永利皇宫登录网址:报告称市面存多量空气币,

2019-05-17 13:28栏目:区块链
TAG:

永利皇宫登录网址 1

区块链在近两年的迎来了前所未有的热度,街头巷尾、线上线下,对区块链的讨论可谓无处不在。

永利皇宫登录网址 2

永利皇宫登录网址 3

原标题:赵赫:区块链现在是黑客的提款机,很容易变现 | ISC2018

一个笔名为Hacker的黑客曾经如此回忆:

但是区块链行业的安全问题逐渐凸显,与区块链相关的诈骗、传销等社会化安全问题也日益突出。

区块链在几个方向有很大的应用前景。

过去十年,区块链获得了更多的关注。与此同时,随着加密货币的价值增长,不法分子也盯上了这一行业。黑客事件层出不穷,保障用户的资产安全成为一个行业痛点。

雷锋网编者按:经常主打安全概念的区块链到底是不是安全的?作为多年研究区块链的专家,如何看待频出的安全事件?这背后的原因有哪些?

2013年6月,他在十几家比特币交易所发现漏洞后,毫无阻碍地提走了所有的比特币。提币之后,他在localbitcoins.com上出售了这些比特币,那一天他赚了8000美元的现金,相当于4个月的工资,感觉就像在天堂。

基于此,笔者梳理了安全事件,以飨读者。

目前,区块链最主要的应用还是加密数字货币领域,比如比特币、以太坊。因为区块链去中心化和透明不可篡改的特性,在数字身份和法律存证方面也有很多想象空间,国内有些企业在数字版权、数字保险等方面开始进行尝试了。另外,在游戏、娱乐行业,以及数字交通和物联网设备等领域区块链都有一些技术应用的空间。

永利皇宫登录网址 4

在 ISC2018上,由众享比特主办的区块链与安全论坛中,来自中科院的博士赵赫就结合近年来众多著名的区块链安全事件来剖析背后的原因。赵赫本人不仅从事区块链的学术研究,同时也深耕行业,目前是中科智链的联合创始人,他当天的演讲是那场分论坛中反响最大的之一,现将其整理,以飨读者。

2013年的比特币价格,在经历了起起落落后,最高曾升至超过1242美元,这一价格甚至高于一盎司黄金的价格。

区块链安全现状

区块链政策导向

2016 年 10 月,工业和信息化部发布《中国区块链技术和应用发展白皮书 (2016)》,总结了国内外区块链发展现状和典型应用场景,介绍了国区块链技术发展路线图以及未来区块链技术标准化方向和进程。

2016 年 12 月,“区块链”首次被作为战略性前沿技术写入《国务院关于印发“十三五”国家信息化规划的通知》。

2017 年 1 月,工信部发布《软件和信息技术服务业发展规划 (2016-2020 年)》,提出区块链等领域创新达到国际先进水平等要求。2017 年 8 月,国务院发布《关于进一步扩大和升级信息消费持续释放内需潜力的指导意见》提出开展基于区块链、人工智能等新技术的试点应用。

2017 年 10 月,国务院发布《关于积极推进供应链创新与应用的指导意见》提出要研究利用区块链、人工智能等新兴技术,建立基于供应链的信用评价机制。

2018 年 3 月,工信部发布《2018 年信息化和软件服务业标准化工作要点》,提出推动组建全国信息化和工业化融合管理标准化技术委员会、全国区块链和分布式记账技术标准化委员会。

2017 年 9 月,中国人民银行等七部委联合发布《关于防范代币发行融资风险的公告》,规定在中国,交易平台不得从事法定货币与“虚拟货币”之间的兑换业务。

当然,这些黑客事件并不是针对区块链技术本身的,而是利用加密货币服务商,如钱包、交易所的安全漏洞来窃取资金。下面让我们来总结下区块链历史上交易所和钱包的被盗事件吧!

以下为赵赫(钟隐)在ISC2018区块链与安全论坛上的演讲,雷锋网编辑整理。

比特币的“数字黄金”之名由此得来。

案值过亿安全事件频发

区块链面临的安全威胁

永利皇宫登录网址 5

2018 年 5 月 29 号,根据 coinmarketcap.com 发布的数据,目前比特币市值 1200 千亿美金,紧随其后的是以太坊,大概五百多亿美金。13 年比特币大概 600 块钱,现在涨到了八千块钱,这是大家能够直观感受到的。

永利皇宫登录网址 6

钱突然变多,肯定会被坏人盯上。我们统计了全球区块链安全事件的趋势变化, 11 年出现了第一次比特币安全事件,当时丢失 102 万美金,14 年全球区块链的资金损失大概是 4.6 亿美金。18 年上半年,这个数字达到 19 亿美金。

以前黑客黑网站需要上下游配合,才能把黑掉的网站变成现金收入,但是现在很简单,只需要黑一些网站,盗一些币,这些币的收入就足够让他金盆洗手了。而且最关键的是黑客攻击之后,很难进行相关的溯源。

永利皇宫登录网址 7

我们按照不同的事情进行统计,损失最多的是数字货币交易平台,总共是有 13.4 亿美金。其次是智能合约,主要是集中在以太坊上,比如因为代码的漏洞或者私钥的泄露等原因导致的资金损失达到了 12.4 亿美金。再次是个人用户遭受到的攻击,比如电脑中病毒、私钥被窃取等,包括矿厂矿工的一些病毒事件等等。

永利皇宫登录网址 8

根据对以往区块链安全事件的梳理,我们发现基于区块链代币引起的安全问题主要来自于区块链自身机制引发的安全威胁、区块链生态引发的安全威胁、区块链使用者面临的安全威胁三个方面。

永利皇宫登录网址 9

首先自我介绍一下,我是来自中科院的一名科研人员,从2013年开始就进入区块链和加密数字货币领域。

此后,比特币等基于区块链诞生的虚拟货币,便成为黑客最喜欢攻击的目标。

目前,全球约有1600余中数字加密货币,在高峰时期,这些数字加密货币曾撑起了6000亿美元的市值。而排名前十的加密数字货币,占总市场的90%,其中比特币、以太坊币分别占总市值的46.66%和20.12%。

区块链自身机制

永利皇宫登录网址 10

数据层。区块链数据可能是链式结构,也可能是 DAG,它所使用的时间戳,哈希函数,包括一些非对称加密算法可能有很多机制上的问题。发现这些漏洞对黑客的技术要求非常高,需要黑客对区块链底层的实现、对合约的理解非常到位。

网络层。我们遇到过一些比较知名的攻略号,缺乏自动的节点发现功能,比如它可能 20 多个节点,其中几个节点被人 DoS 下线了,它的结点没有自动恢复上线的功能,整个网络的健壮性被黑客一下就击垮了。

共识层。共识机制也非常重要,比特币的共识算法 PoW 决定谁算利高谁就先挖到矿,你要去攻击它,就需要通过算力的投入进行对抗。目前 PoS、DPoS 越来越多,PoS 涉及到非常严格的一个问题,每个节点都需要放大量的资产做抵押,这样才能够产生相应的挖矿收益,那么这个节点的分析就被不断放大,当这个节点的钱存到足够多的时候,黑客可以采用技术更高的攻击手段,甚至动用军工级的技术能力。

合约层和业务层。今年 2 月份我们发现一个攻击团伙,利用以太坊的漏洞,总共窃取了四万七千个以太坊,按照当时的价格来算,总计两千多万美金,折合人民币一个多亿,大概三千多人受害。

这次事件涉及的漏洞一年多之前就被网络曝光过了,是以太坊自己协议上的漏洞,很难恢复。那么这个漏洞被公开之后,很多脚本黑客就知道这个漏洞怎么利用了,不需要太深的技术水平。

AllinVain盗窃事件

2011年6月,一个化名叫AllinVain的黑客获取了一家矿场的硬盘,转走了25000个比特币到外部钱包。这笔钱至今下落不明。这种操作手法就好比黑客从电脑里把银行账户里的资金全部转走。这是第一次有媒体报道加密货币被盗事件,在当时引起了重大反响。

永利皇宫登录网址 11

永利皇宫登录网址 12

近日,腾讯安全联合知道创宇发布的《2018上半年区块链安全报告》显示,2018年上半年区块链领域因安全问题损失超过27亿美元,其中11亿美元是由于数字加密货币被盗。

永利皇宫登录网址 13

区块链生态引发的安全威胁

区块链生态就目前看来,是为支撑区块链运行及与现实世界相对接的一系列支撑系统或应用。区块链生态中包括 PoW 机制下的矿场和矿池、PoS 机制下的权益节点、代币交易所、软硬钱包、数据跟踪浏览器、dApp 应用,以及面向未来 dApp 应用的区块链网关系统等。

区块链生态引发的安全威胁包括:交易所,集中化和传统架构设计,给黑客入侵提供了便利;软硬钱包,软件及硬件钱包由于各种实现上的漏洞,导致自身安全性大打折扣;区块链节点,DDoS、51% 等攻击的存在,导致区块链数据的安全收到威胁。

交易所被 DDoS 攻击案例

2017.5 月,某区块链货币交易平台突然遭遇猛烈 UDP FLOOD 攻击,受到的攻击流量和数据包峰值瞬间飙升到 84517Mbps 和 30953746pps。攻击者在此次闪电突袭受挫后转为麻雀战术,各种间歇性小规模攻击一直持续了 10 天。

10 天后,攻击者纠集了 6 万个肉鸡僵尸,CC 攻击流量急剧攀升到 51023.30GB。

三个小时后,攻击者再次利用 51890 个肉鸡,制造高达 12238.33GB 的 CC 流量。

目前,该平台每天仍遭受 20 余万次恶意扫描,38 余万次危险攻击。

数字钱包所面临的风险

数字钱包是生成私钥和保存私钥的容器,它用来管理密钥和地址,跟踪地址的余额,创建和签名交易。从载体上来区分,数字代币钱包主要分为热钱包和冷钱包两种。

冷钱包从整体安全性来说较热钱包更高,但就目前市场上的产品也存在一定安全风险。

某品牌冷钱包的实体是由智能手机改造而成,这就导致冷钱包的整体安全性受限于智能手机系统的安全底线,同时基于智能手机系统制作的冷钱包,性能往往都不可靠。

某安全钱包虽然是由加密芯片制造,但不是由密码学领域的专业研发专家参与研发,由于加密芯片的使用不当会导致加密芯片无法为钱包提供有效加密的情况出现。

使用者面临的安全威胁欺诈案例——钓鱼攻击

2018 年 3 月 7 日,某境外数字货币交易平台币安遭到黑客攻击,此次攻击造成全球数字币价格大跌。

根据交易所的公告,有 31 个账户遭到黑客的钓鱼入侵,黑客在掌握用户的账户权限之后,使用机器挂单,进行程序化高频交易,给用户带来巨大损失。

2017 年 4 月 14 日,在约翰霍普金斯大学研究数学的学生 xudong zheng 发表了一篇论文,题目是《Phishing with Unicode Domains》,中文为“利用 unicode 网址钓鱼”。

欺诈案例——不了解私钥的特性

2017 年 7 月 1 日,中原油田某小区居民 188.31 个比特币被盗。油田警方几个月后将位于上海的窃贼戴某抓获,价值 280 万美元。

2017 年 10 月,东莞一名 imToken 用户发现 100 多个 ETH(以太坊币)被盗,最终确认是身边的朋友盗取他的数字加密货币。

Bitcoinica

作为一家老牌交易所,Bitcoinica在2012年被攻击了两次,分别是在3月份和5月份。由于交易所网络服务器安全措施不到位,黑客获取了用户数据和密钥,盗窃走了61000个比特币,最终导致Bitcoinica破产。

直接切入正题。为什么很多人都说区块链技术很安全,属于一种数据安全保护,或者软件系统安全架构的一种技术。

“我们追踪的全球黑客,有30多万的人或组织在攻击区块链,基本90%的黑客在盯着区块链,把区块链当作取款机一样。”北京知道创宇信息技术有限公司创始人兼CEO赵伟对区块链Truth(ID:chaintruth)说。 

数字加密货币市值分布

Bitfloor

跟Bitoinica的被盗过程相似, 黑客攻击了Bitfloor交易所的服务器,窃取了24000个比特币。Bitfloor一直没能恢复这笔损失,并在2013年4月份关闭了交易所。

永利皇宫登录网址 14

1/4智能合约存漏洞,半年损失27亿美元

这1600多种数字虚拟币中,存在大量完全没有实体项目支撑的“空气币”,被认为一文不值。而除了有空气币的威胁外,还经常要面临被盗的风险。

Poloniex

2014年3月份,黑客攻破了Poloniex的服务器。那时,这家交易所才营业2个月。Poloniex的创始人Tristan D’Agosta解释道黑客发现他们的提现系统在遇到多个同步请求后,就可以允许“透支”行为。交易所在发现了这一异常操作后,关闭了进入受影响账户的通道。但是 12.3%的总资产已经被盗了。Poloniex的处理方式是:暂时把每个用户余额里的资产都扣除12.3%,后续再恢复他们的账户余额。Poloniex最终活了下来,并在2018年被收购。

永利皇宫登录网址 15

可能许多人都已经听说过了,包括像数据公开透明、记录不可篡改,还有经常说的分布式共识,相信代码,相信数学,相信组织,今天很多老师和同学都已经分享过了。

根据腾讯安全提供的数据,与加密数字货币有关的黑客攻击事件,从2013年到2018年(上半年)直接增加了大约五倍的数量,2018年全年预计增加约十倍。

据不完全调查,仅在2018年上半年,就有价值约11亿美元的数字加密货币被盗,而且这种风险并未得到根本解决。

MtGox

MtGOX是加密货币史上,最早、且是当时最大的交易所。2014年2月,这家交易所遭受了最严重的黑客攻击。MtGOX最初是万智牌玩家(Magic: The Gathering Online)用来交换卡牌的网站,于2010年转型为交易所。2010年7月份该网站的开发者在Slashdot上看到加密货币的介绍后,重写了网站代码,并把该网站卖给了居住在日本的开发者Mark Karpeles。 到了2014年,一家独大的MtGox占据了全球70%的比特币交易量。

2014年2月7日,MtGox声称其安全软件中存在漏洞,紧急暂停了所有交易。两周后,交易所申请破产,网站突然消失。用户共损失了85万比特币,当时价值高达4.7亿美金。这一事件导致投资者信心受挫,比特币价格暴跌36%。

永利皇宫登录网址 16

很多人都质疑Mark Karpeles监守自盗。2015年,Mark在日本因诈骗,挪用公款和操纵用户余额等罪名被捕。但是这并不能证明他跟交易所被盗有直接联系。2017年希腊一家交易所的经营人因洗钱罪被捕,其涉及资产竟包括在MtGox事件中丢失的币。

有分析师曾表示,MtGox交易所是比特币世界的一颗定时炸弹,用户在其平台上交易无益于自杀式行为。

我们重点还是讲讲它不安全的地方。为什么我们要说区块链还不是很安全?

永利皇宫登录网址 17

部分案例:

Bitstamp

安全事件不断发生,交易所开始把币存储在两个钱包上:冷钱包和热钱包。冷钱包,即不联网的服务器,又称离线钱包。热钱包则用来存储足够的钱以满足用户的每日交易需求。2015年1月,Bitstamp热钱包里的19000个比特币被黑客通过钓鱼手段窃取。幸运的是,Bitstamp 90%的币都存储在冷钱包里,并没有受到影响。

永利皇宫登录网址 18

实际上就是区块链的现状导致的。区块链的现状等于黑客的提款机,很容易变现,前面的老师也说过,基本跟钱是一回事,而且很难追踪。我们把区块链里面的各种攻击,各种漏洞的形态也分成了三个大类,与大家也探讨一下,分享一下,最后再给出我们的建议或者最佳实践的一些内容。

近几年区块链安全事件统计

2013年11月,澳大利亚广播公司报道,当地一位18岁的青年称,自己运营的比特币银行被盗,损失4100个比特币;

DAO

基于以太坊网络发行的加密货币运行方式跟比特币不同,但同样都是黑客攻击的对象。以太坊区块链环境有别于其他数值货币。ETH是通过电脑代码,即智能合约交易的。所谓智能合约即设置好要求,一旦满足设定条件就会自动执行。以太坊全网有6000台电脑,因此网络难以被修改或被控制。以太坊架构支持去中心化自治组织DAO,把规则和决策通过代码的形式写进区块链之中,允许智能合约在不受人为监控的条件下自动执行。

2016年4月, Genesis DAO创造了一个投资者可以给项目投票的社区,获得20%以上支持的项目可获得资金支持。DAO在以太坊上融到了2.5亿美金。6月份,黑客发现了一个支持单一币种多次提现的漏洞,而智能合约更新的速度比不上提现的速度。短短几个小时内,DAO 里面30%的ETH都被转移了。盗窃事件被公开后,Genesis DAO 执行了硬分叉,创造出了一条新的区块链。但是这次分叉受到了社区部分持币者的反对,他们认为篡改时间戳就是在稀释其他人手上以太坊的价值。之后,社区发起投票,89%的人支持硬分叉。反对者从社区分离出去,重组了原链,改名Ethereum Classic。

永利皇宫登录网址 19

安全公司Hosho报告显示,区块链上智能合约的bug普遍存在。经过Hosho审计的智能合约项目筹集资金总额高达10亿美元,这些项目中有25%被发现存在严重漏洞,约有60%至少存在一个安全问题。

2014年3月,美国数字货币交易所Poloniex被盗,损失12.3%的比特币;

Bitfinex

这是继MtGox热钱包被盗后发生的第二大交易所被盗事件。讽刺的是,Bitfinex进行软件升级本是为了提高安全,却没想到软件内含有漏洞。Bitfinex当初使用的是BitGo提供的多签交易软件。时至今日,没人清楚黑客是怎么避开多个签名盗走币的。现在最主流的解释是Bitfinex服务器安装了不合适的软件。Bitfinex事件中,黑客盗走了12万个比特币, 当时价值7200万美元。

永利皇宫登录网址 20

首先,第一个是应用层的攻击,主要是讲钱包合乎智能合约,像这两个范围内的攻击手段。

就在此前,知道创宇也发布了一份颇为相似的报告。

2014年Mt.gox盗币案——85万枚,价值120亿美元;

Parity (2017年7月和11月)

Ethereum也曾因多签系统存在问题而被攻击。2017年7月17日,有黑客攻击了Parity多签钱包。这次攻击是针对三家刚刚完成ICO的区块链公司。黑客共窃取了153037个比特币, 当时价值3200万美金。随后,白帽子黑客将其他ICO项目中的资金转移到了安全地址,才得以止损。Parity解释称这次被盗是因为Parity钱包版本的智能合约代码存在漏洞,并于7月20日发布了补丁。

糟糕的是,这个补丁解决了智能合约的问题,但也存在其他缺陷。Parity在其智能合约代码里新增了一个“kill”功能。该功能允许用户永久锁定Parity钱包。Parity开发者没有将这一代码更新到所有的用户钱包中,而是选择跟一个中心化library进行函数调用。11月6号,一位名叫 “devops199” 的用户意外锁死了library,并永久锁死了所有跟library相连的钱包。当时受影响的587个钱包里共包含513774个以太坊。

永利皇宫登录网址 21

以太坊社区再次面临抉择。这次又要通过硬分叉的方式来恢复被锁定的587个钱包吗?4月份,Parity发起投票,55%的人反对硬分叉。丢失的币也就丢失了。

第二个是和区块链相关的交易所和在线服务提供商。

在知道创宇发布的《知道创宇以太坊合约审计CheckList》中,披露了知道创宇404区块链安全研究团队针对全网公开的共39548个合约代码扫描的结果。结果显示,截止2018年8月10日,发现共24791个(占比62%)合约涉及到以太坊智能合约设计缺陷问题(包括“条件竞争问题”、“循环DoS问题”等问题)。

2015年1月,Bitstamp交易所盗币案——1.9万枚比特币,当时价值510万美元;

NiceHash

NiceHash是一家位于斯洛文尼亚(Slovenian)的矿场。黑客通过钓鱼成功窃取了矿场员工的身份,盗走了4700个比特币。

第三种是特别针对于区块链本身系统里面的攻击手段。比如说共识算法、加密学的基础、P2P网络等等内容。

其中,有“approve条件竞争问题”的合约有22981个,并且15325个合约甚至还处于交易状态,approve条件竞争漏洞的结果可能引发丢币的问题;有“循环DoS问题”的合约有1810个,其中1740个合约仍处于交易状态,以太坊中循环DoS则可能因gas消耗过大导致交易失败,合约无法执行。

2015年2月,黑客利用比特儿从冷钱包填充热钱包的瞬间,将比特儿交易平台冷钱包中的所有比特币盗走,总额为7170个比特币,价值1亿美元;

Coincheck

Coincheck是一家日本交易所。2018年1月份,这家交易所被盗了5亿个NEM币。黑客把币从钱包转移出来后立即把NEM换成了其他币。这次损失高达5.3亿美金,超过MtGox在2014年的损失。

永利皇宫登录网址 22(通证丢失后对公众道歉的Coinoincheck原CEO)

第一部分,应用侧的攻击,这个可能是爆发最多的,对于普通用户来说是最容易体会到,有一种很强烈的威胁感存在。这个币存在哪好呢?有可能存着存着就丢了。

超过60%的以太坊智能合约出现设计缺陷问题,也意味着基于这些智能合约的数字货币系统也存在安全隐患。

2016年1月1日,Cryptsy交易平台失窃1.3万比特币,价值1.9亿美元;

Coinrail和Bithumb

2018年6月,韩国的两家交易所被攻击。Coinrail热钱包被盗5300个比特币。几周后,Bithumb热钱包丢失了价值3100万美金的加密货币。

永利皇宫登录网址 23

这是以太坊非常流行的一个钱包,攻击的方式非常多,比如说被域名劫持,因为它是一个在线的情况,在网站上访问了之后,输入私钥就可以将以太币或者以太坊上面的Token都可以收发,很方便,但是黑客也就抓住了这个方便,把安全也就很容易把币转到他手里。比如钓鱼事件,现在有统计,统计了5000多种攻击,同时有1000多种都是针对于在线钱包的攻击。

黑客,正是盯住了加密数字货币的这一安全问题。

2016年8月1日,全球知名比特币交易平台Bitfinex盗币案——约12万枚,价值18亿美元;

区块链的安全现状

被盗事件此起彼伏,仅2018年上半年就丢失了价值11亿美金的加密货币。尽管区块链不容易受到攻击,但其实智能合约,钱包和人为失误都有可能成为被盗的导火线。

还有一种被称之为“51%攻击”的破坏行为,即一个人掌握了51%以上的全网算力,创造区块的速度远远高于其他节点,最终控制整个网络。

专家指出SHA256加密算法复杂,但也并不是无法攻破。或许最致命的攻击尚未被我们发现。McAfee集团的管理人员曾经说过:

“这个行业太新了,我们现在都没有一个专门发现并报道技术缺陷的平台”。

永利皇宫登录网址 24

或许目前的权宜之计是只参与人数众多,透明度高的区块链项目,使用二次验证和硬钱包来保障资产安全。记住,资产安全无小事!

本文作者:Sirius Network

编译:行走的翻译C

Medium:@siriusnetwork

第二种类型也是最古老的攻击手段,就是本地钱包地址替换的情况。大家可能听说过2014年好莱坞艳照门的事件,黑客把很多好莱坞的私密照片发到了网上,最后留了一个地址,希望大家给他打赏,结果这个地方出了一个问题,很多人把自己的地址给换了,最后没得到多少币。对于用户来说,我们这里看到代码逻辑非常简单,直接把内存里面监测到,把钱包直接给换掉。

网络安全解决方案提供商趋势科技在一份新研究中表示,网络犯罪分子的注意力正从快速的勒索软件攻击转为较慢的、更隐蔽的窃取计算机计算资源以挖掘加密货币。该研究结果显示,与2017年全年相比,2018年上半年检测到的加密货币挖矿增加了96%,检测到的挖矿病毒与2017年上半年相比增加了956%。

2017年3月1日,韩国比特币交易所yapizon被盗3831枚比特币,相当于该平台总资产的37%,价值5700万美元;

最新的360安全卫士已经增加了预警功能,这个值得点赞,如果发现钱包的地址被换了会提示,黑客会不停的收到币。比较普遍的方式是针对手机邮箱的,是基于社会工程学的一种东西,2016年年底的时候,国内的区块链大V在手机上被黑了,当时不仅自己损失了一大笔钱,而且造成了市场剧烈的振荡。智能合约的攻击事件我就不多说了。

《2018上半年区块链安全报告》中的数据显示,区块链因自身机制的安全、生态安全和使用者安全三个方面造成的经济损失,分别为12.5亿、14.2亿和0.56亿美元,共计高达27亿美元。

2017年6月1日,韩国数字资产交易平台Bithumb被黑客入侵,受损账户损失数十亿韩元;

我们再讲讲第二部分,系统层面的攻击。比如交易所的攻破,这个听说的也比较多,怎么比特币又被黑了,比特币又被偷了,比特币本身没错,是交易所被黑了。第二种比较大的类型是监守自盗,内鬼做案的事情,国内也出现过,应该是2014年的时候,如果进入这个圈子比较早的同学应该知道有一个比特币存钱罐,存一个比特币一年给你1.1个还是1.2个,过了一段时间存了几千个币之后跑了。第三种是针对于区块链底层BUG被利用的攻击。门头沟的盗币,监守自盗,也有一小部分被人利用了比特币交易延展性的攻击,偷了几千个比特币。

这相当于此前登陆纳斯达克的优信公司的总市值。

2017年7月1日,BTC-e交易所盗币案——6.6万枚,价值9.9亿美元;

我们再看第二类,针对非交易所的,是一些在线服务商的安全事故,这样类型的也非常多。在去年的一个ICO的项目被攻击的原理是,服务器上有一个网站,很多程序员都知道,结果没有打好补丁,被人找到了一个漏洞,上传了木马,拿到服务器权限之后,把里面的币全都给转走了。

损失最多的是数字货币交易平台,总共为13.4亿美金。其次是智能合约,主要是集中在以太坊上,比如因为代码的漏洞或者私钥的泄露等原因导致的资金损失达到了12.4亿美金。

2017年11月22日Tether宣布被黑客入侵,价值3100万美元的比特币被盗;

我想多说一说这一块。很多人觉得区块链是代码写好就OK了,人的因素攻击还是蛮严重的隐患。BTP是硅谷的一个名企,属于支付商。如果你在网上用比特币买东西,比如在国外海淘付款,有可能你用的支付就是他们提供的。他们的首席财政官有一天收到一个邮件,这个邮件是黑客给他发的,他当然不知道。他说我们是一个币圈人或者链圈的一个媒体,需要提供一个答案,他就真的点了邮件里面的链接,没有这么简单,点了链接之后让他输一个帐号密码。输进去之后黑客拿到了邮箱的登陆帐号。拿到了邮箱登陆帐号,黑客很鸡贼,先去学习,先学习邮箱里的所有软件,发邮件是什么样的内容,有什么规定,掌握完了之后黑客模仿CFO的身份给CEO发了一个邮件,我们现在有一个大客户,用什么缘故要转100个比特币,我已经检查过了没有什么问题,请您批示一下。没有多想就给他批准了,黑客拿到这个币之后,一而再在二三偷了三次,偷了一共5个亿。这个是针对人的攻击。最后BTP找保险公司索赔了,但是没有获得赔偿。

再次是个人用户遭受到的攻击,比如电脑中病毒、私钥被窃取等,包括矿工的一些病毒事件等等。

2017年11月23日,Bitfinex发生挤兑3万比特币瞬间被提走;

第三种是针对云平台或者云服务器的攻击,这也是早前发生过的一个案例。国外有一个云平台,类似阿里云、腾讯云,当时国际上也有很多矿池的云平台服务,当时它的管理权限被人获取了,有好几个比较早的创业企业被偷了2万多个比特币。

“黑客对区块链的攻击还会一直持续,甚至会越来越多。”一位安全人士告诉区块链Truth(ID:chaintruth)。

区块链安全威胁三大根源

我们重点讲一讲第三部分,很多人觉得这个技术像比特币,很多年没有出过大的安全问题,所以这个数字货币是非常可信的。其实这个数字不是特别严谨,不是没有出现过,而且出现过不仅一次,各种因素化险为夷了。第一个案例,德国的一个码农,发现比特币的脚本程序里面有一处潜在的破坏力极强的BUG,这个BUG基本内容是,右上角是原始代码的逻辑,case,黑客利用BUG可以调用语句,使得可以用之前钱包里面的比特币。如果我能花你钱包里的钱,这个钱还值钱吗?

全球超过30万人或组织在攻击区块链

机制、生态、使用者

这个BUG最早的时候是没有被公开的,这个程序员发了一个邮件给比特币的创始人,在邮件里讲,对于不知道BUG的人,千万别讲BUG的名字,如果你是很熟悉的人,你一听就知道到底怎么调用这个BUG,你可以想想当时的影响到底有多大。

“因为以前区块链和数字货币领域没有人在乎安全,区块链形成的价值突然起来之后,对黑客来说这里就像一个银行,他们随便拿钱。”

数字货币为何会有如此大的安全风险,其根源在哪儿?

这个BUG没有被公开,悄悄被修复。悄悄的来,悄悄的我又走了,这个BUG后面的比特币升级其它的内容,就是常规性的内容更新的时候,把问题给悄悄的修复了,修复完之后在所有的节点,大部分都更新了之后才被公之于众。所以这个程序员也是比特币或者区块链历史上最鲜为人知的大救星,他第一次救了比特币。也有一种说法,因为他自己也持有比较多的比特币,他不想自己的币贬值,所以他写了这个邮件。这也是加密经济学里面的角度考虑。

从2011年,赵伟便开始关注比特币,2013年知道创宇开始为加密数字货币领域的交易所、钱包等平台提供数字资产的安全防御。

报告指出基于区块链加密数字货币引发的安全问题来源于区块链自身机制安全、生态安全和使用者安全三个方面。

比特币天量刷币漏洞,比特币诞生半年到一年的时候,仅过了一个月出现了第二个BUG,是美国的一个码农程序员(Jeff),他发现比特币的区块链里面7400多个区块有一个很异常的交易,有三个收款地址,有两个收了900多亿比特币,一共是1800多亿个。知道比特币的同学都知道,在求和的这个逻辑里面,有一个求和溢出,当时是没有被处理的。发现这个BUG之后,这个时候比特币已经在运营当中了,而且是比较严重的BUG,结果社区表现出来比较强的能力。开发者出了修复BUG的版本之后,号召大家赶紧在Node的版本上去挖矿,哪一个链最长,才是最终被认可的链,结果带有补丁版本的区块链的程度最后赶上并且超越了原来有BUG的这个链,最终才化险为夷。

“黑客”(黑客的本意是技术上突破极限)出身的他,最懂黑客的手段。

永利皇宫登录网址 25

说完核心代码的一些漏洞之后,我们来聊一聊共识机制的问题。先讲一个,大家可能都知道,51%攻击的问题,现在发现它是现实的存在,原来以为是理论的存在。我们提出一种方案,他可以避免双花。通过什么呢?通过PUW,是有前提的。恶意用户不能超过50%。比特币的历史上曾经有过这种担忧,2014年的时候有一个矿池,不停的增长,几乎已经达到甚至要超过一半了,结果就说大家别在我这儿挖了,我这儿已经变成一个中心化的矿池了,我要提高手续费了,后面慢慢也就没有出现51%攻击的隐患。

“现在黑客把区块链都当成靶场了。我们追踪的全球黑客,有30多万的人或组织在攻击区块链,所以基本90%的黑客在盯着区块链的安全问题。而一旦攻破之后,区块链又是匿名的,资产丢了没法找回,所以黑客们就把区块链当成取款机一样。”赵伟说。

区块链的安全威胁三大根源

现在有很多诟病说中国的几家矿池联合起来也是可以完成51%攻击的,这也是理论上的可能。但是比特币没有真正被51%攻击成功过。有一个比方,为什么说安全没有被51%攻击,因为它的代价太大了,如果对它产生足够的挑战。我以前看了一个数据,需要全国Top500的怪兽级的超散,包括中国的神威、美国的泰坦集合在一起才可能发起有一定威胁性的攻击。现在差距可能更大了。

根据今年5月30日的区块链产业安全分析报告,全球发生区块链安全事件的趋势呈逐年上升态势。2011年出现了第一次比特币安全事件,当时丢失102万美金;2014年全球区块链的资金损失大概是4.6亿美金;而到了今年上半年,这个数字达到19亿美金。

上述三方面原因造成的经济损失分别是12.5亿、14.2亿和0.56亿美元。

51%攻击的风险在于其它的币种,而不是比特币,这种攻击是史诗级的,或者是毁灭级的攻击。大部分都是一些所谓的空气币或者是山寨币。BitcoinGold、Zencash、Vnrge,这些币种都比较小,没有特别强的保护措施,很容易被人通过租用云端算力,租用大量算力冲进来到这个小比重里面去挖矿,超过原始整个网络的算力,一下就造成了51%攻击双花。我们预计未来可能会越来越多。也有学者做过研究,ETC采用的共识算法和挖矿的机制和以太币是完全一样的。巴西的学者研究出来,可能5000多万的攻击成本就有可能造成10个亿的收益。

永利皇宫登录网址 26

永利皇宫登录网址 27

刚才讲过门头沟被盗其实有一部分被交易延展性比特币的BUG给坑了,根据这个基础协议上的,我没确认吗?黑客这部分的交易被确认了,我就把这个币再重发一遍,就是发币过程有问题。造成的影响还是挺大的,比特币的协议升级已经把这个问题解决掉了。第二个是日蚀攻击,也是很常见的一个手段,在比特币和以太坊的节点里都被找出了BUG,都被人修复了,原理也是通俗易懂的,节点在连上区块链网络的时候需要有很多连接来看,比如说现在的区块高度是多少,现在网上哪些交易已经被确认了,相关的交易有没有被确认,交易的是什么,你连接的节点都是黑客控制的节点,他可以告诉你某一个交易的时间根本就没有,现在的高度是某一个区块高度,其实你根本就不是这个高度,浪费了你的算力,告诉你的时间冲也是不对的等等,这个问题就在于,如果说我们写新的系统的时候,比特币和以太坊都出过这种BUG。

数据来源:区块链产业安全分析报告

安全事件统计

下面讲一下漏洞算法的问题。这个漏洞发生过程也很有意思。2017年5月份,IOTA是集DOT做的一个区块链系统,请MIT的研究组来审计代码,本来是一个好事,MIT的研究者就做了检查,两个月之后他们发现确实好,这个里面还有问题,我一开始也上当了,IOTA创始人我们是Curl被骗了,是一个加密(哈西)值的漏洞。我可以构造两个不一样的原始数据,本来(哈西)要避免的事情,在这个里面竟然有这样一个问题,显而易见,导致数字签名的安全性是无法保障的。9月份MIT,因为这个BUG已经修复了,就公布了漏洞审查的报告,没成想出现了戏剧性的一幕,IOTA马上表示强烈的抗议,MIT违反学术道德,我们是故意把它放在你们的,我放在你们是防止别人抄我们的代码。这个也是很有意思的,区块链漏洞系统里面的历史事件。

《2018上半年区块链安全报告》中,腾讯安全技术专家将区块链加密数字货币引发的安全问题归结为三个主要方面:

其一,区块链自身机制问题。

第二个是共识机制里面的攻击,这个叫IOTA缠结缝合攻击,缠结是区块链的一个名词,今年有一个科幻电影《湮灭》,IOTA经历了这样的事情,黑客造出来的各种垃圾交易,并且在这两个链之间不停的用链串联出来。这个造成什么结果呢?IOTA当时的共识算法是不需要交手续费的,交易的确认是需要打包前面两个交易,就造成了普通的用户去确认的时候,大家基本上都在确认大量的垃圾交易,黑客也在确认垃圾交易,这样造成整个网络是无法使用很长一段时间,整个系统等于是不可用了。后面通过共识机制的升级,才解决了这个问题。

其一,区块链自身机制问题。以以太坊为代表的区块链智能合约设计存在的漏洞问题,带来的经济损失极为严重。2016年6月,以太坊最大众筹项目The DAO被攻击,黑客获得超过350万个以太币,最终导致以太坊分叉为ETH和ETC。同时,真实的区块链网络是自由开放的,理论上若黑客控制节点中绝大多数计算机资源,就能重改共有账本,最终实现51%“双花攻击”。

以以太坊为代表的区块链智能合约设计存在的漏洞问题,带来的经济损失极为严重。

其实我们聊了很多,还有大量的,今天时间关系没有办法和大家一起分享讨论。

其二,区块链生态安全问题。区块链生态中包括PoW机制下的矿场和矿池、PoS机制下的权益节点、加密数字货币交易所、软硬钱包、数据跟踪浏览器、DApp应用,以及面向未来DApp应用的区块链网关系统等。其中,围绕交易所发生的安全事件最为显著,交易所被盗远超其他事件类型。此外,交易所被钓鱼、内鬼盗窃、钱包失窃、各种信息数据泄露和篡改、交易所账号失窃等问题,也同样值得关注。

永利皇宫登录网址:报告称市面存多量空气币,漏洞不休。2016年6月,以太坊最大众筹项目The DAO被攻击,黑客获得超过350万个以太币,最终导致以太坊分叉为ETH和ETC。

永利皇宫登录网址 28

其三,使用者自己造成的安全问题。由于数字虚拟币钱包这些交易工具的使用具有较高的门槛,要求使用者对计算机、加密原理、网络安全均有较高的认知。然而,许多数字虚拟币交易参与者并不具有这些能力,极易出现安全问题。甚至因操作不当引发熟人作案,数字资产被身边人盗取。

同时,真实的区块链网络是自由开放的,理论上是无法阻止拥有足够多计算机资源的节点做任何操作,若黑客控制节点中绝大多数计算机资源,就能重改共有账本,最终实现51%“双花攻击”。

我们再回到区块链的安全主题上来。区块链到底是不是重新定义安全,我们觉得区块链技术并不是安全的一个万能钥,区块链系统里面仍然会继承现有的互联网安全、软件安全等问题,同时还引用了新的攻击向量。

在赵伟看来,中国黑客的攻击能力和安全研究能力非常强,美国的安全公司最顶尖的科学家基本都是华人,“只不过我们的安全市场都是合规性的,就是政府要求什么就是什么,其中利益链错综复杂。”

其二,区块链生态安全问题。

区块链确实在有些方面是显著提高安全性的。比如这里提出了两点,容忍部分节点做,但是系统还是不影响的。还有一个没列出来的,能够抗审查,在微博、微信上的东西可能被删,存在这个上面的东西是没法儿被删的。要达成这样的安全性显著提升的目标,有一个前提,在它的设计研发和运营之中还要要对问题充分的重视,做好防范。我们觉得现有的安全技术和区块链技术是相辅相成,良性循环的过程。区块链技术在很多方面补齐了现有安全技术不足的地方,但是现有安全技术又反过来可以促进区块链的技术提升,两个是相互促进良性循环的关系。

这也就意味着,中国境内的网络安全,相对较为规范。

区块链生态中包括PoW机制下的矿场和矿池、PoS机制下的权益节点、加密数字货币交易所、软硬钱包、数据跟踪浏览器、dApp应用,以及面向未来dApp应用的区块链网关系统等。

第一,如果你是区块链资产的持有者(用户),私钥还是权利,以前你的法币的资产,或者什么东西丢了,去警察局报个案,去银行冻结谁动了你银行的卡好。这个是币圈或者老人说的一句话,如果说你买了币,第一时间把它提出来不要放到交易所,交易所里面的币都是欠条,你并不真正拥有这些币,它只是一个符号。不要重复使用密码,尽量使用自动生成的密码,很多人就是几位数的密码,最好都通过软件自动生成它,开启短信认证,这个是比短信验证码更安全的机制,学会识别各种推广链接,百度的,谷歌的,仔细阅读安全提示的相关内容,大额资产建议大家是离线存储,或者是考虑硬件钱包,当然硬件钱包也不一定安全,可能是比直接在电脑上直接存着被偷的概率低一些,最好是硬件存储。我的一个老朋友,是一个老兵,把私钥存到记事本里面,传到云盘上去,在本地把文件就删了,结果把删除的这一步步骤同步到云盘上去了,这样做也是非常危险的。保管好邮箱帐号是显而易见的。最后建议大家考虑优先使用苹果手机,我也很喜欢用安卓,只不过因为这些年安卓的碎片化是比较严重的,除了刚刚发布的第一年安全更新比较频繁,比较快,稍微老一点的安全更新很多做的是不到位的,不仅仅钱包有风险,短信验证码,包括两步验证的APP都有可能会被窃取里面的信息。

破坏共识,安全问题助推数字货币熊市

其中,围绕交易所发生的安全事件最为显著,交易所被盗远超其他事件类型、交易所被钓鱼、内鬼盗窃、钱包失窃、各种信息数据泄露和篡改、交易所账号失窃等问题,同样值得关注。

如果您是一位区块链项目的开发者,几位前辈都讲过这个问题,最好是能自己去看看里面的代码逻辑,里面到底是不是真的,不要信某个牛人或者某个泰斗,在数字货币或者区块链的这个领域里面蛮有反叛性精神的,没有所谓的权威在这里面,大家还是自己去看是最保险的方式。用去中心化的思维,没有以前的服务器客户端的架构,没有BS架构,CS架构了,各种攻击都可能在里面出现,你要考虑这个方面,不要去尝试自己设计一种加密算法,这是一个很大的坑。好像自己天不知道地不知道,只有我自己安全。

自今年初以来,比特币价格自2万美元的高点一路跌破6000美元,全球数字货币总市值从年初的6500多亿美元跌至3000亿美元附近。币圈正经历漫长熊市。

《报告》显示,现阶段涉及区块链生态的安全问题,不论从发生数量、损失金额还是攻击类型上在全部的安全事件中均占比最高也最为突出,是近期区块链加密数字货币安全防范的重点。

谨慎对待慈基数或者时间戳这样的变量和数值,这样的在区块链的编程也是非常难的。我也在思考这个问题,让用户参与进来提供周边的环境信号,包括麦克风或者传感器的数据,混合本地的随机数据,这样也许会安全一点。时间戳也是一样的,重视安全用例的编写,一定要重视你写的每一个Library,哪怕是别人写的智能合约里面有BUG,您这个系统仍然是可能会被找到漏洞,会被击溃的。如果您的工作是基于比特币、以太坊的区块链去做的,不用重复发明文字,一定要同步去更新像比特币、以太坊攻击的安全代码,一般能够比较快的及时响应里面的安全问题,如果你的工作是基于他们的工作基础上来做,你又没有去跟进,等于是告诉黑客,比特币和以太坊等于是告诉黑客,告诫自己智能合约很难写,很难写的好写的安全,一定要谨小慎微,补齐密码学的基础知识。您开发的系统有多安全,这个取决于您。

在赵伟看来,这波熊市跟区块链安全不无关系。

其三,使用者安全问题。

第三个类别,如果您是一位区块链相关产品的创业者,如果你以前不是做这一块的,现在来做这一块,我们的建议是,如果您的项目还没有开始,还是问一问自己,是不是一定要用区块链。第二个,如果项目已经开始了,可以重新从安全的角度审查一下各个方面。应该充分了解,在区块链领域特别是这样的,要投入大量的人力、物力、财力是看不到的,一旦出现事故之后是影响很大的,追悔莫及。针对于自己,针对于关键团队成员,甭管C什么O,这里面一个关键人物出了问题,可能也会造成影响。非区块链服务系统的漏洞,这也是容易忽视的一个问题,服务器上放上您的代码,操作系统的漏洞就不用说了,他的问题也会导致您这个系统的问题。划拨资金池,最好还是有一个单独的资金,这样更多的放在社区里面会更有动机去介入进来,他会觉得这个项目是比较友好的,他也乐意去帮助你,聘任顾问,来审计第三方产品。建议使用两组人员,两种不同的语言来进行开发,把协议约定好。以太坊采用了这种路线,所以避免了好几次大的问题。同样也是针对供应链,开源才是最安全的,但是千万别等到明天上线今天宣布开源,上线的时候是开源产品,这样其实是最危险的,今年有几个数字货币就出现过这个问题,官方的钱包出现,第一天就找到了BUG。最后,做好思想准备,您这个系统一定会有漏洞,有漏洞就一定会有攻破的,至少有一个安全专员,要有一个应急预案。

“黑客盗币,攻击区块链系统,最大的伤害是破坏了区块链的共识,打破了信任。”赵伟说。

对于普通用户而言,要理解或完全掌握数字虚拟币钱包这些交易工具使用,具有较高的门槛,要求使用者对计算机、对加密原理、对网络安全均有较高的认知。

以上演讲来自ISC2018区块链与安全论坛,雷锋网整理。返回搜狐,查看更多

永利皇宫登录网址 29

然而,许多数字虚拟币交易参与者并不具有这些能力,极易出现安全问题。东莞曾有一名叫imToken的用户发现自己账户的100多个ETH(以太坊币)被盗,最终发现是身边的熟人作案。

责任编辑:

区块链的共识机制是其运行的重要规则

永利皇宫登录网址,数字加密货币的三大安全威胁

在他看来,比特币诞生之初的目标是数字黄金。“黄金不是为了小额交易和支付,而是价值保存,用数学算法快速达成共识。它的目标是安全,所以一代的比特币,持有量排名靠前的全是安全人员。”

勒索、非法挖矿、盗窃

当黑客过境,把人们认为最安全的“数字黄金”盗取后,大家发现它并不安全,“没有共识了,就容易砸盘,黑客在这里面是收割了所有人,而且是极端的杀鸡取卵。”

从席卷全球的WannaCry勒索病毒到“tlMiner”挖矿木马案件,再到近期层出不穷的数字货币被盗事件,不法分子看中数字加密货币的匿名性,使用非法手段获取了大量不义之财,“勒索”、“非法挖矿”及“盗窃”已发展成为区块链数字加密货币三大安全威胁。

可以说,频出的区块链安全问题,助推了数字货币的整体熊市。

1.勒索

实际上就连比特币,也曾遭遇过“灭顶之灾”。2010年8月15日,一名黑客曾在比特币高度为74,638的区块上,通过比特币的一个原生bug一夜间创造了1844亿枚比特币。

勒索病毒加密受害者电脑系统,并要求受害者向某些指定的比特币钱包转帐,其危害范围日益扩大,影响到事关国计民生的各个行业。

或许是因为彼时比特币的价格并不引人注意,这名黑客在完成这一“壮举”后并没有进行后续的攻击动作,免于让比特币“通货膨胀”后瘫痪。

从受攻击行业分布上看,传统工业、互联网行业、教育行业和政府机构是受勒索病毒攻击的重灾区,医疗行业紧随其后。医疗由于其行业特殊性,一旦遭受到病毒攻击导致业务停摆,后果将不堪设想。

虽然黑客开过玩笑后,颇为满意地离开了,但这一bug却吓坏了当时比特币代码维护团队。比特币社区的首席开发者Wladimir Van Der Laan 在回忆时直言:“这是有史以来最严重的问题”。

永利皇宫登录网址 30

2014年,曾发生一起著名的“门头沟”事件,曾经是全球最大的比特币交易平台Mt.Gox因被黑客盗币最终破产,大约75万枚比特币(价值3.75亿美元)付之东流,引发比特币价格大跌。

勒索病毒攻击行业分布

最近的则在2018年3月,币安交易所被黑客攻击,黑客通过做空手段去场外套现获益。受此事件影响,比特币暴跌10%。

观察2018上半年勒索病毒攻击系统占比可知,Windows Server版本系统受攻击次数占比大于普通家用、办公系统。

如今看来,几乎每次黑客的出击,都会或多或少的引起比特币价格的下跌。

Windows Server版本系统中Windows Server 2008版本系统受勒索病毒攻击占比最大,造成该现象的主要原因为企业服务器数据价值一般情况下要远远高于普通用户,中招后更加倾向于缴纳勒索赎金,这一特性进一步刺激了攻击者有针对性地对服务器系统的设备实施攻击行为。

“区块链安全只是互联网安全中的一部分,但是因为区块链最大的特点是基于共识,而共识在现实世界的表现为法律、合约、财富。一旦发生安全事件,受损失相对更为严重。”赵伟说。

永利皇宫登录网址 31

勒索病毒攻击系统占比

2.挖矿木马

挖矿木马侵入受害者电脑后,会运行挖矿程序,占用受害者电脑的资源,并对电脑产生巨大损耗,缩短硬件生命。

特别是在进入2018年以来,PC端挖矿木马以前所未有的速度增长,仅上半年爆出挖矿木马事件45起,比2017年整年爆出的挖矿木马事件都要多。

由于挖矿对性能有一定要求,所以性能较高的游戏高配机成为“香饽饽”,这类挖矿病毒通常隐藏在热门游戏辅助中。

2018年1月,腾讯电脑管家曝光tlMiner挖矿木马隐藏在《绝地求生》辅助程序中进行传播。据统计,该病毒团伙合计挖掘DGB(极特币)、HSR(红烧肉币)、XMR(门罗币)、SHR(超级现金)、BCD(比特币钻石)等各种数字加密货币超过2000万枚,非法获利逾千万。

而从上半年的挖矿木马的情况来看,挖矿木马在不断的进化中,可选择的币种越来越多,设计越来越复杂,隐藏也越来越深,与杀毒软件的对抗会更加激烈。

永利皇宫登录网址 32

挖矿网站类型

3.让交易所头疼的数字劫匪

数字加密货币的盗窃行为是区块链安全的重大风险,而中心化的交易所成为被盗的重点对象。据统计,数字加密货币交易所被攻击,仅2018年上半年就损失了约7亿美元。

永利皇宫登录网址 33

上半年数字加密货币交易平台被攻击事件

此外,数字盗匪也通过入侵个人账户盗取数字虚拟货币,或是利用智能合约的漏洞发动攻击。

2018年4月,BEC智能合约中被爆出数据溢出漏洞,攻击者共盗取579亿枚BEC币,随后SMT币也被爆出类似漏洞。

“双花攻击”是控制某数字加密货币网络51%算力之后,对数字加密货币区块链进行攻击,可实现对已经交易完成的数据进行销毁,并重新支付,这样就可获得双倍服务。

2018年5月,BTG(比特黄金)交易链被黑客攻击,黑客向交易所充值后迅速提币,并销毁提币记录,共转走了38.8万枚BTG,获利1.2亿人民币。

安全建议

区块链技术,仍是众多互联网公司乃至国有银行系统重点研究的领域。区块链的应用并不等同于数字虚拟货币,安全专家并不鼓励人们炒币,在此对炒币行为不做赘述。

对于区块链安全来讲,从系统架构上,建议相关企业与专业区块链安全研究组织合作,及时发现、修复系统漏洞,避免导致严重的大规模资金被盗事件发生;

对于参与数字虚拟币交易的网民来讲,应充分了解可能存在的风险,在电脑端、手机端使用安全软件,避免掉进网络钓鱼陷阱,避免数字虚拟币钱包被盗事件发生;

对于普通网民而言,应防止电脑中毒成为被人控制的“矿工”,谨慎使用游戏外挂、破解软件、视频网站客户端破解工具,这些软件被人为植入恶意程序的概率较大。同时,安装正规杀毒软件并及时更新升级,当电脑卡顿、温度过热时,使用安全软件进行检查,防止电脑被非法控制,造成不必要的损失;

对于企业网站、服务器资源的管理者,应部署企业级网络安全防护系统,防止企业服务器被入侵安装挖矿病毒,防止受到勒索病毒侵害。企业网站应防止被黑,及时修补服务器操作系统、应用系统的安全漏洞,避免企业服务器沦为黑客挖矿的工具,同时也避免因服务器被入侵而导致企业网站的访客电脑沦为“矿工”。

版权声明:本文由永利皇宫登录网址发布于区块链,转载请注明出处:永利皇宫登录网址:报告称市面存多量空气币,