全国统一热线 400-8045-808

区块链危机:33亿美元被黑客轻松攫取

浏览数:158 

上周,ICO Rating对100家24小时交易额超过100万美元的加密货币交易所进行了分析,分析发现,只有46%的交易所安全参数符合标准,其余54%的加密货币交易所都没有执行标准的安全措施。


要知道,加密货币交易所只是区块链生态的冰山一角,事实上,以加密、透明、不可篡改而被人吹捧的区块链,正遭遇着愈演愈烈的安全危机。


没有90分


据了解,在ICO Rating分析的100家交易所中,其中大多数交易所在一个或多个领域存在隐患。


例如,41%的交易所允许用户密码少于8位,37%的交易所只允许用户使用数字或字母组成的密码,5%的交易所允许用户在没有电子邮件验证的情况下创建账户,3%的交易所没有2FA验证、只有46%的交易所满足上述所有四个条件,只有4%的交易所有较高的域名安全性……


在多种因素的考虑下,ICO Rating将这100家交易所进行了评分,其中,Coinbase的得分最高,89分;其次是Kraken,80分;然后是并列第三的Bitmex和Gopax,得分为78分。


值得注意的是Cobinhood(第8位),Ethfinex(第12位),Bittrex(第13位)和Binance(第17位)。而OKCoin排名垫底,得分仅仅只有15分。


没有90分,这就是现如今加密货币交易所的现状。


而在几天前,还有币安用户发推特称其账户被盗,与赵长鹏展开辩论。


从排名垫底的OKCoin,我们悲哀地发现,对于大多数用户来说,安全并不是其考虑的首要因素,虽然OKCoin缺乏全面的安全保障,但这并不妨碍OK还是现如今用户量最大的加密货币交易所。这或与其参与门槛和流程的相对精简有关。


黑客进攻“频繁高效”


据统计,截至目前,2018年因黑客攻击区块链领域造成的损失,预计已达到33亿美元。


33亿美元是什么概念。


现如今加密货币市场总资金量大约在2100亿美元,33亿美元意味着,其中有1.5%的资金都被黑客不费吹灰之力拿走。


这背后离不开这些黑客“频繁工作的态度”和“高效的工作质量”。


回顾今年10月份,距离现在不到20天的时间,安全问题已经达到了数十起。


10月3日,加密货币pigeoncoin(PGN)背后的开发人员证实,几周前在比特币代码中发现的一个严重bug已被利用。一位不知名的矿工成功利用了这个漏洞,得到了2.35亿枚pigeoncoin(价值约15000美元)。


10月5日,柚资银行被盗账户已经向各大交易所申请冻结,目前已有几家交易所冻结相关黑客账户。


10月6日,加密货币挖掘恶意软件侵袭巴西数十万台路由器之后,黑客已经破坏了印度另外3万台路由器。互联网安全部门Banbreach提道,在过去的一个月中,在印度受感染路由器的数量翻了一番。受感染路由器最多的前三大城市增长率为500%。


10月8日,韩国警察厅编写了一份过去3年来关于该国所有加密交易所和加密钱包黑客事件的报告。有7起加密交易所黑客案件和158起加密钱包黑客案件,其中91起发生在今年。但是,只有6人被捕。


每年,加密货币交易所被盗的钱数一直在稳步增加,2018年黑客案件中交易所金额达713亿韩元(约6300万美元)。


10月10日,降维安全实验室监测到成人娱乐系统spankchain支付通道(payment channel)关联的智能合约LedgerChannel遭到了重入攻击。某黑客发现了该支付通道合约的重入漏洞(Reentrancy),并于2017年10月7日上午8时许创建了恶意攻击合约,随后成功从该合约窃取了165.38 ETH,约合3.8万美元价值的以太币。虽然损失在一周后追回,但是这是黑客自愿归还。


10月11日,据白帽汇安全研究院消息,目前发现超过30w的MikroTik路由器被植入挖矿代码,攻击者利用的是维基解密披露的CIA Vault7黑客工具Chimay Red中的winbox任意目录文件读取(CVE-2018-14847)漏洞。


10月15日,EOSBet平台遭受了攻击,区块链安全公司PeckShield第一时间监测并捕捉到了该攻击行为的发生。根据EOS当前行情价格37元估算,EOSBet平台此次损失额超500万元。


10月17日,基于EOS的游戏WorldConquest遭受黑客攻击。


10月21日,据Coindesk报道,The Next Web一份报告指出,朝鲜黑客组织Lazarus已经设法窃取了超过5亿美元的数字货币……


据相关资料显示,与加密数字货币有关的黑客攻击事件,从2013年到2018年上半年,直接增加了大约5倍的数量,2018年全年预计增加约10倍。


而此前网络安全公司CiferTrace也发布了一份报告称,今年前9个月,通过黑客入侵交易所和交易平台窃取的加密货币飙升至9.27亿美元,比2017年的水平增长了近250%。


相比于黑客的“高效”,我们能追回的损失又有多少呢。


昨日,据路透社报道,总部位于加利福尼亚的CipherTrace公司的首席执行官大卫•埃文斯(David Jevans)表示,即使交易平台或交易所遭到黑客攻击,由于加密货币可以轻易地跨越不同的国界,只有20%的被盗密码被找回。


多方面问题


从综合上述不到一个月内,发生的加密货币被盗案,我们可以发现,加密货币交易所只是区块链生态种的冰山一角,实际上,黑客攫取资金的方式多种多样。光捂紧自己的钱包,显得有些无济于事。


今年9月,腾讯安全联合知道创宇发布了《2018上半年区块链安全报告》。该报告从区块链自身机制、区块链生态、使用者三大方面进行统计。


区块链自身机制问题。


据数据显示,2018年区块链领域被攻击对象中,智能合约遭受攻击造成的经济损失约为11亿美元,占比为55%。


据安全公司Hosho报告显示,区块链上智能合约的bug普遍存在。经过Hosho审计的智能合约项目筹集资金总额高达10亿美元,这些项目中有25%被发现存在严重漏洞,约有60%至少存在一个安全问题。


在知道创宇发布的《知道创宇以太坊合约审计CheckList》中,也披露了知道创宇404区块链安全研究团队针对全网公开的共39548个合约代码扫描的结果。


结果显示,截至2018年8月10日,发现共24791个(占比62%)合约涉及到以太坊智能合约设计缺陷问题(包括“条件竞争问题”、“循环DoS问题”等问题)。


不仅仅是智能合约,在区块链技术模型的数据层、网络层、共识层、激励层、合约层、应用层,都面临着不同程度的安全风险。


而在区块链生态中,包括PoW机制下的矿场和矿池、PoS机制下的权益节点、加密数字货币交易所、DApp应用,以及面向未来DApp应用的区块链网关系统等也都存在一定风险。


其中,围绕交易所和博彩类DApp发生的安全事件最为显著。交易所被盗远超其他事件类型。此外,交易所被钓鱼、内鬼盗窃、钱包失窃、各种信息数据泄露和篡改、交易所账号失窃等问题,也同样值得关注。


最后,在使用者方面,个人用户的安全问题也不容小觑。


由于数字虚拟币钱包这些交易工具的使用具有较高的门槛,要求使用者对计算机、加密原理、网络安全均有较高的认知。


然而,许多数字虚拟币交易参与者并不具有这些能力,极易出现安全问题。甚至因操作不当引发熟人作案,导致自身的数字资产被身边人盗取。


从区块链自身机制,到加密货币交易所、DApp,从项目方,到投资人、普通用户,可以看到的是,每一个环节都充斥着黑客的身影。


现如今,区块链的发展引人瞩目,大家都在期待着区块链技术的真正落地,但是,对于区块链来说,安全问题的日益凸显,无异于后院起火,自身矛盾都无法解除,又何谈惠泽大众。


区块链无须完美,只须更好


前言:人类历史上,很少有一种新技术有如此大的争议。这就是区块链技术,从诞生起就争议不断。有人认为区块链徒有其表,就是炒作工具,没实际价值。也有人认为区块链有真正的底层革新力量,会给带来真正的变化。区块链能解决所有问题吗?如果它不能,它是不是还有价值?本文作者Michael J Casey是CoinDesk咨询委员会主席和MIT 的DCI区块链研究高级顾问,他认为不要奢望区块链能包治百病,这样的期望是不现实的,但这也不意味着区块链没有价值。区块链通过分布式的记账让账本更加可靠,甚至即使它的输入的数据有问题,也可以通过跟AI或大数据分析的结合来发现不良行为。区块链会越来越好。本文来源于Coindesk.com,由蓝狐笔记社群“Leo”翻译。

几乎在每一次区块链技术的演示中,都会遇到关于供应链中的信任障碍问题,其中有位听众问:“我们仍然还不能信任输入数据的人?”

通常我都回答:“某种程度上来说,是这样。”

有些人认为这是相互矛盾的,不是说区块链可以解决信任问题吗?交易链连接了农民、矿工、零部件制造商、商品制造商、运输者、批发商以及零售商,他们都进入了全球贸易的交易链,但区块链存在的信任问题在交易链上创造了有摩擦、低效和不透明的系统。他们还说,既然这是不可篡改的分布式账本,你所做的只是一个“输进去的是不可变的垃圾,输出来的还是不可变的垃圾”的问题。

这是一个很好的问题。它指出了这项技术走向辉煌所面临的关键挑战。但这个所谓的“最后一公里”的问题,也是一个吸血鬼的问题。如果我们深入探讨,它提供了一个有用的框架,用来理解分布式账本和区块链的真正力量。

首先,没有人应该把区块链看作是某种“去信任化”的乌托邦。还没有这样的社会存在过。如果它确实存在,它很难成为乌托邦。

区块链生态系统也是如此。比特币和其他无须许可的支付系统,它们的价值交换完全在链上用原生加密货币表达,而不是建立在不可靠的链外数据上,比如来自于工厂车间的报告。

这些漏洞不仅存在于中心化交易所或钱包的详细记录的问题中,也存在于用于管理加密资产的计算设备中。用户必须信任生产商和其他接触过他们设备和内部零件及组件的其他人,因为这些人在用户拥有设备之前都有经手。阅读有关 “Intel's Spectre and Meltdown bugs ”信息,可以探知到这个问题究竟有多深。

这是世界的本质。信任问题是无处不在,无时不有。

我们只是解决一个层的问题,但这个层至关重要

那么,为什么还要用到区块链解决方案呢?答案:因为它虽然无法解决所有问题,但,它确实有潜力在社会经济架构中改善一个重要的信任问题。

如果我们有一个系统能可靠地记录特定数据集中的一系列状态变化,在没有其他人达成共识情况下,不管是基于什么意图和目的,都不可能单方面做出修改。由此,我们可以从位于任何经济共同体核心的多方面信任程式中解决掉这一层的不确定性。我认为,这就是进步。

让我们面对现实:电子表格和企业软件解决方案并没有解决任何企业数据管理的问题。但它们确实有优化作用。

在这种情况下,我们试图改善的特定信任层不是普通的旧层,它可以说是最重要的:分类账。

账本对于社会至关重要。它们大约在7000年前的文明曙光中出现并非巧合。在创建不同人能够共同参考的交易记录时,社区形成了分享的事实,一个公认的基础,在这个基础上可以共同协作和进行经济交换。(注意:我们不是在谈论一个绝对的真相或事实,而是一个被大家所充分认可的事实,达成共识的看法。)账本对我们解决互不信任问题上,发挥至关重要的作用。

问题是由于我们不得不相信中心化的账本管理员来定义共享事实,这样,另外一个漏洞进入了非常重要的记录保存层。这就是去中心化的价值主张所在。

在削弱中心化记账管理员力量的过程中,它使得分布式账本记录的共享事实更加可靠和强大。具有讽刺意味的是,鉴于所有关于“无须信任”或“信任最小化”的谈论,任何有效的区块链解决方案的结果应该是强化我们彼此之间的集体信任,而不是削弱它。

发现不良行为的模式

有了每个人都信任的数据日志,你可以用它做很多事情,甚至在你不一定信任那些输入数据的人的情况下。例如,你甚至应该能够使用它来保存那些相同的不一定值得信任的数据源,并清除坏的数据源。当我们把去中心化的不可篡改的账本和其他信息管理工具(如数据分析和AI)结合使用时,这样的可用前景进一步增强。

假设有一位工厂工人,在供应链中,他目前为止远比其他人更有心机,他一直以一种其他人还没察觉的方式记录他的工作产出的谬误。也许,他的不良行为很难被人类肉眼发现,但它很难逃过运行复杂网络分析的计算机的法眼。它会在大数据模式中暴露原型。

现在,他们有了顺序一致、防篡改以及大家公认的数据输入记录,计算机可以更容易发现异常和危险信号。不仅是人类,还有设备也可以通过这种方式进行测试,创建反馈循环,可以在迭代地提升整个系统的信任。这也是为什么Cisco和其他企业正在将区块链纳入到解决方案中的原因,它可以提供可靠的物联网设备。

所以,区块链并不完美,它也可以存放垃圾。但是,在很多情况下,有了它,会变得更好。我们甚至可能会发现它会越变越好。