駭客攻擊偷了18億 區塊鏈的安全軟肋無解？

   最近在烏克蘭基輔舉行的網路安全論壇上，有專家提供了一個資料：2018年駭客攻擊造成的全球經濟損失達到18億美元，其中相當一部分受害者是加密數字貨幣和區塊鏈技術領域的投資者和使用者。你可能會為這18億美元咋舌，感嘆學好一門技術就等於掌握了生財之道。但實際上，這位專家說出的“18億美元”只是冰山一角，因為區塊鏈領域2018年因為駭客攻擊造成的損失遠遠不止這個數字！

如果你有持續在關注鏈圈幣圈的相關報道，你肯定對這個行業中猖獗的網路盜竊耳熟能詳。據統計，僅今年上半年區塊鏈領域就因安全問題損失了27億美元，其中11億美元是由於數字加密貨幣被盜。

截止至目前，2018年因駭客攻擊區塊鏈領域造成的損失預計已達到33億美元。可是我們不由得想問，既然區塊鏈被吹捧成了驚為天人的、不可穿透的網路，為什麼會頻繁出現攻擊、盜竊的事故？

原因很簡單，大多數盜竊案與區塊鏈本身的漏洞是無關的，而是可以歸結於人為失誤。在傳統的銀行系統中，我們嚴重依賴銀行和政府來保證我們的資金安全。但在加密數字貨幣世界裡，每個人都可以充當自己的銀行，為自己的資金安全和保障負全部責任。如果保管不當，這些數字貨幣很容易被駭客全部席捲，並且無法追回。

想要避免成為被選中的“靶子”，首先要了解駭客最喜歡三種攻擊盜竊方式——

錢包漏洞

保護加密貨幣安全的第一步是找到合適的錢包來存放它們。錢包有兩種主要型別：熱錢包和冷錢包。

“熱錢包”是連線到網際網路的數字錢包，從本質上講，熱錢包是不安全的，因為它們對網路連線開放，等於給了駭客進入大門的機會。熱錢包的一種常見形式是交易所的錢包。為了允許全球使用者之間的持續交易，交易所的錢包需要是保持與網際網路的連線的。這種敏感性，再加上使用者們持有的資金量，使得交易所成為駭客的首要目標。

“冷錢包”是一種數字錢包，不與網際網路相連，因此是一種更安全的選擇。最常見的冷錢包是紙質錢包，它是一種印刷的紙，通常以二維碼的形式儲存著某個錢包地址的私鑰。除非私鑰被掃描並聯機，否則它將完全與所有網路斷開連線，因此基本上無法被竊取。

大多數幣民都同時使用著熱錢包和冷錢包。他們把少量資金放在熱錢包裡，用於日常交易，類似於支付賬戶；然後把大量資金放在冷錢包裡，用於長期儲存，類似於儲蓄賬戶。

需要注意的是，交易所的錢包並不是熱錢包的唯一形式，像Exodus這樣的桌面軟體錢包也可能遭到攻擊。使用桌面軟體錢包，使用者雖然可以控制自己的私鑰，但錢包仍然存在於計算機中，一旦某些惡意軟體或病毒被下載並安裝到了主機上，你的私鑰和資產安全將會像無人之境一樣，任由駭客入侵。

網路釣魚和詐騙

最普遍同時也最成功的網路盜竊形式是欺騙使用者主動交出他們的資金，或者更有甚者，讓他們交出錢包的“鑰匙”。網路釣魚攻擊是將惡意網站偽裝成大眾熟悉的、合法的網站，以竊取密碼、私鑰，並最終洗劫資產。

每年都有新的釣魚攻擊被髮明出來，但最古老且久經考驗的方法是URL地址的輕微拼寫錯誤。

例如，為了竊取幣安使用者的密碼，詐騙者可能會在URL www.binance.com下貼出該網站的精確副本或“映象”，把“i”替換成“í”。這個URL釣魚地址與真實的www.binance.com地址非常相似，一個不知情的受害者在登入時很難分辨出蹊蹺，在不知不自中就把自己的密碼或者私鑰奉獻給了駭客竊賊們。

其實要解決這個問題非常簡單，將你最常用的網站設定為書籤，或者自己手動輸入網址即可。

此外，最好是利用交易平臺提供的所有安全特性，比如雙重身份驗證，在登入和發起提款請求時分別增加一層驗證，這樣一來即使他人獲取了你的賬戶，也無法進行更多的操作。不幸的是，有些型別的詐騙並不容易防範，比如IC0欺詐。一個看似高階的網站，一份詳盡的白皮書和一個令人信服的團隊介紹，就可以騙走投資者數千萬美元。

這樣的詐騙案例並不在少數，加密數字貨幣的匿名性讓這些騙子為所欲為。他們為一個虛假的專案籌集資金，卻無意履行路線圖中列出的承諾，一旦IC0結束，他們就會捲款消失。

因此，仔細閱讀白皮書，核實那些看起來高大上的團隊成員資訊，分辨是否有實際應用價值，這一切投資前的工作都必須做到位。

51%攻擊

今年有一種利用區塊鏈網路漏洞的攻擊方式頻頻登上頭條新聞，那就是臭名昭著的51%攻擊。想要理解這種攻擊，首先要理解什麼是區塊鏈安全。比特幣的區塊鏈無法篡改的原因是，全球各地分佈的數百萬礦工參與驗證了鏈上區塊中的資料。

這種網路驗證能力被叫做“雜湊率”，也叫做算力。沒有哪一個礦工是擁有過半的算力的，因此沒有人擁有影響或篡改資料的權力。一旦某個群體掌握了全網51%的算力，那區塊鏈基本上就是他們的了，他們可以根據自己的選擇去重寫資料，等於自己跟自己玩了。

不乏一些別有用心的人經常利用這種漏洞來改變網路上的交易歷史。在這種情況下，攻擊者才是最後將新區塊放到區塊鏈上的人，因此51%攻擊後，他們完全可以繼續發動“雙花”。以BTG事件為例，就是駭客臨時控制了區塊鏈之後，不斷地在交易所發起交易和撤銷交易，將一定數量的BTG在多個錢包地址間來回轉，一筆“錢”被花了多次，駭客的地址因此得到了388201個BTG。

目前這個問題是我們無法透過個人能力去解決的，不過雖然51%攻擊看起來非常恐怖，但它也存在一個悖論。

如果想做到51%攻擊，首先需要足夠的錢去掌控全網51%的算力，這是非常大的一筆投資。其次在攻擊後，幣種價格實際上會被摧毀，攻擊者需要賣出非常多的幣才能達到收支平衡。最後，能發動51%攻擊的就那幾個大礦池，要鎖定背後黑手很容易，想必也不會為了這些幣去砸了自己的招牌和門面。

所以其實有腦子的駭客，一般是不會發動這樣耗時耗力的攻擊的，因為這種攻擊方法遠不如黑掉交易所或者個人賬戶見效快。

據初步統計，全球大約有30萬的人或者駭客組織在盯著“區塊鏈”這塊肥肉，其中有90%都嘗試發起過大大小小的攻擊。專家說的18億太過於樂觀，事實上區塊鏈領域已經在逐漸成為駭客們的提款機。那麼區塊鏈的安全軟肋是否無解？其實並不是，新技術意味著新的學習曲線，風險浮現需要時間，發展出應對風險的方法也需要時間。就如同WIFI一樣，技術會不斷革新，從而走向成熟的安全機制。