TMT观察网_独特视角观察TMT行业

來看3個數字：

區塊鏈自身機制安全12.5億美金；

生態安全14.2億美金；

使用者安全0.56億美金；

這3個數字加起來，共造成27億美金的經濟損失。

這就是這些年來，區塊鏈行業所遭受的劇痛。

這個數字，來自近日剛剛出爐的《2018上半年區塊鏈安全報告》，由知道創宇和騰訊安全聯合發布。

這3個數字，狠狠地抽打著區塊鏈這個行業，抽打著人們的臉。

這3個數字的損失，歸結來看，來自3個方面：區塊鏈自身機制、生態安全、使用者安全。

以下分別來跟大家說說這3類安全。以下內容主要來自《2018上半年區塊鏈安全報告》的解讀內容。

三類安全事故

第一個，區塊鏈自身機制。

說到自身機制，不得不提以太坊。以以太坊為代表的區塊鏈智能合約，設計是存在漏洞的，由此帶來的經濟損失也是相當嚴重。

舉個例子，2016年6月，以太坊最大眾籌項目The DAO被攻擊，黑客獲得超過350萬個以太幣，最終導致以太坊分叉為ETH和ETC。

同時，由于真實的區塊鏈網絡是自由開放的，若黑客控制絕大多數計算機資源，就能重改共有賬本，最終實現51%“雙花攻擊”。

這樣的后果，十分嚴重。

第二個，生態安全。

區塊鏈生態，說起來可就雜了：

包括PoW機制下的礦場和礦池、PoS機制下的權益節點、加密數字貨幣交易所、軟硬錢包、數據跟蹤瀏覽器、DApp應用，以及面向未來DApp應用的區塊鏈網關系統等。

在所有所有的這些生態中，交易所類安全事件最為慘烈：交易所被盜、交易所被釣魚、內鬼盜竊、錢包失竊、各種信息數據泄露和篡改、交易所賬號失竊等。果然，最有錢的地方，就是最危險的地方。

總的來說，對于生態安全的攻擊，無論是損失金額，還是攻擊類型，在攻擊事件中，統統排名第一。

說完生態安全，再說說使用者安全。從數字上可以看出，來自使用者安全造成的損失最少，但也高達0.56億美金。

第三個，使用者安全。

一般來說，用戶要搞清楚錢包等工具的使用，還是沒那么容易的，因為這是需要懂點計算機、懂點加密原理、并對網絡安全有較高的認知才行的。

然而呢，許多人，根本就沒這個能力，所以呢，只能自認倒霉。話說，東莞曾有一名叫imToken的用戶發現自己賬戶的100多個ETH（以太坊幣）被盜，最終發現其實是身邊的熟人作案。當時就傻了…

本營小姐姐我看完這個報告的相關內容，有限的那么點信息，再除去軟廣和套話，也就這些了，都給你摘出了，供你學習學習。（損失金額辣么大，不學就坑死自己了）

接下來，本營小姐姐我又死皮賴臉地拉著知道創宇這家安全公司的小哥哥，讓他們把深藏的報告信息，多給點，我們也好給讀者多貢獻貢獻。還好，爽快人，磨了一會，把他們的報告內容分享了出來。除去后面的廣告（比如，知道創宇可以針對。。提供啥啥啥服務。。不好意思，需要刪掉～～），別的內容，還是很值得一學的。

OK，那我們就從兩個方面，給大家多一些學習資料。

首先，讓我們詳細來看看，區塊鏈行業的風險，到底來自哪些方面？

答案，6個方面。

六大風險

1.智能合約安全風險

智能合約（Smart Contract）是“執行合約條款的計算機交易協議”。因為區塊鏈公鏈以及智能合約的開源屬性，所以智能合約一經發布，在區塊鏈上的所有用戶都可以看到該智能合約，同時這會導致包括安全漏洞在內的所有漏洞都可見，并且可能無法迅速修復。

2.應用平臺安全風險

應用平臺（交易所、礦池）作為對外提供服務的中心化的節點，大量的加密數字貨幣會沉淀在應用平臺中，為惡意黑客作惡提供了合適的攻擊目標。通過DDoS攻擊、CC攻擊、安全漏洞審計、Web應用安全攻擊等手段對應用平臺的Web網站、APP、API接口等進行攻擊和滲透，給應用平臺的正常穩定運行造成威脅，影響應用平臺的社群及聲譽。

惡意黑客及黑產通過“貓池”、“接碼平臺”批量的注冊賬號，并利用這些賬號在應用平臺或項目方的各個渠道中“搶糖果”使應用平臺及項目方用于推廣獲客的資金“打水漂”。

3.礦機、礦場安全風險

礦機、礦場通過計算算力的積累進行“挖礦”來獲取加密數字貨幣，使得礦場能夠相對穩定持續的積累加密數字貨幣資產，惡意黑客可以通過滲透的方式控制礦機甚至礦場的管理權限，從而實現“竊取算力挖礦”的目標，給個人礦工和礦場造成了較大的經濟損失，同時惡意黑客還通過后門程序、病毒、木馬等惡意代碼遠程控制一些暴露在互聯網的服務器、主機、物聯網設備等占用設備的正常資源實現“挖礦”。

4.數字錢包安全風險

數字錢包作為保存加密數字貨幣的載體，被廣泛的用戶和組織所認可，通過“熱錢包”和“冷錢包”的存儲方式，在便利使用加密數字貨幣的同時提供更安全的防護。“熱錢包”和“冷錢包”也是惡意黑客關注的重點，通過篡改錢包地址、恢復助記詞以及竊取“根密鑰”等方式竊取用戶和機構的加密數字貨幣。

5.社會工程學安全風險

惡意黑客通過釣魚網站、釣魚郵件、密碼暴力破解等方式嘗試獲取用戶的賬號和密碼，并通過收集到的賬號密碼盜取用戶在應用平臺中的數字貨幣或通過短時間用高價值的數字貨幣買入低價值的數字貨幣，利用數字貨幣交易平臺的價格差甚至數字貨幣期貨套現，非法獲利。而普通用戶普遍難以意識到釣魚網站、釣魚郵件帶來的安全威脅，一旦訪問到釣魚網站受騙，往往會在輿論上對正常的應用平臺進行譴責，對應用平臺的良好信譽帶來巨大的損失。

6.辦公環境安全風險

由于區塊鏈行業的快速發展，項目方均在同時間賽跑，務求用最短的時間讓公鏈、平臺、項目上線運營，從而忽視了員工信息安全意識培養及內部辦公環境中存在的安全隱患。根據知道創宇威脅及敏感信息泄漏監測中心的觀察和統計，在GitHub、GitLab、CSDN等國際知名的開發者網站及平臺上，大量項目方的核心源碼及賬戶名和密碼存在敏感信息泄漏的情況，惡意黑客可以利用這些賬號密碼對辦公環境進行內網滲透。在安全防護較薄弱的辦公設備及服務器上面部署惡意代碼程序，并潛伏，等待時機發起“致命一擊”。

說完了6大風險，再來看看，這些年，都有哪8件典型的安全大事故狠狠抽了你的臉。

1.以太坊“蜜罐”智能合約

知道創宇“404”安全實驗室的區塊鏈安全研究團隊在研究過程中發現了基于以太坊的蜜罐智能合約，【Smart-Contract-Honeypots】和【Solidlity-Vulnerable】，黑客可以基于上述的兩類蜜罐智能合約，通過多種欺騙手段誘導智能合約的開發人員將數字貨幣轉賬到合約地址，這類蜜罐智能合約的目的性更強，顯著區別與普通釣魚的行為。相較于釣魚行為面向大眾，蜜罐智能合約主要面向的是“智能合約開發者”、“智能合約代碼審計人員”或“擁有一定技術背景的黑客”。因為蜜罐智能合約門檻更高，需要能夠看懂智能合約才可能會上當，非常有針對性。

目前發現的蜜罐智能合約的欺騙手段有以下幾個方面：

古老的欺騙手段

神奇的邏輯漏洞

新穎的賭博游戲

黑客的漏洞利用

由于篇幅原因，關于“蜜罐智能合約”的描述，可參看Seebug漏洞社區的Paper，鏈接：https://paper.seebug.org/631/。

2.BeautyChain智能合約漏洞

2018年4月25日，美圖公司聲明，即日起公司旗下海外產品BeautyPlus終止與Beauty Chain（BEC美鏈）的海外推廣合作。然而在2018年2月美圖曾公開表示，BeautyPlus與Beauty Chain（BEC美鏈）在海外有推廣合作，此外美圖并不涉及（BEC美鏈）其他相關業務。合作終止后，美圖與Beauty Chain（BEC美鏈）將無任何合作。同時，美圖重申沒有、也不會發行任何數字貨幣。

圖 1 巴比特資訊，美圖官方聲明

圖 2 BEC美蜜官方公告

事件的起因是：在2018年4月23日，有安全研究人員發現在BeautyChain的智能合約中發現了漏洞，并利用該漏洞獲得了巨額的BEC代幣，數值為：57,896,044,618,658,100,000,000,000,000,000,000,000,000,000,000,000,000,000,000.792003956564819968。如此高額的代幣數量，引發恐慌，導致市場上海量BEC被拋售，價值直接歸零。事件發生時，BEC 官方團隊立刻暫停了一切交易和轉賬，并且和交易所合作將所有交易回滾到黑客攻擊之前，以求挽回損失。

圖 3 BEC交易記錄查詢

事件還原：

（1）在BEC的智能合約中，存在一個批量轉賬的函數：BatchOverFlow

圖 4 BEC智能合約批量轉賬方法

（2）黑客利用以太坊 ERC-20 智能合約中該函數數據溢出的漏洞攻擊BEC的智能合約。

（3）該漏洞的詳細利用方式及說明詳見：https://paper.seebug.org/615/

3.EXMO遭遇DDoS攻擊

英國比特幣交易所EXMO在2017年12月28日發布官方公告，公告稱正在遭受DDoS攻擊，預計在半小時內恢復正常業務。

圖 5 EXMO官方Twitter公告稱遭受到DDoS攻擊

于此同時，EXMO的CEO Pavel Lerner在位于基輔的辦公室外被綁架。EXMO通過BBCNEWS發表聲明：“將盡一切努力找到Pavel Lerner，同時向用戶保證交易所能夠正常運行，并承諾保證用戶的個人數據安全和資金安全。”

圖 6 EXMO官方發言人通過BBCNEWS發表聲明

4.Bithumb被黑客攻擊

韓國加密貨幣交易所bithumb在2018年6月20日稱，遭黑客盜走價值350億韓元(3150萬美元)的虛擬貨幣。

圖 7 Bithumb官方Twitter公告

這是2018年6月以來被攻擊的第二家韓國交易所，暴露出加密貨幣交易的高風險。根據CoinMarketCap.com的數據，bithumb是亞洲最大加密貨幣交易所之一，管理近3.6億美元資產。bithumb在網站發布公告稱，已停止所有交易，此前查明“價值約350億韓元的加密貨幣于昨日晚間至今日早間失竊。”

bithumb稱已將“全部客戶資產存在安全的冷錢包(cold wallet)里”，這些錢包的運行平臺并未直接與互聯網相連。據Coinmarketcap.com，bithumb為全球第六繁忙的加密貨幣交易所。

5.Coinsecure“內鬼”盜竊

印度三大比特幣交易所之一，在coinsecure在官網發布公告稱，該交易所在2018年4月9日發生數字貨幣失竊，一共被盜取了438個BTC，按照當日價格計算，價值約330萬美元。

該交易所首席執行官（CEO）Mohit Kalra認為Amitabh Saxena（CSO）為首要嫌疑人，并已向新德里警方對其提起指控。該案成為印度最大的數字貨幣盜竊案。據悉，coinsecure在印度有超過20萬用戶。根據報警記錄，Amitabh Saxena告訴coinsecure團隊這筆資金是由于一場外部攻擊才從該公司的比特幣錢包中失竊的。但是coinsecure的CEO不相信這個說法，他告訴警方，他的合伙人“在編故事試圖分散其注意力，他很可能參與了這場失竊事件”。

圖 8 coinsecure announcement

6.Nicehash礦池被入侵

位于斯洛文尼亞的“世界上最大的加密貨幣挖礦算力市場”NiceHash就陷入了一場噩夢，于2017年12月6日發布官方公告稱大量比特幣被盜。

圖 9 NiceHash官方公告被盜事件

NiceHash與2017年12月7日在Facebook采用livestream的方式向用戶發布事件說明及最新進展情況。

圖 10 NiceHash官方Twitter公告

事件發生后，NiceHash平臺停擺超過14天，于2017年12月20號NiceHash平臺才正式恢復正常業務。

圖 11 NiceHash官方Twitter公告，平臺業務恢復

在本次事件中，NiceHash共計被盜的比特幣達到了4000 BTC，后來透露是因為一位內部員工的電腦被攻擊，致使攻擊者可以獲得這個市場的系統的訪問權限并將比特幣從該公司轉走。

NiceHash于2018年2月5日正式宣布啟動償還項目，官方公告鏈接：https://www.nicehash.com/news/256

圖 12 NiceHash償還項目官方公告

截止2018年6月29日項目償還計劃完成過半，官方公告鏈接：https://www.nicehash.com/news/nicehash-repayment-program-more-than-half-way-through

圖 13 NiceHash償還項目進度官方公告

7.Parity電子錢包被盜

Parity Multi-Sig電子錢包版本1.5 的漏洞被發現，使得攻擊者從三個高安全的多重簽名合約中竊取到超過15萬ETH（約3000萬美元）。

圖 14 Security Alert Parity Wallet（Multi-Sig Wallet）

一位用戶名為“devops199”的黑客，Github的用戶名為“empty”，以太坊收款地址為“0xae7168Deb525862f4FEe37d987A971b385b96952”。

圖 15 黑客“devops199”確認導致了本次事件

事件還原：

（1）所有的Parity Multisig Wallets都是使用了一個函數庫，地址是：“0x863df6bfa4469f3ead0be8f9f2aae51c91a907b4”；

（2）智能合約的函數庫中，初始化產生了一個用戶權限的問題，“任何人都可以成為這個合約的所有者，并具備自刪除的權限。”（Library contract was not initialized properly. That allowed anyone to become its owner and self-destruct it.）

（3）devops199聲稱在調用“initWallet()”方法時，意外的發現可以修改智能合約的所有者；

（4）并且嘗試的執行了“kill()”方法，從而導致該智能合約失效，所有版本的Parity都失效了，并且存儲在其中的所有加密數字貨幣將無法找回。

8.Binance遭遇釣魚網站

2018年3月7日22:58-22:59兩分鐘內，數字貨幣交易所Binance的交易風控系統監測到“VIA/BTC交易對”異動，觸發了Binance的交易風控策略，并自動停止提幣行為。據Binance官網公告內容：“所有資金安全，無任何資金逃離”。官方公告鏈接：

https://support.binance.com/hc/zh-cn/articles/360001547431

圖 16 Binance官方公告

但是由于黑客在Binance交易所使用10000個BTC拉升小眾幣種VIA市值，導致VIA從市值0.000225 美元直接拉升 100 倍到 0.025 美元，同時黑客通過全世界各個數字貨幣交易所上掛出的【數字貨幣和代幣做空單】，大賺10億美元。

事件還原：

（1）黑客從2018年2月開始，籌備針對Binance歐美用戶的釣魚網站【binanceweb.com】，并在社交網絡中發布消息，誤導用戶訪問該釣魚網站。

圖 17 仿冒Binance釣魚網站

（2）當用戶訪問此釣魚網站，并輸入用戶名、密碼后，黑客就控制了部分Binance的賬號權限并申請“創建自動交易”的API；

（3）在3月7日的22:58-22:59兩分鐘內，通過API自動下單，拉升VIA幣種的市值，上漲近110倍；

（4）雖然Binance的風控機制對異常賬戶進行了凍結沒有造成資金損失，但是黑客通過在其他交易所通過“做空”的方式變現離場。

說了這么多風險，也說了這么多典型的安全事故，如果不給點解決方案，就太不厚道了。略去廣告后，就只有這么點干貨了，請各位爺多多見諒。

一些解決方案

這里重點說說應用平臺的安全解決方案吧。

應用平臺可以通過SaaS云安全防御平臺，提升應用平臺整體外部抗風險能力，保證應用平臺的穩定高效運行。

安全CDN

應用平臺可以通過采用安全CDN技術，對Web系統和APP提供節點加速的基礎上，隱藏源站IP地址，減少可攻擊面。

應用層DDoS及CC攻擊防護

針對DNS flood、放射性DDoS攻擊、SYN flood、UDP flood、CC攻擊及各類復合型DDoS攻擊進行安全防護。

Web攻擊防護

使用云WAF（Web- Application-Firewall）提供對WEB協議的加密和深度監測，防止包括SQL注入、XSS跨站攻擊、CRSF跨站請求偽造、Webshell文件上傳、惡意采集及利于Web漏洞進行的各類攻擊。

Web性能監控

采用Web服務可用性的實時監控，對應用平臺全球的可用性和性能進行監測，監測DNS污染的攻擊方式。

Web安全接入

通過SSL協議加密，Web應用平臺系統均采用HTTPS協議訪問，對基于Web的核心系統訪問均采用SSH加密認證。

Web頁面加固

在頁面代碼及配置審計基礎上，通過對關鍵Web頁面鎖定避免被盜鏈或者篡改。

好了，今天安全這塊就先聊到這里吧。