半年損失27億美元,區(qū)塊鏈成了30萬黑客的提款機?

責(zé)任編輯:zsheng

2018-09-01 14:37:14

摘自:微信公眾號

一個筆名為Hacker的黑客曾經(jīng)如此回憶:

2013年6月,他在十幾家比特幣交易所發(fā)現(xiàn)漏洞后,毫無阻礙地提走了所有的比特幣。提幣之后,他在localbitcoins.com上出售了這些比特幣,那一天他賺了8000美元的現(xiàn)金,相當(dāng)于4個月的工資,感覺就像在天堂。

2013年的比特幣價格,在經(jīng)歷了起起落落后,最高曾升至超過1242美元,這一價格甚至高于一盎司黃金的價格。

比特幣的“數(shù)字黃金”之名由此得來。

此后,比特幣等基于區(qū)塊鏈誕生的虛擬貨幣,便成為黑客最喜歡攻擊的目標(biāo)。

近日,騰訊安全聯(lián)合知道創(chuàng)宇發(fā)布的《2018上半年區(qū)塊鏈安全報告》顯示,2018年上半年區(qū)塊鏈領(lǐng)域因安全問題損失超過27億美元,其中11億美元是由于數(shù)字加密貨幣被盜。

“我們追蹤的全球黑客,有30多萬的人或組織在攻擊區(qū)塊鏈,基本90%的黑客在盯著區(qū)塊鏈,把區(qū)塊鏈當(dāng)作取款機一樣。”北京知道創(chuàng)宇信息技術(shù)有限公司創(chuàng)始人兼CEO趙偉對區(qū)塊鏈Truth(ID:chaintruth)說。

1/4智能合約存漏洞,半年損失27億美元

根據(jù)騰訊安全提供的數(shù)據(jù),與加密數(shù)字貨幣有關(guān)的黑客攻擊事件,從2013年到2018年(上半年)直接增加了大約五倍的數(shù)量,2018年全年預(yù)計增加約十倍。

 

近幾年區(qū)塊鏈安全事件統(tǒng)計

 

近幾年區(qū)塊鏈安全事件統(tǒng)計

安全公司Hosho報告顯示,區(qū)塊鏈上智能合約的bug普遍存在。經(jīng)過Hosho審計的智能合約項目籌集資金總額高達(dá)10億美元,這些項目中有25%被發(fā)現(xiàn)存在嚴(yán)重漏洞,約有60%至少存在一個安全問題。

就在此前,知道創(chuàng)宇也發(fā)布了一份頗為相似的報告。

在知道創(chuàng)宇發(fā)布的《知道創(chuàng)宇以太坊合約審計CheckList》中,披露了知道創(chuàng)宇404區(qū)塊鏈安全研究團隊針對全網(wǎng)公開的共39548個合約代碼掃描的結(jié)果。結(jié)果顯示,截止2018年8月10日,發(fā)現(xiàn)共24791個(占比62%)合約涉及到以太坊智能合約設(shè)計缺陷問題(包括“條件競爭問題”、“循環(huán)DoS問題”等問題)。

其中,有“approve條件競爭問題”的合約有22981個,并且15325個合約甚至還處于交易狀態(tài),approve條件競爭漏洞的結(jié)果可能引發(fā)丟幣的問題;有“循環(huán)DoS問題”的合約有1810個,其中1740個合約仍處于交易狀態(tài),以太坊中循環(huán)DoS則可能因gas消耗過大導(dǎo)致交易失敗,合約無法執(zhí)行。

超過60%的以太坊智能合約出現(xiàn)設(shè)計缺陷問題,也意味著基于這些智能合約的數(shù)字貨幣系統(tǒng)也存在安全隱患。

黑客,正是盯住了加密數(shù)字貨幣的這一安全問題。

網(wǎng)絡(luò)安全解決方案提供商趨勢科技在一份新研究中表示,網(wǎng)絡(luò)犯罪分子的注意力正從快速的勒索軟件攻擊轉(zhuǎn)為較慢的、更隱蔽的竊取計算機計算資源以挖掘加密貨幣。該研究結(jié)果顯示,與2017年全年相比,2018年上半年檢測到的加密貨幣挖礦增加了96%,檢測到的挖礦病毒與2017年上半年相比增加了956%。

《2018上半年區(qū)塊鏈安全報告》中的數(shù)據(jù)顯示,區(qū)塊鏈因自身機制的安全、生態(tài)安全和使用者安全三個方面造成的經(jīng)濟損失,分別為12.5億、14.2億和0.56億美元,共計高達(dá)27億美元。

這相當(dāng)于此前登陸納斯達(dá)克的優(yōu)信公司的總市值。

損失最多的是數(shù)字貨幣交易平臺,總共為13.4億美金。其次是智能合約,主要是集中在以太坊上,比如因為代碼的漏洞或者私鑰的泄露等原因?qū)е碌馁Y金損失達(dá)到了12.4億美金。再次是個人用戶遭受到的攻擊,比如電腦中病毒、私鑰被竊取等,包括礦工的一些病毒事件等等。

“黑客對區(qū)塊鏈的攻擊還會一直持續(xù),甚至?xí)絹碓蕉唷?rdquo;一位安全人士告訴區(qū)塊鏈Truth(ID:chaintruth)。

全球超過30萬人或組織在攻擊區(qū)塊鏈

“因為以前區(qū)塊鏈和數(shù)字貨幣領(lǐng)域沒有人在乎安全,區(qū)塊鏈形成的價值突然起來之后,對黑客來說這里就像一個銀行,他們隨便拿錢。”

從2011年,趙偉便開始關(guān)注比特幣,2013年知道創(chuàng)宇開始為加密數(shù)字貨幣領(lǐng)域的交易所、錢包等平臺提供數(shù)字資產(chǎn)的安全防御。

“黑客”(黑客的本意是技術(shù)上突破極限)出身的他,最懂黑客的手段。

“現(xiàn)在黑客把區(qū)塊鏈都當(dāng)成靶場了。我們追蹤的全球黑客,有30多萬的人或組織在攻擊區(qū)塊鏈,所以基本90%的黑客在盯著區(qū)塊鏈的安全問題。而一旦攻破之后,區(qū)塊鏈又是匿名的,資產(chǎn)丟了沒法找回,所以黑客們就把區(qū)塊鏈當(dāng)成取款機一樣。”趙偉說。

根據(jù)今年5月30日的區(qū)塊鏈產(chǎn)業(yè)安全分析報告,全球發(fā)生區(qū)塊鏈安全事件的趨勢呈逐年上升態(tài)勢。2011年出現(xiàn)了第一次比特幣安全事件,當(dāng)時丟失102萬美金;2014年全球區(qū)塊鏈的資金損失大概是4.6億美金;而到了今年上半年,這個數(shù)字達(dá)到19億美金。

 

數(shù)據(jù)來源:區(qū)塊鏈產(chǎn)業(yè)安全分析報告

 

數(shù)據(jù)來源:區(qū)塊鏈產(chǎn)業(yè)安全分析報告

《2018上半年區(qū)塊鏈安全報告》中,騰訊安全技術(shù)專家將區(qū)塊鏈加密數(shù)字貨幣引發(fā)的安全問題歸結(jié)為三個主要方面:

其一,區(qū)塊鏈自身機制問題。以以太坊為代表的區(qū)塊鏈智能合約設(shè)計存在的漏洞問題,帶來的經(jīng)濟損失極為嚴(yán)重。2016年6月,以太坊最大眾籌項目The DAO被攻擊,黑客獲得超過350萬個以太幣,最終導(dǎo)致以太坊分叉為ETH和ETC。同時,真實的區(qū)塊鏈網(wǎng)絡(luò)是自由開放的,理論上若黑客控制節(jié)點中絕大多數(shù)計算機資源,就能重改共有賬本,最終實現(xiàn)51%“雙花攻擊”。

其二,區(qū)塊鏈生態(tài)安全問題。區(qū)塊鏈生態(tài)中包括PoW機制下的礦場和礦池、PoS機制下的權(quán)益節(jié)點、加密數(shù)字貨幣交易所、軟硬錢包、數(shù)據(jù)跟蹤瀏覽器、DApp應(yīng)用,以及面向未來DApp應(yīng)用的區(qū)塊鏈網(wǎng)關(guān)系統(tǒng)等。其中,圍繞交易所發(fā)生的安全事件最為顯著,交易所被盜遠(yuǎn)超其他事件類型。此外,交易所被釣魚、內(nèi)鬼盜竊、錢包失竊、各種信息數(shù)據(jù)泄露和篡改、交易所賬號失竊等問題,也同樣值得關(guān)注。

其三,使用者自己造成的安全問題。由于數(shù)字虛擬幣錢包這些交易工具的使用具有較高的門檻,要求使用者對計算機、加密原理、網(wǎng)絡(luò)安全均有較高的認(rèn)知。然而,許多數(shù)字虛擬幣交易參與者并不具有這些能力,極易出現(xiàn)安全問題。甚至因操作不當(dāng)引發(fā)熟人作案,數(shù)字資產(chǎn)被身邊人盜取。

在趙偉看來,中國黑客的攻擊能力和安全研究能力非常強,美國的安全公司最頂尖的科學(xué)家基本都是華人,“只不過我們的安全市場都是合規(guī)性的,就是政府要求什么就是什么,其中利益鏈錯綜復(fù)雜。”

這也就意味著,中國境內(nèi)的網(wǎng)絡(luò)安全,相對較為規(guī)范。

破壞共識,安全問題助推數(shù)字貨幣熊市

自今年初以來,比特幣價格自2萬美元的高點一路跌破6000美元,全球數(shù)字貨幣總市值從年初的6500多億美元跌至3000億美元附近。幣圈正經(jīng)歷漫長熊市。

在趙偉看來,這波熊市跟區(qū)塊鏈安全不無關(guān)系。

“黑客盜幣,攻擊區(qū)塊鏈系統(tǒng),最大的傷害是破壞了區(qū)塊鏈的共識,打破了信任。”趙偉說。

區(qū)塊鏈的共識機制是其運行的重要規(guī)則

在他看來,比特幣誕生之初的目標(biāo)是數(shù)字黃金。“黃金不是為了小額交易和支付,而是價值保存,用數(shù)學(xué)算法快速達(dá)成共識。它的目標(biāo)是安全,所以一代的比特幣,持有量排名靠前的全是安全人員。”

當(dāng)黑客過境,把人們認(rèn)為最安全的“數(shù)字黃金”盜取后,大家發(fā)現(xiàn)它并不安全,“沒有共識了,就容易砸盤,黑客在這里面是收割了所有人,而且是極端的殺雞取卵。”

可以說,頻出的區(qū)塊鏈安全問題,助推了數(shù)字貨幣的整體熊市。

實際上就連比特幣,也曾遭遇過“滅頂之災(zāi)”。2010年8月15日,一名黑客曾在比特幣高度為74,638的區(qū)塊上,通過比特幣的一個原生bug一夜間創(chuàng)造了1844億枚比特幣。

或許是因為彼時比特幣的價格并不引人注意,這名黑客在完成這一“壯舉”后并沒有進(jìn)行后續(xù)的攻擊動作,免于讓比特幣“通貨膨脹”后癱瘓。

雖然黑客開過玩笑后,頗為滿意地離開了,但這一bug卻嚇壞了當(dāng)時比特幣代碼維護(hù)團隊。比特幣社區(qū)的首席開發(fā)者Wladimir Van Der Laan 在回憶時直言:“這是有史以來最嚴(yán)重的問題”。

2014年,曾發(fā)生一起著名的“門頭溝”事件,曾經(jīng)是全球最大的比特幣交易平臺Mt.Gox因被黑客盜幣最終破產(chǎn),大約75萬枚比特幣(價值3.75億美元)付之東流,引發(fā)比特幣價格大跌。

最近的則在2018年3月,幣安交易所被黑客攻擊,黑客通過做空手段去場外套現(xiàn)獲益。受此事件影響,比特幣暴跌10%。

如今看來,幾乎每次黑客的出擊,都會或多或少的引起比特幣價格的下跌。

“區(qū)塊鏈安全只是互聯(lián)網(wǎng)安全中的一部分,但是因為區(qū)塊鏈最大的特點是基于共識,而共識在現(xiàn)實世界的表現(xiàn)為法律、合約、財富。一旦發(fā)生安全事件,受損失相對更為嚴(yán)重。”趙偉說。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號