交易所、智慧合約、錢包的安全隱患,小白必讀
文|靠譜的阿星
上市之後的360似低調了一些,直到5月29日凌晨向EOS官方提供安全漏洞。去年5月份WannaCry勒索病毒在全球肆虐,安全產品負責人孫曉駿在媒體溝通會上說過,“這回駭客有點‘人性化’,還手把手教你怎麼用比特幣支付勒索費用。”
無巧不從書的。比特幣至去年5月份之後開始一路飆升,在5月30日EOS對比特幣的價格走勢是略跌0.37%(更多人相信安全漏洞發現等於提前“排雷”)。周鴻禕雖公開稱自己不懂區塊鏈,其實他懂不懂不要緊,底下的人懂就行了,他堅信“程式碼是人寫的,肯定會有漏洞的。”在區塊鏈的數字世界中,漏洞同樣也會無所不在。
區塊鏈風口刮來的重要因素是,區塊鏈的確比一般網際網路在理念和架構上更加註重“安全”,“分散式機制”保證了資料流的完整一致、不可篡改的特點。舉個例子更容易理解,阿星最近了解到國內已有做智慧鎖老闆開始研發“區塊鏈鎖”了,而現有移動網際網路提供“中心化”雲端伺服器,駭客攻擊能夠砰砰同時開啟非常的房門,而在“去中心化”網路中安全係數無疑高出很多。
一、比特幣“交易所”為何成為駭客攻擊的頭號目標?
下手者目的很簡單,就是為竊取錢財而來,技術手段極為縝密,比特幣、區塊鏈安全問題顯然也比傳統網路安全更為複雜。
2017年12月份告破的全國首例比特幣被盜案,戴某把正版錢包軟體破解之後植入獲取使用者賬戶名和密碼的爬蟲檔案,在聊天群中丟給吳某下載安裝,隨後吳某的電子錢包軟體中181個比特幣被清空。戴某讓多人下載其錢包軟體的說辭極其簡單:“比特幣放在交易所不安全”,這是有前車之鑑的。
交易所目前是所有數字加密幣的儲存中心和流通中心,自然是駭客頭號目標。2014年,當時全球最大的比特幣交易所Mt.Gox宣佈因遭受駭客攻擊,其CEO馬克·卡爾普稱“平臺上85萬個比特幣因公司系統漏洞被盜一空”而MT.Gox在日本旋即申請破產保護,而Mt.Gox是否監守自盜成為一樁未了公案。三年後,“駭客”再次成為背鍋俠,2017年12月19日韓國比特幣交易所Youbit同樣因駭客攻擊丟失4000個比特幣後破產,故事驚人的相似。
趙長鵬從OKCoin跳槽出來創辦“幣安”,取這個名字是別有深意的。由於比特幣交易還處在訊息極易影響市場行情的階段,駭客除了直接竊取貨幣,還能透過碰瓷“做空”來牟取暴利,成為極其隱秘的“莊家”。今年3月幣安遭受駭客攻擊,幣安及時中止了使用者加密幣提現,未發生盜幣,但是比特幣因此下跌10%;據位元律動報道稱,一些使用者賬戶加密幣被駭客換成比特幣之後,大量買入VIA(維爾幣),由此將後者價格拉昇了110倍......
二、智慧合約、數字錢包是區塊鏈安全事件頻發“重災區”
目前區塊鏈交易所共有數百家,誰家的技術對駭客防禦指數高、抗風險能力強,運營規模及時間更長,就更能夠聚集起使用者的幣,相應的賠付能力也更有保障,所以交易所極易“頭部化”,併成為現階段產業中心的原因。除了交易所攻擊之外,駭客以及一般蟊賊智慧合約和數字錢包領域神出鬼沒,同樣影響深遠。
1.智慧合約可能被駭客利用
2016年6月17日,眾籌超過1.5億美元的TheDAO由於出現安全漏洞,駭客攻擊導致價值超過6000萬美元的300萬個以太幣被盜。經大量討論、投票、爭取、嘗試後失敗、再次嘗試,在以太坊區塊鏈官方的提議下,以太坊進行了“硬分叉”,資料回滾至整個網路中由於安全攻擊而被影響的以太幣,最終TheDAO黯然退市。由於以太坊網路中所有礦工沒有達成完全一致的回滾共識,最終釀成以太坊網路分裂成至今“以太坊”(ETH)和“以太坊經典”(ETC)的格局。
區塊鏈的技術特性決定了智慧合約帶有病毒的傳播特性,一旦本身出現漏洞被駭客加以利用,影響是傳統網站的百倍計,並且很難短時間修復。從某種程度上,去年WannaCry勒索病毒就是典型的區塊鏈“智慧合約”的應用場景之一,駭客把勒索病毒的智慧合約發到網上,無須駭客進行任何其他操作實現比特幣到賬即自動解鎖電腦自動化。
移動支付的流行是由於阿里和騰訊在安全投入很多看不見的技術支撐一樣,在區塊鏈安全上挑戰更大、情況更為複雜,目前數字貨幣及token是目前區塊鏈最主要的應用場景之一,利益激勵讓目前的區塊鏈成為利益告訴流通的新興領域,如果沒有“區塊鏈安全”為交易所、智慧合約、數字錢包做好維護的話,區塊鏈美好的數字世界生態圖景都將是空中樓閣,區塊鏈安全也是一件不可能有終結的工作,這將是未來新的“道魔較量”!
作者:靠譜的阿星(李星),公眾號:靠譜的阿星,靠譜匯公司創始人,100多家主流科技媒體專欄作家,CMO訓練營導師,知名網際網路分析師,榮獲2017年鈦媒體年度作者「最具人氣獎」,區塊鏈風口第一批觀察者
