個臭名昭著的例子就是DAO攻擊。(關(guān)于DAO攻擊,希望不懂的看官自行百度,謝謝~)。DAO攻擊之后,DAO貶值了三分之一,這下可不得了,DAO攻擊一度登上區(qū)塊鏈領(lǐng)域文章的熱搜!要解決這種類型的安全風險至少有兩個很好的解決方案:
相互監(jiān)督:在部署之前對代碼進行嚴格的同行審計。專業(yè)的人干專業(yè)的事:智能合約測試由獨立測試機構(gòu)進行。
這兩個方案中的使用任何一個都會發(fā)現(xiàn)DAO中的缺陷,那么在未來也時同樣如此!
盡管歷史上的損失令人痛心,可喜的是針對安全問題的解決方案正在越來越完善。
正如互聯(lián)網(wǎng)殺毒時代至今的演變一樣,我們期待更完美的技術(shù)性能迎來區(qū)塊鏈的進一步普及引用,真正從內(nèi)而外地形成一個可靠、透明、可追溯的分布式平臺,為金融交易創(chuàng)造安全空間、促進保障社會信任關(guān)系。
評論
查看更多