過去十年,區塊鏈獲得了更多的關注。與此同時,隨著加密貨幣的價值增長,不法分子也盯上了這一行業。駭客事件層出不窮,保障使用者的資產安全成為一個行業痛點。
當然,這些駭客事件並不是針對區塊鏈技術本身的,而是利用加密貨幣服務商,如錢包、交易所的安全漏洞來竊取資金。下面讓我們來總結下區塊鏈歷史上交易所和錢包的被盜事件吧!
區塊鏈歷史上的被盜事件
AllinVain盜竊事件 (2011年6月)
2011年6月,一個化名叫AllinVain的駭客獲取了一家礦場的硬碟,轉走了25000個比特幣到外部錢包。這筆錢至今下落不明。這種操作手法就好比駭客從電腦裡把銀行賬戶裡的資金全部轉走。這是第一次有媒體報道加密貨幣被盜事件,在當時引起了重大反響。
Bitcoinica (2012年3月)
作為一家老牌交易所,Bitcoinica在2012年被攻擊了兩次,分別是在3月份和5月份。由於交易所網路伺服器安全措施不到位,駭客獲取了使用者資料和金鑰,盜竊走了61000個比特幣,最終導致Bitcoinica破產。
Bitfloor (2012年9月)
跟Bitoinica的被盜過程相似, 駭客攻擊了Bitfloor交易所的伺服器,竊取了24000個比特幣。Bitfloor一直沒能恢復這筆損失,並在2013年4月份關閉了交易所。
Poloniex (2014年3月)
2014年3月份,駭客攻破了Poloniex的伺服器。那時,這家交易所才營業2個月。Poloniex的創始人Tristan D’Agosta解釋道駭客發現他們的提現系統在遇到多個同步請求後,就可以允許“透支”行為。交易所在發現了這一異常操作後,關閉了進入受影響賬戶的通道。但是 12.3%的總資產已經被盜了。Poloniex的處理方式是:暫時把每個使用者餘額裡的資產都扣除12.3%,後續再恢復他們的賬戶餘額。Poloniex最終活了下來,並在2018年被收購。
MtGox (2014年2月)
MtGOX是加密貨幣史上,最早、且是當時最大的交易所。2014年2月,這家交易所遭受了最嚴重的駭客攻擊。MtGOX最初是萬智牌玩家(Magic: The Gathering Online)用來交換卡牌的網站,於2010年轉型為交易所。2010年7月份該網站的開發者在Slashdot上看到加密貨幣的介紹後,重寫了網站程式碼,並把該網站賣給了居住在日本的開發者Mark Karpeles。 到了2014年,一家獨大的MtGox佔據了全球70%的比特幣交易量。
2014年2月7日,MtGox聲稱其安全軟體中存在漏洞,緊急暫停了所有交易。兩週後,交易所申請破產,網站突然消失。使用者共損失了85萬比特幣,當時價值高達4.7億美金。這一事件導致投資者信心受挫,比特幣價格暴跌36%。
很多人都質疑Mark Karpeles監守自盜。2015年,Mark在日本因詐騙,挪用公款和操縱使用者餘額等罪名被捕。但是這並不能證明他跟交易所被盜有直接聯絡。2017年希臘一家交易所的經營人因洗錢罪被捕,其涉及資產竟包括在MtGox事件中丟失的幣。
有分析師曾表示,MtGox交易所是比特幣世界的一顆定時炸彈,使用者在其平臺上交易無益於自殺式行為。
Bitstamp (2015年1月)
安全事件不斷髮生,交易所開始把幣儲存在兩個錢包上:冷錢包和熱錢包。冷錢包,即不聯網的伺服器,又稱離線錢包。熱錢包則用來儲存足夠的錢以滿足使用者的每日交易需求。2015年1月,Bitstamp熱錢包裡的19000個比特幣被駭客透過釣魚手段竊取。幸運的是,Bitstamp 90%的幣都儲存在冷錢包裡,並沒有受到影響。
DAO (2016年6月)
基於以太坊網路發行的加密貨幣執行方式跟比特幣不同,但同樣都是駭客攻擊的物件。以太坊區塊鏈環境有別於其他數值貨幣。ETH是透過電腦程式碼,即智慧合約交易的。所謂智慧合約即設定好要求,一旦滿足設定條件就會自動執行。以太坊全網有6000臺電腦,因此網路難以被修改或被控制。以太坊架構支援去中心化自治組織DAO,把規則和決策透過程式碼的形式寫進區塊鏈之中,允許智慧合約在不受人為監控的條件下自動執行。
2016年4月, Genesis DAO創造了一個投資者可以給專案投票的社羣,獲得20%以上支援的專案可獲得資金支援。DAO在以太坊上融到了2.5億美金。6月份,駭客發現了一個支援單一幣種多次提現的漏洞,而智慧合約更新的速度比不上提現的速度。短短几個小時內,DAO 裡面30%的ETH都被轉移了。盜竊事件被公開後,Genesis DAO 執行了硬分叉,創造出了一條新的區塊鏈。但是這次分叉受到了社羣部分持幣者的反對,他們認為篡改時間戳就是在稀釋其他人手上以太坊的價值。之後,社羣發起投票,89%的人支援硬分叉。反對者從社羣分離出去,重組了原鏈,改名Ethereum Classic。
Bitfinex (2016年8月)
這是繼MtGox熱錢包被盜後發生的第二大交易所被盜事件。諷刺的是,Bitfinex進行軟體升級本是為了提高安全,卻沒想到軟體內含有漏洞。Bitfinex當初使用的是BitGo提供的多籤交易軟體。時至今日,沒人清楚駭客是怎麼避開多個簽名盜走幣的。現在最主流的解釋是Bitfinex伺服器安裝了不合適的軟體。Bitfinex事中,駭客盜走了12萬個比特幣, 當時價值7200萬美元。
Parity (2017年7月和11月)
Ethereum也曾因多籤系統存在問題而被攻擊。2017年7月17日,有駭客攻擊了Parity多籤錢包。這次攻擊是針對三家剛剛完成ICO的區塊鏈公司。駭客共竊取了153037個比特幣, 當時價值3200萬美金。隨後,白帽子駭客將其他ICO專案中的資金轉移到了安全地址,才得以止損。Parity解釋稱這次被盜是因為Parity錢包版本的智慧合約程式碼存在漏洞,並於7月20日釋出了補丁。
糟糕的是,這個補丁解決了智慧合約的問題,但也存在其他缺陷。Parity在其智慧合約程式碼裡新增了一個“kill”功能。該功能允許使用者永久鎖定Parity錢包。Parity開發者沒有將這一程式碼更新到所有的使用者錢包中,而是選擇跟一箇中心化library(合約庫)進行函式呼叫。11月6號,一位名叫 “devops199” 的使用者意外鎖死了library,並永久鎖死了所有跟library相連的錢包。當時受影響的587個錢包裡共包含513774個以太坊(1.5億美元)。
以太坊社羣再次面臨抉擇。這次又要透過硬分叉的方式來恢復被鎖定的587個錢包嗎?4月份,Parity發起投票,55%的人反對硬分叉。丟失的幣也就丟失了。
NiceHash (2017年12月)
NiceHash是一家位於斯洛維尼亞(Slovenian)的礦場。駭客透過釣魚成功竊取了礦場員工的身份,盜走了4700個比特幣(8000萬美金)。
Coincheck (2018年1月)
Coincheck是一家日本交易所。2018年1月份,這家交易所被盜了5億個NEM幣。駭客把幣從錢包轉移出來後立即把NEM換成了其他幣。這次損失高達5.3億美金,超過MtGox在2014年的損失。
(通證丟失後對公眾道歉的Coinoincheck原CEO)
Coinrail和Bithumb (2018年6月)
2018年6月,韓國的兩家交易所被攻擊。Coinrail熱錢包被盜5300個比特幣(4千萬美金)。幾周後,Bithumb熱錢包丟失了價值3100萬美金的加密貨幣。
區塊鏈的安全現狀
被盜事件此起彼伏,僅2018年上半年就丟失了價值11億美金的加密貨幣。儘管區塊鏈不容易受到攻擊,但其實智慧合約,錢包和人為失誤都有可能成為被盜的導火線。
還有一種被稱之為“51%攻擊”的破壞行為,即一個人掌握了51%以上的全網算力,創造區塊的速度遠遠高於其他節點,最終控制整個網路。
專家指出SHA256加密演算法複雜,但也並不是無法攻破。或許最致命的攻擊尚未被我們發現。McAfee集團的管理人員曾經說過:
“這個行業太新了,我們現在都沒有一個專門發現並報道技術缺陷的平臺”。
或許目前的權宜之計是隻參與人數眾多,透明度高的區塊鏈專案,使用二次驗證和硬錢包來保障資產安全。記住,資產安全無小事!
本文作者:Sirius Network
編譯:行走的翻譯C
原文連結:https://medium.com/@siriusnetwork/history-of-hacks-in-the-blockchain-world-b6b89ee0c3de
- END -
