區塊鏈:重重事故下，區塊鏈安全的難題與出路_SIGN

來源/鏈捕手，原題《重重事故下，區塊鏈安全的難題與出路》

作者/胡韜

未經授權，謝絕轉載

縱觀過去一年區塊鏈行業的安全狀況，幾乎每個月都有較大的安全事件爆發，價值超百億的鏈上資產被作惡者以不同的方式竊取，主要類型包括公鏈底層代碼缺陷、DApp合約代碼缺陷、私鑰被竊、攜款跑路等。

隨著加密資產在全球金融體系擁有越來越重要的地位，必然會吸引更多黑客的矚目，區塊鏈項目面臨的安全攻防戰將越來越頻繁與困難，但這對行業而言也是契機。

2019年對區塊鏈行業而言是頗具意義的一年，眾多政府與企業巨頭都開始向區塊鏈技術投向更多的注意力與資源，為未來區塊鏈技術在更多場景的實際應用營造出相對友好的環境。

不過在真正邁向大規模應用前，區塊鏈行業仍有許多現實問題需要探討與解決，其中包括安全問題。作為一項志在挑戰現有金融行業的新興產業，區塊鏈行業的安全性尤其是影響自身前景最重要的因素之一，如果在安全問題上有所疏忽怠慢，未來很可能遲早會出現引起行業出現短期崩盤的事件。

美CFTC發布數字資產衍生品信函在三個方面進行清算合規:金色財經報道，美國商品期貨交易委員會（CFTC）已向注冊衍生品清算組織（DCO）和DCO申請人發出工作人員咨詢信，提醒他們擴大活動范圍的相關風險。CFTC清算與風險部(DCR)的信函專門針對數字資產。工作人員咨詢信可以提醒收件人他們的法律義務或明確這些義務。“DCR希望DCO和申請人積極識別新的、不斷變化的或獨特的風險，并實施風險緩解措施，在過去的幾年里，DCR觀察到人們對擴大清算產品類型以及DCO提供的業務線、清算模型和服務的興趣越來越大，包括與數字資產相關的服務。”

DCR表示將強調三個方面的合規性，系統保障、利益沖突和實物交割。由于與數字資產相關的“更高的網絡和其他運營風險”，系統保障措施需要引起注意。潛在的利益沖突體現在“對附屬實體或服務的依賴（即兼任高管、共享系統和資源等）”。[2023/5/31 11:49:22]

縱觀過去一年區塊鏈行業的安全狀況，幾乎每個月都有較大的安全事件爆發，價值超數百億元的鏈上資產被黑客或作惡者以不同的方式竊取，主要類型包括公鏈底層代碼缺陷、DApp合約代碼缺陷、私鑰被竊、攜款跑路等。

A股收盤：深證區塊鏈50指數下跌5.12%:金色財經消息，A股收盤，上證指數報3301.26點，收盤下跌1.95%，深證成指報11450.43點，收盤下跌2.28%，深證區塊鏈50指數報3397.03點，收盤下跌5.12%。區塊鏈板塊收盤下跌5.12%，數字貨幣板塊收盤下跌6.24%。[2023/4/21 14:18:26]

先是在去年1月5日，以太坊經典遭遇多次51%算力攻擊，8.8萬枚ETC被用于雙花。同期，EOS、波場上諸多菠菜類DApp游戲由于合約代碼安全性薄弱，開始頻繁遭到黑客的重放攻擊、隨機數攻擊、阻塞攻擊等，此后全年都在持續不斷地發生，致使合約開發者及用戶遭受巨大損失，例如波場BTTBank游戲合約被盜1.8億個BTT、EOS應用EOSDice被盜數萬EOS、PokerEOS被盜2萬多個EOS。根據成都鏈安的統計，區塊鏈行業19年發生智能合約漏洞事件超百起，被黑總損失超1000萬美元。

在19年3月，DragonEx、Bithumb、Biki等多家交易所出現資產被盜，其中DragonEx總共損失價值超過600萬美元的數字資產，被盜原因系該交易所客服從陌生人處獲取并打開了一個捆綁后門的安裝包，黑客通過該后門獲取內部人員權限滲透進內網進而成功獲取數字貨幣錢包私鑰，Bithumb則是由于被裁員工「動手腳」被盜價值超過1800萬美元的EOS資產。

美CFTC發布的訴訟文件涉及CZ的Signal聊天記錄:3月27日消息，根據美國商品期貨交易委員會(CFTC)發布的訴訟文件，文件中提到了多段關于CZ使用Signal聊天應用的聊天記錄，包括他與Binance員工、美國客戶等之間的聊天。聊天記錄中還提到CZ給員工發布的指示，要求他們使用Signal來進行關于“美國禁令”的溝通。

CFTC表示，CZ通過Signal與眾多Binance高管、員工和代理進行了帶有自動刪除功能的溝通。

目前無法確認CFTC是如何獲取到CZ的Signal相關聊天記錄，此舉已引發社區廣泛討論。

注：Signal是由Signal技術基金會和Signal Messenger LLC開發的跨平臺加密消息服務。Signal經互聯網發送一對一及組群消息，消息可包含圖像及視頻，它還可以用來經互聯網作一對一及組群語音通話。Signal使用標準的流動電話號碼作為標識符，并使用端到端加密來保護與其他Signal用戶的所有通信。[2023/3/28 13:29:46]

19年5月，幣安由于安全漏洞被黑客利用網絡釣魚、病等攻擊手段，從幣安熱錢包中盜取7000枚比特幣，總損失達到4100萬美金。而在18年，幣安已經出現由API接口被黑導致的安全問題，黑客利用幣安用戶資產大幅拉升SYS、VIA等小幣種的價格，實現在其他交易所出貨套利的目的。

金融時報：多家對沖基金加大做空加密礦企股票:12月16日消息，由于加密貨幣價格下挫及能源價格上漲，Eric Sturdza Investments等多家對沖基金開始加大做空加密礦企股票。

納斯達克數據顯示，在FTX崩盤后的幾周內，美股最大的上市礦業公司之一Marathon Digital空頭比例大幅上升，達到已發行股票的36%以上。Stronghold Digital Mining空頭比例也增加一倍多至近10%，其股價今年已下跌96%。Greenidge Generation的空頭比例從不到1%上升到4.7%，Hut 8 Mining和Riot Blockchain今年也吸引更多空頭關注。（英國金融時報）[2022/12/16 21:49:29]

在此后的6-7月，Plustoken錢包、波點錢包、MGC錢包等錢包項目陸續出現攜款跑路的新聞，此前這些錢包利用高額利息吸引投資者將大量資產儲存在己處，但事發后投資者儲存的資產幾乎全部無法取出，其中Plustoken錢包涉案金額據稱高達上百億，雖然此后部分涉案人員被抓捕，但卷走的加密資產疑似都未能追回。

Terra社區研究員FatMan：關于Terra崩盤事件是內部所為的報道并不真實:6月14日消息，Terra社區研究員FatMan在推特發文表示，此前外媒關于Terra崩盤事件是內部所為的報道并不真實。文章的結論是Terra的幣安賬戶(從LUNC DAO獲得存款)與Curve UST拋售錢包相關聯，因為它也與LUNC DAO進行了大量交易。但他們忽略了一個事實，即那不是LUNC DAO的錢包，而是KuCoin的熱錢包。兩個地址并不能僅僅因為接受了KuCoin的錢而聯系在一起，這只能證明他們都是KuCoin的用戶。

今日此前消息，據外媒報道，給UST造成致命打擊的“攻擊者”錢包是Terraform Labs管理的錢包，這意味著Terra崩盤事件可能不是外部攻擊，而是內部所為。據悉，正在調查Terra事件的韓國檢察機關也確認了這種情況，并正在繼續深入調查。[2022/6/14 4:26:29]

8-9月，比特幣錢包Electrum兩次遭黑客釣魚攻擊，據多方統計偽造Electrum升級提示的釣魚攻擊已盜竊至少1450枚BTC，當時價值1160萬美元。11月，韓國知名交易所Upbit交易所遭到黑客攻擊，34.3萬個ETH被盜走，當時價值約5000萬美元。

12月，多個公鏈項目遭遇資產被盜的尷尬，先是唯鏈在14號宣布遭遇黑客攻擊，被盜走11億枚VET代幣，價值640萬美元；20日，NULS公鏈官方賬戶由于鏈底層代碼缺陷被盜200萬NULS代幣，損失超過50萬美元。尷尬的是，此前兩者都曾表示代碼已經過第三方代碼安全審計。

同月，公鏈IOTA主網出現共識分裂而無法更新的情況，TPS一度接近0。Vertcoin則遭受了51％攻擊，攻擊者成功利用自己的553個區塊替代了603個VTC主鏈區塊，致使項目損失10萬美元。

從前述概括不難看出，19年的區塊鏈行業不斷在上演各類安全事故，其中不乏多家知名交易所，暴露出許多區塊鏈企業與項目在加密資產存儲、底層架構開發層面存在嚴峻的問題。

不過好消息在于，這些安全事件幾乎都沒有對對區塊鏈行業造成整體性威脅，比特幣、以太坊等主流區塊鏈網絡運行也較為穩定，稱得上重大威脅的事件可能只有一件，即谷歌在今年9月宣稱實現「量子霸權」。

根據分析，量子計算機由于運用量子疊加原理，在增大信息容量、提高運算速度、確保信息安全等方面都將突破現有傳統信息系統的極限，其運算速度可以達到傳統電腦的「數億倍」。據報道，谷歌量子計算機Sycamore完成特定計算任務的時間為3分20秒，當前世界上最快的超級計算機則需要1萬年。

由此，許多聲音認為支撐區塊鏈技術的橢圓曲線加密算法將很容易被量子計算攻破，并使得區塊鏈的公私鑰機制不再能有效保護用戶資產，進而當前區塊鏈所規劃出的技術發展藍圖都將被量子計算摧毀。

但很快有行業人士指出谷歌的聲明并不靠譜，趙東就表示量子計算機要破解比特幣的橢圓曲線算法，需要操作十萬以上的量子比特數才有可能，目前谷歌的量子計算機可以操作幾十個，而技術難度則隨著操作數2的冪級上升，故而量子計算機離攻破比特幣加密算法仍有很長時間。

但不得不承認的是，量子計算如同于區塊鏈行業的「達摩克利斯之劍」，始終是個懸在頭上的潛在威脅，這意味著具有「量子抗性」的區塊鏈與加密算法未來會具有顯著需求，需要行業人士盡快加以突破。

相比遙遠的量子計算，更現實、更緊迫的問題還是在于公鏈與交易所在合約、協議、節點等層面的安全，一方面要更好地保障資產安全，另一方面要更好地保障DApp服務的穩定，提升公眾對區塊鏈技術安全性的信心。

面對這些安全事故，解決方案無外乎兩種路徑，一種是事先預防，各方面都需要總結經驗不斷完善潛在漏洞，例如不要為了追求新概念、新模式刻意改造行業成熟算法、架構，盡量使用學術界證明過的算法或者已經廣泛工程校驗過的代碼庫；推動制定加密資產儲存的行業標準，不合條件者應與第三方資產托管服務商合作；加強對日常運營中對敏感崗位人員電子設備的安全管理，進一步規范資產存儲流程。

同時，區塊鏈項目也要充分利用外部力量，加強底層代碼的審計。慢霧科技亦指出，區塊鏈項目應當針對安全漏洞發布賞金計劃，當黑客發現安全問題時有一個反饋的渠道，如果沒有這樣的一個渠道黑客會更傾向于利用漏洞攻擊公鏈，而不是想辦法去聯系項目方反饋問題。

另一類路徑則是事后補救，聯合行業多方凍結、追回資產，通過壓縮黑客的變現空間來擠壓黑客的攻擊動機。由于區塊鏈鏈上資產的所有流轉信息都是可追溯的，黑客竊取的資產地址在被失竊方公開后，交易所等方面將很容易鎖定數字資產并進行鏈上流向梳理和分析，在黑客轉入資產后進行凍結。

例如在今年3月韓國Bithumb交易所被盜價值約1800萬美元的加密資產后，立即向具有合作關系的交易所以及說明情況并保持溝通，此后火幣、KuCoin、ChangeNOW等多家交易所都將涉及Bithumb被盜地址的資產進行凍結，ChangeNOW進一步表示已經根據執法機關的指示將這些被盜資產存入一個安全的冷錢包。雖然此次Bithumb沒有公布追回資產價值，但在18年6月的被盜事件中，Bithumb曾公布價值3100萬美元的被盜資產已被追回1400萬美元。

雖然其他被盜交易所很少公開此類信息，但由Bithumb的案例不難推斷出，多數主流交易所針對資產被盜問題已經達成合作共識與實質聯系，這將使得黑客所竊取資產的可套現渠道受到相對嚴密的管控，但如若黑客不將所竊資產轉入中心化交易所，外界在多數情況下仍然無可奈何，且隨著DiFi行業的進一步發展，黑客亦可能通過抵押、去中心交易等方式獲得更多變現渠道。

可預期的解決方法在于硬分叉，公鏈團隊可以號召所有節點共同對主網升級并實施硬分叉，進而使得被盜資產「失效」，例如今年12月NULS在團隊賬戶超過360萬元的資產被盜后，即通知各節點進行升級并硬分叉，未被轉入交易所的剩余資產不再受到新鏈認可，為自身挽回超過270萬元的損失。在更早的2016年，以太坊也曾由于TheDAO項目資產被盜問題實施過硬分叉。

不過，目前還沒有過某條公鏈由于交易所資產失竊而進行硬分叉的先例，今年趙長鵬在幣安被盜7000個BTC時曾發文表示，幣安會考慮區塊重組/交易回滾等方式恢復被盜金額，卻引起行業軒然大波與一致反對，可見區塊鏈的分叉與回滾在資產失竊場景中并不太適用。

總的來看，隨著加密資產在全球金融體系擁有越來越重要的地位，必然會吸引更多黑客的矚目，區塊鏈項目面臨的安全攻防戰將越來越頻繁與困難，但這對行業而言也是不錯的契機，以更高的要求與投入在全球技術領域證明自身的可靠度與安全性。

Tags：區塊鏈SIGSIGNASIGN區塊鏈dapp開發教程Lucid SightSignatureChainsign幣行情

幣贏交易所