TMT观察网_独特视角观察TMT行业

一場悄無聲息的遷徙

古典互聯網黑客正在往幣圈大規模遷徙。

“正是區塊鏈技術創新造就了這群黑客。”BYSEC.IO創始人莫良向深鏈財經稱，“區塊鏈是歷史上任何一個時代無法比擬的——代碼和錢畫上了等號。”

互聯網和幣圈是截然不同兩個世界。

“對于互聯網安全，一旦發生安全事故，往往丟失的是信心，但是用戶是健忘的。可對于數字貨幣交易所、錢包而言，丟失的就不僅僅是信心了，可能就是丟命了，是等同于法幣資產的身家性命。” 一位業內人士向深鏈財經透露。

在黑客攻擊后倒閉的項目不絕如縷。門頭溝事件（2014年2月，黑客從Mt.Gox盜取用戶近75萬枚比特幣及交易所10萬枚比特幣）直接導致彼時世界第一大交易所Mt.Gox申請破產。

幣圈是一塊無人管的戈壁地。在幣圈尚無明確法律監管的情況下，這些黑客攻城掠地，侵占一座又一座城池。

莫良將攻擊分為兩種：一種是鏈上攻擊，例如像BTG雙花攻擊。技術門檻高，攻擊者對區塊鏈技術有一定研究；一種是鏈下服務攻擊，比如對交易所、錢包的攻擊。

幣圈黑客目前的操作方式大部分屬于后者。即是說，黑客仍然用著傳統互聯網的方法在幣圈興風作浪。

“密鑰和錢包的安全是區塊鏈安全1.0的重心，智能合約是區塊鏈安全2.0的重心。但是目前大多數黑客事件還是使用傳統攻擊手段。”長亭科技區塊鏈安全研究員于曉航向深鏈財經表示。

古典互聯網黑客轉行幣圈，根本不需要學習成本，所要只是一個瞬念。

幣圈黑客已經將觸角伸向區塊鏈全產業鏈。

無論是礦池、錢包、交易所還是公鏈，甚至是用戶的打印機、攝像頭，都有被黑客襲擊的可能。

例如，對于礦池來說，黑客直接攻擊礦池，設法獲取礦池網站的管理員權限，然后將礦池里額虛擬貨幣轉移至自己帳戶。

此外，黑客還能黑進用戶的物聯網設備，偷設備上的算力，當用戶發現設備的耗電量增加、網絡流量出現異樣，事實上其中是黑客在暗地里挖礦，但用戶根本不會發現。

就這樣，幣圈每年上億美金的虛擬貨幣流入黑客口袋。

黑白邊緣

于曉航發現，自今年年初，開始做區塊鏈或者轉型區塊鏈的安全公司多了起來。

近日，BYSEC團隊也忙于不斷見新的投資人。

幣圈白帽子勢力正在擴張。白帽子，即正面的黑客，可以識別計算機系統或網絡系統中的安全漏洞，并不去惡意利用，而是公布漏洞。

這是刀鋒上的生意。技術的價值在幣圈被無限發大。

莫良稱，“在安全人才儲備嚴重不足情況下，很多公司趁火打劫”。

很多安全公司奔著賺錢來的。莫良透露，在傳統互聯網行業，代碼審計按萬行收費，平均一行代碼1元至10元，而在區塊鏈行業，代碼審計費最高上萬元。

區塊鏈，碰撞出技術火花，同時也是一座富饒金礦。

“區塊鏈行業里的白帽子非常缺乏，因為安全其本身還是一個服務性的東西，跟黑帽的利益驅動相比，白帽更多是發自內心的責任感去做。”于曉航稱，相對黑帽來說，區塊鏈白帽陣營還是太小了。

與此對照的是源源不斷涌入幣圈的黑客團隊。

“未來一定會有更多黑客涌入區塊鏈。”莫良稱，最近耳聞，區塊鏈早已變成黑客眼中最肥的肉。

這是一場力量相差懸殊的競爭。

現行的技術和手段，加上區塊鏈去中心化、匿名的特點，黑客的行蹤很難被追溯。

而法律監管的缺失，更讓這群幣圈黑客肆意妄為。

白帽子卻常常陷入誤解的疑云。

讓莫良最受挫的是大眾對黑客認知的缺失。很多區塊鏈公司對黑帽和白帽沒有清晰認知，“大家都覺得黑客是不分黑白的，只要你找上門就是壞的。事實上白帽被稱為道德黑客，完全是出于個人興趣，很多人在大互聯網公司領著百萬年薪，但還是愿意不相識公司提出漏洞”。

充滿悖謬的是，監守自盜在事情經常在安全領域上演。有黑客偽裝白帽子，獲取內部信息后發起攻擊。

慢霧科技聯合創始人余弦曾表示，自己在招人時第一考慮的是價值觀，然后才是其他，“在自我約束這方面，我們非常嚴肅”。

“守正出奇”，余弦稱，黑客這個身份，自帶奇，但得守正。

與此同時，白帽子只有把自己設身為黑客，去模擬攻擊，才能發現漏洞。“以攻促防，只有了解攻擊者的手法與心理還有這個群體的生存模式，才能真正做好防御。”余弦介紹。

莫良稱，而今很多區塊鏈公司只有運營團隊，沒有技術團隊。莫良覺得成熟的區塊鏈項目應該設有獨立的安全部門。

 “這不僅僅是技術層面的事，還是意識層面的。” 莫良稱。

“意識安全比技術安全還要重要。”于曉航也表示認同。

于曉航發現，2014年，BTER交易所發生失竊事件，源于BTERCEO韓林被黑客分析，而其個人密碼恰好是BTER交易所里很關鍵的密碼。

“不論你各個層面的安全防御技術做得再好，如果你人的防御意識出現問題，所有防御都是泡湯的。” 于曉航介紹。

每個行業的興起，安全都不會得到重視。被黑客教育很多次后，行業才會重視。所以，這不僅僅是技術的更新，更是意識的迭代。

一邊是不斷涌入幣圈的黑客，掌握最頂級的資源，使用最豪華的設備，一邊是勢單力薄的白帽團隊，苦苦掙扎卻不被重視。

兩人爭分奪秒競爭，誰發現那個漏洞。現在看來，最后勝利的往往是黑客。

一場相差懸殊的競賽

“沒有不被攻擊過的交易所。”莫良稱，絕大多數交易所被攻擊后，常常裝作維護狀態，其實是“打破牙齒往肚子里吞”。

黑客陰霾籠罩每個人頭頂。

黑客思維縝密、耐力過人、行動迅捷，無人知曉黑客是單獨作戰還是團隊作業。同時，誰也不知道自己會不會是下一個受難者。

據于曉航觀察，在門頭溝事件發生的三年前，即2011年，黑客早已種下一顆木馬。

Mt.Gox團隊在瀏覽其他網站時，將木馬程序下載至本地，木馬程序自動搜索存放錢包密鑰的文件。

木馬悄悄潛伏在Mt.Gox服務器里，導致錢包的密鑰文件被攻擊者拿到。

攻擊者十分狡猾，沒有立即轉走大筆交易，而是用了接近三年時間，將幣一點點轉出來。

當Mt.Gox發現問題時已經晚了，虛擬貨幣早已不知何處。

區塊鏈2.0時代來臨，黑客隨之升級了策略。

基于以太坊的智能合約有一個很重要的特征——都是公開的。大家在使用之前都能看到該智能合約背后的代碼，所以理論上每個人都能確認智能合約有沒有發揮應有的作用。

這同時也帶來一件壞事，智能合約一旦發布就不能修改。所以在發布之前沒能做好合約升級，加上上線后很難更新迭代。

項目方在上線之后才發現問題，這個時候往往已經晚了——黑客早已對漏洞發起猛烈攻擊。

黑客推動一個行業的進步，也足以毀滅一個行業。

“區塊鏈太脆弱了”， 于曉航稱，“如果安全做得不好的話，非常打擊人們對新技術的信心。”

黑客每次大捷過后，又一場狂歡已經開始了。

“黑客就像非洲的雇傭軍，為錢服務。誰有錢就去不斷發起進攻。“莫良表示。

門頭溝事件之后，比特幣跌幅逾36%。

再出現像門頭溝這樣的一次黑客攻擊足矣讓比特幣再次萎靡數年。

追逐財富的黑客可不管這些。畢竟，他們還能竄入下一領地或者回到互聯網，尋找新的寶地。