資產安全一直是數字世界中的重中之重,而丟幣也一直是加密世界中老生常談,無論是個人使用者還是交易所都曾因為數字資產被盜而麻煩上身。尤其是數字貨幣交易所,在以往的事件中,駭客攻擊曾經幾度給區塊鏈專案和交易所帶來嚴重的打擊,以史為鑑,回過頭來,我們來盤點一下區塊鏈歷史上出現的重大駭客攻擊事件,作為借鑑,這些事件又給了我們那些啟發和教訓?
價值溢位事件(2010 年 8 月)
2010 年 8 月 15 日,未知駭客對比特幣發動攻擊,利用大整數溢位漏洞,繞過了系統的平衡檢查,將比特幣的總量有限的設定打破,駭客憑空創造出了 1844.67 億個比特幣。在這一局面中,中本聰為挽救比特幣,被迫發動了比特幣歷史上的第一次硬分叉。
Allinvain 事件
2011 年 6 月,一名叫 Allinvain 的使用者成為有記錄以來首次大規模比特幣偷盜事件的受害者。Allinvain 一覺醒來發現被駭客竊取了 25000 枚 BTC,當時價值約為 50 萬美元。
Bitcoinica (2012 年 3 月和 5 月)
Bitcoinica 是一家老牌交易所,它曾在 2012 年遭遇兩次駭客攻擊。駭客利用其安全鬆懈的伺服器,獲取了客戶資料(包括金鑰),共計盜走 61000 個 BTC,最終導致 Bitcoinica 破產。
Bitfloor (2012 年 9 月)
與 Bitcoinica 的被盜過程相似,駭客入侵了 Bitfloor 的伺服器,盜走了 24000 個 BTC。Bitfloor 從此一蹶不振,並於次年 4 月關閉。
Poloniex (2014 年 3 月)
2014 年 3 月,剛成立兩個月的 Poloniex 交易所的伺服器被入侵。一名駭客發現 Poloniex 的漏洞,即提現系統在同時收到多個請求的情況下允許出現負餘額。提現系統注意到異常活動後,關閉了進入受影響賬戶的通道。但在此之前,Poloniex 加密貨幣總儲備的 12.3% 被盜。Poloniex 暫時將每個賬戶的餘額都扣除 12.3%,後續再全部恢復。Poloniex 最終倖存下來,並於 2018 年被收購。
MtGox (2014 年 2 月)
MtGox 是當時規模最大的老牌交易所,也遭遇了最嚴重的駭客攻擊。由程式設計師 JedMcCaleb 建立。2010 年 7 月,他讀到一篇關於比特幣的文章,於是修改了網站程式碼,用於交易比特幣,並於 2011 年將該網站賣給了 MarkKarpeles (法胖)。到了 2014 年,MtGox 處理的比特幣交易佔全球 70%。2014 年 2 月 7 日,MtGox 宣佈暫停交易,理由是其安全軟體存在漏洞。兩週後,網站突然關閉,MtGox 申請破產。此次損失共計 85 萬 BTC,在當時價值 4.7 億美元。這個問題導致投資者信心受挫,比特幣直接暴跌 36%。許多人懷疑是法胖監守自盜,他於 2015 年因欺詐、挪用公款和操縱使用者餘額等罪名被捕,但這並不能直接證明他與交易所被盜事件有關。2017 年,美國當局在希臘逮捕了俄羅斯人 AlexanderVinnik,他控制的錢包不僅有 MtGox 被盜的比特幣,還包括 Bitcoinica、Bitfloor 的。
Bitstamp (2015 年 1 月)
安全事件不斷髮生,交易所開始把幣儲存在兩個錢包上:冷錢包和熱錢包。冷錢包,即不聯網的伺服器,又稱離線錢包。熱錢包則用來儲存足夠的錢以滿足使用者的每日交易需求。2015 年 1 月,Bitstamp 熱錢包裡的 19000 個比特幣被駭客透過釣魚手段竊取。幸運的是,Bitstamp 90% 的幣都儲存在冷錢包裡,並沒有受到影響。
The DAO (2016 年 6 月)
基於以太坊網路發行的加密貨幣執行方式跟比特幣不同,但同樣都是駭客攻擊的物件。以太坊區塊鏈環境有別於其他數值貨幣。ETH 是透過電腦程式碼,即智慧合約交易的。所謂智慧合約即設定好要求,一旦滿足設定條件就會自動執行。以太坊全網有 6000 臺電腦,因此網路難以被修改或被控制。以太坊架構支援去中心化自治組織 DAO,把規則和決策透過程式碼的形式寫進區塊鏈之中,允許智慧合約在不受人為監控的條件下自動執行。2016 年 4 月 , GenesisDAO 創造了一個投資者可以給專案投票的社羣,獲得 20% 以上支援的專案可獲得資金支援。DAO 在以太坊上融到了 2.5 億美金。6 月份,駭客發現了一個支援單一幣種多次提現的漏洞,而智慧合約更新的速度比不上提現的速度。短短几個小時內,DAO合約裡面 30% 的 ETH 都被轉移了。盜竊事件被公開後,Genesis DAO執行了硬分叉,創造出了一條新的區塊鏈。但是這次分叉受到了社羣部分持幣者的反對,他們認為篡改時間戳就是在稀釋其他人手上以太坊的價值。之後,社羣發起投票,89% 的人支援硬分叉。反對者從社羣分離出去,重組了原鏈,改名 EthereumClassic。
Bitfinex (2016 年 8 月)
這是繼 MtGox 熱錢包被盜後發生的第二大交易所被盜事件。諷刺的是,Bitfinex 進行軟體升級本是為了提高安全,卻沒想到軟體內含有漏洞。Bitfinex 當初使用的是 BitGo 提供的多籤交易軟體。時至今日,沒人清楚駭客是怎麼避開多個簽名盜走幣的。現在最主流的解釋是 Bitfinex 伺服器安裝了不合適的軟體。Bitfinex 事件中,駭客盜走了 12 萬個比特幣 ,當時價值 7200 萬美元。隨後,為了補還客戶的損失,Bitfinex 透過代幣進行股權融資,並使用營業額按月賠償客戶後逐步彌補虧空,艱難的熬了過來。
Parity (2017 年 7 月和 11 月)
以太坊也受過多重簽名系統缺陷的影響。2017 年 7 月 17 日,有人攻擊了多重簽名錢包服務商 Parity,目標是三家最近剛完成 ICO 的公司。駭客一共竊取了 152037 個比特幣,價值 3200 萬美元。Parity 將本次攻擊歸咎於 Parity 錢包版本中智慧合約程式碼存在漏洞,並於 7 月 20 日釋出了補丁。糟糕的是,該補丁解決了智慧合約的問題,卻還存在另一個安全隱患。Parity 在其智慧合約程式碼上新增了“kill”功能,該功能允許使用者永久鎖定 Parity 錢包。Parity 開發者沒有將這一程式碼更新到所有的使用者錢包中,而是選擇跟一箇中心化 library (合約庫)進行函式呼叫。11 月 6 日,使用者名稱為“devops199”的程式設計新手意外鎖死了 library,所有與 library 相連的錢包也被鎖死了。受影響的錢包共計 587 個,包含 513,774 個 ETH,價值約 1.5 億美元。這不是犯罪也不是惡意行為,卻給以太坊帶來一個大問題:是否再次進行硬分叉以恢復被鎖定的 587 個錢包?4 月,Parity 向以太坊社羣發起投票,最終以 55% 反對票拒絕了硬分叉,丟失的幣也就永遠找不回來了!
NiceHash (2017 年 12 月)
NiceHash 是一家位於斯洛維尼亞的礦場。駭客利用釣魚成功竊取一名員工的證件,盜走 4700 個 BTC,當時價值近 8000 萬美元。
Coincheck (2018 年 1 月)
Coincheck 是一家日本交易所,被盜取了 5 億個 NEM。駭客取出 NEM 後迅速兌換成其他加密貨幣,以至於 NEM 基金會放棄了恢復工作。這次損失高達 5.3 億美元,超過了 2014 年 MtGox 的損失。由於 Coincheck 在被黑後隨即凍結提現,因此穩住了使用者,交易所最終才得以存活下來。
Coinrail 和 Bithumb (2018 年 6 月)
2018 年 6 月,韓國兩家交易所的熱錢包遭遇攻擊。其中 Coinrail 損失了 5300 個BTC (價值接近 4000 萬美元),Bithumb 損失了近 3100 萬美元。
DragonEx和Biki(2019年3月)
2019年3月24日,龍網在Telegram表示,DragonEx平臺錢包遭受駭客入侵,導致使用者和平臺的數字資產被盜。最新資料顯示,在本次事件中DragonEx交易所被盜資產總價值不少於500萬美元,其中涉案金額較大的資產有USDT、ABBC、EOS、BTC、ETH,USDT被盜約1464319枚(目前價值146萬美元),ABBC被盜約6274251枚(目前價值124萬美元),EOS被盜約205392枚(目前價值75萬美元),BTC被盜約135枚(目前價值53萬美元),ETH被盜約2737枚(目前價值約37萬美元)。
無獨有偶,就在DragonEx宣佈被盜後的第三日,註冊地同為新加坡的交易平臺Biki也宣佈遭受駭客攻擊,目前損失情況未知。
區塊鏈的安全現狀盜幣事件層出不窮,僅 2018 年上半年發生的事件累積損失就接近 11 億美元。但這些安全事件不是區塊鏈世界獨有的,雖然區塊鏈本身不容易受到攻擊,但駭客卻可以利用智慧合約、錢包或人為失誤等漏洞找到可乘之機。對於區塊鏈本身而言,威脅最大的是 51% 攻擊,它是指:一旦某個人或組織擁有全網 51% 以上的算力,從而能比其他節點更早獲得記賬權建立區塊,最終控制網路,特點是攻擊成本比較高。現在由於挖掘比特幣的成本越來越高,存在一些人透過電腦病毒部署殭屍網路,用於惡意挖礦,另外還有就是利用勒索軟體對其它使用者發動攻擊。雖然 SHA256 加密演算法很複雜,但也並非不可攻破,或許最致命的攻擊我們尚未發現。
McAfee 集團的管理人員曾經說過:“這個行業太新了,我們現在都沒有一個專門發現並報道技術缺陷的平臺”。資產安全比一切都要重要,透過上面的例子我們可以看出,無論是交易所、錢包軟體、礦場乃至區塊鏈專案都存在被駭客攻擊的威脅,而對於我們普通投資人或者使用者來說如何將風險降到最低就非常重要了,通常來說選擇透明度高、技術實力強的專案風險較低,短線選擇知名度較高、管理措施健全相對規範的交易所,長線儘量將數字貨幣儲存到冷錢包,備份儲存好私鑰助記詞並且避免觸網可以將風險降到最低。
炒幣千萬條,安全第一條,操作不規範,回首淚兩行。
