做一個技術(shù)員月薪一萬五,但做一枚黑客就年薪過億。
比特幣雄起之時,是黑客殺入之日。
2019年,據(jù)不完全統(tǒng)計,全球因黑客盜幣事件損失的資產(chǎn)高達(dá)5000億人民幣。而自比特幣誕生的11年來,這一場浩浩湯湯的黑客大遷移就不停地進(jìn)行著。數(shù)字貨幣交易所是幣圈最大的資金池,吸引黑客前赴后繼前來盜幣,幣安、Coinbase交易所無一幸免,上百萬人損失萬億美元。
黑白混亂,安能辨我是“雄雌”
“黑客”,往往意味著經(jīng)濟(jì)犯罪,他們常常憑借異于常人的技術(shù)手段,通過研究對方服務(wù)器漏洞發(fā)起攻擊,盜取或個人信息,或商業(yè)秘密,或電子現(xiàn)金,亦或比特幣。
在黑客陣容中一直以來存在著兩大派系——黑帽黑客和白帽黑客。
黑帽黑客(black hat hacker),往往通過非法手段竊取別人財務(wù)或信息,他們是讓眾多機(jī)構(gòu)組織和個人惶恐而又避之不及的人。
白帽黑客(white hat hacker),與黑帽黑客相反,他們在互聯(lián)網(wǎng)的虛擬世界里,代表的是正義,他們的日常工作就是在不斷查找系統(tǒng)安全漏洞,模仿黑帽黑客對服務(wù)器發(fā)起攻擊,從而完善現(xiàn)有互聯(lián)網(wǎng)安全體系,避免個人信息或財務(wù)慘遭黑帽黑客竊取。
在過去十幾年里,黑客事件數(shù)不勝數(shù),如果說互聯(lián)網(wǎng)發(fā)生黑客事件,丟的是信心,而區(qū)塊鏈黑客事件,有可能丟的是命。
每當(dāng)發(fā)生數(shù)字資產(chǎn)失竊事件,區(qū)塊鏈機(jī)構(gòu)對外的說辭均指黑客所為。如果說,你的比特幣被黑帽黑客非法攻擊竊取,你可能會在痛罵黑客卑鄙的同時,聲討交易所等機(jī)構(gòu)監(jiān)管不力,但如果是被自家白帽黑客監(jiān)守自盜,你又該如何是好?
神秘“黑手”伸向比特幣
比特幣從誕生之初價格僅有0.0025美元,到2017年12月漲到20000美元,上漲了803.56萬倍,遠(yuǎn)遠(yuǎn)超越了郁金香泡沫、股票的財富泡沫,圈養(yǎng)并產(chǎn)生了一大批投機(jī)獲利客。
可,不為人知的是,投機(jī)獲利客卻用他們投機(jī)倒把的錢圈養(yǎng)了大批黑客富豪。
從門頭溝被盜開始到錢包頻繁入侵和交易所失竊,黑客早已盯死了比特幣,11年來,黑客大遷移行動浩浩湯湯地持續(xù)著。
2014年2月,區(qū)塊鏈業(yè)內(nèi)暴發(fā)了首個大型盜幣案件,那就是震驚全球的門頭溝事件。當(dāng)時被喻為世界第一大交易所的Mt.Gox,發(fā)聲明稱因其服務(wù)器遭黑客攻擊,交易所共損失客戶75萬個比特幣和本公司擁有的10萬個比特幣,約折合市值4.73億美元。
消息一出,業(yè)內(nèi)討伐聲一片,受害者街頭示威、人肉公司高管、向法庭狀告......
最終,迫于社會輿論的壓力,加之此前已負(fù)債65億日元(約6400萬美元),Mt.Gox于2014年2月28日正式向東京地區(qū)法院申請破產(chǎn)保護(hù),這意味著,彼時日交易流水過億的加密貨幣交易所宣告死亡了。
然而,這一慘淡的收尾,怒火中燒的比特幣所屬人并不買單。對他們而言,失竊的,不僅僅是比特幣,更是信仰、身家性命。
盡管在當(dāng)時很多人對于比特幣為何物都一知半解,但考慮到“涉案金額巨大、受害人眾較廣、社會輿論壓力”等因素,日本警視廳開始介入調(diào)查。警務(wù)人員在花費將近一年左右的時間后,終于將龐大的交易數(shù)據(jù)理清了頭緒。然而,調(diào)查結(jié)果卻讓人瞠目結(jié)舌——未發(fā)現(xiàn)非法訪問的痕跡,他們懷疑或為內(nèi)部人員參與盜幣。
消息一出,業(yè)內(nèi)再次震動。
隨后,Mt.Gox交易所CEO Mark Karpeles被日本東京地區(qū)法院正式起訴,因為,他被懷疑為盜取此次巨額比特幣的真正幕后黑手。Mark Karpeles涉嫌非法操控賬戶和交易數(shù)據(jù),非法侵占用戶資產(chǎn)等多項罪名。
但Mark Karpeles對法官的這一系列指控予以否認(rèn),他表示從平臺創(chuàng)始人Jed McCaleb手中接過Mt.Gox交易所時,便發(fā)現(xiàn)平臺存在嚴(yán)重的代碼漏洞,但此時損失已經(jīng)造成,而作為后Ripple(瑞波)、Stellar(恒星)創(chuàng)始人的Jed McCaleb也未對此作出任何回應(yīng)。
受此消息影響,大量的比特幣投資者持幣擔(dān)驚受怕,紛紛拋售手中的比特幣,比特幣一時拋壓嚴(yán)重,呈現(xiàn)持續(xù)下跌的趨勢。由此,開啟了比特幣長達(dá)兩年的熊市。
11年來,黑客盜幣事件越來越嚴(yán)重,手段也越來越高明,已形成一條職業(yè)產(chǎn)業(yè)鏈。
2017年6月20日,韓國最大數(shù)字貨幣交易所Bithumb聲稱被黑客攻擊,黑客利用技術(shù)手段獲取了平臺用戶私鑰,將1900枚比特幣轉(zhuǎn)移至自己的錢包地址, 損失資金大約為3200萬美元。
2018年9月18日,日本交易所Zaif聲稱熱錢包遭黑客攻擊,共失竊6000枚比特幣,以及部分比特幣現(xiàn)金和MonaCoin,被盜虛擬貨幣資金價值總計70億日元(約合4.3億元人民幣)。
2019年11月27日,韓國交易所Upbit公告聲稱,平臺服務(wù)器被黑客攻擊,34.2萬ETH被轉(zhuǎn)入未知地址,還包括少量的XLM、BTT和TRX,失竊幣種價值保守估計約合5000萬美元。
淡薄的安全意識,跟不上攬財?shù)挠?/p>
近年來,區(qū)塊鏈行業(yè)持續(xù)走熱,基本上只要和區(qū)塊鏈搭上邊,發(fā)個幣,做個錢包,成立個交易所,就可以拿袋子搓錢了。而在整個比特幣的炒作的鏈條中,最為暴利的非交易所莫屬,他們一方面通過向項目方收取昂貴的上幣手續(xù)費,另一邊還收割投資者和項目方。鐮刀揮下,財源滾滾,也自然成為黑帽黑客攻擊的首選。
“人為刀俎,我為魚肉,而淡薄的安全意識,常常讓交易所成為黑客砧板上最常見的魚肉?!蹦硡^(qū)塊鏈安全公司CEO王磊(化名)苦笑道。
照理說交易所不缺錢,招聘到高端的安全技術(shù)人才也不是難事,可為什么還是頻頻失竊?
是“利益熏心”在作怪!
“拽什么拽!全公司都指著我們運(yùn)營和商務(wù)吃飯呢。”王磊表示。
這種場景在傳統(tǒng)互聯(lián)網(wǎng)行業(yè)基本不存在,而在幣圈交易所卻司空見慣。
因為,一些交易所在成立之初就是奔著割韭菜來的,如何盡快吸引用戶入場交易比特幣,才是他們首要考慮的,相比短時內(nèi)無法直接變現(xiàn)的技術(shù)團(tuán)隊,自然更受高層的青睞,市場人員也就“拽”了起來。
但這,并不是最可怕的,最可怕的是——自家的大門給別人配了一把鑰匙。有交易所監(jiān)守自盜,只要完成從白帽到黑帽的演變,瞬間就能變成名列前茅的首富大亨。
10分鐘開交易所,白帽變身黑帽
不少投資機(jī)構(gòu)看到比特幣交易所如此暴利,也想從中分一杯羹,便砸錢進(jìn)場。
但有些人比較心急,如果自己招聘技術(shù)團(tuán)隊開發(fā)交易平臺,花費的時間恐怕要錯過這一場撈錢的盛宴。此時,一種以ChainupCloud為代表的交易所服務(wù)提供商應(yīng)運(yùn)而生。
“10分鐘就可以開一家交易所,想掙快錢,或者說不愿花時間去開發(fā)的人,通常成為這類消費者的首選?!蓖趵诟嬖V星傳媒,“對于想盡快入場的交易所而言,時間就是金錢,這種產(chǎn)品確實給他們節(jié)省了不少時間,得以搶先占領(lǐng)市場,但同時也留下了致命的安全隱患?!?/p>
如王磊所言,這種便捷型交易所產(chǎn)品,只要向平臺繳納一定的費用,就能簡單注冊,便能投入使用。
這樣的交易所,從平臺的開發(fā)到后期的運(yùn)維,一條龍完全依托于第三方機(jī)構(gòu),他們從不關(guān)心平臺的技術(shù)層面,也無法掌控技術(shù),更無法進(jìn)行二次開發(fā)。如果,所依賴的平臺中負(fù)責(zé)運(yùn)維的技術(shù)人員想要做黑帽黑客,只需要在前期產(chǎn)品開發(fā)或后期平臺維護(hù)時,簡單通過數(shù)據(jù)埋點監(jiān)測平臺數(shù)據(jù),就可以輕松攻擊交易所的服務(wù)器,就如同用鑰匙打開自家大門那么簡單。
這也是為什么那么多白帽黑客向黑帽黑客轉(zhuǎn)變的原因,他們面對巨大的利潤誘惑,當(dāng)誘惑足夠大時,道德便不值一提,他們的身份也悄然發(fā)生了改變。
從未真正去中心化
區(qū)塊鏈的初衷是通過去中心化技術(shù),改變現(xiàn)有的中心化控制局面,從而避免因中心機(jī)構(gòu)監(jiān)守自盜等問題造成個人信息、數(shù)據(jù)及財產(chǎn)的泄露與丟失。然而,以目前的區(qū)塊鏈現(xiàn)狀來看,傳統(tǒng)的中心化運(yùn)營模式并未改變,甚至安全性較傳統(tǒng)中心化平臺更差,即使是幣安等頭部交易所也難逃黑客的掠奪。
目前,用戶存儲比特幣等虛擬貨幣的主要方式有兩種——交易平臺賬戶(官方熱錢包)、硬件冷錢包,均屬中心化的。
而99%的盜幣事件發(fā)生在交易平臺上。
舉例來說,當(dāng)小明在某虛擬貨幣平臺購買了價值千萬的比特幣后,在該交易平臺的個人賬戶內(nèi)所看到資產(chǎn)信息,其實并不是真實的比特幣,它就像銀行卡里一串?dāng)?shù)字一樣。實際上,在小明買入虛擬貨幣時,交易平臺統(tǒng)一將比特幣劃轉(zhuǎn)到官方熱錢包地址,而熱錢包從誕生之初就是聯(lián)網(wǎng)的。這樣一來,用戶在享受實時交易的便利性的同時,也給黑客留下了可乘之機(jī),這也是交易平臺屢屢被盜取的主要原因。
而另一方面,也是最為人所詬病的一點,交易所錢包通常都是自主開發(fā)的。不但開發(fā)過程不受監(jiān)管,運(yùn)營過程也是中心化的,用戶的數(shù)字資產(chǎn)并未像傳統(tǒng)P2P金融產(chǎn)品那樣實現(xiàn)第三方隔離托管。這就好比自己建池子養(yǎng)魚,想什么時候殺,就什么時殺。這也是很多平臺監(jiān)守自盜許久,卻仍不被發(fā)現(xiàn)的原因。