黑客盯上區塊鏈代碼漏洞 虛擬貨幣成偷盜新目標

　　來源：巴比特

　　區塊鏈技術的發展，安全方面是硬需求。需要構建區塊鏈安全生態，從數字貨幣錢包、智能合約等不同產品上著力，同時，還需要從礦池、交易所等數字貨幣產生的節點上實施動態防範。　　

　　一行代碼蒸發64億人民幣。這個不可思議的黑客操作發生在今年4月，僅僅因為被黑客找到了一個代碼漏洞，與之相關的區塊鏈產品的全部市值瞬間被全部轉出，趨近於零。

　　“如果說傳統意義上的貨幣仰仗國家信用而有價值，那麽加密數字貨幣的存在仰仗區塊鏈技術的信用。”9月6日，在由眾享比特等合作主辦的ISC2018區塊鏈與網絡安全論壇上，山東警察學院偵查系網絡犯罪偵查教研室副主任張璿表示，由於區塊鏈技術代碼中漏洞相繼被發現，以及對應的一些安全事件，逐步打擊著人們對區塊鏈技術的信心。

　　此前認為，區塊鏈技術由於分布存儲、加密算法等技術的應用，擁有了不可篡改、可追溯等被認為是“萬無一失”的特性。然而，該特性主要針對存儲在區塊中的資訊來說，以文中開頭的案例為例，區塊鏈技術保障了可以追溯到這64億轉移到了哪裡，黑客的操作也會被系統不可篡改地記錄，卻並不能“拒絕”黑客對底層代碼的篡改，保護虛擬數字貨幣。

　　區塊鏈技術本身存在漏洞可以被利用。“利用區塊鏈技術，成了犯罪分子非法獲利的新手段。”張璿說，甚至有人表示，區塊鏈技術已經了引發經濟犯罪的革命。面對新手段帶來的新挑戰，該如何應對，以維護區塊鏈技術的長遠發展？

　　虛擬貨幣成偷盜新目標

　　不久前，一部名為《瞞天過海：美人計》的偷盜題材電影上映，講述一眾美女偷盜高手，盜取一條價值1.5億美元的鑽石項鏈的故事。

　　相較於發生在幣圈的偷盜事件，這條項鏈的價值就不那麽令人咂舌了。例如今年3月30日，我國警方破獲的一起虛擬貨幣偷盜事件中，3名供職於國內知名網絡公司的黑客侵入受害人張某電腦，將價值6億元的比特幣、以太坊等虛擬貨幣洗劫一空。

　　過去盜賊的目標是金銀珠寶、成遝鈔票，如今只要穩坐電腦前，動動手指，通過虛擬貨幣的竊取就可能“致富”。加密數字貨幣，成了高科技犯罪的新目標。世界各國均備受困擾，資料顯示，在價值5.3億美元的代幣被盜後，日本16家加密數字貨幣交易所打算成立一個自我監管小組，自省自查系統漏洞。

　　360集團資訊安全部王偉波表示，目前公開的針對非個人電腦的對公鏈和交易所的攻擊行為已公開的有57次，並造成了10億美元的損失。但他認為這只是“冰山一角”，大量的攻擊由於會對交易所的信譽造成負面影響不會被公開，損失也會被交易所自行消化。

　　除了竊取，虛擬貨幣也淪為犯罪分子的工具。“比特幣成為洗錢工具，並衍生出了‘專業水房’。”張璿說。她列舉了一個實際發生的案件：受害人在QQ上認識了嫌疑人，他自稱是在伊拉克打過仗的軍人，希望受害人幫他代收郵包，代收郵包需要80萬美元保證金。受害人把資金打給專門做比特幣交易的王某，王某支付給嫌疑人比特幣，對於嫌疑人來說並未留下收錢的詐騙證據，而比特幣交易的王某處有大量的資金進入，增加排查難度。

　　“比特幣（目前黑市承認的加密數字貨幣大多為比特幣）的參與，使得警方破案追尋資金鏈條的方法可能就要失效了。”張璿說，在工作中，深感案子不好查了，追查罪犯的難度大大增加。

　　更有甚者，犯罪分子不在是一個人或一個團夥，而是一個正常經營的合法企業。張璿介紹，一個技術運維公司開發了一個木馬病毒，安裝在自己負責運維的客戶機器上，機器記憶體佔用不多時就啟動挖礦程式，被發現前已挖得數字貨幣5000多枚。經統計，該公司非法控制了全國300多萬台機器。“這種違法行為的法律定位至今仍非常模糊。”張璿說，新的犯罪態勢敦促著法律、法規的健全，提醒執法人員不斷更新知識儲備。

　　每日三省吾身查漏補缺

　　“我們可能不知道黑客怎麽攻擊，但是應該把每個細節的安全做好。”王偉波表示，對自身漏洞的排查，可以將安全風險降到最低，甚至提前預防問題的出現。

　　如同一場攻防戰，一旦掌握了區塊鏈技術的“命門”，黑客分子的外部攻擊將一發不可收拾。而“加固城牆”“嚴查堵漏”則是防守方以不變應萬變的有效方法。

　　據王偉波介紹，黑客對區塊鏈技術的攻擊可發生在應用層、合約層、激勵層、數據層等六個不同層面。對不同層面的攻擊手法不同，造成的後果也不同。

　　越底層的攻擊，越可能“牽一發而動全身”。例如，對數據層的攻擊將帶來整個區塊鏈而非一個節點的變化。今年5月份，因攻擊者篡改了某區塊鏈生成的時間，導致挖礦難度下降，劫持了整個主鏈，導致攻擊者獲取了大量的代幣。

　　因此，360安全團隊就從黑客攻擊的六個方面入手進行了研究，分別找出漏洞，並“開出藥方”。通過對某公鏈和交易所進行了安全測試，360安全團隊發現42個漏洞，其中可以影響到用戶账戶安全的高危漏洞29個。

　　除了排查漏洞，團隊還對黑客的一些攻擊進行了深入測試，並編寫《公鏈滲透測試白皮書》。王偉波說，白皮書會不久後進行發布，其中將分析一些安全事件，以區塊鏈攻擊為切入點，深入分析黑客的攻擊手法，以及針對不同的攻擊，怎麽做好安全防護。

　　王偉波認為，區塊鏈產業正處於發展比較前期的階段，目前安全方面還存在很多問題。區塊鏈技術的發展，安全方面是硬需求，需要構建區塊鏈安全生態，從數字貨幣錢包、智能合約等不同產品上著力，同時，還需要從礦池、交易所等數字貨幣產生的節點上實施動態防範。

　　盲目上馬區塊鏈項目不可取

　　“我們除了讓區塊鏈技術本身更扎實，更值得信賴之外，還面臨一個區塊鏈的鏈上數據與現實數據銜接的問題。”中國資訊通信研究院雲計算與大數據研究所部門主任魏凱表示，每個行業使用區塊鏈時都有自己的痛點，例如溯源行業，如何確保上鏈的數據，對應的正是要追溯的產品，而不會被“掉包”？

　　寫到鏈上的資訊是不是真實的，能夠準確反映現實的。這是區塊鏈技術解決不了的，而必須依靠鏈外的手段保障，例如制度體系。魏凱認為，目前配套體系是缺乏的。

　　“要上馬區塊鏈應用，應該先問4個問題。”魏凱說，“任務要不要記錄數據？記錄的數據是不是必須多方參與？參與的多方能不能互信？如果找不到可以信任的，那麽，就可以考慮拋棄原有載體，使用區塊鏈技術。最後一個問題，能夠容忍它與中心化系統相比效率較低的特性嗎？”

　　魏凱解釋，使用區塊鏈的成本也非常高，因為它是一個封閉式的系統，效率肯定沒有中心化的系統效率高，目前，在使用時，區塊鏈技術沒有明顯的效率優勢。

　　魏凱用“焦慮症”形容目前產業界、甚至政府對區塊鏈的態度。“現在有二十幾個省市發布了與區塊鏈有關的激勵刺激政策，很多地方蓋起了區塊鏈大廈，入駐這些大廈的企業有沒有挖掘出什麽非得用區塊鏈不可的場景來呢？這個問題值得大家深思。”魏凱認為，除了區塊鏈技術本身的完善外，政策、法規、驗證等體系仍需要進一步推動建設。為此，中國資訊通信研究院於4月9日，聯合158家企業發起了“可信區塊鏈推進計劃”，推進技術標準、行業應用和政策法規等工作，以期逐步完善區塊鏈發展的有利生態。

責任編輯：唐婧