区块链危机：33亿美元被黑客轻松攫取

九个亿财经消息——上周，ICO Rating对100家24小时交易额超过100万美元的加密货币交易所进行了分析，分析发现，只有46%的交易所安全参数符合标准，其余54%的加密货币交易所都没有执行标准的安全措施。

要知道，加密货币交易所只是区块链生态的冰山一角，事实上，以加密、透明、不可篡改而被人吹捧的区块链，正遭遇着愈演愈烈的安全危机。

没有90分

据了解，在ICO Rating分析的100家交易所中，其中大多数交易所在一个或多个领域存在隐患。

例如，41%的交易所允许用户密码少于8位，37%的交易所只允许用户使用数字或字母组成的密码，5%的交易所允许用户在没有电子邮件验证的情况下创建账户，3%的交易所没有2FA验证、只有46%的交易所满足上述所有四个条件，只有4%的交易所有较高的域名安全性……

在多种因素的考虑下，ICO Rating将这100家交易所进行了评分，其中，Coinbase的得分最高，89分；其次是Kraken，80分；然后是并列第三的Bitmex和Gopax，得分为78分。

值得注意的是Cobinhood（第8位），Ethfinex（第12位），Bittrex（第13位）和Binance（第17位）。而OKCoin排名垫底，得分仅仅只有15分。

没有90分，这就是现如今加密货币交易所的现状。

而在几天前，还有币安用户发推特称其账户被盗，与赵长鹏展开辩论。

从排名垫底的OKCoin，我们悲哀地发现，对于大多数用户来说，安全并不是其考虑的首要因素，虽然OKCoin缺乏全面的安全保障，但这并不妨碍OK还是现如今用户量最大的加密货币交易所。这或与其参与门槛和流程的相对精简有关。

黑客进攻“频繁高效”

据统计，截至目前，2018年因黑客攻击区块链领域造成的损失，预计已达到33亿美元。

33亿美元是什么概念。

现如今加密货币市场总资金量大约在2100亿美元，33亿美元意味着，其中有1.5%的资金都被黑客不费吹灰之力拿走。

这背后离不开这些黑客“频繁工作的态度”和“高效的工作质量”。

回顾今年10月份，距离现在不到20天的时间，安全问题已经达到了数十起。

10月3日，加密货币pigeoncoin（PGN）背后的开发人员证实，几周前在比特币代码中发现的一个严重bug已被利用。一位不知名的矿工成功利用了这个漏洞，得到了2.35亿枚pigeoncoin（价值约15000美元）。

10月5日，柚资银行被盗账户已经向各大交易所申请冻结，目前已有几家交易所冻结相关黑客账户。

10月6日，加密货币挖掘恶意软件侵袭巴西数十万台路由器之后，黑客已经破坏了印度另外3万台路由器。互联网安全部门Banbreach提道，在过去的一个月中，在印度受感染路由器的数量翻了一番。受感染路由器最多的前三大城市增长率为500％。

10月8日，韩国警察厅编写了一份过去3年来关于该国所有加密交易所和加密钱包黑客事件的报告。有7起加密交易所黑客案件和158起加密钱包黑客案件，其中91起发生在今年。但是，只有6人被捕。

每年，加密货币交易所被盗的钱数一直在稳步增加，2018年黑客案件中交易所金额达713亿韩元（约6300万美元）。

10月10日，降维安全实验室监测到成人娱乐系统spankchain支付通道（payment channel）关联的智能合约LedgerChannel遭到了重入攻击。某黑客发现了该支付通道合约的重入漏洞（Reentrancy），并于2017年10月7日上午8时许创建了恶意攻击合约，随后成功从该合约窃取了165.38 ETH，约合3.8万美元价值的以太币。虽然损失在一周后追回，但是这是黑客自愿归还。

10月11日，据白帽汇安全研究院消息，目前发现超过30w的MikroTik路由器被植入挖矿代码，攻击者利用的是维基解密披露的CIA Vault7黑客工具Chimay Red中的winbox任意目录文件读取（CVE-2018-14847）漏洞。

10月15日，EOSBet平台遭受了攻击，区块链安全公司PeckShield第一时间监测并捕捉到了该攻击行为的发生。根据EOS当前行情价格37元估算，EOSBet平台此次损失额超500万元。

10月17日，基于EOS的游戏WorldConquest遭受黑客攻击。

10月21日，据Coindesk报道，The Next Web一份报告指出，朝鲜黑客组织Lazarus已经设法窃取了超过5亿美元的数字货币……

据相关资料显示，与加密数字货币有关的黑客攻击事件，从2013年到2018年上半年，直接增加了大约5倍的数量，2018年全年预计增加约10倍。

而此前网络安全公司CiferTrace也发布了一份报告称，今年前9个月，通过黑客入侵交易所和交易平台窃取的加密货币飙升至9.27亿美元，比2017年的水平增长了近250%。

相比于黑客的“高效”，我们能追回的损失又有多少呢。

昨日，据路透社报道，总部位于加利福尼亚的CipherTrace公司的首席执行官大卫?埃文斯（David Jevans）表示，即使交易平台或交易所遭到黑客攻击，由于加密货币可以轻易地跨越不同的国界，只有20%的被盗密码被找回。

多方面问题

从综合上述不到一个月内，发生的加密货币被盗案，我们可以发现，加密货币交易所只是区块链生态种的冰山一角，实际上，黑客攫取资金的方式多种多样。光捂紧自己的钱包，显得有些无济于事。

今年9月，腾讯安全联合知道创宇发布了《2018上半年区块链安全报告》。该报告从区块链自身机制、区块链生态、使用者三大方面进行统计。

区块链自身机制问题。

据数据显示，2018年区块链领域被攻击对象中，智能合约遭受攻击造成的经济损失约为11亿美元，占比为55%。

据安全公司Hosho报告显示，区块链上智能合约的bug普遍存在。经过Hosho审计的智能合约项目筹集资金总额高达10亿美元，这些项目中有25%被发现存在严重漏洞，约有60%至少存在一个安全问题。

在知道创宇发布的《知道创宇以太坊合约审计CheckList》中，也披露了知道创宇404区块链安全研究团队针对全网公开的共39548个合约代码扫描的结果。

结果显示，截至2018年8月10日，发现共24791个（占比62%）合约涉及到以太坊智能合约设计缺陷问题（包括“条件竞争问题”、“循环DoS问题”等问题）。

不仅仅是智能合约，在区块链技术模型的数据层、网络层、共识层、激励层、合约层、应用层，都面临着不同程度的安全风险。

而在区块链生态中，包括PoW机制下的矿场和矿池、PoS机制下的权益节点、加密数字货币交易所、DApp应用，以及面向未来DApp应用的区块链网关系统等也都存在一定风险。

其中，围绕交易所和博彩类DApp发生的安全事件最为显著。交易所被盗远超其他事件类型。此外，交易所被钓鱼、内鬼盗窃、钱包失窃、各种信息数据泄露和篡改、交易所账号失窃等问题，也同样值得关注。

最后，在使用者方面，个人用户的安全问题也不容小觑。

由于数字虚拟币钱包这些交易 工具 的使用具有较高的门槛，要求使用者对计算机、加密原理、网络安全均有较高的认知。

然而，许多数字虚拟币交易参与者并不具有这些能力，极易出现安全问题。甚至因操作不当引发熟人作案，导致自身的数字资产被身边人盗取。

从区块链自身机制，到加密货币交易所、DApp，从项目方，到投资人、普通用户，可以看到的是，每一个环节都充斥着黑客的身影。

现如今，区块链的发展引人瞩目，大家都在期待着区块链技术的真正落地，但是，对于区块链来说，安全问题的日益凸显，无异于后院起火，自身矛盾都无法解除，又何谈惠泽大众。

来源：共享财经Neo