資產安全一直是數字世界中的重中之重,而丟幣也一直是加密世界中老生常談,無論是個人使用者還是交易所都曾因為數字資產被盜而麻煩上身。
尤其是數字貨幣交易所,在以往的事件中,駭客攻擊曾經幾度給區塊鏈專案和交易所帶來嚴重的打擊,以史為鑑,回過頭來,我們來盤點一下區塊鏈歷史上出現的重大駭客攻擊事件,作為借鑑,這些事件又給了我們那些啟發和教訓?
價值溢位事件(2010年8月)
2010年8月15日,未知駭客對比特幣發動攻擊,利用大整數溢位漏洞,繞過了系統的平衡檢查,將比特幣的總量有限的設定打破,駭客憑空創造出了1844.67億個比特幣。
在這一局面中,中本聰為挽救比特幣,被迫發動了比特幣歷史上的第一次硬分叉。
Allinvain事件
2011年6月,一名叫Allinvain的使用者成為有記錄以來首次大規模比特幣偷盜事件的受害者。Allinvain一覺醒來發現被駭客竊取了25000枚BTC,當時價值約為50萬美元。
Bitcoinica (2012年3月和5月)
Bitcoinica是一家老牌交易所,它曾在2012年遭遇兩次駭客攻擊。駭客利用其安全鬆懈的伺服器,獲取了客戶資料(包括金鑰),共計盜走61000個BTC,最終導致Bitcoinica破產。
Bitfloor(2012年9月)
與Bitcoinica的被盜過程相似,駭客入侵了Bitfloor的伺服器,盜走了24000個BTC。Bitfloor從此一蹶不振,並於次年4月關閉。
Poloniex(2014年3月)
2014年3月,剛成立兩個月的Poloniex交易所的伺服器被入侵。一名駭客發現Poloniex的漏洞,即提現系統在同時收到多個請求的情況下允許出現負餘額。提現系統注意到異常活動後,關閉了進入受影響賬戶的通道。
但在此之前,Poloniex加密貨幣總儲備的12.3%被盜。Poloniex暫時將每個賬戶的餘額都扣除12.3%,後續再全部恢復。Poloniex最終倖存下來,並於2018年被收購。
MtGox(2014年2月)
MtGox是當時規模最大的老牌交易所,也遭遇了最嚴重的駭客攻擊。由程式設計師Jed McCaleb建立。2010年7月,他讀到一篇關於比特幣的文章,於是修改了網站程式碼,用於交易比特幣,並於2011年將該網站賣給了Mark Karpeles(法胖)。到了2014年,MtGox處理的比特幣交易佔全球70%。
2014年2月7日,MtGox宣佈暫停交易,理由是其安全軟體存在漏洞。兩週後,網站突然關閉,MtGox申請破產。此次損失共計85萬BTC,在當時價值4.7億美元。這個問題導致投資者信心受挫,比特幣直接暴跌36%。
許多人懷疑是法胖監守自盜,他於2015年因欺詐、挪用公款和操縱使用者餘額等罪名被捕,但這並不能直接證明他與交易所被盜事件有關。2017年,美國當局在希臘逮捕了俄羅斯人Alexander Vinnik,他控制的錢包不僅有MtGox被盜的比特幣,還包括Bitcoinica、Bitfloor的。
Bitstamp (2015年1月)
安全事件不斷髮生,交易所開始把幣儲存在兩個錢包上:冷錢包和熱錢包。冷錢包,即不聯網的伺服器,又稱離線錢包。熱錢包則用來儲存足夠的錢以滿足使用者的每日交易需求。
2015年1月,Bitstamp熱錢包裡的19000個比特幣被駭客透過釣魚手段竊取。幸運的是,Bitstamp 90%的幣都儲存在冷錢包裡,並沒有受到影響。
The DAO (2016年6月)
基於以太坊網路發行的加密貨幣執行方式跟比特幣不同,但同樣都是駭客攻擊的物件。以太坊區塊鏈環境有別於其他數值貨幣。ETH是透過電腦程式碼,即智慧合約交易的。
所謂智慧合約即設定好要求,一旦滿足設定條件就會自動執行。以太坊全網有6000臺電腦,因此網路難以被修改或被控制。以太坊架構支援去中心化自治組織DAO,把規則和決策透過程式碼的形式寫進區塊鏈之中,允許智慧合約在不受人為監控的條件下自動執行。
2016年4月, Genesis DAO創造了一個投資者可以給專案投票的社羣,獲得20%以上支援的專案可獲得資金支援。DAO在以太坊上融到了2.5億美金。6月份,駭客發現了一個支援單一幣種多次提現的漏洞,而智慧合約更新的速度比不上提現的速度。短短几個小時內,DAO 合約裡面30%的ETH都被轉移了。
盜竊事件被公開後,Genesis DAO 執行了硬分叉,創造出了一條新的區塊鏈。但是這次分叉受到了社羣部分持幣者的反對,他們認為篡改時間戳就是在稀釋其他人手上以太坊的價值。之後,社羣發起投票,89%的人支援硬分叉。反對者從社羣分離出去,重組了原鏈,改名Ethereum Classic。
Bitfinex (2016年8月)
這是繼MtGox熱錢包被盜後發生的第二大交易所被盜事件。諷刺的是,Bitfinex進行軟體升級本是為了提高安全,卻沒想到軟體內含有漏洞。Bitfinex當初使用的是BitGo提供的多籤交易軟體。
時至今日,沒人清楚駭客是怎麼避開多個簽名盜走幣的。現在最主流的解釋是Bitfinex伺服器安裝了不合適的軟體。Bitfinex事件中,駭客盜走了12萬個比特幣, 當時價值7200萬美元。
隨後,為了補還客戶的損失,Bitfinex透過代幣進行股權融資,並使用營業額按月賠償客戶後逐步彌補虧空,艱難的熬了過來。
Parity(2017年7月和11月)
以太坊也受過多重簽名系統缺陷的影響。2017年7月17日,有人攻擊了多重簽名錢包服務商Parity,目標是三家最近剛完成ICO的公司。駭客一共竊取了152037個比特幣,價值3200萬美元。Parity將本次攻擊歸咎於Parity錢包版本中智慧合約程式碼存在漏洞,並於7月20日釋出了補丁。
糟糕的是,該補丁解決了智慧合約的問題,卻還存在另一個安全隱患。Parity在其智慧合約程式碼上新增了“kill” 功能,該功能允許使用者永久鎖定Parity錢包。Parity開發者沒有將這一程式碼更新到所有的使用者錢包中,而是選擇跟一箇中心化library(合約庫)進行函式呼叫。
11月6日,使用者名稱為“devops199”的程式設計新手意外鎖死了library,所有與library相連的錢包也被鎖死了。受影響的錢包共計587個,包含513,774個ETH,價值約1.5億美元。
這不是犯罪也不是惡意行為,卻給以太坊帶來一個大問題:是否再次進行硬分叉以恢復被鎖定的587個錢包?4月,Parity向以太坊社羣發起投票,最終以55%反對票拒絕了硬分叉,丟失的幣也就永遠找不回來了!
NiceHash(2017年12月)
NiceHash是一家位於斯洛維尼亞的礦場。駭客利用釣魚成功竊取一名員工的證件,盜走4700個BTC,當時價值近8000萬美元。
Coincheck(2018年1月)
Coincheck是一家日本交易所,被盜取了5億個NEM。駭客取出NEM後迅速兌換成其他加密貨幣,以至於NEM基金會放棄了恢復工作。這次損失高達5.3億美元,超過了2014年MtGox的損失。由於Coincheck在被黑後隨即凍結提現,因此穩住了使用者,交易所最終才得以存活下來。
Coinrail和Bithumb(2018年6月)
2018年6月,韓國兩家交易所的熱錢包遭遇攻擊。其中Coinrail損失了5300個 BTC(價值接近4000萬美元),Bithumb損失了近3100萬美元。
區塊鏈的安全現狀
盜幣事件層出不窮,僅2018年上半年發生的事件累積損失就接近11億美元。但這些安全事件不是區塊鏈世界獨有的,雖然區塊鏈本身不容易受到攻擊,但駭客卻可以利用智慧合約、錢包或人為失誤等漏洞找到可乘之機。
對於區塊鏈本身而言,威脅最大的是51%攻擊,它是指:一旦某個人或組織擁有全網51%以上的算力,從而能比其他節點更早獲得記賬權建立區塊,最終控制網路,特點是攻擊成本比較高。
現在由於挖掘比特幣的成本越來越高,存在一些人透過電腦病毒部署殭屍網路,用於惡意挖礦,另外還有就是利用勒索軟體對其它使用者發動攻擊。
雖然SHA256加密演算法很複雜,但也並非不可攻破,或許最致命的攻擊我們尚未發現。McAfee集團的管理人員曾經說過:“這個行業太新了,我們現在都沒有一個專門發現並報道技術缺陷的平臺”。
資產安全比一切都要重要,透過上面的例子我們可以看出,無論是交易所、錢包軟體、礦場乃至區塊鏈專案都存在被駭客攻擊的威脅,而對於我們普通投資人或者使用者來說如何將風險降到最低就非常重要了,通常來說選擇透明度高、技術實力強的專案風險較低,短線選擇知名度較高、管理措施健全相對規範的交易所,長線儘量將數字貨幣儲存到冷錢包,備份儲存好私鑰助記詞並且避免觸網可以將風險降到最低。
炒幣千萬條,安全第一條,操作不規範,回首淚兩行。
