一行代碼蒸發(fā)64億人民幣。這個不可思議的黑客操作發(fā)生在今年4月,僅僅因為被黑客找到了一個代碼漏洞,與之相關的區(qū)塊鏈產(chǎn)品的全部市值瞬間被全部轉(zhuǎn)出,趨近于零。
“如果說傳統(tǒng)意義上的貨幣仰仗國家信用而有價值,那么加密數(shù)字貨幣的存在仰仗區(qū)塊鏈技術的信用。”9月6日,在由眾享比特等合作主辦的ISC2018區(qū)塊鏈與網(wǎng)絡安全論壇上,山東警察學院偵查系網(wǎng)絡犯罪偵查教研室副主任張璇表示,由于區(qū)塊鏈技術代碼中漏洞相繼被發(fā)現(xiàn),以及對應的一些安全事件,逐步打擊著人們對區(qū)塊鏈技術的信心。
此前認為,區(qū)塊鏈技術由于分布存儲、加密算法等技術的應用,擁有了不可篡改、可追溯等被認為是“萬無一失”的特性。然而,該特性主要針對存儲在區(qū)塊中的信息來說,以文中開頭的案例為例,區(qū)塊鏈技術保障了可以追溯到這64億轉(zhuǎn)移到了哪里,黑客的操作也會被系統(tǒng)不可篡改地記錄,卻并不能“拒絕”黑客對底層代碼的篡改,保護虛擬數(shù)字貨幣。
區(qū)塊鏈技術本身存在漏洞可以被利用。“利用區(qū)塊鏈技術,成了犯罪分子非法獲利的新手段。”張璇說,甚至有人表示,區(qū)塊鏈技術已經(jīng)了引發(fā)經(jīng)濟犯罪的革命。面對新手段帶來的新挑戰(zhàn),該如何應對,以維護區(qū)塊鏈技術的長遠發(fā)展?
虛擬貨幣成偷盜新目標
不久前,一部名為《瞞天過海:美人計》的偷盜題材電影上映,講述一眾美女偷盜高手,盜取一條價值1.5億美元的鉆石項鏈的故事。
相較于發(fā)生在幣圈的偷盜事件,這條項鏈的價值就不那么令人咂舌了。例如今年3月30日,我國警方破獲的一起虛擬貨幣偷盜事件中,3名供職于國內(nèi)知名網(wǎng)絡公司的黑客侵入受害人張某電腦,將價值6億元的比特幣、以太坊等虛擬貨幣洗劫一空。
過去盜賊的目標是金銀珠寶、成沓鈔票,如今只要穩(wěn)坐電腦前,動動手指,通過虛擬貨幣的竊取就可能“致富”。加密數(shù)字貨幣,成了高科技犯罪的新目標。世界各國均備受困擾,資料顯示,在價值5.3億美元的代幣被盜后,日本16家加密數(shù)字貨幣交易所打算成立一個自我監(jiān)管小組,自省自查系統(tǒng)漏洞。
360集團信息安全部王偉波表示,目前公開的針對非個人電腦的對公鏈和交易所的攻擊行為已公開的有57次,并造成了10億美元的損失。但他認為這只是“冰山一角”,大量的攻擊由于會對交易所的信譽造成負面影響不會被公開,損失也會被交易所自行消化。
除了竊取,虛擬貨幣也淪為犯罪分子的工具。“比特幣成為洗錢工具,并衍生出了‘專業(yè)水房’。”張璇說。她列舉了一個實際發(fā)生的案件:受害人在QQ上認識了嫌疑人,他自稱是在伊拉克打過仗的軍人,希望受害人幫他代收郵包,代收郵包需要80萬美元保證金。受害人把資金打給專門做比特幣交易的王某,王某支付給嫌疑人比特幣,對于嫌疑人來說并未留下收錢的詐騙證據(jù),而比特幣交易的王某處有大量的資金進入,增加排查難度。
“比特幣(目前黑市承認的加密數(shù)字貨幣大多為比特幣)的參與,使得警方破案追尋資金鏈條的方法可能就要失效了。”張璇說,在工作中,深感案子不好查了,追查罪犯的難度大大增加。
更有甚者,犯罪分子不在是一個人或一個團伙,而是一個正常經(jīng)營的合法企業(yè)。張璇介紹,一個技術運維公司開發(fā)了一個木馬病毒,安裝在自己負責運維的客戶機器上,機器內(nèi)存占用不多時就啟動挖礦程序,被發(fā)現(xiàn)前已挖得數(shù)字貨幣5000多枚。經(jīng)統(tǒng)計,該公司非法控制了全國300多萬臺機器。“這種違法行為的法律定位至今仍非常模糊。”張璇說,新的犯罪態(tài)勢敦促著法律、法規(guī)的健全,提醒執(zhí)法人員不斷更新知識儲備。
每日三省吾身查漏補缺
“我們可能不知道黑客怎么攻擊,但是應該把每個細節(jié)的安全做好。”王偉波表示,對自身漏洞的排查,可以將安全風險降到最低,甚至提前預防問題的出現(xiàn)。
如同一場攻防戰(zhàn),一旦掌握了區(qū)塊鏈技術的“命門”,黑客分子的外部攻擊將一發(fā)不可收拾。而“加固城墻”“嚴查堵漏”則是防守方以不變應萬變的有效方法。
據(jù)王偉波介紹,黑客對區(qū)塊鏈技術的攻擊可發(fā)生在應用層、合約層、激勵層、數(shù)據(jù)層等六個不同層面。對不同層面的攻擊手法不同,造成的后果也不同。
越底層的攻擊,越可能“牽一發(fā)而動全身”。例如,對數(shù)據(jù)層的攻擊將帶來整個區(qū)塊鏈而非一個節(jié)點的變化。今年5月份,因攻擊者篡改了某區(qū)塊鏈生成的時間,導致挖礦難度下降,劫持了整個主鏈,導致攻擊者獲取了大量的代幣。
因此,360安全團隊就從黑客攻擊的六個方面入手進行了研究,分別找出漏洞,并“開出藥方”。通過對某公鏈和交易所進行了安全測試,360安全團隊發(fā)現(xiàn)42個漏洞,其中可以影響到用戶賬戶安全的高危漏洞29個。
除了排查漏洞,團隊還對黑客的一些攻擊進行了深入測試,并編寫《公鏈滲透測試白皮書》。王偉波說,白皮書會不久后進行發(fā)布,其中將分析一些安全事件,以區(qū)塊鏈攻擊為切入點,深入分析黑客的攻擊手法,以及針對不同的攻擊,怎么做好安全防護。
王偉波認為,區(qū)塊鏈產(chǎn)業(yè)正處于發(fā)展比較前期的階段,目前安全方面還存在很多問題。區(qū)塊鏈技術的發(fā)展,安全方面是硬需求,需要構建區(qū)塊鏈安全生態(tài),從數(shù)字貨幣錢包、智能合約等不同產(chǎn)品上著力,同時,還需要從礦池、交易所等數(shù)字貨幣產(chǎn)生的節(jié)點上實施動態(tài)防范。
盲目上馬區(qū)塊鏈項目不可取
“我們除了讓區(qū)塊鏈技術本身更扎實,更值得信賴之外,還面臨一個區(qū)塊鏈的鏈上數(shù)據(jù)與現(xiàn)實數(shù)據(jù)銜接的問題。”中國信息通信研究院云計算與大數(shù)據(jù)研究所部門主任魏凱表示,每個行業(yè)使用區(qū)塊鏈時都有自己的痛點,例如溯源行業(yè),如何確保上鏈的數(shù)據(jù),對應的正是要追溯的產(chǎn)品,而不會被“掉包”?
寫到鏈上的信息是不是真實的,能夠準確反映現(xiàn)實的。這是區(qū)塊鏈技術解決不了的,而必須依靠鏈外的手段保障,例如制度體系。魏凱認為,目前配套體系是缺乏的。
“要上馬區(qū)塊鏈應用,應該先問4個問題。”魏凱說,“任務要不要記錄數(shù)據(jù)?記錄的數(shù)據(jù)是不是必須多方參與?參與的多方能不能互信?如果找不到可以信任的,那么,就可以考慮拋棄原有載體,使用區(qū)塊鏈技術。最后一個問題,能夠容忍它與中心化系統(tǒng)相比效率較低的特性嗎?”
魏凱解釋,使用區(qū)塊鏈的成本也非常高,因為它是一個封閉式的系統(tǒng),效率肯定沒有中心化的系統(tǒng)效率高,目前,在使用時,區(qū)塊鏈技術沒有明顯的效率優(yōu)勢。
魏凱用“焦慮癥”形容目前產(chǎn)業(yè)界、甚至政府對區(qū)塊鏈的態(tài)度。“現(xiàn)在有二十幾個省市發(fā)布了與區(qū)塊鏈有關的激勵刺激政策,很多地方蓋起了區(qū)塊鏈大廈,入駐這些大廈的企業(yè)有沒有挖掘出什么非得用區(qū)塊鏈不可的場景來呢?這個問題值得大家深思。”魏凱認為,除了區(qū)塊鏈技術本身的完善外,政策、法規(guī)、驗證等體系仍需要進一步推動建設。為此,中國信息通信研究院于4月9日,聯(lián)合158家企業(yè)發(fā)起了“可信區(qū)塊鏈推進計劃”,推進技術標準、行業(yè)應用和政策法規(guī)等工作,以期逐步完善區(qū)塊鏈發(fā)展的有利生態(tài)。