文章来源：浅黑科技

前几天，我去找到 360 信息安全中心的Sherlock(网名)，向他求教数字货币相关的网络安全态势，却一上来就听了个奇葩故事：

2017 年 7 月的某一天，老武坐在派出所录口供，手心全是汗。

他做梦也没想到，自己旅了游回来，数字钱包里的 186 个比特币竟全部消失。

当时比特币才 1 万 2 一枚，算起来值两百多万元。(放到现在值一千多万元)

“是黑客干的?”

老武细细一回想，觉得事有蹊跷。

几个月前，他被朋友拉进一个比特币投资的微信群，一来二去认识了群主。

群主是个热心肠，经常告诫大家要注意投资风险，还提醒大家注意比特币安全，告诉大家不要把所有的钱都放在交易所，要存到“比特币钱包”才最安全。

这天，群主给老武发来一个比特币钱包软件，告诉他，比特币放在数字钱包最安全。

老武一看，确实是某知名比特币钱包的安装包，就按群主指导一步步操作，把自己的 186 个比特币转了进去。

(当时群主和老武的聊天记录)

几天后，老武的 186 个比特币全部丢失。

他当即找群主老戴质问，对方却做出一个惊人的举动：

他说，自己只是好心推荐软件，比特币被盗可能是因为老武自己泄露了钱包密码。

不过，

毕竟是自己推荐老武用的钱包软件，现在币丢了自己也有部分责任，赔老武 12 万元算是认倒霉。

说完，群主真的转给老武 12 万块钱。

(当时的聊天转账记录)

“一个素未谋面的人这么轻易就转给我十几万块钱?”

老武断定，这事儿多半跟这个群主有关。

……

……

……

几个月后，警方冲入群主戴某的住所，发现几十张银行卡和多台笔记本电脑。在其中一台电脑里发现了和老武用的那款比特币钱包软件，以及一个盗号用的脚本。

原来，群主在对钱包软件安装包里植入了盗号脚本。那 186 个比特币，正是通过这个后门，进了群主的口袋……

讲完，Sherlock 告诉我，这是央视报道过的真实案件。

他说：

“不少人以为区块链去中心化、不可篡改就能绝对安全，完全不惧怕黑客。但其实区块链从底层代码到最终应用，可能涉及到很多方面，比如智能合约、钱包、交易所等等，这些地方都可能成为黑客的攻击面。”

这就好比，有人把机械门锁换成指纹锁就以为自己的财产很安全，可其实小偷照样有办法复制指纹，甚至完全不管门锁，直接拆门进来，或破墙而入，或跳窗户进来……方法多得很。

区块链会带来哪些新的安全态势?

我和Sherlock进行了一次详谈，他从底层代码安全、数字钱包安全、数字货币交易所安全、新型套利方案等几个方面向我梳理了自己对于区块链一些理解，在此呈现给各位浅友们：

Sherlock，奇虎 360 信息安全研究员， 2015 年接触数字货币，对区块链和数字货币安全颇有见解。

一、数字货币区块链底层代码未必安全

“数字货币区块链底层代码也未必安全。”Sherlock向我回顾了区块链发展史上的一次重大丑闻：

2016 年 6 月，加密货币和区块链社区发生了一次大地震， 世界上最大最知名的众筹项目the DAO 遭黑客攻击，价值 6 千万美元的以太币被盗!

调查原因，竟是 the DAO 编写的智能合约代码不够严谨，里面有两个函数漏洞，能让攻击者不断从项⽬资产池中偷取资产。

为了解决TheDAO大量资金被盗的问题，以太坊官方还推出了针对TheDAO的软分叉版本Gethv1.4.8，增加了一些规则以锁定黑客控制的以太币。

可是，眼看着绝大多数矿工都升级了这个版本的软件，软分叉要大功告成时。由于时间仓促等原因，众多大牛编写出来的软分叉版本居然又有一个明显漏洞!这个漏洞能让黑客零成本搞垮整个项目。

因为那次事件，以太坊社区发生了巨大分歧，一派人认为应该把项目回滚到黑客攻击之前的状态，另一派人则觉得回滚不符合区块链“去中心化、不可篡改”的核心精神，不同意回滚。

最终，两派通过投票彻底“决裂”，以太坊便硬分叉成了“以太经典”和“以太坊”，如同宇宙瞬间分裂成两个一模一样的平行世界各自运行。

“可是谁能确保修复后的代码没有新漏洞呢?只要是人写的代码就可能有漏洞。”Sherlock说，不少人迷信区块链底层代码是安全的，这种想法本身就很危险!

对区块链有所了解的人，相信都听说过51%攻击：只要控制一个区块链上51%的算力，就能对链上的交易任意数据进行篡改。

以往，人们之所以相信区块链是不可篡改的，就是坚信51%攻击不可能发生，因为同时控制51%所需要的资源成本太高。

“可是，只要理论上来说可能，我们就不能不堤防!”

二、“李笑来们”很危险!

网络安全行业有个常见名词叫 APT —— 高级持续性攻击，意思是黑客长时间(几个月甚至几年)盯着某个目标，寻找各种突破口，甚至静心布置一个巨大的骗局。

由于实施成本太高，这种攻击形式以往只发生在国家和国家之间，或者大型组织之间。

“数字货币出现后，APT组织很可能把目标转向“数字货币大户”，目标从一系列大型设备转向个人电脑。”

原因很简单，因为他们的数字货币资产足够值钱，个人目标相比有专业风控的大型组织更容易攻破，数字货币被盗后溯源难。

“以往人们把钱存在中心化的银行，即便被偷被骗也比较容易追溯，毕竟银行账户都有实名认证，可是数字货币一旦被骗就很难找回。

由于国家不承认数字货币的价值，有时甚至报警立案都会遇到一些困难。

数字货币的最大特点是去中心化，不可篡改，而这两点恰恰让数字货币持有者成了黑客最好的攻击目标。去中心化意味着出的监管难度高，不可篡改意味着钱一旦被骗走，交易就不可能回退。

黑客为了盗走你的数字货币，可能盯上你家里、办公室的 WiFi 网络，黑进你的个人电脑，或者量身定制一套钓鱼方案。

甚至，他们很可能设下一个巨大的骗局，利用社交关系靠近你，成为你的“朋友”，潜伏在你身边好几个月再行动!文章开头的案例就是如此。

我问道：“李笑来曾经声称自己是比特币首富，号称拥有六位数的比特币，算起来值十几亿，所以他很可能已经成为APT的目标咯?”

“当然有可能。”