買以太坊 買以太坊
Ctrl+D 買以太坊
ads

區塊鏈:跟一個搞網絡安全的聊完數字貨幣,我喝了口茶壓壓驚_40億比特幣能提現嗎

Author:

Time:1900/1/1 0:00:00

獵云注:將比特幣放入所謂的“比特幣錢包”,全部比特幣被轉移,按現在市值凈虧損一千多萬。這是一個真實案例。就奇虎360信息安全研究員Sherlock看,區塊鏈技術的確不錯,但區塊鏈從底層代碼到最終應用涉及的多個方面都可能成為黑客的攻擊面。數字貨幣交易所也未必安全。此次淺黑科技對話區塊鏈領域資深人士Sherlock,暢談網絡安全及區塊鏈數字貨幣。文章來源:淺黑科技。原文如下:

前幾天,我去找到360信息安全中心的Sherlock,向他求教數字貨幣相關的網絡安全態勢,卻一上來就聽了個奇葩故事:

2017年7月的某一天,老武坐在派出所錄口供,手心全是汗。

他做夢也沒想到,自己旅了游回來,數字錢包里的186個比特幣竟全部消失。

當時比特幣才1萬2一枚,算起來值兩百多萬元。

“是黑客干的?”

老武細細一回想,覺得事有蹊蹺。

幾個月前,他被朋友拉進一個比特幣投資的微信群,一來二去認識了群主。

群主是個熱心腸,經常告誡大家要注意投資風險,還提醒大家注意比特幣安全,告訴大家不要把所有的錢都放在交易所,要存到“比特幣錢包”才最安全。

這天,群主給老武發來一個比特幣錢包軟件,告訴他,比特幣放在數字錢包最安全。

老武一看,確實是某知名比特幣錢包的安裝包,就按群主指導一步步操作,把自己的186個比特幣轉了進去。

幾天后,老武的186個比特幣全部丟失。

他當即找群主老戴質問,對方卻做出一個驚人的舉動:

他說,自己只是好心推薦軟件,比特幣被盜可能是因為老武自己泄露了錢包密碼。

不過,

畢竟是自己推薦老武用的錢包軟件,現在幣丟了自己也有部分責任,賠老武12萬元算是認倒霉。

數據:Upbit上的SEI交易量達5.6億美元:金色財經報道,CoinGecko數據顯示,SEI在Upbit、Bithumb等韓國交易所上市后,發生了大量交易,尤其是Upbit的SEI/KRW貨幣對,其交易量也達到了5.6億美元,而幣安SEI/USDT交易量為1.6億美元,Upbit是其交易量的三倍多。

隨著韓國市場交易量的爆發,全球市場與韓國市場之間的價格差距也出現了“泡菜溢價”。Upbit一上市,交易價格就比幣安高出約70%。[2023/8/16 21:27:18]

說完,群主真的轉給老武12萬塊錢。

“一個素未謀面的人這么輕易就轉給我十幾萬塊錢?”

老武斷定,這事兒多半跟這個群主有關。

……

……

……

幾個月后,沖入群主戴某的住所,發現幾十張銀行卡和多臺筆記本電腦。在其中一臺電腦里發現了和老武用的那款比特幣錢包軟件,以及一個盜號用的腳本。

原來,群主在對錢包軟件安裝包里植入了盜號腳本。那186個比特幣,正是通過這個后門,進了群主的口袋……

講完,Sherlock告訴我,這是央視報道過的真實案件。

他說:

“不少人以為區塊鏈去中心化、不可篡改就能絕對安全,完全不懼怕黑客。但其實區塊鏈從底層代碼到最終應用,可能涉及到很多方面,比如智能合約、錢包、交易所等等,這些地方都可能成為黑客的攻擊面。”

這就好比,有人把機械門鎖換成指紋鎖就以為自己的財產很安全,可其實小偷照樣有辦法復制指紋,甚至完全不管門鎖,直接拆門進來,或破墻而入,或跳窗戶進來……方法多得很。

區塊鏈會帶來哪些新的安全態勢?

我和Sherlock進行了一次詳談,他從底層代碼安全、數字錢包安全、數字貨幣交易所安全、新型套利方案等幾個方面向我梳理了自己對于區塊鏈一些理解,在此呈現給各位淺友們:

SPACE ID發布空投細則,將于3月22日開放領取:3月19日消息,去中心化身份協議SPACE ID發布空投活動細則。據悉,本次空投將在BNB Chain上進行,為快照時擁有.bnb 或 .arb域名的約294,000個地址發放空投,快照已于北京時間3月14日22時完成,對應BNB Chain區塊高度為26459696,對應Arbitrum One區塊高度為69763080,目前用戶已可查詢領取資格和可領取的Token數量,空投將于3月22日至4月22日期間開放領取。[2023/3/20 13:13:56]

Sherlock,奇虎360信息安全研究員,2015年接觸數字貨幣,對區塊鏈和數字貨幣安全頗有見解。

一、數字貨幣區塊鏈底層代碼未必安全

“數字貨幣區塊鏈底層代碼也未必安全。”Sherlock向我回顧了區塊鏈發展史上的一次重大丑聞:

2016年6月,加密貨幣和區塊鏈社區發生了一次大地震,世界上最大最知名的眾籌項目theDAO遭黑客攻擊,價值6千萬美元的以太幣被盜!

調查原因,竟是theDAO編寫的智能合約代碼不夠嚴謹,里面有兩個函數漏洞,能讓攻擊者不斷從項資產池中偷取資產。

為了解決TheDAO大量資金被盜的問題,以太坊官方還推出了針對TheDAO的軟分叉版本Gethv1.4.8,增加了一些規則以鎖定黑客控制的以太幣。

可是,眼看著絕大多數礦工都升級了這個版本的軟件,軟分叉要大功告成時。由于時間倉促等原因,眾多大牛編寫出來的軟分叉版本居然又有一個明顯漏洞!這個漏洞能讓黑客零成本搞垮整個項目。

因為那次事件,以太坊社區發生了巨大分歧,一派人認為應該把項目回滾到黑客攻擊之前的狀態,另一派人則覺得回滾不符合區塊鏈“去中心化、不可篡改”的核心精神,不同意回滾。

BNB Chain:預計今年衍生品、流動性質押衍生品等領域發展對DeFi至關重要:2月24日消息,BNB Chain發布《2023年DeFi展望》,文章指出,今年可能會產生重大發展的一些敘述對DeFi至關重要,它們是衍生品(從永續合約到期權)、合成資產、流動性質押衍生品和Blackholes模型相關的項目。

由于RWA(Real World Assets)的主要法律特性(許可證,KYC要求等),可能今年會是一個較慢的發展,但即便如此,預計圍繞鏈上鏈下資產或相反方向的協議將出現顯著增長,使非加密公司可以獲得鏈上資本。預計預在未來幾年,RWA將成為最大的DeFi采用載體之一,也是鏈上資本的相關來源。

此外,文章認為,在未來幾年內DeFi和NFT結合的項目是一個趨勢,并表示:“早在1月份,我們就已經看到某些NFTfi項目的可借資本達到歷史新高。這可能只是一個開始。”[2023/2/24 12:27:02]

最終,兩派通過投票徹底“決裂”,以太坊便硬分叉成了“以太經典”和“以太坊”,如同宇宙瞬間分裂成兩個一模一樣的平行世界各自運行。

“可是誰能確保修復后的代碼沒有新漏洞呢?只要是人寫的代碼就可能有漏洞。”Sherlock說,不少人迷信區塊鏈底層代碼是安全的,這種想法本身就很危險!

對區塊鏈有所了解的人,相信都聽說過51%攻擊:只要控制一個區塊鏈上51%的算力,就能對鏈上的交易任意數據進行篡改。

以往,人們之所以相信區塊鏈是不可篡改的,就是堅信51%攻擊不可能發生,因為同時控制51%所需要的資源成本太高。

“可是,只要理論上來說可能,我們就不能不堤防!”

二、“李笑來們”很危險!

網絡安全行業有個常見名詞叫APT——高級持續性攻擊,意思是黑客長時間盯著某個目標,尋找各種突破口,甚至靜心布置一個巨大的騙局。

波場TRON成為多米尼克“國家公鏈” 實現區塊鏈行業零的突破:據官方消息,多米尼克國政府官網公布,當地時間10月7日,多米尼克政府與波場TRON達成了協議,指定波場TRON協議為該國國家區塊鏈基礎設施,并授權波場TRON發行該國粉絲代幣(Fan Token),多米尼克幣(Dominica Coin, DMC)。

這是迄今為止,區塊鏈行業與主權國家達成的最高級別的合作。這一合作明確了波場TRON作為多米尼克國家區塊鏈基礎設施的法律地位。波場TRON將以此次合作為起點,開啟區塊鏈行業與全球主權國家層面聯合推動技術落地與應用的新趨勢。[2022/10/12 10:32:22]

由于實施成本太高,這種攻擊形式以往只發生在國家和國家之間,或者大型組織之間。

“數字貨幣出現后,APT組織很可能把目標轉向“數字貨幣大戶”,目標從一系列大型設備轉向個人電腦。”

原因很簡單,因為他們的數字貨幣資產足夠值錢,個人目標相比有專業風控的大型組織更容易攻破,數字貨幣被盜后溯源難。

“以往人們把錢存在中心化的銀行,即便被偷被騙也比較容易追溯,畢竟銀行賬戶都有實名認證,可是數字貨幣一旦被騙就很難找回。

由于國家不承認數字貨幣的價值,有時甚至報警立案都會遇到一些困難。

數字貨幣的最大特點是去中心化,不可篡改,而這兩點恰恰讓數字貨幣持有者成了黑客最好的攻擊目標。去中心化意味著出的監管難度高,不可篡改意味著錢一旦被騙走,交易就不可能回退。

黑客為了盜走你的數字貨幣,可能盯上你家里、辦公室的WiFi網絡,黑進你的個人電腦,或者量身定制一套釣魚方案。

甚至,他們很可能設下一個巨大的騙局,利用社交關系靠近你,成為你的“朋友”,潛伏在你身邊好幾個月再行動!文章開頭的案例就是如此。

我問道:“李笑來曾經聲稱自己是比特幣首富,號稱擁有六位數的比特幣,算起來值十幾億,所以他很可能已經成為APT的目標咯?”

美國辛辛那提大學開設加密貨幣課程:6月23日消息,位于美國俄亥俄州的辛辛那提大學(UC)開設了加密貨幣相關的課程。據悉,辛辛那提大學正在開設兩個新項目,教育學生有關比特幣和新興金融技術等加密貨幣的知識。這筆資金還用于在新的數字化未來總部創建公私合營的實驗室空間,預計將于2022年晚些時候開放。(Cointelegraph)[2022/6/23 1:27:37]

“當然有可能。”

三、錢包都不安全,錢還能安全嗎?

“黑客想盜走數字貨幣,數字錢包是一個很重要的攻擊面。”Sherlock說。

數字錢包是用來存儲數字貨幣的軟件載體,完全脫離網絡存儲私鑰的叫“冷錢包”,把私鑰托管在網上的叫“熱錢包”。

圍繞數字錢包,黑客可以大搞名堂。

當你想用數字錢包,多半就得下載軟件,而數字錢包從設計、發布,最后通過各種復雜的網絡傳輸來到你的電腦或者手機,中間要經過很多道流程,跨過千山萬水,但凡其中某個流程出現問題,你都有可能中招。

比如:

你是否通過正規官方渠道下載錢包軟件?從第三方軟件平臺下載時,會不會下載到帶有盜號后門的?

即便是在官方網站下載,如果你所處的WiFi網絡環境被黑,會不會被劫持到黑客的下載地址?

即便你的網絡環境沒問題,軟件官網的下載地址會不會早已被黑客黑掉,改成帶有盜號后門的軟件?

即便流程都沒問題,數字錢包的產品設計本身是否可靠?廠商是否為了滿足易用性而犧牲安全性?廠商是否安全地存儲用戶的私鑰?

……

……

……

單就一個數字錢包,黑客就有那么多攻擊面,你還覺得上了區塊鏈就是安全的嗎?

“你也有數字貨幣資產吧?,既然用個數字錢包都這么危險?你作為一個天天跟黑客打交道的安全從業者,是怎么做的呢?”我反問他。

他說:

“一方面,確認錢包本身的安全性,比如下載軟件后做個哈希值校驗,另一方面也要合理存儲。我的資產不多,一部分在交易所,一部分在熱錢包,一部分在冷錢包。雞蛋不要放在同一個籃子里,這是最基本也最容易做到的。”

我又問他,“自己用錢包保管數字貨幣不放心,托管在交易所總沒問題了吧?”

他笑著說,未必。

四、數字貨幣交易所也未必安全

Sherlock給我曬出一組數據:

2014年2月,當時世界最大的比特幣交易所Mt.Gox被盜85萬個比特幣。后來,Mt.Gox被曝出其實是監守自盜,真正被外盜的比特幣只有7000個。

2016年8月,最大的美元比特幣交易平臺Bitfinex出現漏洞,12萬比特幣被盜,當時價值6500萬美元,如果換算成2017年12月的價格,價值近20億美元。

2017年12月,韓國YouBit交易所被黑客攻擊,損失4000個比特幣,交易所宣布破產。

2017年12月21日,網傳烏克蘭Liqui交易所被盜6萬個比特幣,比特幣單價瞬間暴跌2000美元。

2018年3月7日,幣安交易所出現大量用戶賬號被盜,黑客控制的資產價值超過1億美元。甚至還有人傳言黑客利用了金融知識影響數字貨幣價格來間接獲利,導致不少數字貨幣價格暴跌。

“類似戲碼一定還會上演。”他說,

“數字貨幣交易市場這幾年的發展勢頭太快,而且相互競爭激烈,這種情況下安全技術、人力方面投入的速度未必跟得上自身需求增長的速度,必然會導致一些問題。

他說,以最近發生在幣安交易所的安全事件為例,其實幣安的風控措施相較以往發生過安全事故的其他交易所,已經所有提升。

在黑客提幣時利用大數據風控阻止了提幣操作,此前發生過的黑客事件,基本發生的交易所安全事件大多黑客直接提幣走人。

所以,他建議大家盡量使用知名的、大型的交易所,不要把資產放在小型、不知名的交易所,因為黑客也會挑軟柿子捏。

“一般來說,大的交易所通常安全風控手段相對完善,黑客不容易攻入,這時黑客很可能轉而攻擊小型交易所。

甚至,他們還會專挑一些沒有牌照的非法交易所攻擊,這樣即便被發現,交易所也不受法律保護。

比如黑客很可能跑去攻擊孟加拉國之類小國家的交易所,一方面因為那里本來就認定數字貨幣非法。另一方面跨國管制不便,也讓黑客更肆意妄為。”

五、利用明星效應的釣魚攻擊

如果說APT攻擊和交易所安全離普通人太遠,下面這種攻擊手法就發生在我們身邊。

前陣子,有人專門在一些知名人物的社交賬號底下頭像和名字設置成和名人一模一樣的頭像,發布一些虛假的信息,聲稱只要在某個數字貨幣地址轉入一定數額的幣,就能得到10倍的回饋。

這就好比大街上有人對你說,“你給我10塊錢吧,我會立刻返給你100塊。”就這樣顯而易見的詐騙信息,經統計,短短幾天之內竟能騙到價值幾十萬的數字貨幣。

為什么看起來如此愚蠢的騙術,也有人上當受騙?

Sherlock說,“這就是騙子們廣撒網的策略了,由于明星的粉絲很多,這種方式投放詐騙信息可以獲得大量展示。幾千個人里難免有那么幾個剛睡醒,腦子不太清醒的人。”

最后,由于這類詐騙信息實在太多,不少名人被迫把網名都改了:

類似的詐騙到了國內還有一種進階版,Sherlock又給我安利了一個真實案例:

一個叫“王團長”在微信群里向群友募集私募“韭菜基金”。

這天半夜,“王團長”忽然在群里發話:“基金募集明天就截止了,請大家趕緊打幣到地址XXXXXXX。”

于是,就有群友就按照王團長說的地址打過去22個以太幣,當時大約價值二十萬元。事后,這位網友才發現,群里忽然出現了好幾個“王團長”,真假難辨,自己的22個ETH直接進了騙子口袋。

“這種手段也常見于數字貨幣項目的私募階段,因為有的項目收益很高,參與者往往不能保持平常心,唯恐落后,這種貪利的心態讓他們更容易受騙。

并且,國內目前沒有正規的ICO途徑,參加私募純屬個人行為,缺乏監管,流程無法保證安全。”

這類詐騙方式其實一點都不新鮮,只是數字貨幣市場的活躍,讓它們重新迸發了活力。”Sherlock說。

六、傳統黑產也盯上數字貨幣

哪里有錢賺,哪里就少不了黑產。

Sherlock告訴我,在區塊鏈和數字貨幣興起的同時,也催生了一些新的套利方式……

原本黑客控制大量“肉雞”,通常會用來發起DDoS流量攻擊等。

數字貨幣火了之后,不少“肉雞”又多了新的角色——黑客還會把黑掉的機器配置成挖礦機,利用它們的算力來挖數字貨幣賺錢。

有的黑客還會專門在訪問量高的網站頁面或者博客植入挖礦腳本,用戶一旦訪問這樣的網站,電腦處理器性能就會瞬間被占滿,成為一個挖礦節點,為黑客的礦池提供算力。

那些原本專門盯著各大公司優惠活動,用大量手機卡批量套利的羊毛黨灰產,也開始盯上數字貨幣ICO項目發放的獎勵,不少活動剛開始沒多久,所有糖果就都進了灰產口袋。

甚至,黑客還會專門入侵別人的數字貨幣挖礦礦場,把他們的轉賬地址改成自己的。

總之,數字貨幣為黑產們提供了各種新的賺錢渠道和方式。反過來,豐厚的回報又吸引著新的一波人鋌而走險加入黑產……

---

聊到最后,Sherlock感慨:

“其實說白了,不管時代環境如何改變,安全攻防到了最后,都是人與任何人的較量。

騙子和網民們斗智斗勇,騙子不停地升級劇本,網民不斷增強安全意識和辨別能力;

黑客不斷發現新的攻擊面和攻擊手法,交易所、錢包等廠商也在不斷引進新的防御技術和人才。

或許正如老周所說的那樣,萬物皆變,人是安全的尺度吧!”

本文來自獵云網,創業家系授權發布,略經編輯修改,版權歸作者所有,內容僅代表作者獨立觀點。

Tags:數字貨幣比特幣區塊鏈十大數字貨幣交易所排名數字貨幣交易所官方網址數字貨幣詐騙案例視頻比特幣中國官網聯系方式40億比特幣能提現嗎比特幣最新價格行情走勢區塊鏈工程專業學什么區塊鏈存證怎么弄

火必交易所
BCH:比特幣現金里程碑:區塊大小由8MB升級到32MB,新功能載入!_區塊鏈技術發展現狀和趨勢

比特幣現金今天已經正式通過區塊鏈協議,將當前區塊大小從8MB擴展升級到了32MB。比特幣現金網絡已成功升級其塊大小為32MB由于比特幣現金網絡已將其基本塊大小從8MB升級到32MB,因此等待已經.

1900/1/1 0:00:00
GLE:這些年!你都錯過了什么?_AMG價格GLE價格

錯過是人一生中經常犯下的“錯誤”直到老去倚在藤椅回想起來最心塞的就是“我應該...”還記得那些年里你錯過了什么嗎? 在過去10年里 我們錯過了太多太多 現在都2018年了 難道你還想繼續錯過嗎?.

1900/1/1 0:00:00
加密貨幣:太空國,垃圾國,院子國,我也能建立一個國家了吧_全球十大加密貨幣

文/亦平 前不久,特朗普下令,要組建美國武裝部隊的第六個兵種——太空軍。因為地球已經施展不開拳腳了,特朗普要在廣闊的太空留下自己的印記.

1900/1/1 0:00:00
區塊鏈:區塊鏈+還是+區塊鏈_40億比特幣能提現嗎

自從比特幣等數字貨幣誕生以來,區塊鏈技術就備受關注。數字貨幣屬于區塊鏈技術的一種應用,但區塊鏈并不等同于數字貨幣,這或許已經形成了共識.

1900/1/1 0:00:00
CEO:世界上最貴的5種零食,吃過1個的是真壕!網友:再貴也擋不住丑_MAR

零食對于每個吃貨來說都是必不可少的東西!但是,如果零食的價格超過了你的想象了呢?一起來看看這些零食超乎想象的價格吧! 1、世界上最貴的薯片 一款名為St.Eriks的薯片.

1900/1/1 0:00:00
比特幣:他是第一批推動比特幣普及的人,如今早已放棄了信仰_MTG

比特幣是中本聰創造的,但比特幣的價值卻是這個男人賦予的。這位被人稱之為「比特幣耶穌」——RogerVer的人生堪稱傳奇,如果中本聰要給比特幣寫個編年史的話,Roger一定會占下最少1萬字的篇幅,

1900/1/1 0:00:00
ads