TMT观察网_独特视角观察TMT行业

一個(gè)筆名為Hacker的黑客曾經(jīng)如此回憶：

2013年6月，他在十幾家比特幣交易所發(fā)現(xiàn)漏洞后，毫無阻礙地提走了所有的比特幣。提幣之后，他在localbitcoins.com上出售了這些比特幣，那一天他賺了8000美元的現(xiàn)金，相當(dāng)于4個(gè)月的工資，感覺就像在天堂。

2013年的比特幣價(jià)格，在經(jīng)歷了起起落落后，最高曾升至超過1242美元，這一價(jià)格甚至高于一盎司黃金的價(jià)格。

比特幣的“數(shù)字黃金”之名由此得來。

此后，比特幣等基于區(qū)塊鏈誕生的虛擬貨幣，便成為黑客最喜歡攻擊的目標(biāo)。

近日，騰訊安全聯(lián)合知道創(chuàng)宇發(fā)布的《2018上半年區(qū)塊鏈安全報(bào)告》顯示，2018年上半年區(qū)塊鏈領(lǐng)域因安全問題損失超過27億美元，其中11億美元是由于數(shù)字加密貨幣被盜。

“我們追蹤的全球黑客，有30多萬的人或組織在攻擊區(qū)塊鏈，基本90%的黑客在盯著區(qū)塊鏈，把區(qū)塊鏈當(dāng)作取款機(jī)一樣。”北京知道創(chuàng)宇信息技術(shù)有限公司創(chuàng)始人兼CEO趙偉對(duì)區(qū)塊鏈Truth說。

1/4智能合約存漏洞，半年損失27億美元

根據(jù)騰訊安全提供的數(shù)據(jù)，與加密數(shù)字貨幣有關(guān)的黑客攻擊事件，從2013年到2018年（上半年）直接增加了大約五倍的數(shù)量，2018年全年預(yù)計(jì)增加約十倍。

近幾年區(qū)塊鏈安全事件統(tǒng)計(jì)

安全公司Hosho報(bào)告顯示，區(qū)塊鏈上智能合約的bug普遍存在。經(jīng)過Hosho審計(jì)的智能合約項(xiàng)目籌集資金總額高達(dá)10億美元，這些項(xiàng)目中有25%被發(fā)現(xiàn)存在嚴(yán)重漏洞，約有60％至少存在一個(gè)安全問題。

就在此前，知道創(chuàng)宇也發(fā)布了一份頗為相似的報(bào)告。

在知道創(chuàng)宇發(fā)布的《知道創(chuàng)宇以太坊合約審計(jì)CheckList》中，披露了知道創(chuàng)宇404區(qū)塊鏈安全研究團(tuán)隊(duì)針對(duì)全網(wǎng)公開的共39548個(gè)合約代碼掃描的結(jié)果。結(jié)果顯示，截止2018年8月10日，發(fā)現(xiàn)共24791個(gè)(占比62%)合約涉及到以太坊智能合約設(shè)計(jì)缺陷問題（包括“條件競(jìng)爭問題”、“循環(huán)DoS問題”等問題）。

其中，有“approve條件競(jìng)爭問題”的合約有22981個(gè)，并且15325個(gè)合約甚至還處于交易狀態(tài)，approve條件競(jìng)爭漏洞的結(jié)果可能引發(fā)丟幣的問題；有“循環(huán)DoS問題”的合約有1810個(gè)，其中1740個(gè)合約仍處于交易狀態(tài)，以太坊中循環(huán)DoS則可能因gas消耗過大導(dǎo)致交易失敗，合約無法執(zhí)行。

超過60%的以太坊智能合約出現(xiàn)設(shè)計(jì)缺陷問題，也意味著基于這些智能合約的數(shù)字貨幣系統(tǒng)也存在安全隱患。

黑客，正是盯住了加密數(shù)字貨幣的這一安全問題。

網(wǎng)絡(luò)安全解決方案提供商趨勢(shì)科技在一份新研究中表示，網(wǎng)絡(luò)犯罪分子的注意力正從快速的勒索軟件攻擊轉(zhuǎn)為較慢的、更隱蔽的竊取計(jì)算機(jī)計(jì)算資源以挖掘加密貨幣。該研究結(jié)果顯示，與2017年全年相比，2018年上半年檢測(cè)到的加密貨幣挖礦增加了96%，檢測(cè)到的挖礦病毒與2017年上半年相比增加了956%。

《2018上半年區(qū)塊鏈安全報(bào)告》中的數(shù)據(jù)顯示，區(qū)塊鏈因自身機(jī)制的安全、生態(tài)安全和使用者安全三個(gè)方面造成的經(jīng)濟(jì)損失，分別為12.5億、14.2億和0.56億美元，共計(jì)高達(dá)27億美元。

這相當(dāng)于此前登陸納斯達(dá)克的優(yōu)信公司的總市值。

損失最多的是數(shù)字貨幣交易平臺(tái)，總共為13.4億美金。其次是智能合約，主要是集中在以太坊上，比如因?yàn)榇a的漏洞或者私鑰的泄露等原因?qū)е碌馁Y金損失達(dá)到了12.4億美金。再次是個(gè)人用戶遭受到的攻擊，比如電腦中病毒、私鑰被竊取等，包括礦工的一些病毒事件等等。

“黑客對(duì)區(qū)塊鏈的攻擊還會(huì)一直持續(xù)，甚至?xí)絹碓蕉唷！币晃话踩耸扛嬖V區(qū)塊鏈Truth。

全球超過30萬人或組織在攻擊區(qū)塊鏈

“因?yàn)橐郧皡^(qū)塊鏈和數(shù)字貨幣領(lǐng)域沒有人在乎安全，區(qū)塊鏈形成的價(jià)值突然起來之后，對(duì)黑客來說這里就像一個(gè)銀行，他們隨便拿錢。”

從2011年，趙偉便開始關(guān)注比特幣，2013年知道創(chuàng)宇開始為加密數(shù)字貨幣領(lǐng)域的交易所、錢包等平臺(tái)提供數(shù)字資產(chǎn)的安全防御。

“黑客”（黑客的本意是技術(shù)上突破極限）出身的他，最懂黑客的手段。

“現(xiàn)在黑客把區(qū)塊鏈都當(dāng)成靶場(chǎng)了。我們追蹤的全球黑客，有30多萬的人或組織在攻擊區(qū)塊鏈，所以基本90%的黑客在盯著區(qū)塊鏈的安全問題。而一旦攻破之后，區(qū)塊鏈又是匿名的，資產(chǎn)丟了沒法找回，所以黑客們就把區(qū)塊鏈當(dāng)成取款機(jī)一樣。”趙偉說。

根據(jù)今年5月30日的區(qū)塊鏈產(chǎn)業(yè)安全分析報(bào)告，全球發(fā)生區(qū)塊鏈安全事件的趨勢(shì)呈逐年上升態(tài)勢(shì)。2011年出現(xiàn)了第一次比特幣安全事件，當(dāng)時(shí)丟失102萬美金；2014年全球區(qū)塊鏈的資金損失大概是4.6億美金；而到了今年上半年，這個(gè)數(shù)字達(dá)到19億美金。

數(shù)據(jù)來源：區(qū)塊鏈產(chǎn)業(yè)安全分析報(bào)告

《2018上半年區(qū)塊鏈安全報(bào)告》中，騰訊安全技術(shù)專家將區(qū)塊鏈加密數(shù)字貨幣引發(fā)的安全問題歸結(jié)為三個(gè)主要方面：

其一，區(qū)塊鏈自身機(jī)制問題。以以太坊為代表的區(qū)塊鏈智能合約設(shè)計(jì)存在的漏洞問題，帶來的經(jīng)濟(jì)損失極為嚴(yán)重。2016年6月，以太坊最大眾籌項(xiàng)目The DAO被攻擊，黑客獲得超過350萬個(gè)以太幣，最終導(dǎo)致以太坊分叉為ETH和ETC。同時(shí)，真實(shí)的區(qū)塊鏈網(wǎng)絡(luò)是自由開放的，理論上若黑客控制節(jié)點(diǎn)中絕大多數(shù)計(jì)算機(jī)資源，就能重改共有賬本，最終實(shí)現(xiàn)51%“雙花攻擊”。

其二，區(qū)塊鏈生態(tài)安全問題。區(qū)塊鏈生態(tài)中包括PoW機(jī)制下的礦場(chǎng)和礦池、PoS機(jī)制下的權(quán)益節(jié)點(diǎn)、加密數(shù)字貨幣交易所、軟硬錢包、數(shù)據(jù)跟蹤瀏覽器、DApp應(yīng)用，以及面向未來DApp應(yīng)用的區(qū)塊鏈網(wǎng)關(guān)系統(tǒng)等。其中，圍繞交易所發(fā)生的安全事件最為顯著，交易所被盜遠(yuǎn)超其他事件類型。此外，交易所被釣魚、內(nèi)鬼盜竊、錢包失竊、各種信息數(shù)據(jù)泄露和篡改、交易所賬號(hào)失竊等問題，也同樣值得關(guān)注。

其三，使用者自己造成的安全問題。由于數(shù)字虛擬幣錢包這些交易工具的使用具有較高的門檻，要求使用者對(duì)計(jì)算機(jī)、加密原理、網(wǎng)絡(luò)安全均有較高的認(rèn)知。然而，許多數(shù)字虛擬幣交易參與者并不具有這些能力，極易出現(xiàn)安全問題。甚至因操作不當(dāng)引發(fā)熟人作案，數(shù)字資產(chǎn)被身邊人盜取。

在趙偉看來，中國黑客的攻擊能力和安全研究能力非常強(qiáng)，美國的安全公司最頂尖的科學(xué)家基本都是華人，“只不過我們的安全市場(chǎng)都是合規(guī)性的，就是政府要求什么就是什么，其中利益鏈錯(cuò)綜復(fù)雜。”

這也就意味著，中國境內(nèi)的網(wǎng)絡(luò)安全，相對(duì)較為規(guī)范。

破壞共識(shí)，安全問題助推數(shù)字貨幣熊市

自今年初以來，比特幣價(jià)格自2萬美元的高點(diǎn)一路跌破6000美元，全球數(shù)字貨幣總市值從年初的6500多億美元跌至3000億美元附近。幣圈正經(jīng)歷漫長熊市。

在趙偉看來，這波熊市跟區(qū)塊鏈安全不無關(guān)系。

“黑客盜幣，攻擊區(qū)塊鏈系統(tǒng)，最大的傷害是破壞了區(qū)塊鏈的共識(shí)，打破了信任。”趙偉說。

區(qū)塊鏈的共識(shí)機(jī)制是其運(yùn)行的重要規(guī)則

在他看來，比特幣誕生之初的目標(biāo)是數(shù)字黃金。“黃金不是為了小額交易和支付，而是價(jià)值保存，用數(shù)學(xué)算法快速達(dá)成共識(shí)。它的目標(biāo)是安全，所以一代的比特幣，持有量排名靠前的全是安全人員。”

當(dāng)黑客過境，把人們認(rèn)為最安全的“數(shù)字黃金”盜取后，大家發(fā)現(xiàn)它并不安全，“沒有共識(shí)了，就容易砸盤，黑客在這里面是收割了所有人，而且是極端的殺雞取卵。”

可以說，頻出的區(qū)塊鏈安全問題，助推了數(shù)字貨幣的整體熊市。

實(shí)際上就連比特幣，也曾遭遇過“滅頂之災(zāi)”。2010年8月15日，一名黑客曾在比特幣高度為74,638的區(qū)塊上，通過比特幣的一個(gè)原生bug一夜間創(chuàng)造了1844億枚比特幣。

或許是因?yàn)楸藭r(shí)比特幣的價(jià)格并不引人注意，這名黑客在完成這一“壯舉”后并沒有進(jìn)行后續(xù)的攻擊動(dòng)作，免于讓比特幣“通貨膨脹”后癱瘓。

雖然黑客開過玩笑后，頗為滿意地離開了，但這一bug卻嚇壞了當(dāng)時(shí)比特幣代碼維護(hù)團(tuán)隊(duì)。比特幣社區(qū)的首席開發(fā)者Wladimir Van Der Laan 在回憶時(shí)直言：“這是有史以來最嚴(yán)重的問題”。

2014年，曾發(fā)生一起著名的“門頭溝”事件，曾經(jīng)是全球最大的比特幣交易平臺(tái)Mt.Gox因被黑客盜幣最終破產(chǎn)，大約75萬枚比特幣（價(jià)值3.75億美元）付之東流，引發(fā)比特幣價(jià)格大跌。

最近的則在2018年3月，幣安交易所被黑客攻擊，黑客通過做空手段去場(chǎng)外套現(xiàn)獲益。受此事件影響，比特幣暴跌10%。

如今看來，幾乎每次黑客的出擊，都會(huì)或多或少的引起比特幣價(jià)格的下跌。

“區(qū)塊鏈安全只是互聯(lián)網(wǎng)安全中的一部分，但是因?yàn)閰^(qū)塊鏈最大的特點(diǎn)是基于共識(shí)，而共識(shí)在現(xiàn)實(shí)世界的表現(xiàn)為法律、合約、財(cái)富。一旦發(fā)生安全事件，受損失相對(duì)更為嚴(yán)重。”趙偉說。