logo

半年損失27億美元 區塊鏈成了30萬黑客的提款機?

瀏覽數

99+

一個筆名爲Hacker的黑客曾經如此回憶:

2013年6月,他在十幾家比特幣交易所發現漏洞後,毫無阻礙地提走了所有的比特幣。提幣之後,他在localbitcoins.com上出售了這些比特幣,那一天他賺了8000美元的現金,相當于4個月的工資,感覺就像在天堂。

2013年的比特幣價格,在經曆了起起落落後,最高曾升至超過1242美元,這一價格甚至高于一盎司黃金的價格。

比特幣的“數字黃金”之名由此得來。

此後,比特幣等基于區塊鏈誕生的虛擬貨幣,便成爲黑客最喜歡攻擊的目標。

近日,騰訊安全聯合知道創宇發布的《2018上半年區塊鏈安全報告》顯示,2018年上半年區塊鏈領域因安全問題損失超過27億美元,其中11億美元是由于數字加密貨幣被盜。

“我們追蹤的全球黑客,有30多萬的人或組織在攻擊區塊鏈,基本90%的黑客在盯著區塊鏈,把區塊鏈當作取款機一樣。”北京知道創宇信息技術有限公司創始人兼CEO趙偉對區塊鏈Truth(ID:chaintruth)說。

1/4智能合約存漏洞,半年損失27億美元

根據騰訊安全提供的數據,與加密數字貨幣有關的黑客攻擊事件,從2013年到2018年(上半年)直接增加了大約五倍的數量,2018年全年預計增加約十倍。

近幾年區塊鏈安全事件統計

安全公司Hosho報告顯示,區塊鏈上智能合約的bug普遍存在。經過Hosho審計的智能合約項目籌集資金總額高達10億美元,這些項目中有25%被發現存在嚴重漏洞,約有60%至少存在一個安全問題。

就在此前,知道創宇也發布了一份頗爲相似的報告。

在知道創宇發布的《知道創宇以太坊合約審計CheckList》中,披露了知道創宇404區塊鏈安全研究團隊針對全網公開的共39548個合約代碼掃描的結果。結果顯示,截止2018年8月10日,發現共24791個(占比62%)合約涉及到以太坊智能合約設計缺陷問題(包括“條件競爭問題”、“循環DoS問題”等問題)。

其中,有“approve條件競爭問題”的合約有22981個,並且15325個合約甚至還處于交易狀態,approve條件競爭漏洞的結果可能引發丟幣的問題;有“循環DoS問題”的合約有1810個,其中1740個合約仍處于交易狀態,以太坊中循環DoS則可能因gas消耗過大導致交易失敗,合約無法執行。

超過60%的以太坊智能合約出現設計缺陷問題,也意味著基于這些智能合約的數字貨幣系統也存在安全隱患。

黑客,正是盯住了加密數字貨幣的這一安全問題。

網絡安全解決方案提供商趨勢科技在一份新研究中表示,網絡犯罪分子的注意力正從快速的勒索軟件攻擊轉爲較慢的、更隱蔽的竊取計算機計算資源以挖掘加密貨幣。該研究結果顯示,與2017年全年相比,2018年上半年檢測到的加密貨幣挖礦增加了96%,檢測到的挖礦病毒與2017年上半年相比增加了956%。

《2018上半年區塊鏈安全報告》中的數據顯示,區塊鏈因自身機制的安全、生態安全和使用者安全三個方面造成的經濟損失,分別爲12.5億、14.2億和0.56億美元,共計高達27億美元。

這相當于此前登陸納斯達克的優信公司的總市值。

損失最多的是數字貨幣交易平台,總共爲13.4億美金。其次是智能合約,主要是集中在以太坊上,比如因爲代碼的漏洞或者私鑰的泄露等原因導致的資金損失達到了12.4億美金。再次是個人用戶遭受到的攻擊,比如電腦中病毒、私鑰被竊取等,包括礦工的一些病毒事件等等。

“黑客對區塊鏈的攻擊還會一直持續,甚至會越來越多。”一位安全人士告訴區塊鏈Truth(ID:chaintruth)。

全球超過30萬人或組織在攻擊區塊鏈

“因爲以前區塊鏈和數字貨幣領域沒有人在乎安全,區塊鏈形成的價值突然起來之後,對黑客來說這裏就像一個銀行,他們隨便拿錢。”

從2011年,趙偉便開始關注比特幣,2013年知道創宇開始爲加密數字貨幣領域的交易所、錢包等平台提供數字資産的安全防禦。

“黑客”(黑客的本意是技術上突破極限)出身的他,最懂黑客的手段。

“現在黑客把區塊鏈都當成靶場了。我們追蹤的全球黑客,有30多萬的人或組織在攻擊區塊鏈,所以基本90%的黑客在盯著區塊鏈的安全問題。而一旦攻破之後,區塊鏈又是匿名的,資産丟了沒法找回,所以黑客們就把區塊鏈當成取款機一樣。”趙偉說。

根據今年5月30日的區塊鏈産業安全分析報告,全球發生區塊鏈安全事件的趨勢呈逐年上升態勢。2011年出現了第一次比特幣安全事件,當時丟失102萬美金;2014年全球區塊鏈的資金損失大概是4.6億美金;而到了今年上半年,這個數字達到19億美金。

數據來源:區塊鏈産業安全分析報告

《2018上半年區塊鏈安全報告》中,騰訊安全技術專家將區塊鏈加密數字貨幣引發的安全問題歸結爲三個主要方面:

其一,區塊鏈自身機制問題。以以太坊爲代表的區塊鏈智能合約設計存在的漏洞問題,帶來的經濟損失極爲嚴重。2016年6月,以太坊最大衆籌項目The DAO被攻擊,黑客獲得超過350萬個以太幣,最終導致以太坊分叉爲ETH和ETC。同時,真實的區塊鏈網絡是自由開放的,理論上若黑客控制節點中絕大多數計算機資源,就能重改共有賬本,最終實現51%“雙花攻擊”。

其二,區塊鏈生態安全問題。區塊鏈生態中包括PoW機制下的礦場和礦池、PoS機制下的權益節點、加密數字貨幣交易所、軟硬錢包、數據跟蹤浏覽器、DApp應用,以及面向未來DApp應用的區塊鏈網關系統等。其中,圍繞交易所發生的安全事件最爲顯著,交易所被盜遠超其他事件類型。此外,交易所被釣魚、內鬼盜竊、錢包失竊、各種信息數據泄露和篡改、交易所賬號失竊等問題,也同樣值得關注。

其三,使用者自己造成的安全問題。由于數字虛擬幣錢包這些交易工具的使用具有較高的門檻,要求使用者對計算機、加密原理、網絡安全均有較高的認知。然而,許多數字虛擬幣交易參與者並不具有這些能力,極易出現安全問題。甚至因操作不當引發熟人作案,數字資産被身邊人盜取。

在趙偉看來,中國黑客的攻擊能力和安全研究能力非常強,美國的安全公司最頂尖的科學家基本都是華人,“只不過我們的安全市場都是合規性的,就是政府要求什麽就是什麽,其中利益鏈錯綜複雜。”

這也就意味著,中國境內的網絡安全,相對較爲規範。

破壞共識,安全問題助推數字貨幣熊市

自今年初以來,比特幣價格自2萬美元的高點一路跌破6000美元,全球數字貨幣總市值從年初的6500多億美元跌至3000億美元附近。幣圈正經曆漫長熊市。

在趙偉看來,這波熊市跟區塊鏈安全不無關系。

“黑客盜幣,攻擊區塊鏈系統,最大的傷害是破壞了區塊鏈的共識,打破了信任。”趙偉說。

區塊鏈的共識機制是其運行的重要規則

在他看來,比特幣誕生之初的目標是數字黃金。“黃金不是爲了小額交易和支付,而是價值保存,用數學算法快速達成共識。它的目標是安全,所以一代的比特幣,持有量排名靠前的全是安全人員。”

當黑客過境,把人們認爲最安全的“數字黃金”盜取後,大家發現它並不安全,“沒有共識了,就容易砸盤,黑客在這裏面是收割了所有人,而且是極端的殺雞取卵。”

可以說,頻出的區塊鏈安全問題,助推了數字貨幣的整體熊市。

實際上就連比特幣,也曾遭遇過“滅頂之災”。2010年8月15日,一名黑客曾在比特幣高度爲74,638的區塊上,通過比特幣的一個原生bug一夜間創造了1844億枚比特幣。

或許是因爲彼時比特幣的價格並不引人注意,這名黑客在完成這一“壯舉”後並沒有進行後續的攻擊動作,免于讓比特幣“通貨膨脹”後癱瘓。

雖然黑客開過玩笑後,頗爲滿意地離開了,但這一bug卻嚇壞了當時比特幣代碼維護團隊。比特幣社區的首席開發者Wladimir Van Der Laan 在回憶時直言:“這是有史以來最嚴重的問題”。

2014年,曾發生一起著名的“門頭溝”事件,曾經是全球最大的比特幣交易平台Mt.Gox因被黑客盜幣最終破産,大約75萬枚比特幣(價值3.75億美元)付之東流,引發比特幣價格大跌。

最近的則在2018年3月,幣安交易所被黑客攻擊,黑客通過做空手段去場外套現獲益。受此事件影響,比特幣暴跌10%。

如今看來,幾乎每次黑客的出擊,都會或多或少的引起比特幣價格的下跌。

“區塊鏈安全只是互聯網安全中的一部分,但是因爲區塊鏈最大的特點是基于共識,而共識在現實世界的表現爲法律、合約、財富。一旦發生安全事件,受損失相對更爲嚴重。”趙偉說。

熱門搜尋關鍵字: