根據動區專欄作者機構《PeckShield》數據顯示,2019年全年區塊鏈安全事件177起,造成的經濟損失高達76.79億美元,相比2018年增長了60%左右。
過去一年, 區塊鏈安全領域概況速覽:
- 區塊鏈安全波及範圍面更廣了,從交易所到數字錢包,再到DeFi 領域,越是離錢越近的地方,越會是駭客攻擊的重災區;
- 開發者安全意識普遍有所提高,DApp、智能合約等原先存在的溢出、重放、隨機數等基礎型攻擊方式整體減少了,開發者安全防禦普遍有所提高,反倒逼駭客攻擊方式不斷演變;
- 安全危機事發背後的原因越來越魔幻了,私鑰丟失、代碼預留後門、冷錢包被攻擊、創始人離奇死亡等花式「漏洞」撲簌迷離,技術BUG 易除,人性BUG 難平;
- 資金盤詐騙、跑路事件等成為產業新患,基於普通大眾在區塊鏈技術上的認知盲區,不法分子炮製各類傳銷幣、模式幣、空氣幣攪亂產業風氣;
- 交易所跨國資產流動更加頻繁了,隨著數字資產的廣泛普及,區塊鏈生態頭號玩家「交易所」的中樞作用愈發凸顯,交易所之間資金流動的背後存在未監管資金大規模「出海」事實。
交易所安全重回公眾視野
2019年05月08日,全球知名的交易所幣安被曝遭遇了駭客大規模系統性攻擊,駭客獲取了大量API 密鑰,Google驗證2FA 碼等資料,一次性提走了7,000 枚BTC。
這次突發的交易所安全事件,讓人聯想到去年3月份幣安的驚魂一夜,部分幣安用戶發現自己帳戶中的代幣被拋售,導致數字資產價格下跌10%。相比之下,今年幣安再遭一劫後,加密貨幣市場並沒有太大的波動,用戶在應對黑天鵝事件的心態正趨於成熟,且攻擊發生後,幣安創始人兼CEO 趙長鵬隨即宣布通過SAFU 進行全額賠付,很快將事件的負面影響平息了下來,最終,並沒有對二級市場造成太大衝擊。
不過,這次事件暴露出了交易所安防面臨的挑戰尤為艱鉅。幣安除了鞏固自身服務器安全之外,還得提防中間資產託管服務是否遭到木馬入侵,尤其是用戶客戶端遭劫持的情況下。這就倒逼交易所同樣需要從業務層加強審核機制,比如,自動化提幣額度分級,人工審核提幣等。
PeckShield 點評:
事實上,在去年年底Upbit交易所被曝遭遇攻擊,損失了34萬ETH,再次給交易所安全敲響了警鐘,尤其是釣魚、API劫持、服務器木馬攻擊等等偶然性攻擊因素。這同時給市場提了一個醒,最大的安全風險可能不是來自企業防護層,而關係到每一個用戶的安全意識和操作習慣。
延伸閱讀:官方公告出爐!韓國Upbit遭駭: 34.2 萬以太 (15億台幣) 從交易所轉出,將暫停取款兩週
DeFi 安全成未來產業重災區
2019年,以太坊公鏈賽道跑出了DeFi 這匹野馬,讓業界普遍認知到,區塊鏈技術基於DeFi 金融應用場景獲得大規模落地應用的可能。
目前DeFi 應用中,以MakerDAO、Compound、dYdX、instaDApp 等金融借貸平台為主,主要滿足用戶抵押數字資產借貸穩定幣的需求,此外還發展出了諸如Synthetix、Augur 等衍生品平台。DeFi 特有的類樂高積木似的可組合特性,讓DeFi 賽道展現出超強的活力,很可能會是未來兩三年區塊鏈領域的焦點。
DeFi 產品基於智能合約和交互協議搭建,代碼普遍開源,資產完全在鏈上,極容易成為駭客攻擊的重心。
今年5 月7 日,頭部DeFi 借貸平台MakerDAO 被曝治理合約存在安全漏洞,PeckShield 隨即介入參與,呼籲社區用戶盡快轉移暴露在危險下的MKR 資產,同時獨立分析研究了漏洞細節,協助MakerDAO 官方進行了漏洞修復,所幸最終並沒有產生任何攻擊損失。
延伸閱讀:面對 3.4 億美元的駭客洗劫風險,MakerDAO 開啟社群投票是否延遲「治理安全模塊(GSM)」
事實上,今年年初Compound、Nuo 也先後被曝出過智能合約問題,在此後的半年時間內,Synthetix、0x 協議、Edgeware 等DeFi 相關應用也被曝出存在潛在安全隱患。0x 去中心化交易所協議合約在校驗訂單簽名時存在缺陷,受其影響一大批部署了0x 協議的DEX 平台可能都存在潛在安全風險。不過,這些DeFi 平台在曝出安全威脅後,第一時間聯合安全公司進行了漏洞修復,最終並沒有產生較明顯的安全損失。
PeckShield 點評:
不過以上卻透露出一個危險信號,駭客已經盯上DeFi 領域了。一旦DeF i平台的資產抵押規模和受眾群體再上一個量級,這個領域很可能會是繼DApp 之後的下一個安全事件多發區。
資金盤詐騙成產業新毒瘤
2019年,PlusToken、TokenStore、OneCoin 等項目被曝跑路,捲走數百億數字資產,令數百萬投資者奔上了漫漫「維權路」。區塊鏈技術概念被一些不法分子包裝成低投入、高收入的理財模式,用來詐騙一些對區塊鏈產業認知欠缺的普通用戶。
PlusToken 號稱是一家在韓國註冊的加密幣錢包和交易所,其真實面目是一個用高回報吸引投資者的龐氏騙局。PlusToken 許諾給投資者 10% – 30% 的月利率,並以高回報吸引大量投資者相繼投入了20萬枚BTC,78萬枚ETH,和2,600 萬EOS 等價值不菲的數字資產,涉及資金達到200 多億人民幣,用戶超300餘萬人,影響範圍非常廣且危害巨大。
2019年6月29日,PlusToken用戶反饋無法提幣,項目方也被媒體曝光跑路,隨後又傳出六名主要負責人被中國警方逮捕。然而,其涉及的巨額贓款仍沒有追回並返還受害者。在隨後的數月內,PlusToken的BTC資產、ETH資產,EOS資產出現多次洗錢操作。PeckShield 旗下可視化資產追踪平台 CoinHolmes 監控到,
PlusToken的部分資產開始匯聚、分散轉移,再通過類似ChipMixer 的工具進行混淆,再通過場外OTC的渠道賣出。
但目前而言,只有少部分資金被洗成功了,大部分數字資產依然懸而未決,以至於一旦出現行情不明緣由大跌的情況,就有分析稱是PlusToken砸盤。PlusToken 效應如同股市裡的丁蟹效應一樣,成了大家畏懼的存在。
延伸閱讀:大型資金盤 PlusToken 已轉走近 3 萬顆比特幣,交易紀錄留下一句:「抱歉,我們先閃啦」
延伸閱讀: 最大資金盤 PlusToken 再轉移12,422比特幣(價值38億),恐趁 BTC 飆漲破萬點時銷贓
PeckShield 點評:
不過,客觀來看,資金盤的出現,能讓一部分普通用戶接觸到區塊鏈以及各類數字資產,給產業帶入新的流量和資金。短期看對產業是利好影響。然而,長期來看恰恰相反,隨著這類項目的崩盤和跑路,大批的普通用戶會成為受害者,帶著偏見和認知差可能會永遠的告別這個產業。
凡是過往,皆為序章
儘管過去三年以來,區塊鏈產業安全事件造成的經濟損失呈愈演愈烈之勢。我們通過駭客攻擊方式的演變以及生態目前面臨的安全威脅發現,區塊鏈產業安全正在從草莽期逐漸趨向成熟,表現在:
- 出現了一批優秀的區塊鏈安全公司。他們專注於區塊鏈安全攻防,為產業生態提供專業的安全監測、態勢感知、威脅情報、AML可視化等專業化工具,和躲在區塊鏈黑暗森林的駭客,形成了一支相抗衡的正義力量;
- 智能合約、DApp 生態上一些簡單且具有連帶威脅的漏洞正逐漸減少。儘管駭客們仍持續進行撒網式的攻擊嘗試,但項目開發者基礎的安全攻防意識已初步形成,一些較為低級的安全漏洞明顯有所減少;
- 交易所、資金盤項目等離用戶比較近的平台成為安全事件頻發的重災區,這是由於產業發展早期,用戶端安全意識薄弱造成的隱患。比如針對用戶進行的釣魚木馬入侵和高理財收益詐騙等。換個角度來看,說明區塊鏈市場的安全薄弱環節從B 端已經轉移到了C 端,安全守護工作逐漸變得可控、可防也是一種進步;
- 數字資產「合規化」引領下一輪產業發展。一方面,中國政府頂層設計將區塊鏈技術定義為核心技術突破口,另一方面未受監管的數字資產數額越來越大。區塊鏈數字資產領域開始面臨「合規化」的新挑戰。包括,交易所KYC 服務、AML 反洗錢服務、駭客贓款追蹤服務等等。短期看,監管肅清可能會給生態帶來致命打擊,但長期看,被納入監管或許是下一輪高速發展的開端。
附:2019年度區塊鏈十大安全事件
- 2019/ 1 / 5:紐西蘭交易所 Cryptopia 遭攻擊。
- 2019/ 3/ 25:DragonEX 交易所遭駭客攻擊。
- 2019/ 5/ 3: 波場 TronBank PRO 後門安全事件。
- 2019/ 5/ 8:幣安(Binance) 交易所被盜 7000 枚 BTC 。
- 2019/ 5/ 31:Cosmos 公鏈硬分叉安全漏洞。
- 2019/ 6/ 10:TokenStore 資金盤跑路事件。
- 2019/ 6/ 27:PlusToken 資金盤跑路事件。
- 2019/ 7/ 13:0x 去中心化交易所協議漏洞。
- 2019/ 11/ 11:EIDOS 挖礦CPU 惡意消耗漏洞。
- 2019/ 11/ 28:Upbit 交易所被盜損失34 萬 ETH 。
?相關報導?
重大爭議!美國司法部起訴「提供混幣技術的開發者」為洗錢共犯,比特幣社群譁然
世界級交易所 Poloniex 驚傳系統錯誤!今日凌晨共「12 分鐘」的交易紀錄遭回溯
《BlockTempo動區動趨》讓「 Telegram 動區大家庭 」再次強大!!~立即加入獲得第一手區塊鏈、加密貨幣新聞報導!
