1. 首页
  2. 资讯

争议与未来:盘点区块链安全事件

资产安全一直是数字世界中的重中之重,而账户被盗也一直是加密世界中老生常谈。无论是个人用户还是交易所都曾因为数字资产安全问题而烦恼。究竟发生了什么呢?以史为鉴,就让我们来盘点一下区块链历史上曾出现的重大黑客攻击事件。

争议与未来:盘点区块链安全事件

价值溢出事件(2010年8月)

2010年8月15日,未知黑客对比特币发动攻击,利用大整数溢出漏洞,绕过了系统的平衡检查,将比特币的总量有限的设定打破,黑客凭空创造出了1844.67亿个比特币。

在这一局面中,中本聪为挽救比特币,被迫发动了比特币历史上的第一次硬分叉。

Bitcoinica  (2012年3月和5月)

Bitcoinica是一家老牌交易所,它曾在2012年遭遇两次黑客攻击。黑客利用其安全松懈的服务器,获取了客户数据(包括密钥),共计盗走61000个BTC,最终导致Bitcoinica破产。

争议与未来:盘点区块链安全事件

Bitfloor(2012年9月)

与Bitcoinica的被盗过程相似,黑客入侵了Bitfloor的服务器,盗走了24000个BTC。Bitfloor从此一蹶不振,并于次年4月关闭。

Poloniex(2014年3月)

2014年3月,刚成立两个月的Poloniex交易所的服务器被入侵。一名黑客发现Poloniex的漏洞,即提现系统在同时收到多个请求的情况下允许出现负余额。提现系统注意到异常活动后,关闭了进入受影响账户的通道。

MtGox(2014年2月)

MtGox是当时规模最大的老牌交易所,也遭遇了最严重的黑客攻击。由程序员Jed McCaleb创建。2010年7月,他读到一篇关于比特币的文章,于是修改了网站代码,用于交易比特币,并于2011年将该网站卖给了Mark Karpeles(法胖)。到了2014年,MtGox处理的比特币交易占全球70%。

2014年2月7日,MtGox宣布暂停交易,理由是其安全软件存在漏洞。两周后,网站突然关闭,MtGox申请破产。此次损失共计85万BTC,在当时价值4.7亿美元。这个问题导致投资者信心受挫,比特币直接暴跌36%。

许多人怀疑是法胖监守自盗,他于2015年因欺诈、挪用公款和操纵用户余额等罪名被捕,但这并不能直接证明他与交易所被盗事件有关。2017年,美国当局在希腊逮捕了俄罗斯人Alexander Vinnik,他控制的钱包不仅有MtGox被盗的比特币,还包括Bitcoinica、Bitfloor的。

Bitstamp (2015年1月)

安全事件不断发生,交易所开始把币存储在两个钱包上:冷钱包和热钱包。冷钱包,即不联网的服务器,又称离线钱包。热钱包则用来存储足够的钱以满足用户的每日交易需求。

2015年1月,Bitstamp热钱包里的19000个比特币被黑客通过钓鱼手段窃取。幸运的是,Bitstamp 90%的币都存储在冷钱包里,并没有受到影响。

The DAO (2016年6月)

基于以太坊网络发行的加密货币运行方式跟比特币不同,但同样都是黑客攻击的对象。以太坊区块链环境有别于其他数值货币,可以通过智能合约进行交易的。

所谓智能合约即设置好要求,一旦满足设定条件就会自动执行。以太坊全网有6000台电脑,因此网络难以被修改或被控制。以太坊架构支持去中心化自治组织DAO,把规则和决策通过代码的形式写进区块链之中,允许智能合约在不受人为监控的条件下自动执行。

2016年4月,Genesis DAO创造了一个投资者可以给项目投票的社区,获得20%以上支持的项目可获得资金支持。DAO在以太坊上融到了2.5亿美金。6月份,黑客发现了一个支持单一币种多次提现的漏洞,而智能合约更新的速度比不上提现的速度。短短几个小时内,DAO 合约里面30%的ETH都被转移了。

盗窃事件被公开后,Genesis DAO 执行了硬分叉,创造出了一条新的区块链。但是这次分叉受到了社区部分持币者的反对,他们认为篡改时间戳就是在稀释其他人手上以太坊的价值。之后,社区发起投票,89%的人支持硬分叉。反对者从社区分离出去,重组了原链,改名Ethereum Classic。

Bitfinex (2016年8月)

这是继MtGox热钱包被盗后发生的第二大交易所被盗事件。讽刺的是,Bitfinex进行软件升级本是为了提高安全,却没想到软件内含有漏洞。Bitfinex当初使用的是BitGo提供的多签交易软件。

时至今日,没人清楚黑客是怎么避开多个签名盗走币的。现在最主流的解释是Bitfinex服务器安装了不合适的软件。Bitfinex事件中,黑客盗走了12万个比特币, 当时价值7200万美元。

随后,为了补还客户的损失,Bitfinex通过代币进行股权融资,并使用营业额按月赔偿客户后逐步弥补亏空,艰难的熬了过来。

Parity(2017年7月和11月)

以太坊也受过多重签名系统缺陷的影响。2017年7月17日,有人攻击了多重签名钱包服务商Parity,目标是三家最近刚完成ICO的公司。黑客一共窃取了152037个比特币,价值3200万美元。Parity将本次攻击归咎于Parity钱包版本中智能合约代码存在漏洞,并于7月20日发布了补丁。

糟糕的是,该补丁解决了智能合约的问题,却还存在另一个安全隐患。Parity在其智能合约代码上新增了“kill” 功能,该功能允许用户永久锁定Parity钱包。Parity开发者没有将这一代码更新到所有的用户钱包中,而是选择跟一个中心化library(合约库)进行函数调用。

11月6日,用户名为“devops199”的编程新手意外锁死了library,所有与library相连的钱包也被锁死了。受影响的钱包共计587个,包含513,774个ETH,价值约1.5亿美元。

这不是犯罪也不是恶意行为,却给以太坊带来一个大问题:是否再次进行硬分叉以恢复被锁定的587个钱包?4月,Parity向以太坊社区发起投票,最终以55%反对票拒绝了硬分叉,丢失的币也就永远找不回来了!

NiceHash(2017年12月)

NiceHash是一家位于斯洛文尼亚的矿场。黑客利用钓鱼成功窃取一名员工的证件,盗走4700个BTC,当时价值近8000万美元。

Coincheck(2018年1月)

Coincheck是一家日本交易所,被盗取了5亿个NEM。黑客取出NEM后迅速兑换成其他加密货币,以至于NEM基金会放弃了恢复工作。这次损失高达5.3亿美元,超过了2014年MtGox的损失。由于Coincheck在被黑后随即冻结提现,因此稳住了用户,交易所最终才得以存活下来。

Coinrail和Bithumb(2018年6月)

2018年6月,韩国两家交易所的热钱包遭遇攻击。其中Coinrail损失了5300个 BTC(价值接近4000万美元),Bithumb损失了近3100万美元。

事实上,区块链应用存在一些中心化数据库所没有的安全问题。

区块链在数据安全方面确实超过了传统数据库。如果区块链想要实现在自己诺言——改变传统数据的存储和操作方式,那么它就必须去缓解和解决存在的这些安全问题!那到底有哪些安全漏洞?需要怎么去解决应对呢?

访问区块链需要公钥和私钥等一些密钥。密钥是足够长度的加密字符串,想猜出来它,呵呵。要是没有公钥和私钥的正确组合,你想访问区块链中的数据那是不实际的,这同时说明了区块链技术的优势和弱点。没有正确的密钥,黑客就无法访问你的数据,这说明区块链很安全。但另一方面,黑客的目的就是想拿到正确的密钥来完成他不可告人的目的。在区块链的世界中,拥有你的密钥和拥有你的数据所有权完全是同义词。这也就说明了区块链的缺陷。确保你的密钥安全,保证不要被黑客窃取。

黑客也知道猜密钥没用,所以他们花费大量的时间来窃取你的密钥。获得密钥的最佳机会是攻击整个区块链系统中最脆弱的点——PC、手机等终端设备。Windows、安卓中的安全漏洞最容易成为区块链黑客的目标,因为区块链密钥在任何时候都可以在这些设备上输入、显示和存储。而黑客们就可以窥探并捕获,如果我们没有充分保护我们的设备,那你的财富就不翼而飞啦,而且老铁你还找不回来!下面简单几步可以非常有效地防止黑客窃取你的区块链密钥:

给你的Windows、安卓设备装上杀软吧,并确保同时更新杀软和操作系统!定期查杀恶意软件!不要将密钥存储在记事本,word或其他文件中。如果确需,那就用可靠的加密软件强加密!别以任何理由给任何人通过邮件发送密钥。如果确需,那就用区块链的电子钱包!各种密钥分开放!

我们的信息只有通过区块链输入或者输出,区块链才会有价值。随着分布式账本的使用,提供第三方解决方案的市场将越来越大。可以预见,在区块链平台整合、钱包、支付、科技金融、智能合约等5个方面会有大量第三方的解决方案。兄弟,我想你也想到了,分布式账本的强烈需求为区块链的开发带来春天!但是第三方的供应商也存在一些安全隐患,可能一些第三方自己也没有意识到自己开发的系统的安全性有待提高,代码可能有瑕疵,甚至在员工的层面存在漏洞,这都可能使其客户的区块链凭证和数据暴露给未经授权的人员。区块链供应商中存在的安全隐患。

当第三方产品涉及到智能合约(如果对智能合约不了解或感兴趣,请关注本号并查看之前的文章错过比特币?难道还要错过区块链的下一个应用风口——智能合约?)时,这种安全风险尤为严重。因为你的整个系统的所有行为或多或少的以智能合约的方式存储在区块链上,一个漏洞就可以造成灾难性的后果!因此,如果你需要第三方的区块链解决方案,你需要考察整个区块链行业的生态系统,经验和信誉应该作为参考的两个关键的指标!

福布斯的报道是这么说的,区块链中首要的安全问题就是缺乏标准和规定!其实,只要有规定或标准,区块链纯粹主义者就会高度警惕。好奇boy也许会问了:区块链不是和治理、规定处在对立面吗?那得看你怎么它!如果回顾咱们上面说的第二个风险,供应商风险。如果没有标准,如果没有规定,那上面提到的5个领域哪一个会从中获益?显然没有!标准让应用更安全。

缺乏标准协议意味着区块链开发人员很难从其他人的错误中受益。此外,在某些情况下,可能需要整合链条,随着多种技术的融合,缺乏标准化可能意味着新的安全风险。标准和规定问题比技术问题要复杂的多。和其他技术发展类似,随着历史进程的发展,这些问题终会得到解决,历史也许会惊人的相似:

强制的标准和规定慢慢的便可可以说的通。(互联网发展初期的标准和监管)在一些创新领域,大的企业联合体内部实施自己的标准和监管。(如今大型互联网公司在一些垂直领域的自由标准和监管)仅用于大型企业内部,进行自我管理的区块链将没有具体标准和监管。(如今大型互联网公司会制定自己的私有协议)

虽然自比特币出世已经有八年,但区块链能否安全应用于数字货币还是处在实验阶段的。但是一些分布式账本的开发者很急,想在区块链上部署未曾验证测试的代码。一个臭名昭着的例子就是DAO攻击。(关于DAO攻击,希望不懂的看官自行百度,谢谢~)。DAO攻击之后,DAO贬值了三分之一,这下可不得了,DAO攻击一度登上区块链领域文章的热搜!要解决这种类型的安全风险至少有两个很好的解决方案:

相互监督:在部署之前对代码进行严格的同行审计。专业的人干专业的事:智能合约测试由独立测试机构进行。

这两个方案中的使用任何一个都会发现DAO中的缺陷,那么在未来也时同样如此!

尽管历史上的损失令人痛心,可喜的是针对安全问题的解决方案正在越来越完善。

正如互联网杀毒时代至今的演变一样,我们期待更完美的技术性能迎来区块链的进一步普及引用,真正从内而外地形成一个可靠、透明、可追溯的分布式平台,为金融交易创造安全空间、促进保障社会信任关系。

根据国家《关于防范代币发行融资风险的公告》,大家应警惕代币发行融资与交易的风险隐患。

本文来自LIANYI转载,不代表链一财经立场,转载请联系原作者。

发表评论

登录后才能评论

联系我们

在线咨询:点击这里给我发消息

邮件:kefu@lianyi.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code