“互聯網發生安全事故丟失的是信心,幣圈安全事故丟的可能是命了。”
自互聯網始,黑客存在久矣。
然後,顛覆互聯網的區塊鏈來了,黑客也隨之降臨。
分裂以太坊,門頭溝事件,BTER失竊……每一次幣圈事故背後都能瞧見他們身影出沒。
與互聯網的森嚴法治不同,幣圈黑客遊走在規章的模糊邊界,無人約束。每年上億美元贓款落入黑客腰包。
這是與古典互聯網截然不同的奇異景觀。
“互聯網發生安全事故丟失的是信心,幣圈安全事故丟的可能是命了。”一位區塊鏈安全人士表示。
利益之下,黑客肆掠,幣圈無人倖免。區塊鏈的頭頂上,始終籠罩著一層陰霾。
一場悄無聲息的遷徙
古典互聯網黑客正在往幣圈大規模遷徙。
“正是區塊鏈技術創新造就了這群黑客。”BYSEC.IO創始人莫良向深鏈財經稱,“區塊鏈是歷史上任何一個時代無法比擬的——代碼和錢畫上了等號。”
互聯網和幣圈是截然不同兩個世界。
“對於互聯網安全,一旦發生安全事故,往往丟失的是信心,但是用戶是健忘的。可對於數字貨幣交易所、錢包而言,丟失的就不僅僅是信心了,可能就是丟命了,是等同於法幣資產的身家性命。” 一位業內人士向深鏈財經透露。
在黑客攻擊後倒閉的項目不絕如縷。門頭溝事件(2014年2月,黑客從Mt.Gox盜取用戶近75萬枚比特幣及交易所10萬枚比特幣)直接導致彼時世界第一大交易所Mt.Gox申請破產。
幣圈是一塊無人管的戈壁地。在幣圈尚無明確法律監管的情況下,這些黑客攻城掠地,侵佔一座又一座城池。
莫良將攻擊分為兩種:一種是鏈上攻擊,例如像BTG雙花攻擊。技術門檻高,攻擊者對區塊鏈技術有一定研究;一種是鏈下服務攻擊,比如對交易所、錢包的攻擊。
幣圈黑客目前的操作方式大部分屬於後者。即是說,黑客仍然用著傳統互聯網的方法在幣圈興風作浪。
“密鑰和錢包的安全是區塊鏈安全1.0的重心,智能合約是區塊鏈安全2.0的重心。但是目前大多數黑客事件還是使用傳統攻擊手段。”長亭科技區塊鏈安全研究員於曉航向深鏈財經表示。
古典互聯網黑客轉行幣圈,根本不需要學習成本,所要只是一個瞬念。
幣圈黑客已經將觸角伸向區塊鏈全產業鏈。
無論是礦池、錢包、交易所還是公鏈,甚至是用戶的打印機、攝像頭,都有被黑客襲擊的可能。
例如,對於礦池來說,黑客直接攻擊礦池,設法獲取礦池網站的管理員權限,然後將礦池裡額虛擬貨幣轉移至自己帳戶。
此外,黑客還能黑進用戶的物聯網設備,偷設備上的算力,當用戶發現設備的耗電量增加、網絡流量出現異樣,事實上其中是黑客在暗地裡挖礦,但用戶根本不會發現。
就這樣,幣圈每年上億美金的虛擬貨幣流入黑客口袋。
黑白邊緣
於曉航發現,自今年年初,開始做區塊鏈或者轉型區塊鏈的安全公司多了起來。
近日,BYSEC團隊也忙於不斷見新的投資人。
幣圈白帽子勢力正在擴張。白帽子,即正面的黑客,可以識別計算機系統或網絡系統中的安全漏洞,並不去惡意利用,而是公佈漏洞。
這是刀鋒上的生意。技術的價值在幣圈被無限發大。
莫良稱,“在安全人才儲備嚴重不足情況下,很多公司趁火打劫”。
很多安全公司奔著賺錢來的。莫良透露,在傳統互聯網行業,代碼審計按萬行收費,平均一行代碼1元至10元,而在區塊鏈行業,代碼審計費最高上萬元。
區塊鏈,碰撞出技術火花,同時也是一座富饒金礦。
“區塊鏈行業裡的白帽子非常缺乏,因為安全其本身還是一個服務性的東西,跟黑帽的利益驅動相比,白帽更多是發自內心的責任感去做。”於曉航稱,相對黑帽來說,區塊鏈白帽陣營還是太小了。
與此對照的是源源不斷湧入幣圈的黑客團隊。
“未來一定會有更多黑客湧入區塊鏈。”莫良稱,最近耳聞,區塊鏈早已變成黑客眼中最肥的肉。
這是一場力量相差懸殊的競爭。
現行的技術和手段,加上區塊鏈去中心化、匿名的特點,黑客的行蹤很難被追溯。
而法律監管的缺失,更讓這群幣圈黑客肆意妄為。
白帽子卻常常陷入誤解的疑雲。
讓莫良最受挫的是大眾對黑客認知的缺失。很多區塊鏈公司對黑帽和白帽沒有清晰認知,“大家都覺得黑客是不分黑白的,只要你找上門就是壞的。事實上白帽被稱為道德黑客,完全是出於個人興趣,很多人在大互聯網公司領著百萬年薪,但還是願意不相識公司提出漏洞”。
充滿悖謬的是,監守自盜在事情經常在安全領域上演。有黑客偽裝白帽子,獲取內部信息後發起攻擊。
慢霧科技聯合創始人餘弦曾表示,自己在招人時第一考慮的是價值觀,然後才是其他,“在自我約束這方面,我們非常嚴肅”。
“守正出奇”,餘弦稱,黑客這個身份,自帶奇,但得守正。
與此同時,白帽子只有把自己設身為黑客,去模擬攻擊,才能發現漏洞。“以攻促防,只有瞭解攻擊者的手法與心理還有這個群體的生存模式,才能真正做好防禦。”餘弦介紹。
莫良稱,而今很多區塊鏈公司只有運營團隊,沒有技術團隊。莫良覺得成熟的區塊鏈項目應該設有獨立的安全部門。
“這不僅僅是技術層面的事,還是意識層面的。” 莫良稱。
“意識安全比技術安全還要重要。”於曉航也表示認同。
於曉航發現,2014年,BTER交易所發生失竊事件,源於BTERCEO韓林被黑客分析,而其個人密碼恰好是BTER交易所裡很關鍵的密碼。
“不論你各個層面的安全防禦技術做得再好,如果你人的防禦意識出現問題,所有防禦都是泡湯的。” 於曉航介紹。
每個行業的興起,安全都不會得到重視。被黑客教育很多次後,行業才會重視。所以,這不僅僅是技術的更新,更是意識的迭代。
一邊是不斷湧入幣圈的黑客,掌握最頂級的資源,使用最豪華的設備,一邊是勢單力薄的白帽團隊,苦苦掙扎卻不被重視。
兩人爭分奪秒競爭,誰發現那個漏洞。現在看來,最後勝利的往往是黑客。
一場相差懸殊的競賽
“沒有不被攻擊過的交易所。”莫良稱,絕大多數交易所被攻擊後,常常裝作維護狀態,其實是“打破牙齒往肚子裡吞”。
黑客陰霾籠罩每個人頭頂。
黑客思維縝密、耐力過人、行動迅捷,無人知曉黑客是單獨作戰還是團隊作業。同時,誰也不知道自己會不會是下一個受難者。
據於曉航觀察,在門頭溝事件發生的三年前,即2011年,黑客早已種下一顆木馬。
Mt.Gox團隊在瀏覽其他網站時,將木馬程序下載至本地,木馬程序自動搜索存放錢包密鑰的文件。
木馬悄悄潛伏在Mt.Gox服務器裡,導致錢包的密鑰文件被攻擊者拿到。
攻擊者十分狡猾,沒有立即轉走大筆交易,而是用了接近三年時間,將幣一點點轉出來。
當Mt.Gox發現問題時已經晚了,虛擬貨幣早已不知何處。
區塊鏈2.0時代來臨,黑客隨之升級了策略。
基於以太坊的智能合約有一個很重要的特徵——都是公開的。大家在使用之前都能看到該智能合約背後的代碼,所以理論上每個人都能確認智能合約有沒有發揮應有的作用。
這同時也帶來一件壞事,智能合約一旦發佈就不能修改。所以在發佈之前沒能做好合約升級,加上上線後很難更新迭代。
項目方在上線之後才發現問題,這個時候往往已經晚了——黑客早已對漏洞發起猛烈攻擊。
黑客推動一個行業的進步,也足以毀滅一個行業。
“區塊鏈太脆弱了”, 於曉航稱,“如果安全做得不好的話,非常打擊人們對新技術的信心。”
黑客每次大捷過後,又一場狂歡已經開始了。
“黑客就像非洲的僱傭軍,為錢服務。誰有錢就去不斷髮起進攻。“莫良表示。
門頭溝事件之後,比特幣跌幅逾36%。
再出現像門頭溝這樣的一次黑客攻擊足矣讓比特幣再次萎靡數年。
追逐財富的黑客可不管這些。畢竟,他們還能竄入下一領地或者回到互聯網,尋找新的寶地。
閱讀更多 火星財經24H 的文章
