白话区块链
从入门到精通,看我就够了!
一位笔名为“Hacker”的黑客曾如此回忆:
2013年6月,我在十几家比特币交易所发现漏洞后,毫无阻碍地提走了所有的比特币,并通过场外交易出售了这些币。那一天赚到了8000美元,相当于4个月的工资,感觉就像在天堂……
2013年,比特币的价格起起落落,最高达到1242美元,超过了当时一盎司黄金的价格,比特币的“数字黄金”之名由此得来。
此后,比特币等基于区块链技术的数字货币,便成了黑客最喜欢攻击的新目标。
根据腾讯安全和知道创宇联合发布的《2018上半年区块链安全报告》(下简称《安全报告》)的数据,2018上半年区块链领域因安全问题造成的损失已超过27亿美元,约有11亿美元的数字货币被盗(金额为当时市值)。
01
1/4智能合约有漏洞,数字货币成黑客攻击目标
图片来源:腾讯安全2018上半年区块链安全报告
多份区块链安全报告的数据显示:已发布上链的区块链智能合约中,有相当比例的智能合约存在不同的安全漏洞问题。
来自安全公司Hosho的报告显示,区块链智能合约的Bug普遍存在。经Hosho审计的区块链项目,筹集资金总额高达10亿美元,审计中发现这些项目中的智能合约有25%存在严重漏洞,约有60%至少存在一个安全问题。
知道创宇发布的另一项安全报告《知道创宇以太坊合约审计CheckList》,披露了公司安全研究团队针对全网公开的共39548个合约代码扫描的结果。结果显示,截止2018年8月10日,发现其中共有24791个(占比62%)合约涉及到以太坊智能合约设计缺陷问题(缺陷包括“Approve条件竞争问题”、“循环DoS问题”等,其中Approve条件竞争漏洞的结果可能引发丢币的问题;以太坊的循环DoS问题则可能因Gas消耗过大导致交易失败,合约无法执行)。其中:
有“Approve条件竞争问题”的合约共22981个,其中的15325个合约甚至还处于交易状态。
有“循环DoS问题”的合约共1810个,其中1740个合约仍处于交易状态。
超过60%的以太坊智能合约出现设计缺陷问题,意味着基于这些智能合约的数字货币系统也存在着安全隐患。
另一方面,网络安全解决方案提供商趋势科技在一份新研究中也表明:网络犯罪分子的注意力正从“快速的勒索软件攻击”转移到“较慢的、更隐蔽的运算资源窃取以进行数字货币的挖矿”——与2017年全年相比,2018上半年检测到的数字货币挖矿攻击增加了96%,检测到的挖矿病毒与2017年上半年相比增加了956%。
黑客,已经盯上了数字货币的安全问题。
“黑客对区块链的攻击还会一直持续,甚至会越来越多。”一位安全人士说。
02
安全损失逐年增加,现数十万人在攻击区块链网络
图片来源:区块链产业安全分析报告
从2011年起,赵伟就开始关注比特币,黑客出身的他,最懂黑客的手段。
他说:“现在,黑客把区块链都当成靶场了。我们追踪全球黑客,有30多万的人或组织在攻击区块链网络,基本上90%的黑客在盯着区块链的安全问题。一旦攻破,由于区块链是匿名的,资产丢了没法找回,所以黑客们就把区块链当成取款机一样。”
根据白帽汇安全研究院在今年5月30日发布的《区块链产业安全分析报告》数据,全球发生的区块链安全事件数量呈逐年上升态势。
事实上,从数字货币诞生之日起,安全问题就如影随行。
2011年发生了第一起比特币安全事件,涉及24.8万个比特币(当时市值为102万美金);2014年因区块链安全问题涉及到约85万个比特币(当时市值为4.6亿美金);而到了今年上半年,因安全问题引起的经济损失已经达到了19亿美金。
《安全报告》中,腾讯安全技术专家将导致区块链数字货币安全问题的原因归结于“自身机制安全、生态安全和使用者安全”三个方面:
一是区块链自身机制问题,以以太坊为代表的区块链智能合约设计,存在的漏洞问题带来的经济损失极为严重。
2016年6月,以太坊上当时最大的众筹项目“The DAO”被攻击,黑客获得超过350万个以太币,最终导致以太坊分叉为ETH和ETC。
另外,理论上,如果黑客控制了区块链网络中的绝大多数节点,就能改写已有的共有账本,从而实现“
51%攻击
”。
二是区块链生态安全问题。区块链生态体系的参与者包括PoW机制下的矿场和矿池、PoS机制下的权益节点、数字货币交易平台、软硬件钱包、数据跟踪浏览器、DApp,以及面向未来DApp的区块链网关系统等。
其中,围绕交易平台发生的安全事件最为常见,被盗事件的数量远超其他事件类型。此外,交易平台被钓鱼、钱包失窃、各种信息数据遭泄露和篡改、交易平台账号失窃等问题,也同样不容忽视。
三是使用者自己造成的安全问题。数字货币钱包的使用门槛较高,使用者最好能对计算机、网络安全有一定了解。然而,许多数字货币交易者并不具有这些能力,因此极易出现安全问题。
据《安全报告》数据,2018上半年因上述三方面原因造成的经济损失分别为12.5亿、14.2亿和0.56亿美元,总损失合计高达27亿美元。
03
破坏共识,安全问题助推了数字货币的熊市
图片来源:网络
2018年,比特币价格自2万美元的高点一路下跌,最低跌破6000美元,全球数字货币总市值也大幅受挫。
在赵伟看来,这波熊市跟区块链安全不无关系。他认为,黑客盗币、攻击区块链系统,最大的伤害是破坏了区块链的共识,打破了信任,而“没有了共识,容易引起砸盘,黑客收割了所有人,而且是极端的杀鸡取卵。
数学算法帮助快速达成共识,维护着区块链网络的安全,在比特币面世之初,持有量排名靠前的很多用户正是安全人员。当黑客盗取了人们认为最安全的“数字黄金”后,大家发现它并不安全。
可以说,频出的区块链安全问题,助推了数字货币熊市的到来。
在数字货币的安全事件上,问世近十年的比特币也曾遭遇过“灭顶之灾”——2010年8月15日,一名黑客曾在比特币高度为74638的区块上,通过比特币的原生Bug一夜间创造了1844亿枚比特币。
或许是因为那时比特币价格太低,没有引起大多数人注意。这名黑客在完成这一“壮举”后,没有再进行后续的攻击动作,让比特币免于在“通货膨胀”后陷入瘫痪。
虽然黑客开过玩笑后,颇为满意地离开了,但这一事件却吓坏了当时的比特币代码维护团队。比特币社区的首席开发者Wladimir Van Der Laan在回忆这件事时直言“(2010年比特币被攻击)是有史以来最严重的问题”。
2014年发生了著名的“门头沟”事件,Mt.Gox曾经是全球最大的比特币交易平台,因被黑客盗币最终破产,大约75万枚比特币付之东流,在当时引发了比特币价格的大跌。
2018年3月,某交易量排名居前列的交易所被黑客攻击,黑客通过做空手段在场外套现获益。受此事件影响,比特币暴跌10%。
其他的数字货币黑客事件还有很多。几乎每次黑客的出击,在造成重大经济损失的同时,或多或少都会引起比特币价格的下跌。
虽然没有绝对的安全,但区块链如果要应用在具体的行业上,安全是必须要持续提升和改进的根本技术问题,否则,无论在区块链上面附加了多少价值,都会顷刻间化为乌有。
领取专属 10元无门槛券
私享最新 技术干货