盘点区块链史上黑客事件 如何保障资产安全?
2019-03-22区块链 编辑:安安
来源:比特吴社区
资产安全一直是数字世界中的重中之重,而丢币也一直是加密世界中老生常谈,无论是个人用户还是交易所都曾因为数字资产被盗而麻烦上身。
尤其是数字货币交易所,在以往的事件中,黑客攻击曾经几度给区块链项目和交易所带来严重的打击,以史为鉴,回过头来,我们来盘点一下区块链历史上出现的重大黑客攻击事件,作为借鉴,这些事件又给了我们那些启发和教训?
价值溢出事件(2010年8月)
2010年8月15日,未知黑客对比特币发动攻击,利用大整数溢出漏洞,绕过了系统的平衡检查,将比特币的总量有限的设定打破,黑客凭空创造出了1844.67亿个比特币。
在这一局面中,中本聪为挽救比特币,被迫发动了比特币历史上的第一次硬分叉。
Allinvain事件
2011年6月,一名叫Allinvain的用户成为有记录以来首次大规模比特币偷盗事件的受害者。Allinvain一觉醒来发现被黑客窃取了25000枚BTC,当时价值约为50万美元。
Bitcoinica (2012年3月和5月)
Bitcoinica是一家老牌交易所,它曾在2012年遭遇两次黑客攻击。黑客利用其安全松懈的服务器,获取了客户数据(包括密钥),共计盗走61000个BTC,最终导致Bitcoinica破产。
Bitfloor(2012年9月)
与Bitcoinica的被盗过程相似,黑客入侵了Bitfloor的服务器,盗走了24000个BTC。Bitfloor从此一蹶不振,并于次年4月关闭。
Poloniex(2014年3月)
2014年3月,刚成立两个月的Poloniex交易所的服务器被入侵。一名黑客发现Poloniex的漏洞,即提现系统在同时收到多个请求的情况下允许出现负余额。提现系统注意到异常活动后,关闭了进入受影响账户的通道。
但在此之前,Poloniex加密货币总储备的12.3%被盗。Poloniex暂时将每个账户的余额都扣除12.3%,后续再全部恢复。Poloniex最终幸存下来,并于2018年被收购。
MtGox(2014年2月)
MtGox是当时规模最大的老牌交易所,也遭遇了最严重的黑客攻击。由程序员Jed McCaleb创建。2010年7月,他读到一篇关于比特币的文章,于是修改了网站代码,用于交易比特币,并于2011年将该网站卖给了Mark Karpeles(法胖)。到了2014年,MtGox处理的比特币交易占全球70%。
2014年2月7日,MtGox宣布暂停交易,理由是其安全软件存在漏洞。两周后,网站突然关闭,MtGox申请破产。此次损失共计85万BTC,在当时价值4.7亿美元。这个问题导致投资者信心受挫,比特币直接暴跌36%。
许多人怀疑是法胖监守自盗,他于2015年因欺诈、挪用公款和操纵用户余额等罪名被捕,但这并不能直接证明他与交易所被盗事件有关。2017年,美国当局在希腊逮捕了俄罗斯人Alexander Vinnik,他控制的钱包不仅有MtGox被盗的比特币,还包括Bitcoinica、Bitfloor的。
Bitstamp (2015年1月)
安全事件不断发生,交易所开始把币存储在两个钱包上:冷钱包和热钱包。冷钱包,即不联网的服务器,又称离线钱包。热钱包则用来存储足够的钱以满足用户的每日交易需求。
2015年1月,Bitstamp热钱包里的19000个比特币被黑客通过钓鱼手段窃取。幸运的是,Bitstamp 90%的币都存储在冷钱包里,并没有受到影响。
The DAO (2016年6月)
基于以太坊网络发行的加密货币运行方式跟比特币不同,但同样都是黑客攻击的对象。以太坊区块链环境有别于其他数值货币。ETH是通过电脑代码,即智能合约交易的。
所谓智能合约即设置好要求,一旦满足设定条件就会自动执行。以太坊全网有6000台电脑,因此网络难以被修改或被控制。以太坊架构支持去中心化自治组织DAO,把规则和决策通过代码的形式写进区块链之中,允许智能合约在不受人为监控的条件下自动执行。
2016年4月, Genesis DAO创造了一个投资者可以给项目投票的社区,获得20%以上支持的项目可获得资金支持。DAO在以太坊上融到了2.5亿美金。6月份,黑客发现了一个支持单一币种多次提现的漏洞,而智能合约更新的速度比不上提现的速度。短短几个小时内,DAO 合约里面30%的ETH都被转移了。
盗窃事件被公开后,Genesis DAO 执行了硬分叉,创造出了一条新的区块链。但是这次分叉受到了社区部分持币者的反对,他们认为篡改时间戳就是在稀释其他人手上以太坊的价值。之后,社区发起投票,89%的人支持硬分叉。反对者从社区分离出去,重组了原链,改名Ethereum Classic。
Bitfinex (2016年8月)
这是继MtGox热钱包被盗后发生的第二大交易所被盗事件。讽刺的是,Bitfinex进行软件升级本是为了提高安全,却没想到软件内含有漏洞。Bitfinex当初使用的是BitGo提供的多签交易软件。
时至今日,没人清楚黑客是怎么避开多个签名盗走币的。现在最主流的解释是Bitfinex服务器安装了不合适的软件。Bitfinex事件中,黑客盗走了12万个比特币, 当时价值7200万美元。
随后,为了补还客户的损失,Bitfinex通过代币进行股权融资,并使用营业额按月赔偿客户后逐步弥补亏空,艰难的熬了过来。
Parity(2017年7月和11月)
以太坊也受过多重签名系统缺陷的影响。2017年7月17日,有人攻击了多重签名钱包服务商Parity,目标是三家最近刚完成ICO的公司。黑客一共窃取了152037个比特币,价值3200万美元。Parity将本次攻击归咎于Parity钱包版本中智能合约代码存在漏洞,并于7月20日发布了补丁。
糟糕的是,该补丁解决了智能合约的问题,却还存在另一个安全隐患。Parity在其智能合约代码上新增了“kill” 功能,该功能允许用户永久锁定Parity钱包。Parity开发者没有将这一代码更新到所有的用户钱包中,而是选择跟一个中心化library(合约库)进行函数调用。
11月6日,用户名为“devops199”的编程新手意外锁死了library,所有与library相连的钱包也被锁死了。受影响的钱包共计587个,包含513,774个ETH,价值约1.5亿美元。
这不是犯罪也不是恶意行为,却给以太坊带来一个大问题:是否再次进行硬分叉以恢复被锁定的587个钱包?4月,Parity向以太坊社区发起投票,最终以55%反对票拒绝了硬分叉,丢失的币也就永远找不回来了!
NiceHash(2017年12月)
NiceHash是一家位于斯洛文尼亚的矿场。黑客利用钓鱼成功窃取一名员工的证件,盗走4700个BTC,当时价值近8000万美元。
Coincheck(2018年1月)
Coincheck是一家日本交易所,被盗取了5亿个NEM。黑客取出NEM后迅速兑换成其他加密货币,以至于NEM基金会放弃了恢复工作。这次损失高达5.3亿美元,超过了2014年MtGox的损失。由于Coincheck在被黑后随即冻结提现,因此稳住了用户,交易所最终才得以存活下来。
Coinrail和Bithumb(2018年6月)
2018年6月,韩国两家交易所的热钱包遭遇攻击。其中Coinrail损失了5300个 BTC(价值接近4000万美元),Bithumb损失了近3100万美元。
区块链的安全现状
盗币事件层出不穷,仅2018年上半年发生的事件累积损失就接近11亿美元。但这些安全事件不是区块链世界独有的,虽然区块链本身不容易受到攻击,但黑客却可以利用智能合约、钱包或人为失误等漏洞找到可乘之机。
对于区块链本身而言,威胁最大的是51%攻击,它是指:一旦某个人或组织拥有全网51%以上的算力,从而能比其他节点更早获得记账权创建区块,最终控制网络,特点是攻击成本比较高。
现在由于挖掘比特币的成本越来越高,存在一些人通过电脑病毒部署僵尸网络,用于恶意挖矿,另外还有就是利用勒索软件对其它用户发动攻击。
虽然SHA256加密算法很复杂,但也并非不可攻破,或许最致命的攻击我们尚未发现。McAfee集团的管理人员曾经说过:“这个行业太新了,我们现在都没有一个专门发现并报道技术缺陷的平台”。
资产安全比一切都要重要,通过上面的例子我们可以看出,无论是交易所、钱包软件、矿场乃至区块链项目都存在被黑客攻击的威胁,而对于我们普通投资人或者用户来说如何将风险降到最低就非常重要了,通常来说选择透明度高、技术实力强的项目风险较低,短线选择知名度较高、管理措施健全相对规范的交易所,长线尽量将数字货币保存到冷钱包,备份保存好私钥助记词并且避免触网可以将风险降到最低。
炒币千万条,安全第一条,操作不规范,回首泪两行。