鏈媒頭條I你的區塊鏈錢包安全嗎?
今年6月,韓國最大BTC/" target="_blank"">比特幣交易平臺、世界五大比特幣交易所之一 Bithumb 被盜市值 3000 萬美元的 token;
……
根據騰訊安全釋出的《2018上半年區塊鏈安全報告》顯示,從 2013 年到 2018 年上半年,加密數字貨@幣市場共發生過 54 起安全事件,其中 10 件重大安全事故由駭客攻擊引起。僅今年上半年,駭客攻擊導致 20 億美元損失,區塊鏈領域因安全問題損失超 27 億美元。
為什麼交易所被駭客頻頻得手?你的數字貨@幣,是否安全?區塊鏈生態系統中哪一環節更容易出問題?矽谷洞察研究院今日就試圖分析、還原出一份屬於區塊鏈生態的安全圖譜。
方式:傳統攻擊遠多於新型攻擊
在討論生態安全之前,不妨先對區塊鏈現有技術架構進行切割。矽谷洞察研究院參考業內現有的安全報告,對標準區塊鏈架構進行簡化、調整,大致可分為:底層硬體、基礎層、中間層、應用層四個層次。
可以說,這眾多環節裡,只要稍有不慎,區塊鏈就會受到安全的威脅、攻擊。矽谷洞察研究院發現,儘管區塊鏈屬於新興技術行業,但在遭到各類安全攻擊當中,傳統攻擊仍居多。
荷蘭應用科學研究組織與新加坡科技設計大學的研究人員曾建立了一個區塊鏈安全事件資料庫(Blckchain Insident Database),把導致資產損失的攻擊事件定義為“安全事件”。那麼,安全事件一共有多少起呢?從 2011 年到 2018 年,共有 86 起。造成的損失有多少呢?至少高達 35.5 億美元。
矽谷洞察研究這 86 起攻擊發現,主要是傳統攻擊、智慧合約攻擊和共識協議的攻擊,三種攻擊所佔的比例大約為:66%、22%、12%。
這些傳統攻擊包括什麼呢?最典型的就是駭客攻擊,常見還有使用者電腦感染木馬。
專注區塊鏈生態安全的慢霧安全團隊告訴密探,這是因為區塊鏈技術並不是基於完全新的、以往沒有出現過的技術打造的,而是組合了各種現有的基礎設施,加入新的經濟、治理模型,所以傳統安全攻擊會存在。比如像中心化的交易所、錢包,但背後承載形式其實是 Web 系統、移動 App。所以遭到傳統攻擊,是不可避免的。
攻擊物件:交易所與智慧合約是重點
從當前多起區塊鏈安全事件的結果導向來看,這恰好符合業界人士對區塊鏈世界安全問題的共識:“區塊鏈 1.0 時代,重心是在金鑰和交易所上,而區塊鏈 2.0 時代的重心則是智慧合約。”
先來說說交易所。
卡內基梅隆大學研究人員發現,從 2010 年至 2015 年間建立的 80 家交易所當中,有近一半(38家)已經關閉。其中 25 家交易所遭遇安全漏洞,其中 15 個隨後關閉。對於交易所而言,在遭遇安全漏洞後同一季度關閉的可能性比沒有遭遇安全漏洞的交易所,概率高出 13 倍。
如今對交易所的攻擊方式有哪些呢?根據《區塊鏈安全生存指南》中統計,主要有下面四種方式:伺服器被攻擊、主機安全問題、惡意程式感染、DDoS 攻擊。
比如韓國交易所Youbit(原Yapizon)被盜事件,就是在交易所伺服器上發現了惡意軟體,這被認為是朝鮮駭客組織 Lazarus 發起的。
密探此前介紹過“比特幣第一疑案”——門頭溝交易所被盜事件。門頭溝共發生了兩次被盜,第一次在 2011 年,由於門頭溝審計人員所使用的一臺電腦許可權被攻擊導致;第二次是遭到惡意程式感染,共損失 75 萬個比特幣和門頭溝自己的 10 萬個比特幣,當時這批比特幣總價值約 4.5 億美元,按今天幣價來看,將近 50 億美元!第二次攻擊事件也直接導致了門頭溝交易所的破產。
說完錢包和交易所,我們來看看智慧合約。
新加坡國立大學研究人員 Loi Luu和研究團隊曾對以太坊智慧合約的潛在安全進行長期檢測,他們用開源安全分析程式 Oyente 檢測後發現,19366 個以太坊智慧合約中,有 8833 個是有缺陷的。這意味著接近一半的智慧合約是有潛在安全隱患的。
香港理工大學博士生李曉琦和研究團隊曾就區塊鏈安全發表了多篇論文,李曉琦告訴矽谷洞察研究院,“很多代幣被駭客進行攻擊,就是利用了合約漏洞,大都是程式碼層面的邏輯漏洞”,而智慧合約在程式碼層面遭到攻擊,人為因素在其中起到了重要作用。比如在寫程式碼的過程中,一些智慧合約的開發沒有得到充分最佳化,從而導致浪費以太幣、消耗過多的 Gas,甚至引起對使用者節點造成 DDoS 攻擊等風險。
也就是說,即使是針對智慧合約或交易所發動的攻擊,哪怕在中間層——智慧合約程式碼層面的問題,也可能影響到底層節點。對再去中心化的區塊鏈而言,安全也是“牽一髮而動全身”。
慢霧安全團隊認為,確實會頻繁聽到關於智慧合約的攻擊事件,但並不是說只有這些層才有漏洞,而是因為某些層的研究門檻較低,所以才會頻繁聽到關於這方面的攻擊事件。區塊鏈技術的每一層都有獨特的攻擊面,由於設計邏輯和承載形式不同,針對每一層的攻擊都需要深入分析其底層或者說內部原理,挖掘設計或實現上的缺陷。
現有解決方案:學界業界有共性
針對現有的安全問題,學界和業界提出了什麼解決方案呢?
據香港理工大學博士生李曉琦介紹,計算機學術界對區塊鏈行業的敏感度很高,因為資料儲存、點對點傳輸、區塊鏈共識機制、加密演算法,乃至安全問題,都是計算機技術的整合應用。如今,不少高校研究團隊,已針對現有安全問題,提出了相應解決方案:
比如新加坡國立大學研究人員 Loi Luu,在博士生期間提出兩個開源專案。一個是針對區塊鏈共識機制的 51% 算力威脅,提出去中心化挖礦協議——SmartPool ,另一個是前面提到的 Oyente——幫助開發者在主網部署合約之前檢查智慧合約漏洞的軟體。Oyente 創始團隊告訴密探,目前 Oyente 仍在多家區塊鏈創業公司中使用。
荷蘭與新加坡的研究人員則認為,要想減少智慧合約的安全隱患,對智慧合約的驗證和測試則很重要,而且必須納入智慧合約的設計環節當中。因為,智慧合約並不像傳統的程式碼可以修補、迭代,相反,一旦部署到鏈上,是不可逆轉的。當檢測到漏洞時,必須部署新的智慧合約來修復它。
該研究人員提出以下四種方式,作為驗證和測試的工具:第一,完善測試文件,讓安全測試流程標準化;第二,模糊(Fuzzing)智慧合約的輸入;第三,為智慧合約開發變異工具;第四,搜尋區塊鏈已經部署智慧合約的痕跡。
如今,市場上的創業公司針對智慧合約安全問題,主要有三種方式檢驗,第一是測試,第二是審計,第三是形式化驗證。簡單說,測試依靠程式自動跑,審計靠專家的專業知識去稽覈,形式化驗證靠的是數學方法。
在慢霧安全團隊看來,學界和業界具有眾多共性,比如針對智慧合約,形式化驗證和自動化模糊測試,是目前業界不少團隊在做的,而前面學界提出的解決方式之一,就有模糊測試。
無論是交易所,還是錢包,或者是Dapp,背後都站著廣大的使用者。去中心化通證交易平臺 Kyber Network 則建議,從使用者角度來看,特別是剛剛進入行業的非技術型使用者,並不都具有閱讀智慧合約並判斷 Dapp 真正目的的能力,所以應先從保管好自己的金鑰/資產安全做起。
進行過數字貨@幣交易的使用者應該知道,數字@錢包的金鑰多半是一串沒有任何規律的字母和數字組成,使用者為了方便,通常把它儲存在一個剪貼簿,當需要使用時再複製貼上。但是,一旦自己電腦感染木馬,則有可能被駭客追蹤剪貼簿的地址,數字@錢包就有可能被盜了。
慢霧安全團隊還建議,使用者只參與透過專業安全審計機構把關的 DApp 或遊戲,並且要求專案方將程式碼開源,杜絕後門或漏洞。
趨勢:市場大,機會多,門檻高
按照騰訊安全釋出的《2018上半年區塊鏈安全報告》來看,區塊鏈領域因安全問題損失超27億美元,也就意味著,安全市場存在著巨大需求,因為它貫穿於區塊鏈技術的每一個環節。
但矽谷洞察研究院發現,無論是 PitchBook 還是 CB Insight 的資料庫,對區塊鏈創業公司的類別劃分中,安全並未單獨成為一類,而把其跟身份認證、監管、資料儲存等歸位一類。慢霧安全團隊認為,在任何行業發展過程中,安全一般是滯後的。在區塊鏈行業不斷髮展的過程中,會伴隨著安全事件的發生,給行業從業者帶來警醒作用。
研究 PitchBook 2018年第三季度融資區塊鏈公司發現,屬於安全類別中的初創公司主要專注於交易安全,比如做比特幣安全錢包的公司 Xapo 和硬體錢包公司 Ledger。Filament 和 Post-Quantum 則分別關注物聯網與區塊鏈的結合,以及區塊鏈網路通訊安全。可見,對於區塊鏈安全領域的創業,參與者並不多,市場很大,機會也很多。
分析 PitchBook 這幾家公司可以發現,像 Xapo,成立於2012年,為使用者提供線上比特幣錢包、離線冷儲存和基於比特幣的借記卡三種服務。至今總融資額已高達4000萬美元。投資人當中,就有領英創始人 Reid Hoffman、Max Levchin 等矽谷大佬。
同樣做錢包的 Ledger,成立於2014年,如今總融資額高達 8500 萬美元,最新一輪融資額高達7500萬美元。
除了錢包公司屢獲高額融資之外,交易所也瞄準了錢包。
就在 8 月,按交易量計算,全球最大加密貨幣交易所Binance(幣安),對外第一筆收購就是移動錢包公司Trust Wallet。Trust Wallet 作為一款去中心化的加密錢包,目前主要專注於為基於以太坊區塊鏈的數字代幣提供安全儲存服務,使用者的私鑰或其他隱私資訊並不會儲存在該公司的伺服器上。
慢霧安全團隊認為,這恰好意味著安全逐漸成為區塊鏈的剛需,行業渴望數字資產的安全感。
但是,參與者少,融資額高,並不意味著參與者可以隨時進入。總的來說,針對區塊鏈安全生態的創業公司並不多,這是由區塊鏈安全創業的高門檻決定的。慢霧安全團隊認為,第一,是安全攻防實戰經驗的門檻,第二是要有區塊鏈技術門檻。更重要的是,要守正出奇,需要創業者站在攻擊者的視角去思考問題。
“你的對手是地下駭客,是亡靈軍團,他們往往在暗處,他們毫不留情地收割。你得快,才能保護好使用者。安全需要:唯快不破”。慢霧安全團隊負責人告訴矽谷洞察研究院。
在安全事件頻發的區塊鏈領域,你持有的數字貨@幣被盜過嗎?大家又遭遇過什麼安全事件?歡迎留言討論。