當前位置:
首頁 > 新聞 > 黑客過境,幣圈難寧

黑客過境,幣圈難寧

獵雲註:在黑客攻擊後倒閉的項目不絕如縷。幣圈是一塊無人管的戈壁地。在幣圈尚無明確法律監管的情況下,這些黑客攻城掠地,侵佔一座又一座城池。無論是礦池、錢包、交易所還是公鏈,甚至是用戶的印表機、攝像頭,都有被黑客襲擊的可能。就這樣,幣圈每年上億美金的虛擬貨幣流入黑客口袋。文章來源:深鏈財經(ID:ID:deepchain)作者:大衛

自互聯網始,黑客存在久矣。

然後,顛覆互聯網的區塊鏈來了,黑客也隨之降臨。

分裂以太坊,門頭溝事件,BTER失竊……每一次幣圈事故背後都能瞧見他們身影出沒。

與互聯網的森嚴法治不同,幣圈黑客遊走在規章的模糊邊界,無人約束。每年上億美元贓款落入黑客腰包。

這是與古典互聯網截然不同的奇異景觀。

「互聯網發生安全事故丟失的是信心,幣圈安全事故丟的可能是命了。」一位區塊鏈安全人士表示。

利益之下,黑客肆掠,幣圈無人倖免。區塊鏈的頭頂上,始終籠罩著一層陰霾。


一場悄無聲息的遷徙

古典互聯網黑客正在往幣圈大規模遷徙。

「正是區塊鏈技術創新造就了這群黑客。」BYSEC.IO創始人莫良向深鏈財經稱,「區塊鏈是歷史上任何一個時代無法比擬的——代碼和錢畫上了等號。」

互聯網和幣圈是截然不同兩個世界。

「對於互聯網安全,一旦發生安全事故,往往丟失的是信心,但是用戶是健忘的。可對於數字貨幣交易所、錢包而言,丟失的就不僅僅是信心了,可能就是丟命了,是等同於法幣資產的身家性命。」 一位業內人士透露。

在黑客攻擊後倒閉的項目不絕如縷。門頭溝事件(2014年2月,黑客從Mt.Gox盜取用戶近75萬枚比特幣及交易所10萬枚比特幣)直接導致彼時世界第一大交易所Mt.Gox申請破產。

幣圈是一塊無人管的戈壁地。在幣圈尚無明確法律監管的情況下,這些黑客攻城掠地,侵佔一座又一座城池。

莫良將攻擊分為兩種:一種是鏈上攻擊,例如像BTG雙花攻擊。技術門檻高,攻擊者對區塊鏈技術有一定研究;一種是鏈下服務攻擊,比如對交易所、錢包的攻擊。

幣圈黑客目前的操作方式大部分屬於後者。即是說,黑客仍然用著傳統互聯網的方法在幣圈興風作浪。

「密鑰和錢包的安全是區塊鏈安全1.0的重心,智能合約是區塊鏈安全2.0的重心。但是目前大多數黑客事件還是使用傳統攻擊手段。」長亭科技區塊鏈安全研究員於曉航向深鏈財經表示。

古典互聯網黑客轉行幣圈,根本不需要學習成本,所要只是一個瞬念。

幣圈黑客已經將觸角伸向區塊鏈全產業鏈。

無論是礦池、錢包、交易所還是公鏈,甚至是用戶的印表機、攝像頭,都有被黑客襲擊的可能。

例如,對於礦池來說,黑客直接攻擊礦池,設法獲取礦池網站的管理員許可權,然後將礦池裡額虛擬貨幣轉移至自己帳戶。

此外,黑客還能黑進用戶的物聯網設備,偷設備上的算力,當用戶發現設備的耗電量增加、網路流量出現異樣,事實上其中是黑客在暗地裡挖礦,但用戶根本不會發現。

就這樣,幣圈每年上億美金的虛擬貨幣流入黑客口袋。


黑白邊緣

於曉航發現,自今年年初,開始做區塊鏈或者轉型區塊鏈的安全公司多了起來。

近日,BYSEC團隊也忙於不斷見新的投資人。

幣圈白帽子勢力正在擴張。白帽子,即正面的黑客,可以識別計算機系統或網路系統中的安全漏洞,並不去惡意利用,而是公布漏洞。

這是刀鋒上的生意。技術的價值在幣圈被無限發大。

莫良稱,「在安全人才儲備嚴重不足情況下,很多公司趁火打劫」。

很多安全公司奔著賺錢來的。莫良透露,在傳統互聯網行業,代碼審計按萬行收費,平均一行代碼1元至10元,而在區塊鏈行業,代碼審計費最高上萬元。

區塊鏈,碰撞出技術火花,同時也是一座富饒金礦。

「區塊鏈行業里的白帽子非常缺乏,因為安全其本身還是一個服務性的東西,跟黑帽的利益驅動相比,白帽更多是發自內心的責任感去做。」於曉航稱,相對黑帽來說,區塊鏈白帽陣營還是太小了。

與此對照的是源源不斷湧入幣圈的黑客團隊。

「未來一定會有更多黑客湧入區塊鏈。」莫良稱,最近耳聞,區塊鏈早已變成黑客眼中最肥的肉。

這是一場力量相差懸殊的競爭。

現行的技術和手段,加上區塊鏈去中心化、匿名的特點,黑客的行蹤很難被追溯。

而法律監管的缺失,更讓這群幣圈黑客肆意妄為。

白帽子卻常常陷入誤解的疑雲。

讓莫良最受挫的是大眾對黑客認知的缺失。很多區塊鏈公司對黑帽和白帽沒有清晰認知,「大家都覺得黑客是不分黑白的,只要你找上門就是壞的。事實上白帽被稱為道德黑客,完全是出於個人興趣,很多人在大互聯網公司領著百萬年薪,但還是願意不相識公司提出漏洞」。

充滿悖謬的是,監守自盜在事情經常在安全領域上演。有黑客偽裝白帽子,獲取內部信息後發起攻擊。

慢霧科技聯合創始人餘弦曾表示,自己在招人時第一考慮的是價值觀,然後才是其他,「在自我約束這方面,我們非常嚴肅」。

「守正出奇」,餘弦稱,黑客這個身份,自帶奇,但得守正。

與此同時,白帽子只有把自己設身為黑客,去模擬攻擊,才能發現漏洞。「以攻促防,只有了解攻擊者的手法與心理還有這個群體的生存模式,才能真正做好防禦。」餘弦介紹。

莫良稱,而今很多區塊鏈公司只有運營團隊,沒有技術團隊。莫良覺得成熟的區塊鏈項目應該設有獨立的安全部門。

「這不僅僅是技術層面的事,還是意識層面的。」 莫良稱。

「意識安全比技術安全還要重要。」於曉航也表示認同。

於曉航發現,2014年,BTER交易所發生失竊事件,源於BTERCEO韓林被黑客分析,而其個人密碼恰好是BTER交易所里很關鍵的密碼。

「不論你各個層面的安全防禦技術做得再好,如果你人的防禦意識出現問題,所有防禦都是泡湯的。」 於曉航介紹。

每個行業的興起,安全都不會得到重視。被黑客教育很多次後,行業才會重視。所以,這不僅僅是技術的更新,更是意識的迭代。

一邊是不斷湧入幣圈的黑客,掌握最頂級的資源,使用最豪華的設備,一邊是勢單力薄的白帽團隊,苦苦掙扎卻不被重視。

兩人爭分奪秒競爭,誰發現那個漏洞。現在看來,最後勝利的往往是黑客。


一場相差懸殊的競賽

「沒有不被攻擊過的交易所。」莫良稱,絕大多數交易所被攻擊後,常常裝作維護狀態,其實是「打破牙齒往肚子里吞」。

黑客陰霾籠罩每個人頭頂。

黑客思維縝密、耐力過人、行動迅捷,無人知曉黑客是單獨作戰還是團隊作業。同時,誰也不知道自己會不會是下一個受難者。

據於曉航觀察,在門頭溝事件發生的三年前,即2011年,黑客早已種下一顆木馬。

Mt.Gox團隊在瀏覽其他網站時,將木馬程序下載至本地,木馬程序自動搜索存放錢包密鑰的文件。

木馬悄悄潛伏在Mt.Gox伺服器里,導致錢包的密鑰文件被攻擊者拿到。

攻擊者十分狡猾,沒有立即轉走大筆交易,而是用了接近三年時間,將幣一點點轉出來。

當Mt.Gox發現問題時已經晚了,虛擬貨幣早已不知何處。

區塊鏈2.0時代來臨,黑客隨之升級了策略。

基於以太坊的智能合約有一個很重要的特徵——都是公開的。大家在使用之前都能看到該智能合約背後的代碼,所以理論上每個人都能確認智能合約有沒有發揮應有的作用。

這同時也帶來一件壞事,智能合約一旦發布就不能修改。所以在發布之前沒能做好合約升級,加上上線後很難更新迭代。

項目方在上線之後才發現問題,這個時候往往已經晚了——黑客早已對漏洞發起猛烈攻擊。

黑客推動一個行業的進步,也足以毀滅一個行業。

「區塊鏈太脆弱了」, 於曉航稱,「如果安全做得不好的話,非常打擊人們對新技術的信心。」

黑客每次大捷過後,又一場狂歡已經開始了。

「黑客就像非洲的僱傭軍,為錢服務。誰有錢就去不斷發起進攻。「莫良表示。

門頭溝事件之後,比特幣跌幅逾36%。

再出現像門頭溝這樣的一次黑客攻擊足矣讓比特幣再次萎靡數年。

追逐財富的黑客可不管這些。畢竟,他們還能竄入下一領地或者回到互聯網,尋找新的寶地。

喜歡這篇文章嗎?立刻分享出去讓更多人知道吧!

本站內容充實豐富,博大精深,小編精選每日熱門資訊,隨時更新,點擊「搶先收到最新資訊」瀏覽吧!


請您繼續閱讀更多來自 獵雲網 的精彩文章:

逆天的雙融合技術:除非你裸奔,不然無法逃脫它的數字眼
恆大投資FF背後:許家印的算盤和賈躍亭的最後一搏

TAG:獵雲網 |