logo

半年黑客盜走20億美元 你的數字貨幣 還安全嗎?

瀏覽數

16

 

今年年初,一家日本數字貨幣交易所 CoinCheck 宣布遭遇黑客攻擊,約 4 億美元的新經幣(NEM)被竊;

今年6月,韓國最大比特幣交易平台、世界五大比特幣交易所之一 Bithumb 被盜市值 3000 萬美元的 token;

……

根據騰訊安全發布的《2018上半年區塊鏈安全報告》顯示,從 2013 年到 2018 年上半年,加密數字貨幣市場共發生過 54 起安全事件,其中 10 件重大安全事故由黑客攻擊引起。僅今年上半年,黑客攻擊導致 20 億美元損失,區塊鏈領域因安全問題損失超 27 億美元。

爲什麽交易所被黑客頻頻得手?你的數字貨幣,是否安全?區塊鏈生態系統中哪一環節更容易出問題?矽谷洞察研究院今日就試圖分析、還原出一份屬于區塊鏈生態的安全圖譜。

 

方式:傳統攻擊遠多于新型攻擊

在討論生態安全之前,不妨先對區塊鏈現有技術架構進行切割。矽谷洞察研究院參考業內現有的安全報告,對標准區塊鏈架構進行簡化、調整,大致可分爲:底層硬件、基礎層、中間層、應用層四個層次。

(區塊鏈技術架構圖,版權屬于:矽谷洞察)

可以說,這衆多環節裏,只要稍有不慎,區塊鏈就會受到安全的威脅、攻擊。矽谷洞察研究院發現,盡管區塊鏈屬于新興技術行業,但在遭到各類安全攻擊當中,傳統攻擊仍居多。

荷蘭應用科學研究組織與新加坡科技設計大學的研究人員曾建立了一個區塊鏈安全事件數據庫(Blckchain Insident Database),把導致資産損失的攻擊事件定義爲“安全事件”。那麽,安全事件一共有多少起呢?從 2011 年到 2018 年,共有 86 起。造成的損失有多少呢?至少高達 35.5 億美元。

矽谷洞察研究這 86 起攻擊發現,主要是傳統攻擊、智能合約攻擊和共識協議的攻擊,三種攻擊所占的比例大約爲:66%、22%、12%。  

這些傳統攻擊包括什麽呢?最典型的就是黑客攻擊,常見還有用戶電腦感染木馬。

專注區塊鏈生態安全的慢霧安全團隊告訴密探,這是因爲區塊鏈技術並不是基于完全新的、以往沒有出現過的技術打造的,而是組合了各種現有的基礎設施,加入新的經濟、治理模型,所以傳統安全攻擊會存在。比如像中心化的交易所、錢包,但背後承載形式其實是 Web 系統、移動 App。所以遭到傳統攻擊,是不可避免的。

 

攻擊對象:交易所與智能合約是重點

從當前多起區塊鏈安全事件的結果導向來看,這恰好符合業界人士對區塊鏈世界安全問題的共識:“區塊鏈 1.0 時代,重心是在密鑰和交易所上,而區塊鏈 2.0 時代的重心則是智能合約。”

先來說說交易所。

卡內基梅隆大學研究人員發現,從 2010 年至 2015 年間建立的 80 家交易所當中,有近一半(38家)已經關閉。其中 25 家交易所遭遇安全漏洞,其中 15 個隨後關閉。對于交易所而言,在遭遇安全漏洞後同一季度關閉的可能性比沒有遭遇安全漏洞的交易所,概率高出 13 倍。

如今對交易所的攻擊方式有哪些呢?根據《區塊鏈安全生存指南》中統計,主要有下面四種方式:服務器被攻擊、主機安全問題、惡意程序感染、DDoS 攻擊。

比如韓國交易所Youbit(原Yapizon)被盜事件,就是在交易所服務器上發現了惡意軟件,這被認爲是朝鮮黑客組織 Lazarus 發起的。

密探此前介紹過“比特幣第一疑案”——門頭溝交易所被盜事件門頭溝共發生了兩次被盜,第一次在 2011 年,由于門頭溝審計人員所使用的一台電腦權限被攻擊導致;第二次是遭到惡意程序感染,共損失 75 萬個比特幣和門頭溝自己的 10 萬個比特幣,當時這批比特幣總價值約 4.5 億美元,按今天幣價來看,將近 50 億美元!第二次攻擊事件也直接導致了門頭溝交易所的破産。

說完錢包和交易所,我們來看看智能合約。

新加坡國立大學研究人員 Loi Luu和研究團隊曾對以太坊智能合約的潛在安全進行長期檢測,他們用開源安全分析程序 Oyente 檢測後發現,19366 個以太坊智能合約中,有 8833 個是有缺陷的。這意味著接近一半的智能合約是有潛在安全隱患的。

香港理工大學博士生李曉琦和研究團隊曾就區塊鏈安全發表了多篇論文,李曉琦告訴矽谷洞察研究院,“很多代幣被黑客進行攻擊,就是利用了合約漏洞,大都是代碼層面的邏輯漏洞”,而智能合約在代碼層面遭到攻擊,人爲因素在其中起到了重要作用。比如在寫代碼的過程中,一些智能合約的開發沒有得到充分優化,從而導致浪費以太幣、消耗過多的 Gas,甚至引起對用戶節點造成 DDoS 攻擊等風險。

也就是說,即使是針對智能合約或交易所發動的攻擊,哪怕在中間層——智能合約代碼層面的問題,也可能影響到底層節點。對再去中心化的區塊鏈而言,安全也是“牽一發而動全身”。

慢霧安全團隊認爲,確實會頻繁聽到關于智能合約的攻擊事件,但並不是說只有這些層才有漏洞,而是因爲某些層的研究門檻較低,所以才會頻繁聽到關于這方面的攻擊事件。區塊鏈技術的每一層都有獨特的攻擊面,由于設計邏輯和承載形式不同,針對每一層的攻擊都需要深入分析其底層或者說內部原理,挖掘設計或實現上的缺陷。

(圖片來自網絡,版權屬于原作者)

矽谷洞察研究院根據區塊鏈現有常見的安全漏洞,總結出了下表:

區塊鏈不同技術層常見攻擊

(版權屬于:矽谷洞察)

 

現有解決方案:學界業界有共性

針對現有的安全問題,學界和業界提出了什麽解決方案呢?

據香港理工大學博士生李曉琦介紹,計算機學術界對區塊鏈行業的敏感度很高,因爲數據存儲、點對點傳輸、區塊鏈共識機制、加密算法,乃至安全問題,都是計算機技術的集成應用。如今,不少高校研究團隊,已針對現有安全問題,提出了相應解決方案:

比如新加坡國立大學研究人員 Loi Luu,在博士生期間提出兩個開源項目。一個是針對區塊鏈共識機制的 51% 算力威脅,提出去中心化挖礦協議——SmartPool ,另一個是前面提到的 Oyente——幫助開發者在主網部署合約之前檢查智能合約漏洞的軟件。Oyente 創始團隊告訴密探,目前 Oyente 仍在多家區塊鏈創業公司中使用。

荷蘭與新加坡的研究人員則認爲,要想減少智能合約的安全隱患,對智能合約的驗證和測試則很重要,而且必須納入智能合約的設計環節當中。因爲,智能合約並不像傳統的代碼可以修補、叠代,相反,一旦部署到鏈上,是不可逆轉的。當檢測到漏洞時,必須部署新的智能合約來修複它。

該研究人員提出以下四種方式,作爲驗證和測試的工具:第一,完善測試文檔,讓安全測試流程標准化;第二,模糊(Fuzzing)智能合約的輸入;第三,爲智能合約開發變異工具;第四,搜索區塊鏈已經部署智能合約的痕迹。

如今,市場上的創業公司針對智能合約安全問題,主要有三種方式檢驗,第一是測試,第二是審計,第三是形式化驗證。簡單說,測試依靠程序自動跑,審計靠專家的專業知識去審核,形式化驗證靠的是數學方法。  

在慢霧安全團隊看來,學界和業界具有衆多共性,比如針對智能合約,形式化驗證和自動化模糊測試,是目前業界不少團隊在做的,而前面學界提出的解決方式之一,就有模糊測試。

無論是交易所,還是錢包,或者是Dapp,背後都站著廣大的用戶。去中心化通證交易平台 Kyber Network 則建議,從用戶角度來看,特別是剛剛進入行業的非技術型用戶,並不都具有閱讀智能合約並判斷 Dapp 真正目的的能力,所以應先從保管好自己的密鑰/資産安全做起。

進行過數字貨幣交易的用戶應該知道,數字錢包的密鑰多半是一串沒有任何規律的字母和數字組成,用戶爲了方便,通常把它保存在一個剪貼簿,當需要使用時再複制粘貼。但是,一旦自己電腦感染木馬,則有可能被黑客追蹤剪貼簿的地址,數字錢包就有可能被盜了。

 

(圖片來自網絡,版權屬于原作者)

慢霧安全團隊還建議,用戶只參與通過專業安全審計機構把關的 DApp 或遊戲,並且要求項目方將代碼開源,杜絕後門或漏洞。

 

趨勢:市場大,機會多,門檻高

按照騰訊安全發布的《2018上半年區塊鏈安全報告》來看,區塊鏈領域因安全問題損失超27億美元,也就意味著,安全市場存在著巨大需求,因爲它貫穿于區塊鏈技術的每一個環節。

但矽谷洞察研究院發現,無論是 PitchBook 還是 CB Insight 的數據庫,對區塊鏈創業公司的類別劃分中,安全並未單獨成爲一類,而把其跟身份認證、監管、數據儲存等歸位一類。慢霧安全團隊認爲,在任何行業發展過程中,安全一般是滯後的。在區塊鏈行業不斷發展的過程中,會伴隨著安全事件的發生,給行業從業者帶來警醒作用。

(截圖自PitchBook 2018第三季度融資報告)

研究 PitchBook 2018年第三季度融資區塊鏈公司發現,屬于安全類別中的初創公司主要專注于交易安全,比如做比特幣安全錢包的公司 Xapo 和硬件錢包公司 Ledger。Filament 和 Post-Quantum 則分別關注物聯網與區塊鏈的結合,以及區塊鏈網絡通訊安全。可見,對于區塊鏈安全領域的創業,參與者並不多,市場很大,機會也很多。

分析 PitchBook 這幾家公司可以發現,像 Xapo,成立于2012年,爲用戶提供在線比特幣錢包、離線冷儲存和基于比特幣的借記卡三種服務。至今總融資額已高達4000萬美元。投資人當中,就有領英創始人 Reid Hoffman、Max Levchin 等矽谷大佬。

(Greylock Partners 宣布投資Xapo)

同樣做錢包的 Ledger,成立于2014年,如今總融資額高達 8500 萬美元,最新一輪融資額高達7500萬美元。

除了錢包公司屢獲高額融資之外,交易所也瞄准了錢包。

就在 8 月,按交易量計算,全球最大加密貨幣交易所Binance(幣安),對外第一筆收購就是移動錢包公司Trust Wallet。Trust Wallet 作爲一款去中心化的加密錢包,目前主要專注于爲基于以太坊區塊鏈的數字代幣提供安全存儲服務,用戶的私鑰或其他隱私信息並不會保存在該公司的服務器上。

慢霧安全團隊認爲,這恰好意味著安全逐漸成爲區塊鏈的剛需,行業渴望數字資産的安全感。

但是,參與者少,融資額高,並不意味著參與者可以隨時進入。總的來說,針對區塊鏈安全生態的創業公司並不多,這是由區塊鏈安全創業的高門檻決定的。慢霧安全團隊認爲,第一,是安全攻防實戰經驗的門檻,第二是要有區塊鏈技術門檻。更重要的是,要守正出奇,需要創業者站在攻擊者的視角去思考問題。

“你的對手是地下黑客,是亡靈軍團,他們往往在暗處,他們毫不留情地收割。你得快,才能保護好用戶。安全需要:唯快不破”。慢霧安全團隊負責人告訴矽谷洞察研究院。

在安全事件頻發的區塊鏈領域,你持有的數字貨幣被盜過嗎?大家又遭遇過什麽安全事件?歡迎留言討論。