区块链史上部分黑客事件 区块链成了黑客的提款机?

　　原标题：区块链史上部分黑客事件 区块链成了黑客的提款机?

 

　　资产安全一直是数字世界中的重中之重，而丢币也一直是加密世界中老生常谈，无论是个人用户还是交易所都曾因为数字资产被盗而麻烦上身。尤其是数/字/货币交易所，在以往的事件中，黑客攻击曾经几度给区块链项目和交易所带来严重的打击，以史为鉴，回过头来，我们来盘点一下区块链历史上出现的重大黑客攻击事件，作为借鉴，这些事件又给了我们那些启发和教训？

 

　　价值溢出事件（2010 年 8 月）

 

　　2010 年 8 月 15 日，未知黑客对比特币发动攻击，利用大整数溢出漏洞，绕过了系统的平衡检查，将比特币的总量有限的设定打破，黑客凭空创造出了 1844.67 亿个比特币。在这一局面中，中本聪为挽救比特币，被迫发动了比特币历史上的第一次硬分叉。

 

　　Allinvain 事件

 

　　2011 年 6 月，一名叫 Allinvain 的用户成为有记录以来首次大规模比特币偷盗事件的受害者。Allinvain 一觉醒来发现被黑客窃取了 25000 枚 BTC，当时价值约为 50 万美元。

 

　　Bitcoinica （2012 年 3 月和 5 月）

 

　　Bitcoinica 是一家老牌交易所，它曾在 2012 年遭遇两次黑客攻击。黑客利用其安全松懈的服务器，获取了客户数据（包括密钥），共计盗走 61000 个 BTC，最终导致 Bitcoinica 破产。

 

　　Bitfloor （2012 年 9 月）

 

　　与 Bitcoinica 的被盗过程相似，黑客入侵了 Bitfloor 的服务器，盗走了 24000 个 BTC。Bitfloor 从此一蹶不振，并于次年 4 月关闭。

 

　　Poloniex （2014 年 3 月）

 

　　2014 年 3 月，刚成立两个月的 Poloniex 交易所的服务器被入侵。一名黑客发现 Poloniex 的漏洞，即提现系统在同时收到多个请求的情况下允许出现负余额。提现系统注意到异常活动后，关闭了进入受影响账户的通道。但在此之前，Poloniex 加密货币总储备的 12.3% 被盗。Poloniex 暂时将每个账户的余额都扣除 12.3%，后续再全部恢复。Poloniex 最终幸存下来，并于 2018 年被收购。

 

　　MtGox （2014 年 2 月）

 

　　MtGox 是当时规模最大的老牌交易所，也遭遇了最严重的黑客攻击。由程序员 JedMcCaleb 创建。2010 年 7 月，他读到一篇关于比特币的文章，于是修改了网站代码，用于交易比特币，并于 2011 年将该网站卖给了 MarkKarpeles （法胖）。到了 2014 年，MtGox 处理的比特币交易占全球 70%。2014 年 2 月 7 日，MtGox 宣布暂停交易，理由是其安全软件存在漏洞。两周后，网站突然关闭，MtGox 申请破产。此次损失共计 85 万 BTC，在当时价值 4.7 亿美元。这个问题导致投资者信心受挫，比特币直接暴跌 36%。许多人怀疑是法胖监守自盗，他于 2015 年因欺诈、挪用公款和操纵用户余额等罪名被捕，但这并不能直接证明他与交易所被盗事件有关。2017 年，美国当局在希腊逮捕了俄罗斯人 AlexanderVinnik，他控制的钱包不仅有 MtGox 被盗的比特币，还包括 Bitcoinica、Bitfloor 的。

 

　　Bitstamp (2015 年 1 月)

 

　　安全事件不断发生，交易所开始把币存储在两个钱包上：冷钱包和热钱包。冷钱包，即不联网的服务器，又称离线钱包。热钱包则用来存储足够的钱以满足用户的每日交易需求。2015 年 1 月，Bitstamp 热钱包里的 19000 个比特币被黑客通过钓鱼手段窃取。幸运的是，Bitstamp 90% 的币都存储在冷钱包里，并没有受到影响。

 

　　The DAO (2016 年 6 月)

 

　　基于以太坊网络发行的加密货币运行方式跟比特币不同，但同样都是黑客攻击的对象。以太坊区块链环境有别于其他数值货币。ETH 是通过电脑代码，即智能合约交易的。所谓智能合约即设置好要求，一旦满足设定条件就会自动执行。以太坊全网有 6000 台电脑，因此网络难以被修改或被控制。以太坊架构支持去中心化自治组织 DAO，把规则和决策通过代码的形式写进区块链之中，允许智能合约在不受人为监控的条件下自动执行。2016 年 4 月 , GenesisDAO 创造了一个投资者可以给项目投票的社区，获得 20% 以上支持的项目可获得资金支持。DAO 在以太坊上融到了 2.5 亿美金。6 月份，黑客发现了一个支持单一币种多次提现的漏洞，而智能合约更新的速度比不上提现的速度。短短几个小时内，DAO合约里面 30% 的 ETH 都被转移了。盗窃事件被公开后，Genesis DAO执行了硬分叉，创造出了一条新的区块链。但是这次分叉受到了社区部分持币者的反对，他们认为篡改时间戳就是在稀释其他人手上以太坊的价值。之后，社区发起投票，89% 的人支持硬分叉。反对者从社区分离出去，重组了原链，改名 EthereumClassic。

 

　　Bitfinex (2016 年 8 月)

 

　　这是继 MtGox 热钱包被盗后发生的第二大交易所被盗事件。讽刺的是，Bitfinex 进行软件升级本是为了提高安全，却没想到软件内含有漏洞。Bitfinex 当初使用的是 BitGo 提供的多签交易软件。时至今日，没人清楚黑客是怎么避开多个签名盗走币的。现在最主流的解释是 Bitfinex 服务器安装了不合适的软件。Bitfinex 事件中，黑客盗走了 12 万个比特币 ,当时价值 7200 万美元。随后，为了补还客户的损失，Bitfinex 通过代币进行股权融资，并使用营业额按月赔偿客户后逐步弥补亏空，艰难的熬了过来。

 

　　Parity （2017 年 7 月和 11 月）

 

　　以太坊也受过多重签名系统缺陷的影响。2017 年 7 月 17 日，有人攻击了多重签名钱包服务商 Parity，目标是三家最近刚完成 ICO 的公司。黑客一共窃取了 152037 个比特币，价值 3200 万美元。Parity 将本次攻击归咎于 Parity 钱包版本中智能合约代码存在漏洞，并于 7 月 20 日发布了补丁。糟糕的是，该补丁解决了智能合约的问题，却还存在另一个安全隐患。Parity 在其智能合约代码上新增了“kill”功能，该功能允许用户永久锁定 Parity 钱包。Parity 开发者没有将这一代码更新到所有的用户钱包中，而是选择跟一个中心化 library （合约库）进行函数调用。11 月 6 日，用户名为“devops199”的编程新手意外锁死了 library，所有与 library 相连的钱包也被锁死了。受影响的钱包共计 587 个，包含 513,774 个 ETH，价值约 1.5 亿美元。这不是犯罪也不是恶意行为，却给以太坊带来一个大问题：是否再次进行硬分叉以恢复被锁定的 587 个钱包？4 月，Parity 向以太坊社区发起投票，最终以 55% 反对票拒绝了硬分叉，丢失的币也就永远找不回来了！

 

　　NiceHash （2017 年 12 月）

 

　　NiceHash 是一家位于斯洛文尼亚的矿场。黑客利用钓鱼成功窃取一名员工的证件，盗走 4700 个 BTC，当时价值近 8000 万美元。

 

　　Coincheck （2018 年 1 月）

 

　　Coincheck 是一家日本交易所，被盗取了 5 亿个 NEM。黑客取出 NEM 后迅速兑换成其他加密货币，以至于 NEM 基金会放弃了恢复工作。这次损失高达 5.3 亿美元，超过了 2014 年 MtGox 的损失。由于 Coincheck 在被黑后随即冻结提现，因此稳住了用户，交易所最终才得以存活下来。

 

　　Coinrail 和 Bithumb （2018 年 6 月）

 

　　2018 年 6 月，韩国两家交易所的热钱包遭遇攻击。其中 Coinrail 损失了 5300 个BTC （价值接近 4000 万美元），Bithumb 损失了近 3100 万美元。

 

　　DragonEx和Biki（2019年3月）

 

　　2019年3月24日，龙网在Telegram表示，DragonEx平台钱包遭受黑客入侵，导致用户和平台的数字资产被盗。最新数据显示，在本次事件中DragonEx交易所被盗资产总价值不少于500万美元，其中涉案金额较大的资产有USDT、ABBC、EOS、BTC、ETH，USDT被盗约1464319枚（目前价值146万美元），ABBC被盗约6274251枚（目前价值124万美元），EOS被盗约205392枚（目前价值75万美元），BTC被盗约135枚（目前价值53万美元），ETH被盗约2737枚（目前价值约37万美元）。

 

　　无独有偶，就在DragonEx宣布被盗后的第三日，注册地同为新加坡的交易平台Biki也宣布遭受黑客攻击，目前损失情况未知。

 

　　区块链的安全现状盗币事件层出不穷，仅 2018 年上半年发生的事件累积损失就接近 11 亿美元。但这些安全事件不是区块链世界独有的，虽然区块链本身不容易受到攻击，但黑客却可以利用智能合约、钱包或人为失误等漏洞找到可乘之机。对于区块链本身而言，威胁最大的是 51% 攻击，它是指：一旦某个人或组织拥有全网 51% 以上的算力，从而能比其他节点更早获得记账权创建区块，最终控制网络，特点是攻击成本比较高。现在由于挖掘比特币的成本越来越高，存在一些人通过电脑病毒部署僵尸网络，用于恶意挖矿，另外还有就是利用勒索软件对其它用户发动攻击。虽然 SHA256 加密算法很复杂，但也并非不可攻破，或许最致命的攻击我们尚未发现。

 

　　McAfee 集团的管理人员曾经说过：“这个行业太新了，我们现在都没有一个专门发现并报道技术缺陷的平台”。资产安全比一切都要重要，通过上面的例子我们可以看出，无论是交易所、钱包软件、矿场乃至区块链项目都存在被黑客攻击的威胁，而对于我们普通投资人或者用户来说如何将风险降到最低就非常重要了，通常来说选择透明度高、技术实力强的项目风险较低，短线选择知名度较高、管理措施健全相对规范的交易所，长线尽量将数/字/货币保存到冷钱包，备份保存好私钥助记词并且避免触网可以将风险降到最低。

 

　　炒币千万条，安全第一条，操作不规范，回首泪两行。