隨著加密資產(chǎn)在全球金融體系擁有越來(lái)越重要的地位,必然會(huì)吸引更多黑客的矚目,區(qū)塊鏈項(xiàng)目面臨的安全攻防戰(zhàn)將越來(lái)越頻繁與困難,但這對(duì)行業(yè)而言也是契機(jī)。
2019年對(duì)區(qū)塊鏈行業(yè)而言是頗具意義的一年,眾多政府與企業(yè)巨頭都開(kāi)始向區(qū)塊鏈技術(shù)投向更多的注意力與資源,為未來(lái)區(qū)塊鏈技術(shù)在更多場(chǎng)景的實(shí)際應(yīng)用營(yíng)造出相對(duì)友好的環(huán)境。不過(guò)在真正邁向大規(guī)模應(yīng)用前,區(qū)塊鏈行業(yè)仍有許多現(xiàn)實(shí)問(wèn)題需要探討與解決,其中包括安全問(wèn)題。作為一項(xiàng)志在挑戰(zhàn)現(xiàn)有金融行業(yè)的新興產(chǎn)業(yè),區(qū)塊鏈行業(yè)的安全性尤其是影響自身前景最重要的因素之一,如果在安全問(wèn)題上有所疏忽怠慢,未來(lái)很可能遲早會(huì)出現(xiàn)引起行業(yè)出現(xiàn)短期崩盤的事件。
縱觀過(guò)去一年區(qū)塊鏈行業(yè)的安全狀況,幾乎每個(gè)月都有較大的安全事件爆發(fā),價(jià)值超數(shù)百億元的鏈上資產(chǎn)被黑客或作惡者以不同的方式竊取,主要類型包括公鏈底層代碼缺陷、DApp合約代碼缺陷、私鑰被竊、攜款跑路等。
先是在去年1月5日,以太坊經(jīng)典遭遇多次51%算力攻擊,8.8萬(wàn)枚ETC被用于雙花。同期,EOS、波場(chǎng)上諸多菠菜類DApp游戲由于合約代碼安全性薄弱, 開(kāi)始頻繁遭到黑客的重放攻擊、隨機(jī)數(shù)攻擊、阻塞攻擊等,此后全年都在持續(xù)不斷地發(fā)生,致使合約開(kāi)發(fā)者及用戶遭受巨大損失,例如波場(chǎng)BTTBank游戲合約被盜1.8億個(gè)BTT、EOS應(yīng)用EOSDice被盜數(shù)萬(wàn)EOS、Poker EOS被盜2萬(wàn)多個(gè)EOS。根據(jù)成都鏈安的統(tǒng)計(jì),區(qū)塊鏈行業(yè)19年發(fā)生智能合約漏洞事件超百起,被黑總損失超1000萬(wàn)美元。
在19年3月,DragonEx、Bithumb、Biki等多家交易所出現(xiàn)資產(chǎn)被盜,其中DragonEx 總共損失價(jià)值超過(guò) 600萬(wàn)美元的數(shù)字資產(chǎn),被盜原因系該交易所客服從陌生人處獲取并打開(kāi)了一個(gè)捆綁后門的安裝包,黑客通過(guò)該后門獲取內(nèi)部人員權(quán)限滲透進(jìn)內(nèi)網(wǎng)進(jìn)而成功獲取數(shù)字貨幣錢包私鑰,Bithumb則是由于被裁員工「動(dòng)手腳」被盜價(jià)值超過(guò)1800萬(wàn)美元的EOS資產(chǎn)。
19年5月,幣安由于安全漏洞被黑客利用網(wǎng)絡(luò)釣魚、病毒等攻擊手段,從幣安熱錢包中盜取7000枚比特幣,總損失達(dá)到4100萬(wàn)美金。而在18年,幣安已經(jīng)出現(xiàn)由API接口被黑導(dǎo)致的安全問(wèn)題,黑客利用幣安用戶資產(chǎn)大幅拉升SYS、VIA等小幣種的價(jià)格,實(shí)現(xiàn)在其他交易所出貨套利的目的。
在此后的6-7月,Plustoken錢包、波點(diǎn)錢包、MGC錢包等錢包項(xiàng)目陸續(xù)出現(xiàn)攜款跑路的新聞,此前這些錢包利用高額利息吸引投資者將大量資產(chǎn)儲(chǔ)存在己處,但事發(fā)后投資者儲(chǔ)存的資產(chǎn)幾乎全部無(wú)法取出,其中Plustoken錢包涉案金額據(jù)稱高達(dá)上百億,雖然此后部分涉案人員被警方抓捕,但卷走的加密資產(chǎn)疑似都未能追回。
8-9月,比特幣錢包Electrum兩次遭黑客釣魚攻擊,據(jù)多方統(tǒng)計(jì)偽造Electrum升級(jí)提示的釣魚攻擊已盜竊至少1450枚BTC,當(dāng)時(shí)價(jià)值1160萬(wàn)美元。11月,韓國(guó)知名交易所Upbit交易所遭到黑客攻擊,34.3萬(wàn)個(gè)ETH被盜走,當(dāng)時(shí)價(jià)值約5000萬(wàn)美元。
12月,多個(gè)公鏈項(xiàng)目遭遇資產(chǎn)被盜的尷尬,先是唯鏈在14號(hào)宣布遭遇黑客攻擊,被盜走11億枚VET代幣,價(jià)值 640萬(wàn)美元;20日,NULS公鏈官方賬戶由于鏈底層代碼缺陷被盜200萬(wàn)NULS代幣,損失超過(guò)50萬(wàn)美元。尷尬的是,此前兩者都曾表示代碼已經(jīng)過(guò)第三方代碼安全審計(jì)。
同月,公鏈 IOTA 主網(wǎng)出現(xiàn)共識(shí)分裂而無(wú)法更新的情況,TPS 一度接近 0。Vertcoin則遭受了51%攻擊,攻擊者成功利用自己的553個(gè)區(qū)塊替代了603個(gè)VTC主鏈區(qū)塊,致使項(xiàng)目損失10萬(wàn)美元。
從前述概括不難看出,19年的區(qū)塊鏈行業(yè)不斷在上演各類安全事故,其中不乏多家知名交易所,暴露出許多區(qū)塊鏈企業(yè)與項(xiàng)目在加密資產(chǎn)存儲(chǔ)、底層架構(gòu)開(kāi)發(fā)層面存在嚴(yán)峻的問(wèn)題。
不過(guò)好消息在于,這些安全事件幾乎都沒(méi)有對(duì)對(duì)區(qū)塊鏈行業(yè)造成整體性威脅,比特幣、以太坊等主流區(qū)塊鏈網(wǎng)絡(luò)運(yùn)行也較為穩(wěn)定,稱得上重大威脅的事件可能只有一件,即谷歌在今年9月宣稱實(shí)現(xiàn)「量子霸權(quán)」。
根據(jù)分析,量子計(jì)算機(jī)由于運(yùn)用量子疊加原理,在增大信息容量、提高運(yùn)算速度、確保信息安全等方面都將突破現(xiàn)有傳統(tǒng)信息系統(tǒng)的極限,其運(yùn)算速度可以達(dá)到傳統(tǒng)電腦的「數(shù)億倍」。據(jù)報(bào)道,谷歌量子計(jì)算機(jī)Sycamore完成特定計(jì)算任務(wù)的時(shí)間為3分20秒,當(dāng)前世界上最快的超級(jí)計(jì)算機(jī)則需要1萬(wàn)年。
由此,許多聲音認(rèn)為支撐區(qū)塊鏈技術(shù)的橢圓曲線加密算法將很容易被量子計(jì)算攻破,并使得區(qū)塊鏈的公私鑰機(jī)制不再能有效保護(hù)用戶資產(chǎn),進(jìn)而當(dāng)前區(qū)塊鏈所規(guī)劃出的技術(shù)發(fā)展藍(lán)圖都將被量子計(jì)算摧毀。
但很快有行業(yè)人士指出谷歌的聲明并不靠譜,趙東就表示量子計(jì)算機(jī)要破解比特幣的橢圓曲線算法,需要操作十萬(wàn)以上的量子比特?cái)?shù)才有可能,目前谷歌的量子計(jì)算機(jī)可以操作幾十個(gè),而技術(shù)難度則隨著操作數(shù)2的冪級(jí)上升,故而量子計(jì)算機(jī)離攻破比特幣加密算法仍有很長(zhǎng)時(shí)間。
但不得不承認(rèn)的是,量子計(jì)算如同于區(qū)塊鏈行業(yè)的「達(dá)摩克利斯之劍」,始終是個(gè)懸在頭上的潛在威脅,這意味著具有「量子抗性」的區(qū)塊鏈與加密算法未來(lái)會(huì)具有顯著需求,需要行業(yè)人士盡快加以突破。
相比遙遠(yuǎn)的量子計(jì)算,更現(xiàn)實(shí)、更緊迫的問(wèn)題還是在于公鏈與交易所在合約、協(xié)議、節(jié)點(diǎn)等層面的安全,一方面要更好地保障資產(chǎn)安全,另一方面要更好地保障DApp服務(wù)的穩(wěn)定,提升公眾對(duì)區(qū)塊鏈技術(shù)安全性的信心。
面對(duì)這些安全事故,解決方案無(wú)外乎兩種路徑,一種是事先預(yù)防,各方面都需要總結(jié)經(jīng)驗(yàn)不斷完善潛在漏洞,例如不要為了追求新概念、新模式刻意改造行業(yè)成熟算法、架構(gòu),盡量使用學(xué)術(shù)界證明過(guò)的算法或者已經(jīng)廣泛工程校驗(yàn)過(guò)的代碼庫(kù);推動(dòng)制定加密資產(chǎn)儲(chǔ)存的行業(yè)標(biāo)準(zhǔn),不合條件者應(yīng)與第三方資產(chǎn)托管服務(wù)商合作;加強(qiáng)對(duì)日常運(yùn)營(yíng)中對(duì)敏感崗位人員電子設(shè)備的安全管理,進(jìn)一步規(guī)范資產(chǎn)存儲(chǔ)流程。
同時(shí),區(qū)塊鏈項(xiàng)目也要充分利用外部力量,加強(qiáng)底層代碼的審計(jì)。慢霧科技亦指出,區(qū)塊鏈項(xiàng)目應(yīng)當(dāng)針對(duì)安全漏洞發(fā)布賞金計(jì)劃,當(dāng)黑客發(fā)現(xiàn)安全問(wèn)題時(shí)有一個(gè)反饋的渠道,如果沒(méi)有這樣的一個(gè)渠道黑客會(huì)更傾向于利用漏洞攻擊公鏈,而不是想辦法去聯(lián)系項(xiàng)目方反饋問(wèn)題。
另一類路徑則是事后補(bǔ)救,聯(lián)合行業(yè)多方凍結(jié)、追回資產(chǎn),通過(guò)壓縮黑客的變現(xiàn)空間來(lái)擠壓黑客的攻擊動(dòng)機(jī)。由于區(qū)塊鏈鏈上資產(chǎn)的所有流轉(zhuǎn)信息都是可追溯的,黑客竊取的資產(chǎn)地址在被失竊方公開(kāi)后,交易所等方面將很容易鎖定數(shù)字資產(chǎn)并進(jìn)行鏈上流向梳理和分析,在黑客轉(zhuǎn)入資產(chǎn)后進(jìn)行凍結(jié)。
例如在今年3月韓國(guó)Bithumb交易所被盜價(jià)值約1800萬(wàn)美元的加密資產(chǎn)后,立即向具有合作關(guān)系的交易所以及警方說(shuō)明情況并保持溝通,此后火幣、KuCoin、ChangeNOW等多家交易所都將涉及Bithumb被盜地址的資產(chǎn)進(jìn)行凍結(jié),ChangeNOW進(jìn)一步表示已經(jīng)根據(jù)執(zhí)法機(jī)關(guān)的指示將這些被盜資產(chǎn)存入一個(gè)安全的冷錢包。雖然此次Bithumb沒(méi)有公布追回資產(chǎn)價(jià)值,但在18年6月的被盜事件中,Bithumb曾公布價(jià)值3100萬(wàn)美元的被盜資產(chǎn)已被追回1400萬(wàn)美元。
雖然其他被盜交易所很少公開(kāi)此類信息,但由Bithumb的案例不難推斷出,多數(shù)主流交易所針對(duì)資產(chǎn)被盜問(wèn)題已經(jīng)達(dá)成合作共識(shí)與實(shí)質(zhì)聯(lián)系, 這將使得黑客所竊取資產(chǎn)的可套現(xiàn)渠道受到相對(duì)嚴(yán)密的管控,但如若黑客不將所竊資產(chǎn)轉(zhuǎn)入中心化交易所,外界在多數(shù)情況下仍然無(wú)可奈何,且隨著DiFi行業(yè)的進(jìn)一步發(fā)展,黑客亦可能通過(guò)抵押、去中心交易等方式獲得更多變現(xiàn)渠道。
可預(yù)期的解決方法在于硬分叉,公鏈團(tuán)隊(duì)可以號(hào)召所有節(jié)點(diǎn)共同對(duì)主網(wǎng)升級(jí)并實(shí)施硬分叉,進(jìn)而使得被盜資產(chǎn)「失效」,例如今年12月NULS在團(tuán)隊(duì)賬戶超過(guò)360萬(wàn)元的資產(chǎn)被盜后,即通知各節(jié)點(diǎn)進(jìn)行升級(jí)并硬分叉,未被轉(zhuǎn)入交易所的剩余資產(chǎn)不再受到新鏈認(rèn)可,為自身挽回超過(guò)270萬(wàn)元的損失。在更早的2016年,以太坊也曾由于The DAO項(xiàng)目資產(chǎn)被盜問(wèn)題實(shí)施過(guò)硬分叉。
不過(guò),目前還沒(méi)有過(guò)某條公鏈由于交易所資產(chǎn)失竊而進(jìn)行硬分叉的先例, 今年趙長(zhǎng)鵬在幣安被盜7000個(gè)BTC時(shí)曾發(fā)文表示,幣安會(huì)考慮區(qū)塊重組/交易回滾等方式恢復(fù)被盜金額,卻引起行業(yè)軒然大波與一致反對(duì),可見(jiàn)區(qū)塊鏈的分叉與回滾在資產(chǎn)失竊場(chǎng)景中并不太適用。
總的來(lái)看,隨著加密資產(chǎn)在全球金融體系擁有越來(lái)越重要的地位,必然會(huì)吸引更多黑客的矚目,區(qū)塊鏈項(xiàng)目面臨的安全攻防戰(zhàn)將越來(lái)越頻繁與困難,但這對(duì)行業(yè)而言也是不錯(cuò)的契機(jī),以更高的要求與投入在全球技術(shù)領(lǐng)域證明自身的可靠度與安全性。
京公網(wǎng)安備 11010502049343號(hào)