首页 新闻 关注 科技 财经 汽车 房产 娱乐 健康 旅游 时尚 文化 体育 区块链

区块链活动

旗下栏目: 区块链快讯 区块链活动 区块链技术 区块链应用 区块链政策

黑客过境币圈难宁 已经将触角伸向区块链全产业链

来源:深链财经 作者:深链财经 人气: 发布时间:2018-08-03

  自互联网始,黑客存在久矣。

  然后,颠覆互联网的来了,黑客也随之降临。

  分裂以太坊,门头沟事件,BTER失窃……每一次币圈事故背后都能瞧见他们身影出没。

  与互联网的森严法治不同,币圈黑客游走在规章的模糊边界,无人约束。每年上亿赃款落入黑客腰包。

  这是与古典互联网截然不同的奇异景观。

  “互联网发生安全事故丢失的是信心,币圈安全事故丢的可能是命了。”一位区块链安全人士表示。

  利益之下,黑客肆掠,币圈无人幸免。区块链的头顶上,始终笼罩着一层阴霾。

  深链财经 文丨大卫

  一场悄无声息的迁徙

  古典互联网黑客正在往币圈大规模迁徙。

  “正是区块链技术创新造就了这群黑客。”BYSEC.IO创始人莫良向深链财经称,“区块链是历史上任何一个时代无法比拟的——代码和钱画上了等号。”

  互联网和币圈是截然不同两个世界。

  “对于互联网安全,一旦发生安全事故,往往丢失的是信心,但是用户是健忘的。可对于数字货币交易所、钱包而言,丢失的就不仅仅是信心了,可能就是丢命了,是等同于法币资产的身家性命。” 一位业内人士向深链财经透露。

  在黑客攻击后倒闭的项目不绝如缕。门头沟事件(2014年2月,黑客从Mt.Gox盗取用户近75万枚及交易所10万枚比特币)直接导致彼时世界第一大交易所Mt.Gox申请破产。

  币圈是一块无人管的戈壁地。在币圈尚无明确法律监管的情况下,这些黑客攻城掠地,侵占一座又一座城池。

  莫良将攻击分为两种:一种是链上攻击,例如像BTG双花攻击。技术门槛高,攻击者对区块链技术有一定研究;一种是链下服务攻击,比如对交易所、钱包的攻击。

  币圈黑客目前的操作方式大部分属于后者。即是说,黑客仍然用着传统互联网的方法在币圈兴风作浪。

  “密钥和钱包的安全是区块链安全1.0的重心,智能合约是区块链安全2.0的重心。但是目前大多数黑客事件还是使用传统攻击手段。”长亭科技区块链安全研究员于晓航向深链财经表示。

  古典互联网黑客转行币圈,根本不需要学习成本,所要只是一个瞬念。

  币圈黑客已经将触角伸向区块链全产业链。

  无论是矿池、钱包、交易所还是公链,甚至是用户的打印机、摄像头,都有被黑客袭击的可能。

  例如,对于矿池来说,黑客直接攻击矿池,设法获取矿池网站的管理员权限,然后将矿池里额虚拟货币转移至自己帐户。

  此外,黑客还能黑进用户的设备,偷设备上的算力,当用户发现设备的耗电量增加、网络流量出现异样,事实上其中是黑客在暗地里挖矿,但用户根本不会发现。

  黑客过境,币圈难宁

  就这样,币圈每年上亿美金的虚拟货币流入黑客口袋。

  黑白边缘

  于晓航发现,自今年年初,开始做区块链或者转型区块链的安全公司多了起来。

  近日,BYSEC团队也忙于不断见新的投资人。

  币圈白帽子势力正在扩张。白帽子,即正面的黑客,可以识别计算机系统或网络系统中的安全漏洞,并不去恶意利用,而是公布漏洞。

  这是刀锋上的生意。技术的价值在币圈被无限发大。

  莫良称,“在安全人才储备严重不足情况下,很多公司趁火打劫”。

  很多安全公司奔着赚钱来的。莫良透露,在传统互联网行业,代码审计按万行收费,平均一行代码1元至10元,而在区块链行业,代码审计费最高上万元。

  区块链,碰撞出技术火花,同时也是一座富饶金矿。

  “区块链行业里的白帽子非常缺乏,因为安全其本身还是一个服务性的东西,跟黑帽的利益驱动相比,白帽更多是发自内心的责任感去做。”于晓航称,相对黑帽来说,区块链白帽阵营还是太小了。

  与此对照的是源源不断涌入币圈的黑客团队。

  “未来一定会有更多黑客涌入区块链。”莫良称,最近耳闻,区块链早已变成黑客眼中最肥的肉。

  这是一场力量相差悬殊的竞争。

  现行的技术和手段,加上区块链去中心化、匿名的特点,黑客的行踪很难被追溯。

  而法律监管的缺失,更让这群币圈黑客肆意妄为。

  白帽子却常常陷入误解的疑云。

  让莫良最受挫的是大众对黑客认知的缺失。很多区块链公司对黑帽和白帽没有清晰认知,“大家都觉得黑客是不分黑白的,只要你找上门就是坏的。事实上白帽被称为道德黑客,完全是出于个人兴趣,很多人在大互联网公司领着百万年薪,但还是愿意不相识公司提出漏洞”。

  充满悖谬的是,监守自盗在事情经常在安全领域上演。有黑客伪装白帽子,获取内部信息后发起攻击。

  慢雾科技联合创始人余弦曾表示,自己在招人时第一考虑的是价值观,然后才是其他,“在自我约束这方面,我们非常严肃”。

  “守正出奇”,余弦称,黑客这个身份,自带奇,但得守正。

  与此同时,白帽子只有把自己设身为黑客,去模拟攻击,才能发现漏洞。“以攻促防,只有了解攻击者的手法与心理还有这个群体的生存模式,才能真正做好防御。”余弦介绍。

  莫良称,而今很多区块链公司只有运营团队,没有技术团队。莫良觉得成熟的区块链项目应该设有独立的安全部门。

  “这不仅仅是技术层面的事,还是意识层面的。” 莫良称。

  “意识安全比技术安全还要重要。”于晓航也表示认同。

  于晓航发现,2014年,BTER交易所发生失窃事件,源于BTERCEO韩林被黑客分析,而其个人密码恰好是BTER交易所里很关键的密码。

  “不论你各个层面的安全防御技术做得再好,如果你人的防御意识出现问题,所有防御都是泡汤的。” 于晓航介绍。

  每个行业的兴起,安全都不会得到重视。被黑客教育很多次后,行业才会重视。所以,这不仅仅是技术的更新,更是意识的迭代。

  一边是不断涌入币圈的黑客,掌握最顶级的资源,使用最豪华的设备,一边是势单力薄的白帽团队,苦苦挣扎却不被重视。

  两人争分夺秒竞争,谁发现那个漏洞。现在看来,最后胜利的往往是黑客。

  一场相差悬殊的竞赛

  “没有不被攻击过的交易所。”莫良称,绝大多数交易所被攻击后,常常装作维护状态,其实是“打破牙齿往肚子里吞”。

  黑客阴霾笼罩每个人头顶。

  黑客思维缜密、耐力过人、行动迅捷,无人知晓黑客是单独作战还是团队作业。同时,谁也不知道自己会不会是下一个受难者。

  据于晓航观察,在门头沟事件发生的三年前,即2011年,黑客早已种下一颗木马。

  Mt.Gox团队在浏览其他网站时,将木马程序下载至本地,木马程序自动搜索存放钱包密钥的文件。

  木马悄悄潜伏在Mt.Gox服务器里,导致钱包的密钥文件被攻击者拿到。

  攻击者十分狡猾,没有立即转走大笔交易,而是用了接近三年时间,将币一点点转出来。

  当Mt.Gox发现问题时已经晚了,虚拟货币早已不知何处。

  区块链2.0时代来临,黑客随之升级了策略。

  基于以太坊的智能合约有一个很重要的特征——都是公开的。大家在使用之前都能看到该智能合约背后的代码,所以理论上每个人都能确认智能合约有没有发挥应有的作用。

  这同时也带来一件坏事,智能合约一旦发布就不能修改。所以在发布之前没能做好合约升级,加上上线后很难更新迭代。

  项目方在上线之后才发现问题,这个时候往往已经晚了——黑客早已对漏洞发起猛烈攻击。

  黑客推动一个行业的进步,也足以毁灭一个行业。

  “区块链太脆弱了”, 于晓航称,“如果安全做得不好的话,非常打击人们对新技术的信心。”

  黑客每次大捷过后,又一场狂欢已经开始了。

  “黑客就像非洲的雇佣军,为钱服务。谁有钱就去不断发起进攻。“莫良表示。

  门头沟事件之后,比特币跌幅逾36%。

  再出现像门头沟这样的一次黑客攻击足矣让比特币再次萎靡数年。

  追逐财富的黑客可不管这些。毕竟,他们还能窜入下一领地或者回到互联网,寻找新的宝地。

责任编辑:深链财经
  新尧网所有发布文章由用户提供,与本网无关。发布稿件是为传播更多的信息,发布并不代表本网赞同其观点,也不代表本网对其真实性负责。如果本网转载的稿件涉及您的版权、名益权等问题,请尽快与本网联系,本网将依照国家相关法律法规尽快妥善处理。联系方式:xinyaonews@163.com