區(qū)塊鏈歷史上曾出現(xiàn)的重大黑客攻擊事件盤點

資產(chǎn)安全一直是數(shù)字世界中的重中之重，而賬戶被盜也一直是加密世界中老生常談。無論是個人用戶還是交易所都曾因為數(shù)字資產(chǎn)安全問題而煩惱。究竟發(fā)生了什么呢？以史為鑒，就讓我們來盤點一下區(qū)塊鏈歷史上曾出現(xiàn)的重大黑客攻擊事件。

價值溢出事件（2010年8月）

2010年8月15日，未知黑客對比特幣發(fā)動攻擊，利用大整數(shù)溢出漏洞，繞過了系統(tǒng)的平衡檢查，將比特幣的總量有限的設(shè)定打破，黑客憑空創(chuàng)造出了1844.67億個比特幣。

在這一局面中，中本聰為挽救比特幣，被迫發(fā)動了比特幣歷史上的第一次硬分叉。

Bitcoinica （2012年3月和5月）

Bitcoinica是一家老牌交易所，它曾在2012年遭遇兩次黑客攻擊。黑客利用其安全松懈的服務(wù)器，獲取了客戶數(shù)據(jù)（包括密鑰），共計盜走61000個BTC，最終導致Bitcoinica破產(chǎn)。

Bitfloor（2012年9月）

與Bitcoinica的被盜過程相似，黑客入侵了Bitfloor的服務(wù)器，盜走了24000個BTC。Bitfloor從此一蹶不振，并于次年4月關(guān)閉。

Poloniex（2014年3月）

2014年3月，剛成立兩個月的Poloniex交易所的服務(wù)器被入侵。一名黑客發(fā)現(xiàn)Poloniex的漏洞，即提現(xiàn)系統(tǒng)在同時收到多個請求的情況下允許出現(xiàn)負余額。提現(xiàn)系統(tǒng)注意到異?；顒雍?，關(guān)閉了進入受影響賬戶的通道。

MtGox（2014年2月）

MtGox是當時規(guī)模最大的老牌交易所，也遭遇了最嚴重的黑客攻擊。由程序員Jed McCaleb創(chuàng)建。2010年7月，他讀到一篇關(guān)于比特幣的文章，于是修改了網(wǎng)站代碼，用于交易比特幣，并于2011年將該網(wǎng)站賣給了Mark Karpeles（法胖）。到了2014年，MtGox處理的比特幣交易占全球70%。

2014年2月7日，MtGox宣布暫停交易，理由是其安全軟件存在漏洞。兩周后，網(wǎng)站突然關(guān)閉，MtGox申請破產(chǎn)。此次損失共計85萬BTC，在當時價值4.7億美元。這個問題導致投資者信心受挫，比特幣直接暴跌36%。

許多人懷疑是法胖監(jiān)守自盜，他于2015年因欺詐、挪用公款和操縱用戶余額等罪名被捕，但這并不能直接證明他與交易所被盜事件有關(guān)。2017年，美國當局在希臘逮捕了俄羅斯人Alexander Vinnik，他控制的錢包不僅有MtGox被盜的比特幣，還包括Bitcoinica、Bitfloor的。

Bitstamp （2015年1月）

安全事件不斷發(fā)生，交易所開始把幣存儲在兩個錢包上：冷錢包和熱錢包。冷錢包，即不聯(lián)網(wǎng)的服務(wù)器，又稱離線錢包。熱錢包則用來存儲足夠的錢以滿足用戶的每日交易需求。

2015年1月，Bitstamp熱錢包里的19000個比特幣被黑客通過釣魚手段竊取。幸運的是，Bitstamp 90%的幣都存儲在冷錢包里，并沒有受到影響。

The DAO （2016年6月）

基于以太坊網(wǎng)絡(luò)發(fā)行的加密貨幣運行方式跟比特幣不同，但同樣都是黑客攻擊的對象。以太坊區(qū)塊鏈環(huán)境有別于其他數(shù)值貨幣，可以通過智能合約進行交易的。

所謂智能合約即設(shè)置好要求，一旦滿足設(shè)定條件就會自動執(zhí)行。以太坊全網(wǎng)有6000臺電腦，因此網(wǎng)絡(luò)難以被修改或被控制。以太坊架構(gòu)支持去中心化自治組織DAO，把規(guī)則和決策通過代碼的形式寫進區(qū)塊鏈之中，允許智能合約在不受人為監(jiān)控的條件下自動執(zhí)行。

2016年4月，Genesis DAO創(chuàng)造了一個投資者可以給項目投票的社區(qū)，獲得20%以上支持的項目可獲得資金支持。DAO在以太坊上融到了2.5億美金。6月份，黑客發(fā)現(xiàn)了一個支持單一幣種多次提現(xiàn)的漏洞，而智能合約更新的速度比不上提現(xiàn)的速度。短短幾個小時內(nèi)，DAO 合約里面30%的ETH都被轉(zhuǎn)移了。

盜竊事件被公開后，Genesis DAO 執(zhí)行了硬分叉，創(chuàng)造出了一條新的區(qū)塊鏈。但是這次分叉受到了社區(qū)部分持幣者的反對，他們認為篡改時間戳就是在稀釋其他人手上以太坊的價值。之后，社區(qū)發(fā)起投票，89%的人支持硬分叉。反對者從社區(qū)分離出去，重組了原鏈，改名Ethereum Classic。

Bitfinex （2016年8月）

這是繼MtGox熱錢包被盜后發(fā)生的第二大交易所被盜事件。諷刺的是，Bitfinex進行軟件升級本是為了提高安全，卻沒想到軟件內(nèi)含有漏洞。Bitfinex當初使用的是BitGo提供的多簽交易軟件。

時至今日，沒人清楚黑客是怎么避開多個簽名盜走幣的?，F(xiàn)在最主流的解釋是Bitfinex服務(wù)器安裝了不合適的軟件。Bitfinex事件中，黑客盜走了12萬個比特幣， 當時價值7200萬美元。

隨后，為了補還客戶的損失，Bitfinex通過代幣進行股權(quán)融資，并使用營業(yè)額按月賠償客戶后逐步彌補虧空，艱難的熬了過來。

Parity（2017年7月和11月）

以太坊也受過多重簽名系統(tǒng)缺陷的影響。2017年7月17日，有人攻擊了多重簽名錢包服務(wù)商Parity，目標是三家最近剛完成ICO的公司。黑客一共竊取了152037個比特幣，價值3200萬美元。Parity將本次攻擊歸咎于Parity錢包版本中智能合約代碼存在漏洞，并于7月20日發(fā)布了補丁。

糟糕的是，該補丁解決了智能合約的問題，卻還存在另一個安全隱患。Parity在其智能合約代碼上新增了“kill” 功能，該功能允許用戶永久鎖定Parity錢包。Parity開發(fā)者沒有將這一代碼更新到所有的用戶錢包中，而是選擇跟一個中心化library（合約庫）進行函數(shù)調(diào)用。

11月6日，用戶名為“devops199”的編程新手意外鎖死了library，所有與library相連的錢包也被鎖死了。受影響的錢包共計587個，包含513，774個ETH，價值約1.5億美元。

這不是犯罪也不是惡意行為，卻給以太坊帶來一個大問題：是否再次進行硬分叉以恢復(fù)被鎖定的587個錢包？4月，Parity向以太坊社區(qū)發(fā)起投票，最終以55%反對票拒絕了硬分叉，丟失的幣也就永遠找不回來了！

NiceHash（2017年12月）

NiceHash是一家位于斯洛文尼亞的礦場。黑客利用釣魚成功竊取一名員工的證件，盜走4700個BTC，當時價值近8000萬美元。

Coincheck（2018年1月）

Coincheck是一家日本交易所，被盜取了5億個NEM。黑客取出NEM后迅速兌換成其他加密貨幣，以至于NEM基金會放棄了恢復(fù)工作。這次損失高達5.3億美元，超過了2014年MtGox的損失。由于Coincheck在被黑后隨即凍結(jié)提現(xiàn)，因此穩(wěn)住了用戶，交易所最終才得以存活下來。

Coinrail和Bithumb（2018年6月）

2018年6月，韓國兩家交易所的熱錢包遭遇攻擊。其中Coinrail損失了5300個 BTC（價值接近4000萬美元），Bithumb損失了近3100萬美元。

事實上，區(qū)塊鏈應(yīng)用存在一些中心化數(shù)據(jù)庫所沒有的安全問題。

區(qū)塊鏈在數(shù)據(jù)安全方面確實超過了傳統(tǒng)數(shù)據(jù)庫。如果區(qū)塊鏈想要實現(xiàn)在自己諾言——改變傳統(tǒng)數(shù)據(jù)的存儲和操作方式，那么它就必須去緩解和解決存在的這些安全問題！那到底有哪些安全漏洞？需要怎么去解決應(yīng)對呢？

訪問區(qū)塊鏈需要公鑰和私鑰等一些密鑰。密鑰是足夠長度的加密字符串，想猜出來它，呵呵。要是沒有公鑰和私鑰的正確組合，你想訪問區(qū)塊鏈中的數(shù)據(jù)那是不實際的，這同時說明了區(qū)塊鏈技術(shù)的優(yōu)勢和弱點。沒有正確的密鑰，黑客就無法訪問你的數(shù)據(jù)，這說明區(qū)塊鏈很安全。但另一方面，黑客的目的就是想拿到正確的密鑰來完成他不可告人的目的。在區(qū)塊鏈的世界中，擁有你的密鑰和擁有你的數(shù)據(jù)所有權(quán)完全是同義詞。這也就說明了區(qū)塊鏈的缺陷。確保你的密鑰安全，保證不要被黑客竊取。

黑客也知道猜密鑰沒用，所以他們花費大量的時間來竊取你的密鑰。獲得密鑰的最佳機會是攻擊整個區(qū)塊鏈系統(tǒng)中最脆弱的點——PC、手機等終端設(shè)備。Windows、安卓中的安全漏洞最容易成為區(qū)塊鏈黑客的目標，因為區(qū)塊鏈密鑰在任何時候都可以在這些設(shè)備上輸入、顯示和存儲。而黑客們就可以窺探并捕獲，如果我們沒有充分保護我們的設(shè)備，那你的財富就不翼而飛啦，而且老鐵你還找不回來！下面簡單幾步可以非常有效地防止黑客竊取你的區(qū)塊鏈密鑰：

給你的Windows、安卓設(shè)備裝上殺軟吧，并確保同時更新殺軟和操作系統(tǒng)！定期查殺惡意軟件！不要將密鑰存儲在記事本，word或其他文件中。如果確需，那就用可靠的加密軟件強加密！別以任何理由給任何人通過郵件發(fā)送密鑰。如果確需，那就用區(qū)塊鏈的電子錢包！各種密鑰分開放！

我們的信息只有通過區(qū)塊鏈輸入或者輸出，區(qū)塊鏈才會有價值。隨著分布式賬本的使用，提供第三方解決方案的市場將越來越大?？梢灶A(yù)見，在區(qū)塊鏈平臺整合、錢包、支付、科技金融、智能合約等5個方面會有大量第三方的解決方案。兄弟，我想你也想到了，分布式賬本的強烈需求為區(qū)塊鏈的開發(fā)帶來春天！但是第三方的供應(yīng)商也存在一些安全隱患，可能一些第三方自己也沒有意識到自己開發(fā)的系統(tǒng)的安全性有待提高，代碼可能有瑕疵，甚至在員工的層面存在漏洞，這都可能使其客戶的區(qū)塊鏈憑證和數(shù)據(jù)暴露給未經(jīng)授權(quán)的人員。區(qū)塊鏈供應(yīng)商中存在的安全隱患。

當?shù)谌疆a(chǎn)品涉及到智能合約（如果對智能合約不了解或感興趣，請關(guān)注本號并查看之前的文章錯過比特幣？難道還要錯過區(qū)塊鏈的下一個應(yīng)用風口——智能合約？）時，這種安全風險尤為嚴重。因為你的整個系統(tǒng)的所有行為或多或少的以智能合約的方式存儲在區(qū)塊鏈上，一個漏洞就可以造成災(zāi)難性的后果！因此，如果你需要第三方的區(qū)塊鏈解決方案，你需要考察整個區(qū)塊鏈行業(yè)的生態(tài)系統(tǒng)，經(jīng)驗和信譽應(yīng)該作為參考的兩個關(guān)鍵的指標！

福布斯的報道是這么說的，區(qū)塊鏈中首要的安全問題就是缺乏標準和規(guī)定！其實，只要有規(guī)定或標準，區(qū)塊鏈純粹主義者就會高度警惕。好奇boy也許會問了：區(qū)塊鏈不是和治理、規(guī)定處在對立面嗎？那得看你怎么它！如果回顧咱們上面說的第二個風險，供應(yīng)商風險。如果沒有標準，如果沒有規(guī)定，那上面提到的5個領(lǐng)域哪一個會從中獲益？顯然沒有！標準讓應(yīng)用更安全。

缺乏標準協(xié)議意味著區(qū)塊鏈開發(fā)人員很難從其他人的錯誤中受益。此外，在某些情況下，可能需要整合鏈條，隨著多種技術(shù)的融合，缺乏標準化可能意味著新的安全風險。標準和規(guī)定問題比技術(shù)問題要復(fù)雜的多。和其他技術(shù)發(fā)展類似，隨著歷史進程的發(fā)展，這些問題終會得到解決，歷史也許會驚人的相似：

強制的標準和規(guī)定慢慢的便可可以說的通。（互聯(lián)網(wǎng)發(fā)展初期的標準和監(jiān)管）在一些創(chuàng)新領(lǐng)域，大的企業(yè)聯(lián)合體內(nèi)部實施自己的標準和監(jiān)管。（如今大型互聯(lián)網(wǎng)公司在一些垂直領(lǐng)域的自由標準和監(jiān)管）僅用于大型企業(yè)內(nèi)部，進行自我管理的區(qū)塊鏈將沒有具體標準和監(jiān)管。（如今大型互聯(lián)網(wǎng)公司會制定自己的私有協(xié)議）

雖然自比特幣出世已經(jīng)有八年，但區(qū)塊鏈能否安全應(yīng)用于數(shù)字貨幣還是處在實驗階段的。但是一些分布式賬本的開發(fā)者很急，想在區(qū)塊鏈上部署未曾驗證測試的代碼。一個臭名昭著的例子就是DAO攻擊。（關(guān)于DAO攻擊，希望不懂的看官自行百度，謝謝~）。DAO攻擊之后，DAO貶值了三分之一，這下可不得了，DAO攻擊一度登上區(qū)塊鏈領(lǐng)域文章的熱搜！要解決這種類型的安全風險至少有兩個很好的解決方案：

相互監(jiān)督：在部署之前對代碼進行嚴格的同行審計。專業(yè)的人干專業(yè)的事：智能合約測試由獨立測試機構(gòu)進行。

這兩個方案中的使用任何一個都會發(fā)現(xiàn)DAO中的缺陷，那么在未來也時同樣如此！

盡管歷史上的損失令人痛心，可喜的是針對安全問題的解決方案正在越來越完善。

正如互聯(lián)網(wǎng)殺毒時代至今的演變一樣，我們期待更完美的技術(shù)性能迎來區(qū)塊鏈的進一步普及引用，真正從內(nèi)而外地形成一個可靠、透明、可追溯的分布式平臺，為金融交易創(chuàng)造安全空間、促進保障社會信任關(guān)系。