盘点 | 区块链历史中的重大黑客事件
摘要: 过去十年,随着加密货币价值飙升,黑客事件也层出不穷。值得注意的是,大多数黑客攻击的目标不是区块链技术本身,而是针对钱包、交易所等加密货币服务商,利用传统网络犯罪技术破解安全漏洞,从而窃取资金。下面让我们来盘点区块链历史上的重大安全事件吧!
作者丨Sirius Network 来源丨Medium 翻译丨蓬蒿人
价值溢出事件(2010年8月)
2010年8月,一位名叫Jeff Garzik的开发人员注意到一个创造了920亿枚BTC的区块,远远超过2100万的供应上限。从本质上讲,运行代码时,如果输出结果太大以至于在求和时溢出,那么检查比特币交易的代码就会无效。黑客利用这一点创建了该区块,并添加了两笔920亿枚BTC的交易。事件发生后5小时内,中本聪发布0.3.10版本,更新后的客户端开始用有效区块替代缺陷区块,这是加密货币“硬分叉”的一个早期例子。0.3.10版本一直沿用至今,而旧链上的1840亿枚“比特币”也因此变得一文不值。这是黑客直接攻击区块链技术的少数案例之一。
AllinVain 失窃事件(2011年6月)
一名黑客入侵用户名为AllinVain的矿工的硬盘并盗取了25000个BTC。虽然被盗资金是数字货币,但这种行为类似于从个人电脑窃取银行账户资金。这是第一个被报道的加密货币盗窃案件,当时影响极大。
Bitcoinica(2012年3月和5月)
Bitcoinica是一家老牌交易所,它曾在2012年遭遇两次黑客攻击。黑客利用其安全松懈的服务器,获取了客户数据(包括密钥),共计盗走61000个BTC,最终导致Bitcoinica破产。
Bitfloor(2012年9月)
与Bitcoinica的被盗过程相似,黑客入侵了Bitfloor的服务器,盗走了24000个BTC。Bitfloor从此一蹶不振,并于次年4月关闭。
Poloniex(2014年3月)
2014年3月,刚成立两个月的Poloniex交易所的服务器被入侵。一名黑客发现Poloniex的漏洞,即提现系统在同时收到多个请求的情况下允许出现负余额。提现系统注意到异常活动后,关闭了进入受影响账户的通道。但在此之前,Poloniex加密货币总储备的12.3%被盗。Poloniex暂时将每个每个账户的余额都扣除12.3%,后续再全部恢复。Poloniex最终幸存下来,并于2018年被收购。
MtGox(2014年2月)
MtGox是当时规模最大的老牌交易所,也遭遇了最严重的黑客攻击。
MtGox最初是一个卡牌交易网站,由程序员Jed McCaleb创建。2010年7月,他读到一篇关于比特币的文章,于是修改了网站代码,用于交易比特币,并于2011年将该网站卖给了Mark Karpeles(法胖)。到了2014年,MtGox处理的比特币交易占全球70%。
2014年2月7日,MtGox宣布暂停交易,理由是其安全软件存在漏洞。两周后,网站突然消失,MtGox申请破产。此次损失共计85万BTC,在当时价值4.7亿美元。这个问题导致投资者信心受挫,比特币暴跌36%。
许多人怀疑是法胖监守自盗,他于2015年因欺诈、挪用公款和操纵用户余额等罪名被捕,但这并不能直接证明他与交易所被盗事件有关。2017年,美国当局在希腊逮捕了俄罗斯人Alexander Vinnik,他控制的钱包不仅有MtGox被盗的比特币,还包括Bitcoinica、Bitfloor的。
Bitstamp(2015年1月)
多次黑客攻击让交易所提高了警惕,开始将币存在两种钱包上。一种是冷钱包,这是一个没有连接到互联网的服务器,本质上是通过阻止外部网络访问实现air-gapping(空气间隙)。一种是热钱包,为用户提供足够的加密货币进行日常交易。2015年1月,黑客利用钓鱼手段窃取了Bitstamp的热钱包里的19000个BTC。幸运的是,Bitstamp将90%的加密货币都存在冷钱包里,逃过一劫。
DAO(2016年6月)
基于以太坊的加密货币的运作方式与比特币不同,但也被证明更易受黑客攻击。以太坊的环境不同于其他加密货币。ETH是通过“智能合约”代码进行交易的,该代码在满足预先指定的条件时运行。由于它们运行在一个由6000台计算机组成的区块链网络上,因此不受修改或审查的影响。以太坊的构架支持去中心化自治组织(DAO),把规则和决策通过代码的形式写进区块链之中,从而允许智能合约在不受人为监控的条件下运行。
2016年4月,Genesis DAO创建了一个社区,投资者可以对项目进行投票,获得20%以上支持的项目将获得资助。DAO在以太坊上筹集了2.5亿美元。到了6月,黑客发现一个允许在同一代币多次提现的漏洞,其速度高于智能合约代码更新的速度。几个小时内,DAO中30%的ETH就被转走了。失窃事件公开后,Genesis DAO实施了一个硬分叉,创建了一条新链。但这次分叉遭到以太坊社区部分成员的抵制,他们认为篡改时间戳会损害其他ETH持有者的价值。然后以太坊社区开始投票,89%的人同意接受新块。反对者从社区分离出来,坚持认为最初的链是“以太坊经典”。
这是一次真正的区块链攻击。以目前的价格计算,被盗走的360万个币如果算作ETC,价值超过4000万美元;如果算作ETH,价值将超过10亿美元。
Bitfinex(2016年8月)
这是继MtGox热钱包被盗后的第二大交易所黑客攻击,讽刺的是,本为提高安全性而设计的升级却存在漏洞,从而被黑客利用了。Bitfinex使用BitGo提供的软件建立了一个多重签名系统来授权交易。目前还不清楚黑客是如何轻松绕过多重密钥需求的,但最普遍接受的假设是,Bitfinex服务器上的系统安装不当。黑客窃取了12万个BTC,当时价值7200万美元。
Parity(2017年7月和11月)
以太坊也受过多重签名系统缺陷的影响。2017年7月17日,有人攻击了多重签名钱包提供商Parity,目标是三家最近刚完成ICO的公司。黑客一共窃取了152037个比特币,价值3200万美元。Parity将本次攻击归咎于Parity钱包版本中智能合约代码存在漏洞,并于7月20日发布了补丁。
糟糕的是,该补丁解决了智能合约的问题,却还存在另一个安全隐患。Parity在其智能合约代码上新增了“kill” 功能,该功能允许用户永久锁定Parity钱包。Parity开发者没有将这一代码更新到所有的用户钱包中,而是选择跟一个中心化library(合约库)进行函数调用。11月6日,用户名为“devops199”的编程新手意外锁死了library,所有与library相连的钱包也被锁死了。受影响的钱包共计587个,包含513,774个ETH,价值约1.5亿美元。
这不是犯罪也不是恶意行为,却给以太坊带来一个大问题:是否再次进行硬分叉以恢复被锁定的587个钱包?4月,Parity向以太坊社区发起投票,最终以55%反对票拒绝了硬分叉。513,774个ETH被永久封印。
NiceHash(2017年12月)
NiceHash是一家位于斯洛文尼亚的矿场。黑客利用钓鱼成功窃取一名员工的证件,盗走4700个BTC,价值8000万美元。
Coincheck(2018年1月)
Coincheck是一家日本交易所,被盗取了5亿个NEM。黑客取出NEM后迅速兑换成其他加密货币,以至于NEM基金会放弃了恢复工作。这次损失高达5.3亿美元,超过了2014年MtGox的损失。由于Coincheck在被黑后随即冻结提现,因此用户稍感安心,交易所得以存活下来。
Coinrail和Bithumb(2018年6月)
2018年6月,韩国两家交易所的热钱包遭遇攻击。其中Coinrail损失了5300个 BTC(价值4000万美元),Bithumb损失了3100万美元。
区块链的安全现状
被盗事件层出不穷,仅2018年上半年就损失了11亿美元。但这些安全事件不是区块链世界独有的,区块链功能强大,不易受到攻击,但黑客却可以利用智能合约、钱包或人为失误等漏洞。
51%攻击就是针对区块链技术的,即某人拥有全网51%以上的算力,从而比其他节点更早创建区块,最终控制网络,特点是攻击成本比较高。由于挖掘比特币的成本越来越高,目前主要针对受感染的计算机部署僵尸网络,用于恶意挖矿。另外还有勒索软件等攻击。
虽然SHA256加密算法很复杂,但也并非不可破。或许最致命的攻击我们尚未发现。目前最好的建议可能是:尽量参加拥有大型社区和高透明度的区块链,使用双重认证和硬件钱包,最重要的是避免自满。
(作者:蓬蒿人,内容来自链得得内容开放平台“得得号”;本文仅代表作者观点,不代表链得得官方立场)
评论(0)
Oh! no
您是否确认要删除该条评论吗?