黑客盯上區(qū)塊鏈代碼漏洞 虛擬貨幣成偷盜新目標(biāo)區(qū)塊鏈
區(qū)塊鏈技術(shù)的發(fā)展,安全方面是硬需求。需要構(gòu)建區(qū)塊鏈安全生態(tài),從數(shù)字貨幣錢包、智能合約等不同產(chǎn)品上著力,同時(shí),還需要從礦池、交易所等數(shù)字貨幣產(chǎn)生的節(jié)點(diǎn)上實(shí)施動(dòng)態(tài)防范。
一行代碼蒸發(fā)64億人民幣。這個(gè)不可思議的黑客操作發(fā)生在今年4月,僅僅因?yàn)楸缓诳驼业搅艘粋€(gè)代碼漏洞,與之相關(guān)的區(qū)塊鏈產(chǎn)品的全部市值瞬間被全部轉(zhuǎn)出,趨近于零。
“如果說(shuō)傳統(tǒng)意義上的貨幣仰仗國(guó)家信用而有價(jià)值,那么加密數(shù)字貨幣的存在仰仗區(qū)塊鏈技術(shù)的信用。”9月6日,在由眾享比特等合作主辦的ISC2018區(qū)塊鏈與網(wǎng)絡(luò)安全論壇上,山東警察學(xué)院偵查系網(wǎng)絡(luò)犯罪偵查教研室副主任張璇表示,由于區(qū)塊鏈技術(shù)代碼中漏洞相繼被發(fā)現(xiàn),以及對(duì)應(yīng)的一些安全事件,逐步打擊著人們對(duì)區(qū)塊鏈技術(shù)的信心。
此前認(rèn)為,區(qū)塊鏈技術(shù)由于分布存儲(chǔ)、加密算法等技術(shù)的應(yīng)用,擁有了不可篡改、可追溯等被認(rèn)為是“萬(wàn)無(wú)一失”的特性。然而,該特性主要針對(duì)存儲(chǔ)在區(qū)塊中的信息來(lái)說(shuō),以文中開(kāi)頭的案例為例,區(qū)塊鏈技術(shù)保障了可以追溯到這64億轉(zhuǎn)移到了哪里,黑客的操作也會(huì)被系統(tǒng)不可篡改地記錄,卻并不能“拒絕”黑客對(duì)底層代碼的篡改,保護(hù)虛擬數(shù)字貨幣。
區(qū)塊鏈技術(shù)本身存在漏洞可以被利用。“利用區(qū)塊鏈技術(shù),成了犯罪分子非法獲利的新手段。”張璇說(shuō),甚至有人表示,區(qū)塊鏈技術(shù)已經(jīng)了引發(fā)經(jīng)濟(jì)犯罪的革命。面對(duì)新手段帶來(lái)的新挑戰(zhàn),該如何應(yīng)對(duì),以維護(hù)區(qū)塊鏈技術(shù)的長(zhǎng)遠(yuǎn)發(fā)展?
虛擬貨幣成偷盜新目標(biāo)
不久前,一部名為《瞞天過(guò)海:美人計(jì)》的偷盜題材電影上映,講述一眾美女偷盜高手,盜取一條價(jià)值1.5億美元的鉆石項(xiàng)鏈的故事。
相較于發(fā)生在幣圈的偷盜事件,這條項(xiàng)鏈的價(jià)值就不那么令人咂舌了。例如今年3月30日,我國(guó)警方破獲的一起虛擬貨幣偷盜事件中,3名供職于國(guó)內(nèi)知名網(wǎng)絡(luò)公司的黑客侵入受害人張某電腦,將價(jià)值6億元的比特幣、以太坊等虛擬貨幣洗劫一空。
過(guò)去盜賊的目標(biāo)是金銀珠寶、成沓鈔票,如今只要穩(wěn)坐電腦前,動(dòng)動(dòng)手指,通過(guò)虛擬貨幣的竊取就可能“致富”。加密數(shù)字貨幣,成了高科技犯罪的新目標(biāo)。世界各國(guó)均備受困擾,資料顯示,在價(jià)值5.3億美元的代幣被盜后,日本16家加密數(shù)字貨幣交易所打算成立一個(gè)自我監(jiān)管小組,自省自查系統(tǒng)漏洞。
360集團(tuán)信息安全部王偉波表示,目前公開(kāi)的針對(duì)非個(gè)人電腦的對(duì)公鏈和交易所的攻擊行為已公開(kāi)的有57次,并造成了10億美元的損失。但他認(rèn)為這只是“冰山一角”,大量的攻擊由于會(huì)對(duì)交易所的信譽(yù)造成負(fù)面影響不會(huì)被公開(kāi),損失也會(huì)被交易所自行消化。
除了竊取,虛擬貨幣也淪為犯罪分子的工具。“比特幣成為洗錢工具,并衍生出了‘專業(yè)水房’。”張璇說(shuō)。她列舉了一個(gè)實(shí)際發(fā)生的案件:受害人在QQ上認(rèn)識(shí)了嫌疑人,他自稱是在伊拉克打過(guò)仗的軍人,希望受害人幫他代收郵包,代收郵包需要80萬(wàn)美元保證金。受害人把資金打給專門做比特幣交易的王某,王某支付給嫌疑人比特幣,對(duì)于嫌疑人來(lái)說(shuō)并未留下收錢的詐騙證據(jù),而比特幣交易的王某處有大量的資金進(jìn)入,增加排查難度。
“比特幣(目前黑市承認(rèn)的加密數(shù)字貨幣大多為比特幣)的參與,使得警方破案追尋資金鏈條的方法可能就要失效了。”張璇說(shuō),在工作中,深感案子不好查了,追查罪犯的難度大大增加。
更有甚者,犯罪分子不在是一個(gè)人或一個(gè)團(tuán)伙,而是一個(gè)正常經(jīng)營(yíng)的合法企業(yè)。張璇介紹,一個(gè)技術(shù)運(yùn)維公司開(kāi)發(fā)了一個(gè)木馬病毒,安裝在自己負(fù)責(zé)運(yùn)維的客戶機(jī)器上,機(jī)器內(nèi)存占用不多時(shí)就啟動(dòng)挖礦程序,被發(fā)現(xiàn)前已挖得數(shù)字貨幣5000多枚。經(jīng)統(tǒng)計(jì),該公司非法控制了全國(guó)300多萬(wàn)臺(tái)機(jī)器。“這種違法行為的法律定位至今仍非常模糊。”張璇說(shuō),新的犯罪態(tài)勢(shì)敦促著法律、法規(guī)的健全,提醒執(zhí)法人員不斷更新知識(shí)儲(chǔ)備。
每日三省吾身查漏補(bǔ)缺
“我們可能不知道黑客怎么攻擊,但是應(yīng)該把每個(gè)細(xì)節(jié)的安全做好。”王偉波表示,對(duì)自身漏洞的排查,可以將安全風(fēng)險(xiǎn)降到最低,甚至提前預(yù)防問(wèn)題的出現(xiàn)。
如同一場(chǎng)攻防戰(zhàn),一旦掌握了區(qū)塊鏈技術(shù)的“命門”,黑客分子的外部攻擊將一發(fā)不可收拾。而“加固城墻”“嚴(yán)查堵漏”則是防守方以不變應(yīng)萬(wàn)變的有效方法。
據(jù)王偉波介紹,黑客對(duì)區(qū)塊鏈技術(shù)的攻擊可發(fā)生在應(yīng)用層、合約層、激勵(lì)層、數(shù)據(jù)層等六個(gè)不同層面。對(duì)不同層面的攻擊手法不同,造成的后果也不同。
越底層的攻擊,越可能“牽一發(fā)而動(dòng)全身”。例如,對(duì)數(shù)據(jù)層的攻擊將帶來(lái)整個(gè)區(qū)塊鏈而非一個(gè)節(jié)點(diǎn)的變化。今年5月份,因攻擊者篡改了某區(qū)塊鏈生成的時(shí)間,導(dǎo)致挖礦難度下降,劫持了整個(gè)主鏈,導(dǎo)致攻擊者獲取了大量的代幣。
因此,360安全團(tuán)隊(duì)就從黑客攻擊的六個(gè)方面入手進(jìn)行了研究,分別找出漏洞,并“開(kāi)出藥方”。通過(guò)對(duì)某公鏈和交易所進(jìn)行了安全測(cè)試,360安全團(tuán)隊(duì)發(fā)現(xiàn)42個(gè)漏洞,其中可以影響到用戶賬戶安全的高危漏洞29個(gè)。
除了排查漏洞,團(tuán)隊(duì)還對(duì)黑客的一些攻擊進(jìn)行了深入測(cè)試,并編寫(xiě)《公鏈滲透測(cè)試白皮書(shū)》。王偉波說(shuō),白皮書(shū)會(huì)不久后進(jìn)行發(fā)布,其中將分析一些安全事件,以區(qū)塊鏈攻擊為切入點(diǎn),深入分析黑客的攻擊手法,以及針對(duì)不同的攻擊,怎么做好安全防護(hù)。
王偉波認(rèn)為,區(qū)塊鏈產(chǎn)業(yè)正處于發(fā)展比較前期的階段,目前安全方面還存在很多問(wèn)題。區(qū)塊鏈技術(shù)的發(fā)展,安全方面是硬需求,需要構(gòu)建區(qū)塊鏈安全生態(tài),從數(shù)字貨幣錢包、智能合約等不同產(chǎn)品上著力,同時(shí),還需要從礦池、交易所等數(shù)字貨幣產(chǎn)生的節(jié)點(diǎn)上實(shí)施動(dòng)態(tài)防范。
盲目上馬區(qū)塊鏈項(xiàng)目不可取
“我們除了讓區(qū)塊鏈技術(shù)本身更扎實(shí),更值得信賴之外,還面臨一個(gè)區(qū)塊鏈的鏈上數(shù)據(jù)與現(xiàn)實(shí)數(shù)據(jù)銜接的問(wèn)題。”中國(guó)信息通信研究院云計(jì)算與大數(shù)據(jù)研究所部門主任魏凱表示,每個(gè)行業(yè)使用區(qū)塊鏈時(shí)都有自己的痛點(diǎn),例如溯源行業(yè),如何確保上鏈的數(shù)據(jù),對(duì)應(yīng)的正是要追溯的產(chǎn)品,而不會(huì)被“掉包”?
寫(xiě)到鏈上的信息是不是真實(shí)的,能夠準(zhǔn)確反映現(xiàn)實(shí)的。這是區(qū)塊鏈技術(shù)解決不了的,而必須依靠鏈外的手段保障,例如制度體系。魏凱認(rèn)為,目前配套體系是缺乏的。
“要上馬區(qū)塊鏈應(yīng)用,應(yīng)該先問(wèn)4個(gè)問(wèn)題。”魏凱說(shuō),“任務(wù)要不要記錄數(shù)據(jù)?記錄的數(shù)據(jù)是不是必須多方參與?參與的多方能不能互信?如果找不到可以信任的,那么,就可以考慮拋棄原有載體,使用區(qū)塊鏈技術(shù)。最后一個(gè)問(wèn)題,能夠容忍它與中心化系統(tǒng)相比效率較低的特性嗎?”
魏凱解釋,使用區(qū)塊鏈的成本也非常高,因?yàn)樗且粋€(gè)封閉式的系統(tǒng),效率肯定沒(méi)有中心化的系統(tǒng)效率高,目前,在使用時(shí),區(qū)塊鏈技術(shù)沒(méi)有明顯的效率優(yōu)勢(shì)。
魏凱用“焦慮癥”形容目前產(chǎn)業(yè)界、甚至政府對(duì)區(qū)塊鏈的態(tài)度。“現(xiàn)在有二十幾個(gè)省市發(fā)布了與區(qū)塊鏈有關(guān)的激勵(lì)刺激政策,很多地方蓋起了區(qū)塊鏈大廈,入駐這些大廈的企業(yè)有沒(méi)有挖掘出什么非得用區(qū)塊鏈不可的場(chǎng)景來(lái)呢?這個(gè)問(wèn)題值得大家深思。”魏凱認(rèn)為,除了區(qū)塊鏈技術(shù)本身的完善外,政策、法規(guī)、驗(yàn)證等體系仍需要進(jìn)一步推動(dòng)建設(shè)。為此,中國(guó)信息通信研究院于4月9日,聯(lián)合158家企業(yè)發(fā)起了“可信區(qū)塊鏈推進(jìn)計(jì)劃”,推進(jìn)技術(shù)標(biāo)準(zhǔn)、行業(yè)應(yīng)用和政策法規(guī)等工作,以期逐步完善區(qū)塊鏈發(fā)展的有利生態(tài)。
1.TMT觀察網(wǎng)遵循行業(yè)規(guī)范,任何轉(zhuǎn)載的稿件都會(huì)明確標(biāo)注作者和來(lái)源;
2.TMT觀察網(wǎng)的原創(chuàng)文章,請(qǐng)轉(zhuǎn)載時(shí)務(wù)必注明文章作者和"來(lái)源:TMT觀察網(wǎng)",不尊重原創(chuàng)的行為TMT觀察網(wǎng)或?qū)⒆肪控?zé)任;
3.作者投稿可能會(huì)經(jīng)TMT觀察網(wǎng)編輯修改或補(bǔ)充。