區塊鏈危機:33億美元被黑客輕鬆攫取
九個億財經訊息——上週,ICO Rating對100家24小時交易額超過100萬美元的加密貨幣交易所進行了分析,分析發現,只有46%的交易所安全引數符合標準,其餘54%的加密貨幣交易所都沒有執行標準的安全措施。
要知道,加密貨幣交易所只是區塊鏈生態的冰山一角,事實上,以加密、透明、不可篡改而被人吹捧的區塊鏈,正遭遇著愈演愈烈的安全危機。
沒有90分
據瞭解,在ICO Rating分析的100家交易所中,其中大多數交易所在一個或多個領域存在隱患。
例如,41%的交易所允許使用者密碼少於8位,37%的交易所只允許使用者使用數字或字母組成的密碼,5%的交易所允許使用者在沒有電子郵件驗證的情況下建立賬戶,3%的交易所沒有2FA驗證、只有46%的交易所滿足上述所有四個條件,只有4%的交易所有較高的域名安全性……
在多種因素的考慮下,ICO Rating將這100家交易所進行了評分,其中,Coinbase的得分最高,89分;其次是Kraken,80分;然後是並列第三的Bitmex和Gopax,得分為78分。
值得注意的是Cobinhood(第8位),Ethfinex(第12位),Bittrex(第13位)和Binance(第17位)。而OKCoin排名墊底,得分僅僅只有15分。
沒有90分,這就是現如今加密貨幣交易所的現狀。
而在幾天前,還有幣安使用者發推特稱其賬戶被盜,與趙長鵬展開辯論。
從排名墊底的OKCoin,我們悲哀地發現,對於大多數使用者來說,安全並不是其考慮的首要因素,雖然OKCoin缺乏全面的安全保障,但這並不妨礙OK還是現如今使用者量最大的加密貨幣交易所。這或與其參與門檻和流程的相對精簡有關。
黑客進攻“頻繁高效”
據統計,截至目前,2018年因黑客攻擊區塊鏈領域造成的損失,預計已達到33億美元。
33億美元是什麼概念。
現如今加密貨幣市場總資金量大約在2100億美元,33億美元意味著,其中有1.5%的資金都被黑客不費吹灰之力拿走。
這背後離不開這些黑客“頻繁工作的態度”和“高效的工作質量”。
回顧今年10月份,距離現在不到20天的時間,安全問題已經達到了數十起。
10月3日,加密貨幣pigeoncoin(PGN)背後的開發人員證實,幾周前在比特幣程式碼中發現的一個嚴重bug已被利用。一位不知名的礦工成功利用了這個漏洞,得到了2.35億枚pigeoncoin(價值約15000美元)。
10月5日,柚資銀行被盜賬戶已經向各大交易所申請凍結,目前已有幾家交易所凍結相關黑客賬戶。
10月6日,加密貨幣挖掘惡意軟體侵襲巴西數十萬臺路由器之後,黑客已經破壞了印度另外3萬臺路由器。網際網路安全部門Banbreach提道,在過去的一個月中,在印度受感染路由器的數量翻了一番。受感染路由器最多的前三大城市增長率為500%。
10月8日,韓國警察廳編寫了一份過去3年來關於該國所有加密交易所和加密錢包黑客事件的報告。有7起加密交易所黑客案件和158起加密錢包黑客案件,其中91起發生在今年。但是,只有6人被捕。
每年,加密貨幣交易所被盜的錢數一直在穩步增加,2018年黑客案件中交易所金額達713億韓元(約6300萬美元)。
10月10日,降維安全實驗室監測到成人娛樂系統spankchain支付通道(payment channel)關聯的智慧合約LedgerChannel遭到了重入攻擊。某黑客發現了該支付通道合約的重入漏洞(Reentrancy),並於2017年10月7日上午8時許建立了惡意攻擊合約,隨後成功從該合約竊取了165.38 ETH,約合3.8萬美元價值的以太幣。雖然損失在一週後追回,但是這是黑客自願歸還。
10月11日,據白帽匯安全研究院訊息,目前發現超過30w的MikroTik路由器被植入挖礦程式碼,攻擊者利用的是維基解密披露的CIA Vault7黑客工具Chimay Red中的winbox任意目錄檔案讀取(CVE-2018-14847)漏洞。
10月15日,EOSBet平臺遭受了攻擊,區塊鏈安全公司PeckShield第一時間監測並捕捉到了該攻擊行為的發生。根據EOS當前行情價格37元估算,EOSBet平臺此次損失額超500萬元。
10月17日,基於EOS的遊戲WorldConquest遭受黑客攻擊。
10月21日,據Coindesk報道,The Next Web一份報告指出,朝鮮黑客組織Lazarus已經設法竊取了超過5億美元的數字貨幣……
據相關資料顯示,與加密數字貨幣有關的黑客攻擊事件,從2013年到2018年上半年,直接增加了大約5倍的數量,2018年全年預計增加約10倍。
而此前網路安全公司CiferTrace也釋出了一份報告稱,今年前9個月,通過黑客入侵交易所和交易平臺竊取的加密貨幣飆升至9.27億美元,比2017年的水平增長了近250%。
相比於黑客的“高效”,我們能追回的損失又有多少呢。
昨日,據路透社報道,總部位於加利福尼亞的CipherTrace公司的執行長大衛?埃文斯(David Jevans)表示,即使交易平臺或交易所遭到黑客攻擊,由於加密貨幣可以輕易地跨越不同的國界,只有20%的被盜密碼被找回。
多方面問題
從綜合上述不到一個月內,發生的加密貨幣被盜案,我們可以發現,加密貨幣交易所只是區塊鏈生態種的冰山一角,實際上,黑客攫取資金的方式多種多樣。光捂緊自己的錢包,顯得有些無濟於事。
今年9月,騰訊安全聯合知道創宇釋出了《2018上半年區塊鏈安全報告》。該報告從區塊鏈自身機制、區塊鏈生態、使用者三大方面進行統計。
區塊鏈自身機制問題。
據資料顯示,2018年區塊鏈領域被攻擊物件中,智慧合約遭受攻擊造成的經濟損失約為11億美元,佔比為55%。
據安全公司Hosho報告顯示,區塊鏈上智慧合約的bug普遍存在。經過Hosho審計的智慧合約專案籌集資金總額高達10億美元,這些專案中有25%被發現存在嚴重漏洞,約有60%至少存在一個安全問題。
在知道創宇釋出的《知道創宇以太坊合約審計CheckList》中,也披露了知道創宇404區塊鏈安全研究團隊針對全網公開的共39548個合約程式碼掃描的結果。
結果顯示,截至2018年8月10日,發現共24791個(佔比62%)合約涉及到以太坊智慧合約設計缺陷問題(包括“條件競爭問題”、“迴圈DoS問題”等問題)。
不僅僅是智慧合約,在區塊鏈技術模型的資料層、網路層、共識層、激勵層、合約層、應用層,都面臨著不同程度的安全風險。
而在區塊鏈生態中,包括PoW機制下的礦場和礦池、PoS機制下的權益節點、加密數字貨幣交易所、DApp應用,以及面向未來DApp應用的區塊鏈網關係統等也都存在一定風險。
其中,圍繞交易所和博彩類DApp發生的安全事件最為顯著。交易所被盜遠超其他事件型別。此外,交易所被釣魚、內鬼盜竊、錢包失竊、各種資訊資料洩露和篡改、交易所賬號失竊等問題,也同樣值得關注。
最後,在使用者方面,個人使用者的安全問題也不容小覷。
由於數字虛擬幣錢包這些交易工具的使用具有較高的門檻,要求使用者對計算機、加密原理、網路安全均有較高的認知。
然而,許多數字虛擬幣交易參與者並不具有這些能力,極易出現安全問題。甚至因操作不當引發熟人作案,導致自身的數字資產被身邊人盜取。
從區塊鏈自身機制,到加密貨幣交易所、DApp,從專案方,到投資人、普通使用者,可以看到的是,每一個環節都充斥著黑客的身影。
現如今,區塊鏈的發展引人矚目,大家都在期待著區塊鏈技術的真正落地,但是,對於區塊鏈來說,安全問題的日益凸顯,無異於後院起火,自身矛盾都無法解除,又何談惠澤大眾。
來源:共享財經Neo