文章来源:浅黑科技
前几天,我去找到 360 信息安全中心的Sherlock(网名),向他求教数字货币相关的网络安全态势,却一上来就听了个奇葩故事:
2017 年 7 月的某一天,老武坐在派出所录口供,手心全是汗。
他做梦也没想到,自己旅了游回来,数字钱包里的 186 个比特币竟全部消失。
当时比特币才 1 万 2 一枚,算起来值两百多万元。(放到现在值一千多万元)
“是黑客干的?”
老武细细一回想,觉得事有蹊跷。
几个月前,他被朋友拉进一个比特币投资的微信群,一来二去认识了群主。
群主是个热心肠,经常告诫大家要注意投资风险,还提醒大家注意比特币安全,告诉大家不要把所有的钱都放在交易所,要存到“比特币钱包”才最安全。
这天,群主给老武发来一个比特币钱包软件,告诉他,比特币放在数字钱包最安全。
老武一看,确实是某知名比特币钱包的安装包,就按群主指导一步步操作,把自己的 186 个比特币转了进去。
(当时群主和老武的聊天记录)
几天后,老武的 186 个比特币全部丢失。
他当即找群主老戴质问,对方却做出一个惊人的举动:
他说,自己只是好心推荐软件,比特币被盗可能是因为老武自己泄露了钱包密码。
不过,
毕竟是自己推荐老武用的钱包软件,现在币丢了自己也有部分责任,赔老武 12 万元算是认倒霉。
说完,群主真的转给老武 12 万块钱。
(当时的聊天转账记录)
“一个素未谋面的人这么轻易就转给我十几万块钱?”
老武断定,这事儿多半跟这个群主有关。
……
……
……
几个月后,警方冲入群主戴某的住所,发现几十张银行卡和多台笔记本电脑。在其中一台电脑里发现了和老武用的那款比特币钱包软件,以及一个盗号用的脚本。
原来,群主在对钱包软件安装包里植入了盗号脚本。那 186 个比特币,正是通过这个后门,进了群主的口袋……
讲完,Sherlock 告诉我,这是央视报道过的真实案件。
他说:
“不少人以为区块链去中心化、不可篡改就能绝对安全,完全不惧怕黑客。但其实区块链从底层代码到最终应用,可能涉及到很多方面,比如智能合约、钱包、交易所等等,这些地方都可能成为黑客的攻击面。”
这就好比,有人把机械门锁换成指纹锁就以为自己的财产很安全,可其实小偷照样有办法复制指纹,甚至完全不管门锁,直接拆门进来,或破墙而入,或跳窗户进来……方法多得很。
区块链会带来哪些新的安全态势?
我和Sherlock进行了一次详谈,他从底层代码安全、数字钱包安全、数字货币交易所安全、新型套利方案等几个方面向我梳理了自己对于区块链一些理解,在此呈现给各位浅友们:
Sherlock,奇虎 360 信息安全研究员, 2015 年接触数字货币,对区块链和数字货币安全颇有见解。
一、数字货币区块链底层代码未必安全
“数字货币区块链底层代码也未必安全。”Sherlock向我回顾了区块链发展史上的一次重大丑闻:
2016 年 6 月,加密货币和区块链社区发生了一次大地震, 世界上最大最知名的众筹项目the DAO 遭黑客攻击,价值 6 千万美元的以太币被盗!
调查原因,竟是 the DAO 编写的智能合约代码不够严谨,里面有两个函数漏洞,能让攻击者不断从项⽬资产池中偷取资产。
为了解决TheDAO大量资金被盗的问题,以太坊官方还推出了针对TheDAO的软分叉版本Gethv1.4.8,增加了一些规则以锁定黑客控制的以太币。
可是,眼看着绝大多数矿工都升级了这个版本的软件,软分叉要大功告成时。由于时间仓促等原因,众多大牛编写出来的软分叉版本居然又有一个明显漏洞!这个漏洞能让黑客零成本搞垮整个项目。
因为那次事件,以太坊社区发生了巨大分歧,一派人认为应该把项目回滚到黑客攻击之前的状态,另一派人则觉得回滚不符合区块链“去中心化、不可篡改”的核心精神,不同意回滚。
最终,两派通过投票彻底“决裂”,以太坊便硬分叉成了“以太经典”和“以太坊”,如同宇宙瞬间分裂成两个一模一样的平行世界各自运行。
“可是谁能确保修复后的代码没有新漏洞呢?只要是人写的代码就可能有漏洞。”Sherlock说,不少人迷信区块链底层代码是安全的,这种想法本身就很危险!
对区块链有所了解的人,相信都听说过51%攻击:只要控制一个区块链上51%的算力,就能对链上的交易任意数据进行篡改。
以往,人们之所以相信区块链是不可篡改的,就是坚信51%攻击不可能发生,因为同时控制51%所需要的资源成本太高。
“可是,只要理论上来说可能,我们就不能不堤防!”
二、“李笑来们”很危险!
网络安全行业有个常见名词叫 APT —— 高级持续性攻击,意思是黑客长时间(几个月甚至几年)盯着某个目标,寻找各种突破口,甚至静心布置一个巨大的骗局。
由于实施成本太高,这种攻击形式以往只发生在国家和国家之间,或者大型组织之间。
“数字货币出现后,APT组织很可能把目标转向“数字货币大户”,目标从一系列大型设备转向个人电脑。”
原因很简单,因为他们的数字货币资产足够值钱,个人目标相比有专业风控的大型组织更容易攻破,数字货币被盗后溯源难。
“以往人们把钱存在中心化的银行,即便被偷被骗也比较容易追溯,毕竟银行账户都有实名认证,可是数字货币一旦被骗就很难找回。
由于国家不承认数字货币的价值,有时甚至报警立案都会遇到一些困难。
数字货币的最大特点是去中心化,不可篡改,而这两点恰恰让数字货币持有者成了黑客最好的攻击目标。去中心化意味着出的监管难度高,不可篡改意味着钱一旦被骗走,交易就不可能回退。
黑客为了盗走你的数字货币,可能盯上你家里、办公室的 WiFi 网络,黑进你的个人电脑,或者量身定制一套钓鱼方案。
甚至,他们很可能设下一个巨大的骗局,利用社交关系靠近你,成为你的“朋友”,潜伏在你身边好几个月再行动!文章开头的案例就是如此。
我问道:“李笑来曾经声称自己是比特币首富,号称拥有六位数的比特币,算起来值十几亿,所以他很可能已经成为APT的目标咯?”
“当然有可能。”
(举报)