一個筆名為Hacker的駭客曾經如此回憶:
2013年6月,他在十幾家BTC/" target="_blank"">比特幣交易所發現漏洞後,毫無阻礙地提走了所有的比特幣。提幣之後,他在localbitcoins.com上出售了這些比特幣,那一天他賺了8000美元的現金,相當於4個月的工資,感覺就像在天堂。
2013年的比特幣價格,在經歷了起起落落後,最高曾升至超過1242美元,這一價格甚至高於一盎司黃金的價格。
比特幣的“數字黃金”之名由此得來。
此後,比特幣等基於區塊鏈誕生的虛擬貨幣,便成為駭客最喜歡攻擊的目標。
近日,騰訊安全聯合知道創宇釋出的《2018上半年區塊鏈安全報告》顯示,2018年上半年區塊鏈領域因安全問題損失超過27億美元,其中11億美元是由於數字加密貨幣被盜。
“我們追蹤的全球駭客,有30多萬的人或組織在攻擊區塊鏈,基本90%的駭客在盯著區塊鏈,把區塊鏈當作取款機一樣。”北京知道創宇資訊科技有限公司創始人兼CEO趙偉對區塊鏈Truth(ID:chaintruth)說。
1/4智慧合約存漏洞,半年損失27億美元
根據騰訊安全提供的資料,與加密數字貨幣有關的駭客攻擊事件,從2013年到2018年(上半年)直接增加了大約五倍的數量,2018年全年預計增加約十倍。
近幾年區塊鏈安全事件統計
安全公司Hosho報告顯示,區塊鏈上智慧合約的bug普遍存在。經過Hosho審計的智慧合約專案籌集資金總額高達10億美元,這些專案中有25%被發現存在嚴重漏洞,約有60%至少存在一個安全問題。
就在此前,知道創宇也釋出了一份頗為相似的報告。
在知道創宇釋出的《知道創宇以太坊合約審計CheckList》中,披露了知道創宇404區塊鏈安全研究團隊針對全網公開的共39548個合約程式碼掃描的結果。結果顯示,截止2018年8月10日,發現共24791個(佔比62%)合約涉及到以太坊智慧合約設計缺陷問題(包括“條件競爭問題”、“迴圈DoS問題”等問題)。
其中,有“approve條件競爭問題”的合約有22981個,並且15325個合約甚至還處於交易狀態,approve條件競爭漏洞的結果可能引發丟幣的問題;有“迴圈DoS問題”的合約有1810個,其中1740個合約仍處於交易狀態,以太坊中迴圈DoS則可能因gas消耗過大導致交易失敗,合約無法執行。
超過60%的以太坊智慧合約出現設計缺陷問題,也意味著基於這些智慧合約的數字貨幣系統也存在安全隱患。
駭客,正是盯住了加密數字貨幣的這一安全問題。
網路安全解決方案提供商趨勢科技在一份新研究中表示,網路犯罪分子的注意力正從快速的勒索軟體攻擊轉為較慢的、更隱蔽的竊取計算機計算資源以挖掘加密貨幣。該研究結果顯示,與2017年全年相比,2018年上半年檢測到的加密貨幣挖礦增加了96%,檢測到的挖礦病毒與2017年上半年相比增加了956%。
《2018上半年區塊鏈安全報告》中的資料顯示,區塊鏈因自身機制的安全、生態安全和使用者安全三個方面造成的經濟損失,分別為12.5億、14.2億和0.56億美元,共計高達27億美元。
這相當於此前登陸納斯達克的優信公司的總市值。
損失最多的是數字貨幣交易平臺,總共為13.4億美金。其次是智慧合約,主要是集中在以太坊上,比如因為程式碼的漏洞或者私鑰的洩露等原因導致的資金損失達到了12.4億美金。再次是個人使用者遭受到的攻擊,比如電腦中病毒、私鑰被竊取等,包括礦工的一些病毒事件等等。
“駭客對區塊鏈的攻擊還會一直持續,甚至會越來越多。”一位安全人士告訴區塊鏈Truth(ID:chaintruth)。
全球超過30萬人或組織在攻擊區塊鏈
“因為以前區塊鏈和數字貨幣領域沒有人在乎安全,區塊鍊形成的價值突然起來之後,對駭客來說這裡就像一個銀行,他們隨便拿錢。”
從2011年,趙偉便開始關注比特幣,2013年知道創宇開始為加密數字貨幣領域的交易所、錢包等平臺提供數字資產的安全防禦。
“駭客”(駭客的本意是技術上突破極限)出身的他,最懂駭客的手段。
“現在駭客把區塊鏈都當成靶場了。我們追蹤的全球駭客,有30多萬的人或組織在攻擊區塊鏈,所以基本90%的駭客在盯著區塊鏈的安全問題。而一旦攻破之後,區塊鏈又是匿名的,資產丟了沒法找回,所以駭客們就把區塊鏈當成取款機一樣。”趙偉說。
根據今年5月30日的區塊鏈產業安全分析報告,全球發生區塊鏈安全事件的趨勢呈逐年上升態勢。2011年出現了第一次比特幣安全事件,當時丟失102萬美金;2014年全球區塊鏈的資金損失大概是4.6億美金;而到了今年上半年,這個數字達到19億美金。
資料來源:區塊鏈產業安全分析報告
《2018上半年區塊鏈安全報告》中,騰訊安全技術專家將區塊鏈加密數字貨幣引發的安全問題歸結為三個主要方面:
其一,區塊鏈自身機制問題。以以太坊為代表的區塊鏈智慧合約設計存在的漏洞問題,帶來的經濟損失極為嚴重。2016年6月,以太坊最大眾籌專案The DAO被攻擊,駭客獲得超過350萬個以太幣,最終導致以太坊分叉為ETH和ETC。同時,真實的區塊鏈網路是自由開放的,理論上若駭客控制節點中絕大多數計算機資源,就能重改共有賬本,最終實現51%“雙花攻擊”。
其二,區塊鏈生態安全問題。區塊鏈生態中包括PoW機制下的礦場和礦池、PoS機制下的權益節點、加密數字貨幣交易所、軟硬錢包、資料跟蹤瀏覽器、DApp應用,以及面向未來DApp應用的區塊鏈閘道器係統等。其中,圍繞交易所發生的安全事件最為顯著,交易所被盜遠超其他事件型別。此外,交易所被釣魚、內鬼盜竊、錢包失竊、各種資訊資料洩露和篡改、交易所賬號失竊等問題,也同樣值得關注。
其三,使用者自己造成的安全問題。由於數字虛擬幣錢包這些交易工具的使用具有較高的門檻,要求使用者對計算機、加密原理、網路安全均有較高的認知。然而,許多數字虛擬幣交易參與者並不具有這些能力,極易出現安全問題。甚至因操作不當引發熟人作案,數字資產被身邊人盜取。
在趙偉看來,中國駭客的攻擊能力和安全研究能力非常強,美國的安全公司最頂尖的科學家基本都是華人,“只不過我們的安全市場都是合規性的,就是政府要求什麼就是什麼,其中利益鏈錯綜複雜。”
這也就意味著,中國境內的網路安全,相對較為規範。
破壞共識,安全問題助推數字貨幣熊市
自今年初以來,比特幣價格自2萬美元的高點一路跌破6000美元,全球數字貨幣總市值從年初的6500多億美元跌至3000億美元附近。幣圈正經歷漫長熊市。
在趙偉看來,這波熊市跟區塊鏈安全不無關係。
“駭客盜幣,攻擊區塊鏈系統,最大的傷害是破壞了區塊鏈的共識,打破了信任。”趙偉說。
區塊鏈的共識機制是其執行的重要規則
在他看來,比特幣誕生之初的目標是數字黃金。“黃金不是為了小額交易和支付,而是價值儲存,用數學演算法快速達成共識。它的目標是安全,所以一代的比特幣,持有量排名靠前的全是安全人員。”
當駭客過境,把人們認為最安全的“數字黃金”盜取後,大家發現它並不安全,“沒有共識了,就容易砸盤,駭客在這裡面是收割了所有人,而且是極端的殺雞取卵。”
可以說,頻出的區塊鏈安全問題,助推了數字貨幣的整體熊市。
實際上就連比特幣,也曾遭遇過“滅頂之災”。2010年8月15日,一名駭客曾在比特幣高度為74,638的區塊上,透過比特幣的一個原生bug一夜間創造了1844億枚比特幣。
或許是因為彼時比特幣的價格並不引人注意,這名駭客在完成這一“壯舉”後並沒有進行後續的攻擊動作,免於讓比特幣“通貨膨脹”後癱瘓。
雖然駭客開過玩笑後,頗為滿意地離開了,但這一bug卻嚇壞了當時比特幣程式碼維護團隊。比特幣社羣的首席開發者Wladimir Van Der Laan 在回憶時直言:“這是有史以來最嚴重的問題”。
2014年,曾發生一起著名的“門頭溝”事件,曾經是全球最大的比特幣交易平臺Mt.Gox因被駭客盜幣最終破產,大約75萬枚比特幣(價值3.75億美元)付之東流,引發比特幣價格大跌。
最近的則在2018年3月,幣安交易所被駭客攻擊,駭客透過做空手段去場外套現獲益。受此事件影響,比特幣暴跌10%。
如今看來,幾乎每次駭客的出擊,都會或多或少的引起比特幣價格的下跌。
“區塊鏈安全只是網際網路安全中的一部分,但是因為區塊鏈最大的特點是基於共識,而共識在現實世界的表現為法律、合約、財富。一旦發生安全事件,受損失相對更為嚴重。”趙偉說。
本文轉自「區塊鏈Truth」文/ 貝爾
