网络“财富”被黑客盯上区块链代码漏洞觊觎

网上“财富”令人垂涎

黑客关注区块链代码中的漏洞

在区块链技术的发展中，安全是硬性要求。需要构建区块链安全生态系统，重点关注数字货币钱包、智能合约等不同产品。同时，还需要对矿池、交易所等数字货币产生的节点进行动态防范。

一行代码蒸发64亿元。这一令人难以置信的黑客行动发生在今年 4 月。仅仅因为黑客发现了一个代码漏洞，相关区块链产品的整个市值瞬间被转出，接近于零。

“如果说传统意义上的货币取决于国家信用及其价值，那么加密数字货币的存在取决于区块链技术的信用。” 9月6日，在由钟祥比特等共同主办的ISC2018区块链与网络安全论坛上，山东警察学院侦查系网络犯罪侦查教研室副主任张轩表示，由于相继发现区块链技术代码漏洞和一些相应的安全事件，人们对区块链技术的认识逐渐被打击。信心。

此前认为，由于分布式存储、加密算法等技术的应用，区块链技术具有不可篡改、可追溯的特点，被认为是“万无一失”。但是，此功能主要针对存储在块中的信息。以文章开头的案例为例，区块链技术保证可以追溯到64亿被转移的地方，黑客的操作也将被系统防篡改。记录，但不能“拒绝”黑客篡改底层代码来保护虚拟数字货币。

区块链技术本身存在可被利用的漏洞。 “利用区块链技术成为不法分子谋取非法利益的新手段。”张轩说，甚至有人说，区块链技术引发了一场经济犯罪的革命。面对新手段带来的新挑战，我们应该如何应对，才能保持区块链技术的长远发展？

虚拟货币成为盗窃的新目标

不久前，一部名为《隐藏天空：美女的计划》的盗窃题材电影上映，讲述了一群美丽的小偷偷走了价值1.5亿美元的钻石项链的故事。

相比于币圈发生的盗窃案，这条项链的价值并没有那么惊人。例如，在今年3月30日中国警方破获的一起虚拟货币盗窃事件中，国内某知名网络公司的三名黑客入侵受害者张某的电脑，盗取了价值6亿元的比特币、以太坊等虚拟货币。 空。

过去，小偷的目标是金、银、珠宝和成堆的钞票。现在，只要稳稳坐在电脑前，动动手指，就可以通过盗取虚拟货币“致富”。加密数字货币已成为高科技犯罪的新目标。世界各国都陷入困境。资料显示，在价值5.3亿美元的代币被盗后，日本16家加密数字货币交易所拟成立自律小组，自查自查系统漏洞。

360集团信息安全部王微博表示，针对非个人电脑的公链和交易所已经公开攻击57起，损失10亿美元。不过，他认为这只是“冰山一角”。大量攻击因对交易所声誉造成负面影响而不会公开，损失由交易所自己承担。

除了盗窃，虚拟货币也成为不法分子的工具。 “比特币已成为洗钱工具，衍生出‘专业水房’。”张悬说道。她举了一个真实的案例：受害人在QQ上遇到了嫌疑人。他自称是一名曾在伊拉克作战的士兵。他希望受害人帮他取包裹，这需要80万美元的保证金。受害人将资金汇给专门从事比特币交易的王某，王某用比特币支付给嫌疑人。对于犯罪嫌疑人来说，没有证据表明是诈骗来取钱，并且在王某某处有大量比特币交易。资金的进入增加了调查的难度。

“比特币的参与（目前黑市认可的加密数字货币大多为比特币），使得警方破案追击资金链的手段可能无效。”张悬说黑客为什么没人破解比特币，在工作中，她深感案子不好。调查后，追查罪犯的难度大大增加。

更重要的是，犯罪分子不是个人或团伙，而是正常运作的合法企业。张轩介绍，一家技术运维公司开发了木马病毒，安装在客户负责运维的机器上。挖矿程序是在机器内存没有被占用的情况下启动的，在被发现之前已经开采了5000多种数字货币。据统计，该公司在全国非法控制机器超过300万台。 “这种违法行为的法律定位还很模糊。”张轩表示，新的刑事形势催促完善法律法规，提醒执法人员不断更新知识储备。

一天3次检查和填补空白

“我们可能不知道黑客是如何攻击的，但我们应该做好每一个细节的安全。”王微博表示，对自己的漏洞进行排查，可以将安全风险降到最低，甚至可以提前预防问题。

就像攻防战，一旦掌握了区块链技术的“生命之门”，黑客的外部攻击将一发不可收拾。而“加固城墙”和“严查堵漏”是防守方适应变化的有效手段。

据王微博介绍，黑客对区块链技术的攻击可以发生在六个不同的层面，包括应用层、合约层、激励层和数据层。不同级别的不同攻击方式会产生不同的后果。

攻击越低，就越有可能“触发全身”。例如，对数据层的攻击将带来整个区块链而不是单个节点的变化。今年5月，由于攻击者篡改了某条区块链的生成时间，导致挖矿难度降低，整个主链被劫持，导致攻击者获得大量代币。

因此，360安全团队开始从黑客攻击六个方面入手研究，分别找出漏洞，“开药方”。通过对公链和交易所的安全测试，360安全团队发现了42个漏洞，其中有29个可能影响用户账号安全的高危漏洞。

除了排查问题，团队还对部分黑客攻击进行了深入测试，并撰写了《公链渗透测试白皮书》。王微博表示，即将发布白皮书，其中将对部分安全事件进行分析，以区块链攻击为切入点，深入分析黑客的攻击方式，以及如何做好安全防护不同的攻击。<​​/p>

王微博认为，区块链行业处于比较早期的发展阶段，在安全方面还存在很多问题。在区块链技术的发展过程中，安全是硬性要求。需要构建区块链安全生态系统，重点关注数字货币钱包、智能合约等不同产品。同时，还需要从矿池、交易所等数字货币中生成节点。实施动态防御。

不建议盲目启动区块链项目

“除了让区块链技术本身更加稳固和值得信赖之外，我们还面临着将区块链上的数据与真实数据连接起来的问题。”中国信息通信研究院云计算与大数据研究室主任魏凯表示，每个行业在使用区块链时都有自己的痛点，比如溯源行业，如何保证数据上链对应要追溯的产品，不会“掉线”？

链上写的信息是否真实，能否准确反映现实。这是区块链技术无法解决的，必须通过制度体系等链外手段来保障。魏凯认为，目前的配套体系是欠缺的。

“要启动一个区块链应用程序，你应该首先问四个问题。”魏凯道：“任务需要我记录数据吗？记录的数据是否需要多方参与？参与方能否相互信任？如果你可以信任它，那么你可以考虑放弃原有的载体，使用区块链技术。最后一个问题，你能容忍它比中心化系统低的效率吗？”

魏凯解释说，使用区块链的成本也很高，因为它是一个封闭的系统，效率肯定没有中心化系统高。目前，区块链技术在使用时并没有明显的效率。优势。

魏凯用“焦虑”来形容目前业界乃至政府对区块链的态度。 “20多个省市出台了与区块链相关的激励政策黑客为什么没人破解比特币，很多地方都建起了区块链建筑。入驻这些建筑的公司是否发现了必须使用区块链的场景？什么？这个问题值得深思。”魏凯认为，除了区块链技术本身的完善，政策、法规、验证等制度还需要进一步推进。为此，中国信息通信研究院于4月9日联合158家企业启动了“可信区块链推进计划”，推动技术标准、行业应用、政策法规等方面的推进，逐步完善区块链发展。对生态有益。