火星链 火星链
Ctrl+D收藏火星链
首页 > 火必APP > 正文

比特币:跟一个搞网络安全的聊完数字货币,我喝了口茶压压惊

作者:

时间:1900/1/1 0:00:00

猎云注:将比特币放入所谓的“比特币钱包”,全部比特币被转移,按现在市值净亏损一千多万。这是一个真实案例。就奇虎360信息安全研究员Sherlock看,区块链技术的确不错,但区块链从底层代码到最终应用涉及的多个方面都可能成为黑客的攻击面。数字货币交易所也未必安全。此次浅黑科技对话区块链领域资深人士Sherlock,畅谈网络安全及区块链数字货币。文章来源:浅黑科技。原文如下:

前几天,我去找到360信息安全中心的Sherlock,向他求教数字货币相关的网络安全态势,却一上来就听了个奇葩故事:

2017年7月的某一天,老武坐在派出所录口供,手心全是汗。

他做梦也没想到,自己旅了游回来,数字钱包里的186个比特币竟全部消失。

当时比特币才1万2一枚,算起来值两百多万元。

“是黑客干的?”

老武细细一回想,觉得事有蹊跷。

几个月前,他被朋友拉进一个比特币投资的微信群,一来二去认识了群主。

群主是个热心肠,经常告诫大家要注意投资风险,还提醒大家注意比特币安全,告诉大家不要把所有的钱都放在交易所,要存到“比特币钱包”才最安全。

这天,群主给老武发来一个比特币钱包软件,告诉他,比特币放在数字钱包最安全。

老武一看,确实是某知名比特币钱包的安装包,就按群主指导一步步操作,把自己的186个比特币转了进去。

几天后,老武的186个比特币全部丢失。

他当即找群主老戴质问,对方却做出一个惊人的举动:

他说,自己只是好心推荐软件,比特币被盗可能是因为老武自己泄露了钱包密码。

不过,

毕竟是自己推荐老武用的钱包软件,现在币丢了自己也有部分责任,赔老武12万元算是认倒霉。

Do Kwon律师拟将护照造假案上诉至最高法院 引渡进程或将拖延:金色财经报道,Terraform Labs创始人Do Kwon在黑山的法律代表Voislav Zetsevich律师在接受采访时表示,对于Do Kwon涉护照造假案,其已对一审判决向高等法院提起上诉,若败诉,还会将此案上诉至最高法院以寻求最终判决,他们将尽可能行使自卫权。该媒体评论称,这意味着实际引渡或需要相当长的时间。律师还提及,如果Do Kwon因护照造假案被判处最高5年徒刑,他可能会被遣返到另一个国家并在那里服刑。[2023/3/29 13:32:19]

说完,群主真的转给老武12万块钱。

“一个素未谋面的人这么轻易就转给我十几万块钱?”

老武断定,这事儿多半跟这个群主有关。

……

……

……

几个月后,冲入群主戴某的住所,发现几十张银行卡和多台笔记本电脑。在其中一台电脑里发现了和老武用的那款比特币钱包软件,以及一个盗号用的脚本。

原来,群主在对钱包软件安装包里植入了盗号脚本。那186个比特币,正是通过这个后门,进了群主的口袋……

讲完,Sherlock告诉我,这是央视报道过的真实案件。

他说:

“不少人以为区块链去中心化、不可篡改就能绝对安全,完全不惧怕黑客。但其实区块链从底层代码到最终应用,可能涉及到很多方面,比如智能合约、钱包、交易所等等,这些地方都可能成为黑客的攻击面。”

这就好比,有人把机械门锁换成指纹锁就以为自己的财产很安全,可其实小偷照样有办法复制指纹,甚至完全不管门锁,直接拆门进来,或破墙而入,或跳窗户进来……方法多得很。

区块链会带来哪些新的安全态势?

Arbitrum官方Twitter账户被暂停:金色财经报道,Arbitrum的官方Twitter账户被暂停。Arbitrum母公司Offchain Labs的联合创始人Harry Kalodner称,控制该账户的Arbitrum基金会正在调查。[2023/3/28 13:30:11]

我和Sherlock进行了一次详谈,他从底层代码安全、数字钱包安全、数字货币交易所安全、新型套利方案等几个方面向我梳理了自己对于区块链一些理解,在此呈现给各位浅友们:

Sherlock,奇虎360信息安全研究员,2015年接触数字货币,对区块链和数字货币安全颇有见解。

一、数字货币区块链底层代码未必安全

“数字货币区块链底层代码也未必安全。”Sherlock向我回顾了区块链发展史上的一次重大丑闻:

2016年6月,加密货币和区块链社区发生了一次大地震,世界上最大最知名的众筹项目theDAO遭黑客攻击,价值6千万美元的以太币被盗!

调查原因,竟是theDAO编写的智能合约代码不够严谨,里面有两个函数漏洞,能让攻击者不断从项资产池中偷取资产。

为了解决TheDAO大量资金被盗的问题,以太坊官方还推出了针对TheDAO的软分叉版本Gethv1.4.8,增加了一些规则以锁定黑客控制的以太币。

可是,眼看着绝大多数矿工都升级了这个版本的软件,软分叉要大功告成时。由于时间仓促等原因,众多大牛编写出来的软分叉版本居然又有一个明显漏洞!这个漏洞能让黑客零成本搞垮整个项目。

因为那次事件,以太坊社区发生了巨大分歧,一派人认为应该把项目回滚到黑客攻击之前的状态,另一派人则觉得回滚不符合区块链“去中心化、不可篡改”的核心精神,不同意回滚。

最终,两派通过投票彻底“决裂”,以太坊便硬分叉成了“以太经典”和“以太坊”,如同宇宙瞬间分裂成两个一模一样的平行世界各自运行。

SPACE ID宣布将空投快照时间改为3月10日:3月20日消息,去中心化身份协议 SPACE ID 在官方社群针对3 月 14 日前几日内注册数量激增的问题发文澄清表示,在 3 月 14 日之前几天域名注册数量的激增并不是 SPACE ID 团队所为。在详细分析和尽职调查的事实基础上,SPACE ID 将本轮空投快照时间由 3 月 14 日改为 3 月 10 日 2PM(UTC)。并将新增 560 万 ID Token 的空投,且该部分仅基于持有域名时长的权重分配。由于快照时间变化和新增的空投数量,符合资格的用户将获得总计约 760 万的 ID Token,即每人获得的空投数量都会增加。[2023/3/20 13:15:26]

“可是谁能确保修复后的代码没有新漏洞呢?只要是人写的代码就可能有漏洞。”Sherlock说,不少人迷信区块链底层代码是安全的,这种想法本身就很危险!

对区块链有所了解的人,相信都听说过51%攻击:只要控制一个区块链上51%的算力,就能对链上的交易任意数据进行篡改。

以往,人们之所以相信区块链是不可篡改的,就是坚信51%攻击不可能发生,因为同时控制51%所需要的资源成本太高。

“可是,只要理论上来说可能,我们就不能不堤防!”

二、“李笑来们”很危险!

网络安全行业有个常见名词叫APT——高级持续性攻击,意思是黑客长时间盯着某个目标,寻找各种突破口,甚至静心布置一个巨大的局。

由于实施成本太高,这种攻击形式以往只发生在国家和国家之间,或者大型组织之间。

“数字货币出现后,APT组织很可能把目标转向“数字货币大户”,目标从一系列大型设备转向个人电脑。”

原因很简单,因为他们的数字货币资产足够值钱,个人目标相比有专业风控的大型组织更容易攻破,数字货币被盗后溯源难。

Gemini联创致信DCG创始人,要求其偿还Earn用户逾9亿美元:1月2日消息,Gemini联合创始人Cameron Winklevoss代表其Earn产品的超过34万名用户,向DCG创始人Barry Silbert发送一封公开信,要求他偿还所欠的9亿多美元。

据金色财经此前报道,Cameron Winklevoss发推称,Houlihan Lokey代表债权人委员会提出一项方案,以解决Genesis和DCG的流动性问题,并为资产回收提供途径。该计划基于迄今为止从Genesis、DCG及其各自顾问处收到的信息。[2023/1/3 22:21:22]

“以往人们把钱存在中心化的银行,即便被偷被也比较容易追溯,毕竟银行账户都有实名认证,可是数字货币一旦被就很难找回。

由于国家不承认数字货币的价值,有时甚至报警立案都会遇到一些困难。

数字货币的最大特点是去中心化,不可篡改,而这两点恰恰让数字货币持有者成了黑客最好的攻击目标。去中心化意味着出的监管难度高,不可篡改意味着钱一旦被走,交易就不可能回退。

黑客为了盗走你的数字货币,可能盯上你家里、办公室的WiFi网络,黑进你的个人电脑,或者量身定制一套钓鱼方案。

甚至,他们很可能设下一个巨大的局,利用社交关系靠近你,成为你的“朋友”,潜伏在你身边好几个月再行动!文章开头的案例就是如此。

我问道:“李笑来曾经声称自己是比特币首富,号称拥有六位数的比特币,算起来值十几亿,所以他很可能已经成为APT的目标咯?”

“当然有可能。”

三、钱包都不安全,钱还能安全吗?

“黑客想盗走数字货币,数字钱包是一个很重要的攻击面。”Sherlock说。

数字钱包是用来存储数字货币的软件载体,完全脱离网络存储私钥的叫“冷钱包”,把私钥托管在网上的叫“热钱包”。

数据:以加密货币做为抵押品的主导地位峰值达到70%,创历史新高:金色财经报道,据区块链分析公司Glassnode披露数据显示,以加密货币做为抵押品的主导地位峰值达到70%,达到了历史最高,说明绝大多数新的未平仓合约都使用现金做为头寸的保证金,也意味着在过去的18个月里,衍生品抵押品结构的健康状况有了很大的改善,同时也说明市场对稳定币抵押品的需求越来越大。比特币市场目前处于历史上的低波动期,链上和链下的许多指标都预示着未来可能会出现波动加剧。历史上的熊市先例都是从这样的市场结构中双向突破的,在期货市场的定价中几乎没有明显的方向性偏差。通过评估期货估计杠杆率,来比较所有主要交易所持有的比特币储备余额和未平仓约的相对规模。同样可以观察到,相对于交易所的比特币余额,期货未平仓合约有显著增长,这明一个较低流动性环境正在发挥作用。[2022/10/20 16:30:46]

围绕数字钱包,黑客可以大搞名堂。

当你想用数字钱包,多半就得下载软件,而数字钱包从设计、发布,最后通过各种复杂的网络传输来到你的电脑或者手机,中间要经过很多道流程,跨过千山万水,但凡其中某个流程出现问题,你都有可能中招。

比如:

你是否通过正规官方渠道下载钱包软件?从第三方软件平台下载时,会不会下载到带有盗号后门的?

即便是在官方网站下载,如果你所处的WiFi网络环境被黑,会不会被劫持到黑客的下载地址?

即便你的网络环境没问题,软件官网的下载地址会不会早已被黑客黑掉,改成带有盗号后门的软件?

即便流程都没问题,数字钱包的产品设计本身是否可靠?厂商是否为了满足易用性而牺牲安全性?厂商是否安全地存储用户的私钥?

……

……

……

单就一个数字钱包,黑客就有那么多攻击面,你还觉得上了区块链就是安全的吗?

“你也有数字货币资产吧?,既然用个数字钱包都这么危险?你作为一个天天跟黑客打交道的安全从业者,是怎么做的呢?”我反问他。

他说:

“一方面,确认钱包本身的安全性,比如下载软件后做个哈希值校验,另一方面也要合理存储。我的资产不多,一部分在交易所,一部分在热钱包,一部分在冷钱包。鸡蛋不要放在同一个篮子里,这是最基本也最容易做到的。”

我又问他,“自己用钱包保管数字货币不放心,托管在交易所总没问题了吧?”

他笑着说,未必。

四、数字货币交易所也未必安全

Sherlock给我晒出一组数据:

2014年2月,当时世界最大的比特币交易所Mt.Gox被盗85万个比特币。后来,Mt.Gox被曝出其实是监守自盗,真正被外盗的比特币只有7000个。

2016年8月,最大的美元比特币交易平台Bitfinex出现漏洞,12万比特币被盗,当时价值6500万美元,如果换算成2017年12月的价格,价值近20亿美元。

2017年12月,韩国YouBit交易所被黑客攻击,损失4000个比特币,交易所宣布破产。

2017年12月21日,网传乌克兰Liqui交易所被盗6万个比特币,比特币单价瞬间暴跌2000美元。

2018年3月7日,币安交易所出现大量用户账号被盗,黑客控制的资产价值超过1亿美元。甚至还有人传言黑客利用了金融知识影响数字货币价格来间接获利,导致不少数字货币价格暴跌。

“类似戏码一定还会上演。”他说,

“数字货币交易市场这几年的发展势头太快,而且相互竞争激烈,这种情况下安全技术、人力方面投入的速度未必跟得上自身需求增长的速度,必然会导致一些问题。

他说,以最近发生在币安交易所的安全事件为例,其实币安的风控措施相较以往发生过安全事故的其他交易所,已经所有提升。

在黑客提币时利用大数据风控阻止了提币操作,此前发生过的黑客事件,基本发生的交易所安全事件大多黑客直接提币走人。

所以,他建议大家尽量使用知名的、大型的交易所,不要把资产放在小型、不知名的交易所,因为黑客也会挑软柿子捏。

“一般来说,大的交易所通常安全风控手段相对完善,黑客不容易攻入,这时黑客很可能转而攻击小型交易所。

甚至,他们还会专挑一些没有牌照的非法交易所攻击,这样即便被发现,交易所也不受法律保护。

比如黑客很可能跑去攻击孟加拉国之类小国家的交易所,一方面因为那里本来就认定数字货币非法。另一方面跨国管制不便,也让黑客更肆意妄为。”

五、利用明星效应的钓鱼攻击

如果说APT攻击和交易所安全离普通人太远,下面这种攻击手法就发生在我们身边。

前阵子,有人专门在一些知名人物的社交账号底下头像和名字设置成和名人一模一样的头像,发布一些虚假的信息,声称只要在某个数字货币地址转入一定数额的币,就能得到10倍的回馈。

这就好比大街上有人对你说,“你给我10块钱吧,我会立刻返给你100块。”就这样显而易见的信息,经统计,短短几天之内竟能到价值几十万的数字货币。

为什么看起来如此愚蠢的术,也有人上当受?

Sherlock说,“这就是子们广撒网的策略了,由于明星的粉丝很多,这种方式投放信息可以获得大量展示。几千个人里难免有那么几个刚睡醒,脑子不太清醒的人。”

最后,由于这类信息实在太多,不少名人被迫把网名都改了:

类似的到了国内还有一种进阶版,Sherlock又给我安利了一个真实案例:

一个叫“王团长”在微信群里向群友募集私募“韭菜基金”。

这天半夜,“王团长”忽然在群里发话:“基金募集明天就截止了,请大家赶紧打币到地址XXXXXXX。”

于是,就有群友就按照王团长说的地址打过去22个以太币,当时大约价值二十万元。事后,这位网友才发现,群里忽然出现了好几个“王团长”,真假难辨,自己的22个ETH直接进了子口袋。

“这种手段也常见于数字货币项目的私募阶段,因为有的项目收益很高,参与者往往不能保持平常心,唯恐落后,这种贪利的心态让他们更容易受。

并且,国内目前没有正规的ICO途径,参加私募纯属个人行为,缺乏监管,流程无法保证安全。”

这类方式其实一点都不新鲜,只是数字货币市场的活跃,让它们重新迸发了活力。”Sherlock说。

六、传统黑产也盯上数字货币

哪里有钱赚,哪里就少不了黑产。

Sherlock告诉我,在区块链和数字货币兴起的同时,也催生了一些新的套利方式……

原本黑客控制大量“肉鸡”,通常会用来发起DDoS流量攻击等。

数字货币火了之后,不少“肉鸡”又多了新的角色——黑客还会把黑掉的机器配置成挖矿机,利用它们的算力来挖数字货币赚钱。

有的黑客还会专门在访问量高的网站页面或者博客植入挖矿脚本,用户一旦访问这样的网站,电脑处理器性能就会瞬间被占满,成为一个挖矿节点,为黑客的矿池提供算力。

那些原本专门盯着各大公司优惠活动,用大量手机卡批量套利的羊毛党灰产,也开始盯上数字货币ICO项目发放的奖励,不少活动刚开始没多久,所有糖果就都进了灰产口袋。

甚至,黑客还会专门入侵别人的数字货币挖矿矿场,把他们的转账地址改成自己的。

总之,数字货币为黑产们提供了各种新的赚钱渠道和方式。反过来,丰厚的回报又吸引着新的一波人铤而走险加入黑产……

---

聊到最后,Sherlock感慨:

“其实说白了,不管时代环境如何改变,安全攻防到了最后,都是人与任何人的较量。

子和网民们斗智斗勇,子不停地升级剧本,网民不断增强安全意识和辨别能力;

黑客不断发现新的攻击面和攻击手法,交易所、钱包等厂商也在不断引进新的防御技术和人才。

或许正如老周所说的那样,万物皆变,人是安全的尺度吧!”

本文来自猎云网,创业家系授权发布,略经编辑修改,版权归作者所有,内容仅代表作者独立观点。

标签:数字货币比特币区块链十大数字货币交易所排名数字货币交易所官方网址数字货币案例视频比特币中国官网联系方式40亿比特币能提现吗比特币最新价格行情走势区块链工程专业学什么区块链存证怎么弄

火必APP热门资讯
LIT:二战时期参战国的硬币:法国篇—没有了自由只有工作

二战前的法国正处于法兰西第三共和国时期,和欧洲其它君主立宪制国家不同,法国经历了彻底的大革命,国家以共和制为基础,所以其硬币也和其它欧洲国家不一样,上面没有国王的头像.

1900/1/1 0:00:00
CEO:巨人网络拟转让所持虚拟货币交易所OKCoin股权

3月23日晚间,巨人网络集团股份有限公司(002559下称“巨人网络”)发布公告,宣布以2850万美元转让所持有的14%OKC(OKcoin)股权.

1900/1/1 0:00:00
ENJ:数字货币断流式下跌,知名交易所将收归国有?今日币圈新闻速览!

今日焦点: 1.OKCOIN创始人:OK随时捐献给国家2.中国央行行长周小川:目前没有认可虚拟货币作为支付工具,不慎重的产品要停一下,一些有前途的要经过测试后再推广,不太喜欢创造投机的产品.

1900/1/1 0:00:00
UPR:快看看你家有吗?25种古代青花图案寓意详解

中国古代青花,是古代瓷器艺术中的一朵奇葩,今天可谓人见人爱了。可知否?其不仅是瓷色青纯,且其各式图案都有大吉大利的寓意啊! 太师太保 狮,哺乳纲猫科动物。雄狮壮硕雄健,颈有鬣.

1900/1/1 0:00:00
USDT:重磅调查:危险的USDT丨钛媒体深度

钛媒体TMTPost.com |科技引领新经济| 链得得App独家深度调查,Tether“操纵市场”风波真相,涉嫌严重超发的USDT会轰然倒塌吗? 链得得 USDT出现以来.

1900/1/1 0:00:00
以太坊:每日币研究之区块链社交通讯概念数字货币:Status

导读:Status是一款集成了即时通讯客户端、Dapp浏览器、以太坊系轻钱包的移动端应用。背景:如今的社交方式大多是通过智能手机联络,当然这也是最常见的方式,万物都该顺应时代的发展潮流,SNT亦.

1900/1/1 0:00:00