文|靠谱的阿星
上市之后的360似低调了一些,直到5月29日凌晨向EOS官方提供安全漏洞。去年5月份WannaCry勒索病毒在全球肆虐,安全产品负责人孙晓骏在媒体沟通会上说过,“这回黑客有点‘人性化’,还手把手教你怎么用比特币支付勒索费用。”
无巧不从书的。比特币至去年5月份之后开始一路飙升,在5月30日EOS对比特币的价格走势是略跌0.37%(更多人相信安全漏洞发现等于提前“排雷”)。周鸿祎虽公开称自己不懂区块链,其实他懂不懂不要紧,底下的人懂就行了,他坚信“代码是人写的,肯定会有漏洞的。”在区块链的数字世界中,漏洞同样也会无所不在。
区块链风口刮来的重要因素是,区块链的确比一般互联网在理念和架构上更加注重“安全”,“分布式机制”保证了数据流的完整一致、不可篡改的特点。举个例子更容易理解,阿星最近了解到国内已有做智能锁老板开始研发“区块链锁”了,而现有移动互联网提供“中心化”云端服务器,黑客攻击能够砰砰同时打开非常的房门,而在“去中心化”网络中安全系数无疑高出很多。
一、比特币“交易所”为何成为黑客攻击的头号目标?
下手者目的很简单,就是为窃取钱财而来,技术手段极为缜密,比特币、区块链安全问题显然也比传统网络安全更为复杂。
2017年12月份告破的全国首例比特币被盗案,戴某把正版钱包软件破解之后植入获取用户账户名和密码的爬虫文件,在聊天群中丢给吴某下载安装,随后吴某的电子钱包软件中181个比特币被清空。戴某让多人下载其钱包软件的说辞极其简单:“比特币放在交易所不安全”,这是有前车之鉴的。
交易所目前是所有数字加密币的存储中心和流通中心,自然是黑客头号目标。2014年,当时全球最大的比特币交易所Mt.Gox宣布因遭受黑客攻击,其CEO马克·卡尔普称“平台上85万个比特币因公司系统漏洞被盗一空”而MT.Gox在日本旋即申请破产保护,而Mt.Gox是否监守自盗成为一桩未了公案。三年后,“黑客”再次成为背锅侠,2017年12月19日韩国比特币交易所Youbit同样因黑客攻击丢失4000个比特币后破产,故事惊人的相似。
传统网络攻击往往是挂木马病毒,或者制造一些伪正常访问的DDos攻击让网站宕机;现在的网络攻击则是在“挖矿”时就挂了恶意脚本,黑客下手重点攻击的目标的确是交易所存储的加密货币,如果这个时候交易所缺乏职业操守的话,情况会非常不妙,据资深币圈玩家小K向阿星爆料:“不怕交易所跑路,就怕交易所套路。定点爆仓、回滚、拔网线、机器人交易、冻结账户会造成亏损,而维权太难了,现在交易所服务器都在境外。”
赵长鹏从OKCoin跳槽出来创办“币安”,取这个名字是别有深意的。由于比特币交易还处在消息极易影响市场行情的阶段,黑客除了直接窃取货币,还能通过碰瓷“做空”来牟取暴利,成为极其隐秘的“庄家”。今年3月币安遭受黑客攻击,币安及时中止了用户加密币提现,未发生盗币,但是比特币因此下跌10%;据比特律动报道称,一些用户账户加密币被黑客换成比特币之后,大量买入VIA(维尔币),由此将后者价格拉升了110倍......
二、智能合约、数字钱包是区块链安全事件频发“重灾区”
目前区块链交易所共有数百家,谁家的技术对黑客防御指数高、抗风险能力强,运营规模及时间更长,就更能够聚集起用户的币,相应的赔付能力也更有保障,所以交易所极易“头部化”,并成为现阶段产业中心的原因。除了交易所攻击之外,黑客以及一般蟊贼智能合约和数字钱包领域神出鬼没,同样影响深远。
1. 智能合约可能被黑客利用
2016年6月17日,众筹超过1.5亿美元的TheDAO由于出现安全漏洞,黑客攻击导致价值超过6000万美元的300万个以太币被盗。经大量讨论、投票、争取、尝试后失败、再次尝试,在以太坊区块链官方的提议下,以太坊进行了“硬分叉”,数据回滚至整个网络中由于安全攻击而被影响的以太币,最终TheDAO黯然退市。由于以太坊网络中所有矿工没有达成完全一致的回滚共识,最终酿成以太坊网络分裂成至今“以太坊”(ETH)和“以太坊经典”(ETC)的格局。
区块链的技术特性决定了智能合约带有病毒的传播特性,一旦本身出现漏洞被黑客加以利用,影响是传统网站的百倍计,并且很难短时间修复。从某种程度上,去年WannaCry勒索病毒就是典型的区块链“智能合约”的应用场景之一,黑客把勒索病毒的智能合约发到网上,无须黑客进行任何其他操作实现比特币到账即自动解锁电脑自动化。
(WannaCry就是典型的区块链智能合约应用,黑客玩的很溜了)
庆幸的是,合约发布方们已经意识问题严重性,开始执行严格的智能合约审计,为智能合约筑起区块链“马其顿防线”成为趋势。
2. 数字钱包中的资产不翼而飞原因多样
“数字钱包”是用来存储数字货币的软件载体,其中,不联网存储私钥的是“冷钱包”,目前市面上的硬件钱包就是冷钱包;而把私钥托管在网络的叫“热钱包”,比如如电脑客户端钱包、手机App钱包、网页端钱包等等。
数字钱包就像是直接在区块链世界里的“余额宝”,现在已经有一些实体店开始支持比特币支付了。但与余额宝、银联卡的货币存储在银行,即便被偷被骗也可追溯,毕竟银行账户都有实名认证,而数字货币往往相对更难追溯,一旦被骗就很难找回,目前比特币及代币的监管难度比较高;而不可篡改则意味着钱一旦被骗走,交易就不可能回退,基于这两点,数字钱包成为黑客眼中的“肥肉”。
从数字钱包从设计、发布、下载、安装、运行的途中但凡出现问题,均有可能中招。比如,是否通过官方渠道下载钱包,如果从第三方软件平台下载,会不会下载到有恶意插件的?即便通过官方渠道,是否处于安全的wifi环境?即便网络环境没问题,官方渠道的下载地址会不会遭到攻击?就算这些雷一一避开,数字钱包本身是否可靠?厂商有没有为了使用便捷而忽略安全运维?厂商是否具备安全存储用户私钥的能力?
三、如何保护好自己的数字货币?有哪些实用干货
安全是区块链的“地基”,但是在区块链的江湖里,有最优秀的创业精英,也有最优秀的骗子,基础的确并没有小白们想象的那么牢靠。提出安全隐患得有针对性的解决办法才算圆满,阿星在采访众多老韭菜和老师之后,拿到了不少压箱底的干货建议,经过授权后拿出来发表,值得普通投资者拿小本本记下来:
(1)市面大多数加密货币钱包是中心化钱包,一旦发生意外,用户资产丢失后难以追回;对于投资者而言,倘若持有大量的数字资产,更适合选用“去中心化钱包”,毕竟大量的资产由自己掌握才最放心。而对于短期的小额投资者而言,中心化的钱包的优势在于,使用体验更加便捷,不过分批存放入不同的钱包更稳。
(2)普通比特币持有者账户可以“币托”服务实现权益转移,当交易所发生不可抗力因素用户失去控制账户能力情况下,可通过“币托”来实现与权益人(家人、朋友等)共同管理账户,实现账户权益的传承。
(3)个人数字钱包的“私钥”绝对不能外泄,“公钥”是收款地址,就好比自己的门牌号码,而私钥/助记词/keystore等相当于自家的“钥匙”,这三类中任何一项均不要随便泄露给别人,最好是能够离线保存或保存在加密本地存储硬盘或U盘里。
(4)数字货币投资者在转账时要反复确认转币对象和地址,因为钱包地址一般一串很长的字符,最好直接复制,并核对一遍;因而交易是不可逆的,一旦打过去就是别人的了。注意不要因为一些“更低的手续费”、“更多的额度”等承诺而绕过平台担保,进行私下点对点交易,一旦发生很难追回。
(5)平时用户养成良好的使用习惯,多留个心眼,比如选择主流交易平台,从官方渠道下载钱包客户端;备份好自己的钱包文件;设置复杂的密码;在不同的平台使用不同的登录口令;谨慎下载论坛、社群里的文件,不要点击来路不明的链接防止钓鱼软件中招;钱包地址尤其是私钥绝对保密,在访问平台时,反复确认域名以防止进入山寨网站;尽量在私人的局域网和自己电脑或手机设备上网操作,杀毒软件定期清理和更新必不可少等等。
阿星怎么看:
移动支付的流行是由于阿里和腾讯在安全投入很多看不见的技术支撑一样,在区块链安全上挑战更大、情况更为复杂,目前数字货币及token是目前区块链最主要的应用场景之一,利益激励让目前的区块链成为利益告诉流通的新兴领域,如果没有“区块链安全”为交易所、智能合约、数字钱包做好维护的话,区块链美好的数字世界生态图景都将是空中楼阁,区块链安全也是一件不可能有终结的工作,这将是未来新的“道魔较量”!
作者:靠谱的阿星(李星),公众号:靠谱的阿星,靠谱汇公司创始人,100多家主流科技媒体专栏作家,CMO训练营导师,知名互联网分析师,荣获2017年钛媒体年度作者「最具人气奖」,区块链风口第一批观察者,阿星的个人微信号:1598145405,欢迎勾搭。