熊市中安全防護網逐漸消失,日益囂張的黑客成了最大贏家
文 | 雪姣
出品 | Odaily星球日報(ID:o-daily)
失序的區塊鏈行業裡,時刻隱藏著風險,黑客就是其一。
就像武俠裡的江洋大盜,他們隨時出沒在儲存著大量數字貨幣的區塊鏈錢包、交易所、DApp 裡,伺機挖掘漏洞,竊取資產。
據 Odaily星球日報粗略統計,近一個月內,區塊鏈領域涉百萬以上黑客攻擊事件近 5 起。
另一面,多數專案拿這些黑客並沒有辦法。尤其是幣圈進入熊市大半年以來,不少公司都鬧錢荒。區塊鏈安全防護系統因資金匱乏,防護能力正在變弱。
安全團隊 BYSEC COO 劉澤坤告訴 Odaily星球日報,其平臺上註冊有 5000 多名網路安全工程師,但在“生存第一”的熊市下,安全防護下降為弱需求。目前願意付費做安防的僅有 10 餘家。
程式碼安全無法守護,共識安全也岌岌可危。
熊市中,一部分礦工由於入不敷出關機蟄伏,直接導致了 PoW 網路算力下跌,閒置算力成為“散兵遊勇”,威脅著公鏈的安全。
礦工是共識安全的守護者,他們的缺位給了攻擊者可趁之機,本月初 ETC 遭遇 51% 攻擊即是一例。
這張本該嚴密的安全防護網,隨著熊市的持續,一個個牽引的防護點正在消失。
01
頻繁的攻擊
去年 12 月 27 日發生的錢包釣魚事件可能是近來最大的黑客攻擊事件。
據 Cointelegraph 訊息,當日有使用者在社交媒體上爆料,有團體正在對加密貨幣錢包 Electrum 進行惡意攻擊,並竊取了近 250 個BTC (約 93.7 萬美元)。
訊息隨後獲得 Electrum 證實,據介紹,該攻擊主要通過建立一個假版本的錢包,來騙取使用者的密碼資訊。
2018年下半年,幣圈進入了明顯的熊市,不少專案開始減員收縮。但黑客永不眠,那些彙集資金的地方永遠是黑客的目標。
區塊鏈安全平臺 DVP 聯合創始人鄧煥也告訴 Odaily星球日報,今年 12 月以來,越來越多的攻擊者將目光投向了 EOS DApp。
根據區塊鏈安全網 bcsec 統計,12 月份其搜尋到區塊鏈領域發生的攻擊事件共有 20 餘起,對行業造成損失約 190 萬美元,其中 90% 受攻擊的物件是 EOS 上的 DApp。
1 月 16 日凌晨 03:47-03:55 之間,DAppShield 監測到,有黑客向 EOS 競猜類遊戲“影骰”發起連續攻擊,獲利超 1 萬個 EOS。黑客採用的交易阻塞攻擊手段。一個月來,黑客已經憑藉該手段發動了 4 次攻擊。
12 月 18 日晚間至 19 日凌晨,多個 EOS 頭部 DAPP則遭遇回滾交易攻擊。
遭受攻擊的幾款遊戲基本為 EOS 頭部較活躍的競猜類遊戲:EOSMax、ToBet、BigGame 和 BetDice。據 PeckShield 的資料,其中,BetDice 一週日均活躍使用者數超 5000 人,交易額也在 5000 萬 EOS 以上。
與此同時,黑客利用重放攻擊漏洞攻破另一款競猜類遊戲 TRUSTBET。
這些集中攻擊,讓幾款遊戲共損失 303404.18 EOS。以 EOS 當時的單價 18 元來測算,黑客盜走的金額達 546 萬元。
對於這次攻擊,蔣旭憲曾向 Odaily星球日報表示,這次攻擊背後是同一個團伙或個人。另外,ECAF 追回盜取的 EOS 預計難度較大,目前已經牽涉到 1808 個賬戶,數量還在增長中。
鄧煥分析指出,從早期針對以太坊的 The DAO,到最近的 BCE、SMT 代幣等事件,以太坊生態已經經過了一場來自黑客的“血的洗禮“,生態環境逐漸趨於安全。而 DApp 生態的第二翹楚 EOS 目前正處於蠻荒生長階段,於是黑客開始將魔爪伸向這裡。
02
囂張的攻擊者
對於黑客而言,攻擊這種從別人口袋裡掏錢的生意,只有錢難不難掏,沒有錢多錢少的分別。
我們知道,交易所是幣圈最大的聚寶盆,亦是黑客攻擊的高發地。即使在交易量大幅萎縮的境況下,交易所亦逃不過黑客的“摸排”。
賀凱(化名)是 X 交易所的市場負責人。“儘管(我們交易所)在各個行情網站上排不上名,但被黑客‘打’卻是家常便飯。”
據他介紹,全球有約 1.5 萬家交易所,在業內稍微能說的出名字的,基本上三天兩頭就要來一次攻防戰。身處這個“聚寶盆”中,他已經見怪不怪。
但去年 11 月份的那次黑客尋釁事件,讓賀凱哭笑不得。
那天中午,X 交易所的客服像往常一樣在微信群裡和使用者聊天。
突然有人加她,沒有註明名字和事由,她通過了。
不料對方一上來就像查戶口似的問:“哎,你是 X 交易所的嗎?”
“你們其他聯絡方式能給我一個嗎?”
對方看客服沒反應補充了句,“我要‘打’你們了,怕到時聯絡不上你們。這個(號)是你們的囉?”
客服當時明白了,跟她聊天的這個人可能是個黑客。常規的黑客攻擊是先攻擊再勒索,而且最好能攻其不備以降低成本。待攻下後再聯絡被攻擊方商談“贖金”事宜。
但這個黑客似乎勝券在握,就等著攻擊結束後的談判了。
“真是活久見”,客服心想。無奈,客服只得回覆他:“你先打吧,打完再說。”
作為區塊鏈“白帽子”平臺的排程人,鄧煥沒少見這類令人咋舌的攻擊。
去年 12 月 5 日,幣安釋出了一個去中心化交易所 DEX。訊息出來的第二天,DVP 即觀察到,社交軟體中有個冒充 DEX 斂財釣魚網站。
下圖是該釣魚網站的主頁。從 UI 上看簡直可以以假亂真。
該網站放著幣安此前釋出的 DEX 的宣傳視訊。並配文虛構了一個活動,稱為慶祝 DEX 的推出,特向全球粉絲贈送 5000 BTC 作為回饋。參與活動的使用者需要先驗證地址,驗證時需傳送 0.1 - 10 個 BTC 到指定地址,而後將獲得貢獻 BTC 數的 10 倍 BTC。
在轉賬頁面,還伴有實時更新的獎池數量、該地址的轉賬交易記錄以及參與使用者的即時評價等,十分逼真。DVP 當即發現有人轉賬,那些幣隨即被提走。
DVP 向幣安報告了該情報。但該釣魚網站作為外部網站,幣安也拿他沒辦法。
DVP 還發現,這個第二天就能上線高仿網站的攻擊者,之前還用同樣的手段模仿過 OKEX,可謂在失序的世界中無法無天。即使熊市如此之涼,它也能抓住熱點穩賺一筆。
03
脆弱的“防護網”
在這些安全事件背後,是黑客不分牛熊的攻擊和熊市中防護網缺失的矛盾。
有資料顯示,目前全球有 10000+ 的區塊鏈專案,區塊鏈安全服務公司卻只有不到 50 家。從紅藍對抗的角度講,紅隊(攻擊方)就要比藍隊(防守方)弱得多。再遇熊市,恐會讓這一狀況更加惡劣。
當前,各個專案方、服務商在寒冬中縮小成本,其在安全上的需求也繼續弱化。這形成了一個惡性迴圈,在安全上投入越低便越容易遭到攻擊,造成的損失又將給專案方帶來致命的災難。
安全團隊 BYSEC 的 COO 劉澤坤和 Odaily星球日報講了上個月發生的一個案例。一個以太坊上的菠菜類 DApp 遭遇黑客攻擊,數萬個 ETH 被盜,儘管其已做過基本的審計,但離相對安全仍然很遠。
按理說,每個專案都應投入 10% 的錢來保障 100% 的資金的安全,但很多團隊在縮減開支中跳過了這一步。
BYSEC 團隊是個“白帽子”平臺,其上註冊了 5000 餘名“白帽子”,大多是傳統安全業人員,在上面兼職挖漏洞領取賞金。
到了熊市,平臺上仍在支付賞金的專案方僅有 10 餘家,BYSEC 團隊只能提示平臺上的“白帽子”儘量只在這些付費廠家中挖洞,不然可能要變成“楊白勞”。
其他的廠家,要麼沒有付費意願,要麼沒有付費能力。
在 BYSEC 發現一些交易所的重大漏洞後,劉澤坤帶著這些漏洞去聯絡交易所,希望安全服務能得到適當回報。
但對方給出的答覆卻經常是,“你們的這個服務的確很好,我們也很需要,但老實說我們的收入都沒這麼多,實在是付不起。” “活都活不下去了,還講什麼安全。就好像我都吃泡麵了,你還跟我說泡麵不健康。”
04
轉型謀生存
進入安全行業的錢變少了。一面沒了新的客戶、新的投入,一面是存量客戶已被瓜分殆盡。
安全團隊處境維艱。
慢霧安全團隊在接受 Odaily星球日報此前的採訪時表示,(安全行業)蓬勃發展後,會進入類似紅海的階段,需要大家進行差異化競爭。比如現在經常有客戶問我們:你們和別人有什麼不一樣?
大家需要進行差異化競爭才能活下來,BYSEC 也認同這個觀點,並且正在考慮轉型。劉澤坤透露,團隊打算利用在安全行業的積累做一款數字貨幣的支付閘道器 SAAS,面向數字貨幣的商家和 C 端使用者。
從服務物件和應用場景看,這似乎已和安全行業脫鉤了。但行業沒有生意,像 BYSEC 這樣的平臺並沒有什麼好的辦法。
唯一值得欣慰的或許是,以技術見長的白帽子,如果要回到網際網路或是在其他領域做安全,轉換的成本不算太高。