一年損失數十億美元 區塊鏈成了30萬黑客的提款機?
一位筆名為“Hacker”的黑客曾如此回憶:
2013年6月,我在十幾家比特幣交易所發現漏洞後,毫無阻礙地提走了所有的比特幣,並通過場外交易出售了這些幣。那一天賺到了8000美元,相當於4個月的工資,感覺就像在天堂……
2013年,比特幣的價格起起落落,最高達到1242美元,超過了當時一盎司黃金的價格,比特幣的“數字黃金”之名由此得來。
此後,比特幣等基於區塊鏈技術的數字貨幣,便成了黑客最喜歡攻擊的新目標。
根據騰訊安全和知道創宇聯合釋出的《2018上半年區塊鏈安全報告》(下簡稱《安全報告》)的資料,2018上半年區塊鏈領域因安全問題造成的損失已超過27億美元,約有11億美元的數字貨幣被盜 (金額為當時市值)。
1/4智慧合約有漏洞,數字貨幣成黑客攻擊目標
圖片來源:騰訊安全2018上半年區塊鏈安全報告
多份區塊鏈安全報告的資料顯示:已釋出上鍊的區塊鏈智慧合約中,有相當比例的智慧合約存在不同的安全漏洞問題。
來自安全公司Hosho的報告顯示,區塊鏈智慧合約的Bug普遍存在。經Hosho審計的區塊鏈專案,籌集資金總額高達10億美元,審計中發現這些專案中的智慧合約有25%存在嚴重漏洞,約有60%至少存在一個安全問題。
知道創宇釋出的另一項安全報告《知道創宇以太坊合約審計CheckList》,披露了公司安全研究團隊針對全網公開的共39548個合約程式碼掃描的結果。結果顯示,截止2018年8月10日,發現其中共有24791個(佔比62%)合約涉及到以太坊智慧合約設計缺陷問題(缺陷包括“Approve條件競爭問題”、“迴圈DoS問題”等,其中Approve條件競爭漏洞的結果可能引發丟幣的問題;以太坊的迴圈DoS問題則可能因Gas消耗過大導致交易失敗,合約無法執行)。 其中:
有“Approve條件競爭問題”的合約共22981個,其中的15325個合約甚至還處於交易狀態。
有“迴圈DoS問題”的合約共1810個,其中1740個合約仍處於交易狀態。
超過60%的以太坊智慧合約出現設計缺陷問題,意味著基於這些智慧合約的數字貨幣系統也存在著安全隱患。
另一方面,網路安全解決方案提供商趨勢科技在一份新研究中也表明:網路犯罪分子的注意力正從“快速的勒索軟體攻擊”轉移到“較慢的、更隱蔽的運算資源竊取以進行數字貨幣的挖礦”——與2017年全年相比,2018上半年檢測到的數字貨幣挖礦攻擊增加了96%,檢測到的挖礦病毒與2017年上半年相比增加了956%。
黑客,已經盯上了數字貨幣的安全問題。
“黑客對區塊鏈的攻擊還會一直持續,甚至會越來越多。”一位安全人士說。
安全損失逐年增加,現數十萬人在攻擊區塊鏈網路
圖片來源:區塊鏈產業安全分析報告
從2011年起,趙偉就開始關注比特幣,黑客出身的他,最懂黑客的手段。
他說:“現在,黑客把區塊鏈都當成靶場了。 我們追蹤全球黑客,有30多萬的人或組織在攻擊區塊鏈網路,基本上90%的黑客在盯著區塊鏈的安全問題。一旦攻破,由於區塊鏈是匿名的,資產丟了沒法找回,所以黑客們就把區塊鏈當成取款機一樣。”
根據白帽匯安全研究院在今年5月30日釋出的《區塊鏈產業安全分析報告》資料,全球發生的區塊鏈安全事件數量呈逐年上升態勢。
事實上,從數字貨幣誕生之日起,安全問題就如影隨行。
2011年發生了第一起比特幣安全事件,涉及24.8萬個比特幣(當時市值為102萬美金);2014年因區塊鏈安全問題涉及到約85萬個比特幣(當時市值為4.6億美金);而到了今年上半年,因安全問題引起的經濟損失已經達到了19億美金。
《安全報告》中,騰訊安全技術專家將導致區塊鏈數字貨幣安全問題的原因歸結於“自身機制安全、生態安全和使用者安全”三個方面:
一是區塊鏈自身機制問題,以以太坊為代表的區塊鏈智慧合約設計,存在的漏洞問題帶來的經濟損失極為嚴重。
2016年6月,以太坊上當時最大的眾籌專案“The DAO”被攻擊,黑客獲得超過350萬個以太幣,最終導致以太坊分叉為ETH和ETC。
另外,理論上,如果黑客控制了區塊鏈網路中的絕大多數節點,就能改寫已有的共有賬本,從而實現“ofollow,noindex">51%攻擊 ”。
二是區塊鏈生態安全問題。區塊鏈生態體系的參與者包括PoW機制下的礦場和礦池、PoS機制下的權益節點、數字貨幣交易平臺、軟硬體錢包、資料跟蹤瀏覽器、DApp,以及面向未來DApp的區塊鏈網關係統等。
其中,圍繞交易平臺發生的安全事件最為常見,被盜事件的數量遠超其他事件型別。此外,交易平臺被釣魚、錢包失竊、各種資訊資料遭洩露和篡改、交易平臺賬號失竊等問題,也同樣不容忽視。
三是使用者自己造成的安全問題。數字貨幣錢包的使用門檻較高,使用者最好能對計算機、網路安全有一定了解。然而,許多數字貨幣交易者並不具有這些能力,因此極易出現安全問題。
據《安全報告》資料,2018上半年因上述三方面原因造成的經濟損失分別為12.5億、14.2億和0.56億美元,總損失合計高達27億美元。
破壞共識,安全問題助推了數字貨幣的熊市
圖片來源:網路
2018年,比特幣價格自2萬美元的高點一路下跌,最低跌破6000美元,全球數字貨幣總市值也大幅受挫。
在趙偉看來,這波熊市跟區塊鏈安全不無關係。 他認為,黑客盜幣、攻擊區塊鏈系統,最大的傷害是破壞了區塊鏈的共識,打破了信任, 而“沒有了共識,容易引起砸盤,黑客收割了所有人,而且是極端的殺雞取卵。
數學演算法幫助快速達成共識,維護著區塊鏈網路的安全,在比特幣面世之初,持有量排名靠前的很多使用者正是安全人員。當黑客盜取了人們認為最安全的“數字黃金”後,大家發現它並不安全。
可以說,頻出的區塊鏈安全問題,助推了數字貨幣熊市的到來。
在數字貨幣的安全事件上,問世近十年的比特幣也曾遭遇過“滅頂之災”——2010年8月15日,一名黑客曾在比特幣高度為74638的區塊上,通過比特幣的原生Bug一夜間創造了1844億枚比特幣。
或許是因為那時比特幣價格太低,沒有引起大多數人注意。這名黑客在完成這一“壯舉”後,沒有再進行後續的攻擊動作,讓比特幣免於在“通貨膨脹”後陷入癱瘓。
雖然黑客開過玩笑後,頗為滿意地離開了,但這一事件卻嚇壞了當時的比特幣程式碼維護團隊。比特幣社群的首席開發者Wladimir Van Der Laan在回憶這件事時直言“(2010年比特幣被攻擊)是有史以來最嚴重的問題”。
2014年發生了著名的“門頭溝”事件,Mt.Gox曾經是全球最大的比特幣交易平臺,因被黑客盜幣最終破產,大約75萬枚比特幣付之東流,在當時引發了比特幣價格的大跌。
2018年3月,某交易量排名居前列的交易所被黑客攻擊,黑客通過做空手段在場外套現獲益。受此事件影響,比特幣暴跌10%。
其他的數字貨幣黑客事件還有很多。 幾乎每次黑客的出擊,在造成重大經濟損失的同時,或多或少都會引起比特幣價格的下跌。
雖然沒有絕對的安全,但區塊鏈如果要應用在具體的行業上,安全是必須要持續提升和改進的根本技術問題,否則,無論在區塊鏈上面附加了多少價值,都會頃刻間化為烏有。