2018年,無論是安全事件的數量,還是造成的損失,都呈現指數級上升:
圖1:安全事件造成的經濟損失趨勢(萬美元),來源:bcsec
圖2: 重大安全事件數量統計,來源:bcsec
據Besec統計,2018年總計超過20億美金被盜,大型事件數量超過130多起(平均3天一起),區塊鏈使用者和專案方們紛紛淪為全球30萬駭客的“提款機”。圖3:2018安全事件造成的損失統計,來源:31QU
這其中,交易所的安全事件數量(56.67%)和損失的金額(13.44億美元)都高居榜首;智慧合約安全安全事件極少(6.67%),但造成的經濟損失比例卻極高(12.4億美元);DApp、個人錢包、公司伺服器也無一倖免。智慧合約安全目前,區塊鏈整體還處於低迷期,但是智慧合約的發展卻非常穩定,根據獵豹區塊鏈安全中心的資料,近一個月以太坊的智慧合約平均每天以2000+的數量在增長。智慧合約漏洞雖然數量不多,但是所造成的損失是非常巨大的,這與solidity語言的特性有關,也與ERC20協議使代幣發行變得便捷有關。智慧合約漏洞的TOP10攻擊型別為:重入攻擊、許可權控制、整型溢位、未檢查的call返回值、交易順序依賴、時間戳依賴、條件競爭、短地址攻擊、可預測的隨機處理等。所有智慧合約事件中,最著名的當屬美鏈事件。18年4月22日下午,才發行兩個月左右的BEC美蜜合約出現重大的溢位漏洞,駭客透過合約的批次轉賬方法無限生成代幣,天量BEC從兩個地址轉出,進而引發拋售潮。當日,BEC的價值幾乎歸零。損失金額超過10億。由於區塊鏈的"程式碼即一切"的原則,導致目前沒有有效的安全防護手段來徹底避免智慧合約安全的問題。對於智慧合約的開發,小豹建議摒棄“敏捷開發”的理念。而採用緩慢而有條理的方法來開發智慧合約,在最初設計和編碼時,就儘量謹慎和考慮周全。開發管理者也不要對開發人員太大的壓力(比如制定嚴格的期限等),通常來說,趕出來的東西都多多少少會有問題。另外,在上鍊之前,找到專業的區塊鏈安全公司對智慧合約進行安全審計是最最基礎和必要的。以下是2018年智慧合約大事件,以及相關事件的一些細節:(1)2018年 8月22日,GOD.GAME合約遭到駭客攻擊,GOD智慧合約上的以太坊總量歸零(2)2018年4月25日,SmartMesh 出現重大安全漏洞,導致1.4億美元損失(3)18年4月22日下午,才發行兩個月左右的BEC美蜜合約因為存在溢位漏洞,被駭客從兩個地址不斷轉出代幣,使BEC價格幾乎歸零,損失金額總計超過10億美元。交易所安全據網路安全公司 CiferTrace 10月釋出的一份報告顯示,2018年前9個月,透過駭客入侵交易所竊取的加密貨幣就已達9.27億美金,已經是整個2017年的2.5倍。韓國科技部的調查報告稱:“大部分交易所都存在安全漏洞。”那麼,為什麼加密貨幣交易所安全問題層出不窮?一方面,數字貨幣的匿名性,不可篡改性以及無監管特性,導致了資產轉移便捷,溯源找回難度大。另一方面,數字貨幣交易行業出現時間短,發展又非常快,利潤高,導致本來技術積累就不足的情況下,仍然忽視資訊保安方面的建設,隱藏的安全漏洞多,攻擊起來相對容易。甚至還有一些加密數字交易所甚至完全沒有安全系統。數字貨幣交易所面臨的安全威脅主要包括:伺服器軟體漏洞、配置不當、DDoS攻擊、服務端Web程式漏洞(包括技術性漏洞和業務邏輯缺陷)、辦公電腦安全問題、內部人員攻擊等。對於規模較大,使用者較多的交易所,還會面臨使用者被攻擊者利用仿冒的釣魚網站騙取認證資訊的問題。而針對這些安全威脅,小豹建議交易所在面向使用者之前,先進行滲透測試,程式碼審計等安全服務,挖掘並修復系統存在的安全漏洞。另外,建議交易所對所有正式入職的員工進行必要的基礎的安全培訓。最後,針對數字虛擬幣交易的網民,建議大家主動學習安全知識,並在電腦端、手機端使用安全軟體,千萬不要自信“裸奔”,以避免掉進網路釣魚陷阱以及錢包被盜事件的發生。以下是2018年加密貨幣交易所被盜事件,以及相關事件的具體細節。(1)1月,日本最大的數字加密貨幣交易所 Coincheck 被盜走價值5.34億美元的XEM。Coincheck 是日本第二大交易所,在之後的官方釋出會上,Coincheck 表示,XEM 被盜是因為儲存 XEM 的熱錢包的私鑰被駭客所竊取,但是沒有其他幣種被盜。受此事件影響,XEM 當天下跌9.8%。(2)2月11日,義大利加密貨幣交易所 BitGrail 被攻擊,價值 1.7 億美元的加密貨幣 NANO 被盜。(3)3月7日,Binance 遭到駭客入侵,駭客透過控制幣安部分賬戶,賣出這些賬戶持倉的比特幣,買入 VIA 幣,導致 VIA 逆市大漲。幣安將異常交易進行了回滾處理,但此事件依然引起市場恐懼,隨後幾天比特幣跌幅超過15%。(4)4月1日,Bit-Z 遭遇駭客攻擊,未造成資金損失。為此 Bit-Z 專門設立了10000個 ETH 安全基金,用於獎勵安全漏洞提交者。這筆獎勵在當時價值400萬美金。(5)4月13日,印度三大比特幣交易所之一 Coinsecure 在官網釋出公告稱,該交易所438個 BTC 失竊,價值約330萬美元。該交易所首席安全官 Amitabh Saxena 被列為嫌疑人。這是印度最大的加密貨幣被盜事件。(6)6月5日,Bitfinex 遭到“拒絕服務(denial-of-service)”攻擊,Bitfinex 隨即暫停了交易所的所有交易。(7)6月10日,韓國數字加密貨幣交易所 Coinrail 遭到駭客攻擊,損失超過5000萬美元。Coinrail 加密貨幣總量的70%被儲存在冷錢包,被盜總量的三分之二已被追回。(8)6月20日,韓國加密貨幣交易所 Bithumb 被駭客攻擊,價值3000萬美元的加密貨幣被盜,這是 Bithumb 第三次被駭客攻擊。此前,該交易所還遭受了兩次“駭客攻擊”。第一次:2017年4月,Bithumb 某員工電腦被黑,導致超過3萬名使用者的資料被竊,Bithumb 也因此被韓國監管機構罰款5.5萬美元。第二次:2017年12月22日,韓國MBC電視臺僱傭了一家安保公司,對包括Bithumb 在內的5家韓國交易所進行安全測試。該安保公司成功“黑入”包括Bithumb 在內的5家交易所,並獲取了部分使用者資料和資金。受僱“駭客”聲稱僅使用了“基本的駭客技巧”。但是,安全問題並未引起交易所足夠重視,這才導致了2018年6月份的駭客事件發生。(9)9月20日,日本數字貨幣交易所 Zaif 宣佈遭受駭客攻擊,損失5967萬美元。其中1959萬美元屬於該交易所自有資金,其餘4007萬美元屬於客戶資金。Dapp安全智慧合約和交易所是安全的重災區,18年話題度頗高的 DApp,也沒能逃脫駭客的魔爪,雖然損失金額在所有安全事件中比例較低,但頻繁的安全事件嚴重影響著Dapp生態的落地與應用。據 Dapp.review 最新資料顯示,目前執行在以太坊、EOS、波場等公鏈上的 DApp 總數量超過1900個。處於DApp生態建設初步發展階段的EOS,DApp相關的安全問題層出不窮。截止12月份,由於DApp漏洞導致的損失已經高達39.5萬個EOS與1.3萬個ETH。按照兩者最高市值計算,損失財富超過2700萬美金。2018年下半年,DApp安全事件集中爆發,駭客攻擊事件主要發生在EOS主網。攻擊手段也是花樣百出:隨機數攻擊、種子漏洞、假幣攻擊……EOS作為被寄予厚望的企業級區塊鏈作業系統,基於此的 DApp 為什麼會發生如此多駭客攻擊事件?今年5月份,EOS創始人BM曾表示,為EOS主網提供有價值的漏洞將獲得1萬美金的報酬。該懸賞令頒佈之後,一位名叫“Jon Bottarini”的網友透漏,有人僅一天就發現了8個漏洞,獲得8萬美金獎勵。這也充分說明EOS主網本身存在大量安全問題。實際上,針對EOS上DApp的攻擊,正越來越專業化、團隊化。11月份以來,作為三大EOS競猜類DApp,EOSDice、FFgame 和 EOS.WIN 先後發生了“隨機數漏洞”攻擊。據知情人士爆料,這些攻擊案件系一人或者同一團隊所為。該知情人士表示,已經成功鎖定駭客交易所賬戶。相較於EOS網路,以太坊的駭客攻擊事件要稍微少一些。下面是2018年以來DApp上發生的駭客攻擊事件,以及相關事件具體細節:(1)7月25日,狼人遊戲(EOS 版本的 Fomo 3D)出現“溢位”漏洞,導致遊戲損失60686個EOS。EOS核心仲裁論壇(EACF)對駭客的行為仲裁後,簽發新的仲裁令,凍結駭客的EOS賬戶:eosfomoplay1。(2)8月22日,Fomo 3D(Last Winner)遭受駭客攻擊,損失10469個ETH(價值約300萬美金)。安比(SECBIT)實驗室首次宣佈斷定Fomo3D大獎獲得者採取了一些“特殊攻擊技巧”,攻擊者透過高額手續費吸引礦工優先打包,最終以較低成本針對性地堵塞區塊,加速遊戲結束,提高自己獲勝概率。9月24日,Fomo 3D 第二輪遊戲開始之後,駭客採用相似的攻擊手段,拿到了3264.668個以太坊獎勵。(3)8月27日,Luckyos旗下的石頭剪刀布遊戲被駭客攻破,損失未知。(4)9月2日,EOS.win “隨機數”被駭客攻擊,導致損失2000ESO。(5)9月10日,EOSBet 遭到駭客攻擊,共計損失了4000個EOS;4天后,EOSBet再次遭駭客“假通知”攻擊,損失145321個EOS,目前損失已被追回。(6)9月12日,LuckyGo遭到攻擊者 iloveloveeos(惡意合約)而被迫下線。當天晚上,iloveloveeos又迅速攻擊了新上線的遊戲LuckyGo。這兩次攻擊都屬於“隨機數缺陷攻擊”。(7)9月12日 EOS Happy Slot 遭駭客重放攻擊,損失5000個EOS。一名賬號為 imeosmainnet 的駭客利用“重放攻擊”,導致專案方損失了5000個EOS。(8)9月14日,去中心化交易所Newdex遭到駭客攻擊。駭客利用假幣在交易所換區真幣,共計獲利11803個EOS。攻擊過程是這樣的:攻擊者創造了一種全新的代幣,發行量也是10億(EOS發行量為10億),並將其命名為“EOS”。攻擊者採用特殊的方法,用11800個假EOS在Newdex上兌換出了大量等值真幣。(9)9月15日,EOS.Win 遭受駭客假幣攻擊,共計損失超過4000個EOS。11月11日, EOS.Win 還在11月11日遭受了第二次攻擊。此次攻擊駭客在一分鐘之內,共計向 EOS.WIN 遊戲合約(eosluckydice)發起10次攻擊,獲利超9180個EOS。(10)10月16日,World Conquest 遭受駭客“繳稅規則”攻擊,拒絕其他玩家參與,進而盈利4555個EOS;(11)10月26日,EOS Royale 遭受駭客“隨機數”攻擊,損失10800個EOS。過程是這樣的:駭客透過呼叫隨機數發生器,計算出先前區塊的資訊,進而獲得遊戲隨機數,從而破解 EosRoyale 錢包,並竊取價值 60000 美金的 EOS 代幣。(12)10月28日,EOS Poker 遭受駭客“種子漏洞”攻擊,損失1374個EOS。(13)10月31日,EOSCast遭遇駭客假幣攻擊,導致72912個EOS被駭客轉走。根據遊戲規則,駭客分別用100、1000、10000個假EOS代幣進行攻擊,每次攻擊可得到198、9800、19600個不等的EOS。在進行最後一次攻擊時,遊戲方察覺到異常攻擊,及時轉走了獎金池僅剩的8000個EOS。ECAF(EOS核心仲裁委員會,對智慧合約有仲裁許可權)針對此事件即時響應,併發布了仲裁令,凍結了相關涉事賬戶。(14)11月4日,EOSDice發公告稱智慧合約遭到攻擊,但由於其擁有自動檢測功能,在攻擊之後,合約自動將剩餘資金轉移至安全地址。此事件導致EOSDice損失2545個EOS。(15)11月8日,FFgame遭遇了駭客攻擊,駭客賬戶jk2uslllkjfd向FFgame遊戲合約 (eoswallet415)發起多達304次攻擊,共計獲利1331.2922個EOS。(16)11月10日,駭客向MyEosVegas遊戲合約(eosvegasjack)發起超700次攻擊,已獲利超9000個EOS。(17)11月26日,競技類DApp遭遇了前所未有的新型回滾攻擊。(18)12月3日,Dice3D遭遇駭客攻擊,損失10569個EOS。駭客已將被盜的EOS轉至火幣。Dice3D官方決定自費拿出部分EOS給予玩家補償。錢包安全數字貨幣錢包有熱錢包和冷錢包之分,冷錢包由於私鑰不接觸網路,相對安全性較高,不過隨著技術的快速迭代,無論熱錢包還是冷錢包,都相繼被駭客攻擊。2018年,因為錢包安全而損失的金額損失在4000萬美元左右。這其中,大部分是駭客透過各種手段獲取到使用者私鑰,導致資產被盜。還有一部分是錢包設計存在缺陷造成的。因為區塊鏈的去中心化特點,駭客攻擊目標的就是想方設法搞到使用者私鑰,如果使用者儲存方式不當,就肯可能被釣魚郵件、木馬病毒等方式攻擊,導致資產被盜。因此,建議廣大使用者把私鑰要抄在紙上或物理方式保管,要抄對,然後放在一個絕對不會忘的地方,千萬不要儲存在網上,保證私鑰不觸網,還要保證私鑰和錢包不要放在一塊;另外,儘量選擇使用者基數大,安全事件較少的錢包;最後,無論在網頁端還是手機端,都必須安裝安全軟體,千萬不能“裸”奔。錢包設計上的缺陷也會引發攻擊事件,並且一旦爆發,影響力和損失金額將會很廣。比如國外某錢包在第一次執行的時候,預設為使用者建立一個新錢包並將錢包檔案未加密儲存在系統本地,攻擊者可以讀取儲存的錢包檔案,透過對錢包應用逆向分析等技術手段,還原該錢包的演算法邏輯,並由此直接恢復出使用者的助記詞以及根金鑰等敏感資料。對於這部分安全問題,只能建議錢包專案在面向使用者之前,找到專業的安全團隊進行安全方面的審計。下面是2018年以來錢包相關的駭客攻擊事件:(1)1月8日,Reddit Tippr 使用者被駭客盜走了數千個BCH(比特幣現金)。(2)1月17日,XLM錢包被攻擊,超40萬美元XLM被盜。事件起源是駭客劫持了BlackWallet.co 的DNS伺服器,據估計,此次攻擊事件,導致近70萬個XLM被盜,價值超過40萬美元。(3) 1月22日,駭客入侵IOTA錢包,盜走價值400萬美金的IOTA。據CCN報道,原因出在使用者用來生成IOTA錢包私鑰的網站被黑。(4)3月4日,鈦合金區塊鏈(TBIS)釋出推特宣稱遭受駭客攻擊,公司錢包被盜竊了1870萬BAR代幣(約90萬美元)。(5)4月17日,數字貨幣投資者和Youtube博主Ian Balina昨晚在直播評論ICO專案時受到駭客攻擊,駭客從他的Etherscan錢包中轉移了超過200萬美元的數字貨幣。(6)4月25日,MyEtherWallet遭劫,共損失約500個ETH。(7)6月6日,日本零售商Shopin的MEW錢包遭到駭客攻擊,損失了超1000萬美元的加密貨幣。其中包括以太坊、Level Up、Orbs與Shopin。(8)8月15日,陝西省西安市警方抓獲了三名高階駭客嫌疑人,三人曾共同合作,盜取價值了6億元加密貨幣。今年3月30日,盜竊事件發生之後,受害人張姓男子報案,稱自己的電腦被非法攻擊,價值數億元的虛擬貨幣被洗劫一空。隨後警方展開搜捕工作,今年8月15日,三名駭客被警方逮捕。(9)9月25日,EOS持倉大戶gm3dcnqgenes賬號被盜,共計損失209萬個EOS(約1080萬美元)。(10)10月22日,瑞士區塊鏈公司Trade.io稱,其冷錢包中的5000萬TIO被盜,價值750萬美金,其中130萬TIO被轉移到Kucoin和Bancor兩個交易所。Kucoin已經暫停了TIO的交易,而Bancor則永久刪除了TIO。(11)10月25日,Reddit使用者賬戶遭駭客攻擊,駭客從他的錢包中盜竊了14個比特幣(89500美元)、22個ETH(4400美元)和大約1170萬個COSS代幣(77萬美元),這些加密貨幣總共價值86.4萬美金。回顧整個2018年的安全事件,有人持悲觀態度,認為區塊鏈是極度高危的行業,應該避而遠之。但也有認為,安全事件的頻發從側面反映了這個行業被前所未有的關注,因為駭客只會花時間攻擊有價值的東西。在獵豹區塊鏈安全小豹看來,雖然2018年駭客猖獗,但全球範圍內的區塊鏈安全公司也已經悄悄崛起;整個行業也會因為付出慘痛代價,而加強安全方面的投入和建設;使用者安全教育也逐漸被重視起來。未來區塊鏈行業的蓬勃發展還是非常可期的。
