2018年區(qū)塊鏈到底發(fā)生了哪些安全事件

2018年，是區(qū)塊鏈發(fā)展最迅猛的一年，全球加密貨幣總市值一度接近8000億美金。但層出不窮的漏洞，使2018年成為黑客最為猖獗的一年。

安全事件的頻發(fā)，嚴(yán)重阻礙了區(qū)塊鏈的健康發(fā)展，不僅給用戶帶來了不小的損失，還直接導(dǎo)致了許多項(xiàng)目的“終結(jié)”。

以下是獵豹區(qū)塊鏈安全中心的整理盤點(diǎn)。希望廣大用戶和從業(yè)者能夠引以為鑒。

概述

2018年，無論是安全事件的數(shù)量，還是造成的損失，都呈現(xiàn)指數(shù)級上升：

圖1：安全事件造成的經(jīng)濟(jì)損失趨勢（萬美元），來源：bcsec

圖2： 重大安全事件數(shù)量統(tǒng)計(jì)，來源：bcsec

據(jù)Besec統(tǒng)計(jì)，2018年總計(jì)超過20億美金被盜，大型事件數(shù)量超過130多起（平均3天一起），區(qū)塊鏈用戶和項(xiàng)目方們紛紛淪為全球30萬黑客的“提款機(jī)”。

圖3：2018安全事件造成的損失統(tǒng)計(jì)，來源：31QU

這其中，交易所的安全事件數(shù)量（56.67%）和損失的金額（13.44億美元）都高居榜首；智能合約安全安全事件極少（6.67%），但造成的經(jīng)濟(jì)損失比例卻極高（12.4億美元）；DApp、個(gè)人錢包、公司服務(wù)器也無一幸免。

智能合約安全

目前，區(qū)塊鏈整體還處于低迷期，但是智能合約的發(fā)展卻非常穩(wěn)定，根據(jù)獵豹區(qū)塊鏈安全中心的數(shù)據(jù)，近一個(gè)月以太坊的智能合約平均每天以2000+的數(shù)量在增長。

智能合約漏洞雖然數(shù)量不多，但是所造成的損失是非常巨大的，這與solidity語言的特性有關(guān)，也與ERC20協(xié)議使代幣發(fā)行變得便捷有關(guān)。

智能合約漏洞的TOP10攻擊類型為：重入攻擊、權(quán)限控制、整型溢出、未檢查的call返回值、交易順序依賴、時(shí)間戳依賴、條件競爭、短地址攻擊、可預(yù)測的隨機(jī)處理等。

所有智能合約事件中，最著名的當(dāng)屬美鏈?zhǔn)录?8年4月22日下午，才發(fā)行兩個(gè)月左右的BEC美蜜合約出現(xiàn)重大的溢出漏洞，黑客通過合約的批量轉(zhuǎn)賬方法無限生成代幣，天量BEC從兩個(gè)地址轉(zhuǎn)出，進(jìn)而引發(fā)拋售潮。當(dāng)日，BEC的價(jià)值幾乎歸零。損失金額超過10億。

由于區(qū)塊鏈的“代碼即一切”的原則，導(dǎo)致目前沒有有效的安全防護(hù)手段來徹底避免智能合約安全的問題。

對于智能合約的開發(fā)，小豹建議摒棄“敏捷開發(fā)”的理念。而采用緩慢而有條理的方法來開發(fā)智能合約，在最初設(shè)計(jì)和編碼時(shí)，就盡量謹(jǐn)慎和考慮周全。

開發(fā)管理者也不要對開發(fā)人員太大的壓力（比如制定嚴(yán)格的期限等），通常來說，趕出來的東西都多多少少會(huì)有問題。

另外，在上鏈之前，找到專業(yè)的區(qū)塊鏈安全公司對智能合約進(jìn)行安全審計(jì)是最最基礎(chǔ)和必要的。

以下是2018年智能合約大事件，以及相關(guān)事件的一些細(xì)節(jié)：

（1）2018年 8月22日，GOD.GAME合約遭到黑客攻擊，GOD智能合約上的以太坊總量歸零

（2）2018年4月25日，SmartMesh 出現(xiàn)重大安全漏洞，導(dǎo)致1.4億美元損失

（3）18年4月22日下午，才發(fā)行兩個(gè)月左右的BEC美蜜合約因?yàn)榇嬖谝绯雎┒?，被黑客從兩個(gè)地址不斷轉(zhuǎn)出代幣，使BEC價(jià)格幾乎歸零，損失金額總計(jì)超過10億美元。

交易所安全

據(jù)網(wǎng)絡(luò)安全公司 CiferTrace 10月發(fā)布的一份報(bào)告顯示，2018年前9個(gè)月，通過黑客入侵交易所竊取的加密貨幣就已達(dá)9.27億美金，已經(jīng)是整個(gè)2017年的2.5倍。

韓國科技部的調(diào)查報(bào)告稱：“大部分交易所都存在安全漏洞?！?/p>

那么，為什么加密貨幣交易所安全問題層出不窮？

一方面，數(shù)字貨幣的匿名性，不可篡改性以及無監(jiān)管特性，導(dǎo)致了資產(chǎn)轉(zhuǎn)移便捷，溯源找回難度大。另一方面，數(shù)字貨幣交易行業(yè)出現(xiàn)時(shí)間短，發(fā)展又非?？欤麧櫢?，導(dǎo)致本來技術(shù)積累就不足的情況下，仍然忽視信息安全方面的建設(shè)，隱藏的安全漏洞多，攻擊起來相對容易。甚至還有一些加密數(shù)字交易所甚至完全沒有安全系統(tǒng)。

數(shù)字貨幣交易所面臨的安全威脅主要包括：服務(wù)器軟件漏洞、配置不當(dāng)、DDoS攻擊、服務(wù)端Web程序漏洞（包括技術(shù)性漏洞和業(yè)務(wù)邏輯缺陷）、辦公電腦安全問題、內(nèi)部人員攻擊等。

對于規(guī)模較大，用戶較多的交易所，還會(huì)面臨用戶被攻擊者利用仿冒的釣魚網(wǎng)站騙取認(rèn)證信息的問題。

而針對這些安全威脅，小豹建議交易所在面向用戶之前，先進(jìn)行滲透測試，代碼審計(jì)等安全服務(wù)，挖掘并修復(fù)系統(tǒng)存在的安全漏洞。

另外，建議交易所對所有正式入職的員工進(jìn)行必要的基礎(chǔ)的安全培訓(xùn)。

最后，針對數(shù)字虛擬幣交易的網(wǎng)民，建議大家主動(dòng)學(xué)習(xí)安全知識(shí)，并在電腦端、手機(jī)端使用安全軟件，千萬不要自信“裸奔”，以避免掉進(jìn)網(wǎng)絡(luò)釣魚陷阱以及錢包被盜事件的發(fā)生。

以下是2018年加密貨幣交易所被盜事件，以及相關(guān)事件的具體細(xì)節(jié)。

（1）1月，日本最大的數(shù)字加密貨幣交易所 Coincheck 被盜走價(jià)值5.34億美元的XEM。Coincheck 是日本第二大交易所，在之后的官方發(fā)布會(huì)上，Coincheck 表示，XEM 被盜是因?yàn)榇鎯?chǔ) XEM 的熱錢包的私鑰被黑客所竊取，但是沒有其他幣種被盜。受此事件影響，XEM 當(dāng)天下跌9.8%。

（2）2月11日，意大利加密貨幣交易所 BitGrail 被攻擊，價(jià)值 1.7 億美元的加密貨幣 NANO 被盜。

（3）3月7日，Binance 遭到黑客入侵，黑客通過控制幣安部分賬戶，賣出這些賬戶持倉的比特幣，買入 VIA 幣，導(dǎo)致 VIA 逆市大漲。幣安將異常交易進(jìn)行了回滾處理，但此事件依然引起市場恐懼，隨后幾天比特幣跌幅超過15%。

（4）4月1日，Bit-Z 遭遇黑客攻擊，未造成資金損失。為此 Bit-Z 專門設(shè)立了10000個(gè) ETH 安全基金，用于獎(jiǎng)勵(lì)安全漏洞提交者。這筆獎(jiǎng)勵(lì)在當(dāng)時(shí)價(jià)值400萬美金。

（5）4月13日，印度三大比特幣交易所之一 Coinsecure 在官網(wǎng)發(fā)布公告稱，該交易所438個(gè) BTC 失竊，價(jià)值約330萬美元。該交易所首席安全官 Amitabh Saxena 被列為嫌疑人。這是印度最大的加密貨幣被盜事件。

（6）6月5日，Bitfinex 遭到“拒絕服務(wù)（denial-of-service）”攻擊，Bitfinex 隨即暫停了交易所的所有交易。

（7）6月10日，韓國數(shù)字加密貨幣交易所 Coinrail 遭到黑客攻擊，損失超過5000萬美元。Coinrail 加密貨幣總量的70%被保存在冷錢包，被盜總量的三分之二已被追回。

（8）6月20日，韓國加密貨幣交易所 Bithumb 被黑客攻擊，價(jià)值3000萬美元的加密貨幣被盜，這是 Bithumb 第三次被黑客攻擊。

此前，該交易所還遭受了兩次“黑客攻擊”。

第一次：2017年4月，Bithumb 某員工電腦被黑，導(dǎo)致超過3萬名用戶的資料被竊，Bithumb 也因此被韓國監(jiān)管機(jī)構(gòu)罰款5.5萬美元。

第二次：2017年12月22日，韓國MBC電視臺(tái)雇傭了一家安保公司，對包括Bithumb 在內(nèi)的5家韓國交易所進(jìn)行安全測試。該安保公司成功“黑入”包括Bithumb 在內(nèi)的5家交易所，并獲取了部分用戶數(shù)據(jù)和資金。受雇“黑客”聲稱僅使用了“基本的黑客技巧”。

但是，安全問題并未引起交易所足夠重視，這才導(dǎo)致了2018年6月份的黑客事件發(fā)生。

（9）9月20日，日本數(shù)字貨幣交易所 Zaif 宣布遭受黑客攻擊，損失5967萬美元。其中1959萬美元屬于該交易所自有資金，其余4007萬美元屬于客戶資金。

Dapp安全

智能合約和交易所是安全的重災(zāi)區(qū)，18年話題度頗高的 DApp，也沒能逃脫黑客的魔爪，雖然損失金額在所有安全事件中比例較低，但頻繁的安全事件嚴(yán)重影響著Dapp生態(tài)的落地與應(yīng)用。

據(jù) Dapp.review 最新數(shù)據(jù)顯示，目前運(yùn)行在以太坊、EOS、波場等公鏈上的 DApp 總數(shù)量超過1900個(gè)。

處于DApp生態(tài)建設(shè)初步發(fā)展階段的EOS，DApp相關(guān)的安全問題層出不窮。截止12月份，由于DApp漏洞導(dǎo)致的損失已經(jīng)高達(dá)39.5萬個(gè)EOS與1.3萬個(gè)ETH。按照兩者最高市值計(jì)算，損失財(cái)富超過2700萬美金。

2018年下半年，DApp安全事件集中爆發(fā)，黑客攻擊事件主要發(fā)生在EOS主網(wǎng)。攻擊手段也是花樣百出：隨機(jī)數(shù)攻擊、種子漏洞、假幣攻擊……

EOS作為被寄予厚望的企業(yè)級區(qū)塊鏈操作系統(tǒng)，基于此的 DApp 為什么會(huì)發(fā)生如此多黑客攻擊事件？

今年5月份，EOS創(chuàng)始人BM曾表示，為EOS主網(wǎng)提供有價(jià)值的漏洞將獲得1萬美金的報(bào)酬。該懸賞令頒布之后，一位名叫“Jon Bottarini”的網(wǎng)友透漏，有人僅一天就發(fā)現(xiàn)了8個(gè)漏洞，獲得8萬美金獎(jiǎng)勵(lì)。這也充分說明EOS主網(wǎng)本身存在大量安全問題。

實(shí)際上，針對EOS上DApp的攻擊，正越來越專業(yè)化、團(tuán)隊(duì)化。

11月份以來，作為三大EOS競猜類DApp，EOSDice、FFgame 和 EOS.WIN 先后發(fā)生了“隨機(jī)數(shù)漏洞”攻擊。據(jù)知情人士爆料，這些攻擊案件系一人或者同一團(tuán)隊(duì)所為。該知情人士表示，已經(jīng)成功鎖定黑客交易所賬戶。

相較于EOS網(wǎng)絡(luò)，以太坊的黑客攻擊事件要稍微少一些。

下面是2018年以來DApp上發(fā)生的黑客攻擊事件，以及相關(guān)事件具體細(xì)節(jié)：

（1）7月25日，狼人游戲（EOS 版本的 Fomo 3D）出現(xiàn)“溢出”漏洞，導(dǎo)致游戲損失60686個(gè)EOS。EOS核心仲裁論壇（EACF）對黑客的行為仲裁后，簽發(fā)新的仲裁令，凍結(jié)黑客的EOS賬戶：eosfomoplay1。

（2）8月22日，F(xiàn)omo 3D（Last Winner）遭受黑客攻擊，損失10469個(gè)ETH（價(jià)值約300萬美金）。安比（SECBIT）實(shí)驗(yàn)室首次宣布斷定Fomo3D大獎(jiǎng)獲得者采取了一些“特殊攻擊技巧”，攻擊者通過高額手續(xù)費(fèi)吸引礦工優(yōu)先打包，最終以較低成本針對性地堵塞區(qū)塊，加速游戲結(jié)束，提高自己獲勝概率。

9月24日，F(xiàn)omo 3D 第二輪游戲開始之后，黑客采用相似的攻擊手段，拿到了3264.668個(gè)以太坊獎(jiǎng)勵(lì)。

（3）8月27日，Luckyos旗下的石頭剪刀布游戲被黑客攻破，損失未知。

（4）9月2日，EOS.win “隨機(jī)數(shù)”被黑客攻擊，導(dǎo)致?lián)p失2000ESO。

（5）9月10日，EOSBet 遭到黑客攻擊，共計(jì)損失了4000個(gè)EOS；4天后，EOSBet再次遭黑客“假通知”攻擊，損失145321個(gè)EOS，目前損失已被追回。

（6）9月12日，LuckyGo遭到攻擊者 iloveloveeos（惡意合約）而被迫下線。當(dāng)天晚上，iloveloveeos又迅速攻擊了新上線的游戲LuckyGo。這兩次攻擊都屬于“隨機(jī)數(shù)缺陷攻擊”。

（7）9月12日 EOS Happy Slot 遭黑客重放攻擊，損失5000個(gè)EOS。一名賬號為 imeosmainnet 的黑客利用“重放攻擊”，導(dǎo)致項(xiàng)目方損失了5000個(gè)EOS。

（8）9月14日，去中心化交易所Newdex遭到黑客攻擊。黑客利用假幣在交易所換區(qū)真幣，共計(jì)獲利11803個(gè)EOS。

攻擊過程是這樣的：攻擊者創(chuàng)造了一種全新的代幣，發(fā)行量也是10億（EOS發(fā)行量為10億），并將其命名為“EOS”。攻擊者采用特殊的方法，用11800個(gè)假EOS在Newdex上兌換出了大量等值真幣。

（9）9月15日，EOS.Win 遭受黑客假幣攻擊，共計(jì)損失超過4000個(gè)EOS。

11月11日， EOS.Win 還在11月11日遭受了第二次攻擊。此次攻擊黑客在一分鐘之內(nèi)，共計(jì)向 EOS.WIN 游戲合約（eosluckydice）發(fā)起10次攻擊，獲利超9180個(gè)EOS。

（10）10月16日，World Conquest 遭受黑客“繳稅規(guī)則”攻擊，拒絕其他玩家參與，進(jìn)而盈利4555個(gè)EOS；

（11）10月26日，EOS Royale 遭受黑客“隨機(jī)數(shù)”攻擊，損失10800個(gè)EOS。過程是這樣的：黑客通過調(diào)用隨機(jī)數(shù)發(fā)生器，計(jì)算出先前區(qū)塊的信息，進(jìn)而獲得游戲隨機(jī)數(shù)，從而破解 EosRoyale 錢包，并竊取價(jià)值 60000 美金的 EOS 代幣。

（12）10月28日，EOS Poker 遭受黑客“種子漏洞”攻擊，損失1374個(gè)EOS。

（13）10月31日，EOSCast遭遇黑客假幣攻擊，導(dǎo)致72912個(gè)EOS被黑客轉(zhuǎn)走。根據(jù)游戲規(guī)則，黑客分別用100、1000、10000個(gè)假EOS代幣進(jìn)行攻擊，每次攻擊可得到198、9800、19600個(gè)不等的EOS。在進(jìn)行最后一次攻擊時(shí)，游戲方察覺到異常攻擊，及時(shí)轉(zhuǎn)走了獎(jiǎng)金池僅剩的8000個(gè)EOS。

ECAF（EOS核心仲裁委員會(huì)，對智能合約有仲裁權(quán)限）針對此事件即時(shí)響應(yīng)，并發(fā)布了仲裁令，凍結(jié)了相關(guān)涉事賬戶。

（14）11月4日，EOSDice發(fā)公告稱智能合約遭到攻擊，但由于其擁有自動(dòng)檢測功能，在攻擊之后，合約自動(dòng)將剩余資金轉(zhuǎn)移至安全地址。此事件導(dǎo)致EOSDice損失2545個(gè)EOS。

（15）11月8日，F(xiàn)Fgame遭遇了黑客攻擊，黑客賬戶jk2uslllkjfd向FFgame游戲合約 （eoswallet415）發(fā)起多達(dá)304次攻擊，共計(jì)獲利1331.2922個(gè)EOS。

（16）11月10日，黑客向MyEosVegas游戲合約（eosvegasjack）發(fā)起超700次攻擊，已獲利超9000個(gè)EOS。

（17）11月26日，競技類DApp遭遇了前所未有的新型回滾攻擊。

（18）12月3日，Dice3D遭遇黑客攻擊，損失10569個(gè)EOS。黑客已將被盜的EOS轉(zhuǎn)至火幣。Dice3D官方?jīng)Q定自費(fèi)拿出部分EOS給予玩家補(bǔ)償。

錢包安全

數(shù)字貨幣錢包有熱錢包和冷錢包之分，冷錢包由于私鑰不接觸網(wǎng)絡(luò)，相對安全性較高，不過隨著技術(shù)的快速迭代，無論熱錢包還是冷錢包，都相繼被黑客攻擊。

2018年，因?yàn)殄X包安全而損失的金額損失在4000萬美元左右。這其中，大部分是黑客通過各種手段獲取到用戶私鑰，導(dǎo)致資產(chǎn)被盜。還有一部分是錢包設(shè)計(jì)存在缺陷造成的。

因?yàn)閰^(qū)塊鏈的去中心化特點(diǎn)，黑客攻擊目標(biāo)的就是想方設(shè)法搞到用戶私鑰，如果用戶存儲(chǔ)方式不當(dāng)，就肯可能被釣魚郵件、木馬病毒等方式攻擊，導(dǎo)致資產(chǎn)被盜。

因此，建議廣大用戶把私鑰要抄在紙上或物理方式保管，要抄對，然后放在一個(gè)絕對不會(huì)忘的地方，千萬不要存儲(chǔ)在網(wǎng)上，保證私鑰不觸網(wǎng)，還要保證私鑰和錢包不要放在一塊；另外，盡量選擇用戶基數(shù)大，安全事件較少的錢包；最后，無論在網(wǎng)頁端還是手機(jī)端，都必須安裝安全軟件，千萬不能“裸”奔。

錢包設(shè)計(jì)上的缺陷也會(huì)引發(fā)攻擊事件，并且一旦爆發(fā)，影響力和損失金額將會(huì)很廣。

比如國外某錢包在第一次運(yùn)行的時(shí)候，默認(rèn)為用戶創(chuàng)建一個(gè)新錢包并將錢包文件未加密存儲(chǔ)在系統(tǒng)本地，攻擊者可以讀取存儲(chǔ)的錢包文件，通過對錢包應(yīng)用逆向分析等技術(shù)手段，還原該錢包的算法邏輯，并由此直接恢復(fù)出用戶的助記詞以及根密鑰等敏感數(shù)據(jù)。

對于這部分安全問題，只能建議錢包項(xiàng)目在面向用戶之前，找到專業(yè)的安全團(tuán)隊(duì)進(jìn)行安全方面的審計(jì)。

下面是2018年以來錢包相關(guān)的黑客攻擊事件：

（1）1月8日，Reddit Tippr 用戶被黑客盜走了數(shù)千個(gè)BCH（比特幣現(xiàn)金）。

（2）1月17日，XLM錢包被攻擊，超40萬美元XLM被盜。事件起源是黑客劫持了BlackWallet.co 的DNS服務(wù)器，據(jù)估計(jì)，此次攻擊事件，導(dǎo)致近70萬個(gè)XLM被盜，價(jià)值超過40萬美元。

（3） 1月22日，黑客入侵IOTA錢包，盜走價(jià)值400萬美金的IOTA。據(jù)CCN報(bào)道，原因出在用戶用來生成IOTA錢包私鑰的網(wǎng)站被黑。

（4）3月4日，鈦合金區(qū)塊鏈（TBIS）發(fā)布推特宣稱遭受黑客攻擊，公司錢包被盜竊了1870萬BAR代幣（約90萬美元）。

（5）4月17日，數(shù)字貨幣投資者和Youtube博主Ian Balina昨晚在直播評論ICO項(xiàng)目時(shí)受到黑客攻擊，黑客從他的Etherscan錢包中轉(zhuǎn)移了超過200萬美元的數(shù)字貨幣。

（6）4月25日，MyEtherWallet遭劫，共損失約500個(gè)ETH。

（7）6月6日，日本零售商Shopin的MEW錢包遭到黑客攻擊，損失了超1000萬美元的加密貨幣。其中包括以太坊、Level Up、Orbs與Shopin。

（8）8月15日，陜西省西安市警方抓獲了三名高級黑客嫌疑人，三人曾共同合作，盜取價(jià)值了6億元加密貨幣。

今年3月30日，盜竊事件發(fā)生之后，受害人張姓男子報(bào)案，稱自己的電腦被非法攻擊，價(jià)值數(shù)億元的虛擬貨幣被洗劫一空。隨后警方展開搜捕工作，今年8月15日，三名黑客被警方逮捕。

（9）9月25日，EOS持倉大戶gm3dcnqgenes賬號被盜，共計(jì)損失209萬個(gè)EOS（約1080萬美元）。

（10）10月22日，瑞士區(qū)塊鏈公司Trade.io稱，其冷錢包中的5000萬TIO被盜，價(jià)值750萬美金，其中130萬TIO被轉(zhuǎn)移到Kucoin和Bancor兩個(gè)交易所。Kucoin已經(jīng)暫停了TIO的交易，而Bancor則永久刪除了TIO。

（11）10月25日，Reddit用戶賬戶遭黑客攻擊，黑客從他的錢包中盜竊了14個(gè)比特幣（89500美元）、22個(gè)ETH（4400美元）和大約1170萬個(gè)COSS代幣（77萬美元），這些加密貨幣總共價(jià)值86.4萬美金。

回顧整個(gè)2018年的安全事件，有人持悲觀態(tài)度，認(rèn)為區(qū)塊鏈?zhǔn)菢O度高危的行業(yè)，應(yīng)該避而遠(yuǎn)之。

但也有認(rèn)為，安全事件的頻發(fā)從側(cè)面反映了這個(gè)行業(yè)被前所未有的關(guān)注，因?yàn)楹诳椭粫?huì)花時(shí)間攻擊有價(jià)值的東西。

在獵豹區(qū)塊鏈安全小豹看來，雖然2018年黑客猖獗，但全球范圍內(nèi)的區(qū)塊鏈安全公司也已經(jīng)悄悄崛起；整個(gè)行業(yè)也會(huì)因?yàn)楦冻鰬K痛代價(jià)，而加強(qiáng)安全方面的投入和建設(shè)；用戶安全教育也逐漸被重視起來。未來區(qū)塊鏈行業(yè)的蓬勃發(fā)展還是非?？善诘?。