图片来源图虫:已授站长之家使用
来源 / 区块链Truth(微信公众号:chaintruth)
作者 / 贝尔
一个笔名为Hacker的黑客曾经如此回忆:
2013 年 6 月,他在十几家比特币交易所发现漏洞后,毫无阻碍地提走了所有的比特币。提币之后,他在localbitcoins.com上出售了这些比特币,那一天他赚了 8000 美元的现金,相当于 4 个月的工资,感觉就像在天堂。
2013 年的比特币价格,在经历了起起落落后,最高曾升至超过 1242 美元,这一价格甚至高于一盎司黄金的价格。
比特币的“数字黄金”之名由此得来。
此后,比特币等基于区块链诞生的虚拟货币,便成为黑客最喜欢攻击的目标。
近日,腾讯安全联合知道创宇发布的《 2018 上半年区块链安全报告》显示, 2018 年上半年区块链领域因安全问题损失超过 27 亿美元,其中 11 亿美元是由于数字加密货币被盗。
“我们追踪的全球黑客,有 30 多万的人或组织在攻击区块链,基本90%的黑客在盯着区块链,把区块链当作取款机一样。”北京知道创宇信息技术有限公司创始人兼CEO赵伟对区块链Truth(ID:chaintruth)说。
1/ 4 智能合约存漏洞,半年损失 27 亿美元
根据腾讯安全提供的数据,与加密数字货币有关的黑客攻击事件,从 2013 年到 2018 年(上半年)直接增加了大约五倍的数量, 2018 年全年预计增加约十倍。
近几年区块链安全事件统计
安全公司Hosho报告显示,区块链上智能合约的bug普遍存在。经过Hosho审计的智能合约项目筹集资金总额高达 10 亿美元,这些项目中有25%被发现存在严重漏洞,约有60%至少存在一个安全问题。
就在此前,知道创宇也发布了一份颇为相似的报告。
在知道创宇发布的《知道创宇以太坊合约审计CheckList》中,披露了知道创宇 404 区块链安全研究团队针对全网公开的共 39548 个合约代码扫描的结果。结果显示,截止 2018 年 8 月 10 日,发现共 24791 个(占比62%)合约涉及到以太坊智能合约设计缺陷问题(包括“条件竞争问题”、“循环DoS问题”等问题)。
其中,有“approve条件竞争问题”的合约有 22981 个,并且 15325 个合约甚至还处于交易状态,approve条件竞争漏洞的结果可能引发丢币的问题;有“循环DoS问题”的合约有 1810 个,其中 1740 个合约仍处于交易状态,以太坊中循环DoS则可能因gas消耗过大导致交易失败,合约无法执行。
超过60%的以太坊智能合约出现设计缺陷问题,也意味着基于这些智能合约的数字货币系统也存在安全隐患。
黑客,正是盯住了加密数字货币的这一安全问题。
网络安全解决方案提供商趋势科技在一份新研究中表示,网络犯罪分子的注意力正从快速的勒索软件攻击转为较慢的、更隐蔽的窃取计算机计算资源以挖掘加密货币。该研究结果显示,与 2017 年全年相比, 2018 年上半年检测到的加密货币挖矿增加了96%,检测到的挖矿病毒与 2017 年上半年相比增加了956%。
《 2018 上半年区块链安全报告》中的数据显示,区块链因自身机制的安全、生态安全和使用者安全三个方面造成的经济损失,分别为12. 5 亿、14. 2 亿和0. 56 亿美元,共计高达 27 亿美元。
这相当于此前登陆纳斯达克的优信公司的总市值。
损失最多的是数字货币交易平台,总共为13. 4 亿美金。其次是智能合约,主要是集中在以太坊上,比如因为代码的漏洞或者私钥的泄露等原因导致的资金损失达到了12. 4 亿美金。再次是个人用户遭受到的攻击,比如电脑中病毒、私钥被窃取等,包括矿工的一些病毒事件等等。
“黑客对区块链的攻击还会一直持续,甚至会越来越多。”一位安全人士告诉区块链Truth(ID:chaintruth)。
全球超过 30 万人或组织在攻击区块链
“因为以前区块链和数字货币领域没有人在乎安全,区块链形成的价值突然起来之后,对黑客来说这里就像一个银行,他们随便拿钱。”
从 2011 年,赵伟便开始关注比特币, 2013 年知道创宇开始为加密数字货币领域的交易所、钱包等平台提供数字资产的安全防御。
“黑客”(黑客的本意是技术上突破极限)出身的他,最懂黑客的手段。
“现在黑客把区块链都当成靶场了。我们追踪的全球黑客,有 30 多万的人或组织在攻击区块链,所以基本90%的黑客在盯着区块链的安全问题。而一旦攻破之后,区块链又是匿名的,资产丢了没法找回,所以黑客们就把区块链当成取款机一样。”赵伟说。
根据今年 5 月 30 日的区块链产业安全分析报告,全球发生区块链安全事件的趋势呈逐年上升态势。 2011 年出现了第一次比特币安全事件,当时丢失 102 万美金; 2014 年全球区块链的资金损失大概是4. 6 亿美金;而到了今年上半年,这个数字达到 19 亿美金。
数据来源:区块链产业安全分析报告
《 2018 上半年区块链安全报告》中,腾讯安全技术专家将区块链加密数字货币引发的安全问题归结为三个主要方面:
其一,区块链自身机制问题。以以太坊为代表的区块链智能合约设计存在的漏洞问题,带来的经济损失极为严重。 2016 年 6 月,以太坊最大众筹项目The DAO被攻击,黑客获得超过 350 万个以太币,最终导致以太坊分叉为ETH和ETC。同时,真实的区块链网络是自由开放的,理论上若黑客控制节点中绝大多数计算机资源,就能重改共有账本,最终实现51%“双花攻击”。
其二,区块链生态安全问题。区块链生态中包括PoW机制下的矿场和矿池、PoS机制下的权益节点、加密数字货币交易所、软硬钱包、数据跟踪浏览器、DApp应用,以及面向未来DApp应用的区块链网关系统等。其中,围绕交易所发生的安全事件最为显著,交易所被盗远超其他事件类型。此外,交易所被钓鱼、内鬼盗窃、钱包失窃、各种信息数据泄露和篡改、交易所账号失窃等问题,也同样值得关注。
其三,使用者自己造成的安全问题。由于数字虚拟币钱包这些交易工具的使用具有较高的门槛,要求使用者对计算机、加密原理、网络安全均有较高的认知。然而,许多数字虚拟币交易参与者并不具有这些能力,极易出现安全问题。甚至因操作不当引发熟人作案,数字资产被身边人盗取。
在赵伟看来,中国黑客的攻击能力和安全研究能力非常强,美国的安全公司最顶尖的科学家基本都是华人,“只不过我们的安全市场都是合规性的,就是政府要求什么就是什么,其中利益链错综复杂。”
这也就意味着,中国境内的网络安全,相对较为规范。
(举报)