獵云注:將比特幣放入所謂的“比特幣錢包”,全部比特幣被轉移,按現在市值凈虧損一千多萬。這是一個真實案例。就奇虎360信息安全研究員Sherlock看,區塊鏈技術的確不錯,但區塊鏈從底層代碼到最終應用涉及的多個方面都可能成為黑客的攻擊面。數字貨幣交易所也未必安全。此次淺黑科技對話區塊鏈領域資深人士Sherlock,暢談網絡安全及區塊鏈數字貨幣。文章來源:淺黑科技。原文如下:
前幾天,我去找到360信息安全中心的Sherlock,向他求教數字貨幣相關的網絡安全態勢,卻一上來就聽了個奇葩故事:
2017年7月的某一天,老武坐在派出所錄口供,手心全是汗。
他做夢也沒想到,自己旅了游回來,數字錢包里的186個比特幣竟全部消失。
當時比特幣才1萬2一枚,算起來值兩百多萬元。
“是黑客干的?”
老武細細一回想,覺得事有蹊蹺。
幾個月前,他被朋友拉進一個比特幣投資的微信群,一來二去認識了群主。
群主是個熱心腸,經常告誡大家要注意投資風險,還提醒大家注意比特幣安全,告訴大家不要把所有的錢都放在交易所,要存到“比特幣錢包”才最安全。
這天,群主給老武發來一個比特幣錢包軟件,告訴他,比特幣放在數字錢包最安全。
老武一看,確實是某知名比特幣錢包的安裝包,就按群主指導一步步操作,把自己的186個比特幣轉了進去。
幾天后,老武的186個比特幣全部丟失。
他當即找群主老戴質問,對方卻做出一個驚人的舉動:
他說,自己只是好心推薦軟件,比特幣被盜可能是因為老武自己泄露了錢包密碼。
不過,
畢竟是自己推薦老武用的錢包軟件,現在幣丟了自己也有部分責任,賠老武12萬元算是認倒霉。
SEC:CZ個人曾從Binance的一個銀行賬戶收到6250萬美元:6月6日消息,SEC 在針對 Binance 及 CZ 的指控文件中指出,CZ 個人曾在 2022 年 10 月至 2023 年 1 月期間從 Binance 的一個銀行賬戶收到 6250 萬美元。[2023/6/6 21:17:44]
說完,群主真的轉給老武12萬塊錢。
“一個素未謀面的人這么輕易就轉給我十幾萬塊錢?”
老武斷定,這事兒多半跟這個群主有關。
……
……
……
幾個月后,沖入群主戴某的住所,發現幾十張銀行卡和多臺筆記本電腦。在其中一臺電腦里發現了和老武用的那款比特幣錢包軟件,以及一個盜號用的腳本。
原來,群主在對錢包軟件安裝包里植入了盜號腳本。那186個比特幣,正是通過這個后門,進了群主的口袋……
講完,Sherlock告訴我,這是央視報道過的真實案件。
他說:
“不少人以為區塊鏈去中心化、不可篡改就能絕對安全,完全不懼怕黑客。但其實區塊鏈從底層代碼到最終應用,可能涉及到很多方面,比如智能合約、錢包、交易所等等,這些地方都可能成為黑客的攻擊面。”
這就好比,有人把機械門鎖換成指紋鎖就以為自己的財產很安全,可其實小偷照樣有辦法復制指紋,甚至完全不管門鎖,直接拆門進來,或破墻而入,或跳窗戶進來……方法多得很。
區塊鏈會帶來哪些新的安全態勢?
我和Sherlock進行了一次詳談,他從底層代碼安全、數字錢包安全、數字貨幣交易所安全、新型套利方案等幾個方面向我梳理了自己對于區塊鏈一些理解,在此呈現給各位淺友們:
Sherlock,奇虎360信息安全研究員,2015年接觸數字貨幣,對區塊鏈和數字貨幣安全頗有見解。
美股開盤上漲 納指漲0.94%:金色財經報道,美股開盤上漲,道指漲0.82%,納指漲0.94%,標普500指數漲0.88%。此前美國4月非農就業人數和時薪數據均強于預期,美聯儲6月維持利率不變的概率為96.1%。[2023/5/5 14:45:30]
一、數字貨幣區塊鏈底層代碼未必安全
“數字貨幣區塊鏈底層代碼也未必安全。”Sherlock向我回顧了區塊鏈發展史上的一次重大丑聞:
2016年6月,加密貨幣和區塊鏈社區發生了一次大地震,世界上最大最知名的眾籌項目theDAO遭黑客攻擊,價值6千萬美元的以太幣被盜!
調查原因,竟是theDAO編寫的智能合約代碼不夠嚴謹,里面有兩個函數漏洞,能讓攻擊者不斷從項資產池中偷取資產。
為了解決TheDAO大量資金被盜的問題,以太坊官方還推出了針對TheDAO的軟分叉版本Gethv1.4.8,增加了一些規則以鎖定黑客控制的以太幣。
可是,眼看著絕大多數礦工都升級了這個版本的軟件,軟分叉要大功告成時。由于時間倉促等原因,眾多大牛編寫出來的軟分叉版本居然又有一個明顯漏洞!這個漏洞能讓黑客零成本搞垮整個項目。
因為那次事件,以太坊社區發生了巨大分歧,一派人認為應該把項目回滾到黑客攻擊之前的狀態,另一派人則覺得回滾不符合區塊鏈“去中心化、不可篡改”的核心精神,不同意回滾。
最終,兩派通過投票徹底“決裂”,以太坊便硬分叉成了“以太經典”和“以太坊”,如同宇宙瞬間分裂成兩個一模一樣的平行世界各自運行。
“可是誰能確保修復后的代碼沒有新漏洞呢?只要是人寫的代碼就可能有漏洞。”Sherlock說,不少人迷信區塊鏈底層代碼是安全的,這種想法本身就很危險!
對區塊鏈有所了解的人,相信都聽說過51%攻擊:只要控制一個區塊鏈上51%的算力,就能對鏈上的交易任意數據進行篡改。
摩根大通:全球經濟擴張將在2024年結束:金色財經報道,摩根大通表示,我們預計,全球經濟擴張將在2024年結束,因為通脹無法回到央行的舒適區間,需要央行進一步收緊貨幣政策來引發衰退。然而,達到這一結果的時機和利率路徑都不清楚。造成這種不確定性的原因是,當前經濟既存在強勁的拉升,也存在勞動力市場緊張和通脹上升,以及企業部門健康的資產負債表和以增長為導向的政策偏向之間的緊張關系。這種緊張關系在兩個關鍵方面不斷變化。首先,貨幣緊縮對信貸的拖累正在加劇,供應側瓶頸消退帶來的提振作用也在增加。其次,央行傾向于長期保持高利率的傾向正受到通脹持續和金融穩定擔憂加劇的挑戰。[2023/3/26 13:27:33]
以往,人們之所以相信區塊鏈是不可篡改的,就是堅信51%攻擊不可能發生,因為同時控制51%所需要的資源成本太高。
“可是,只要理論上來說可能,我們就不能不堤防!”
二、“李笑來們”很危險!
網絡安全行業有個常見名詞叫APT——高級持續性攻擊,意思是黑客長時間盯著某個目標,尋找各種突破口,甚至靜心布置一個巨大的騙局。
由于實施成本太高,這種攻擊形式以往只發生在國家和國家之間,或者大型組織之間。
“數字貨幣出現后,APT組織很可能把目標轉向“數字貨幣大戶”,目標從一系列大型設備轉向個人電腦。”
原因很簡單,因為他們的數字貨幣資產足夠值錢,個人目標相比有專業風控的大型組織更容易攻破,數字貨幣被盜后溯源難。
“以往人們把錢存在中心化的銀行,即便被偷被騙也比較容易追溯,畢竟銀行賬戶都有實名認證,可是數字貨幣一旦被騙就很難找回。
由于國家不承認數字貨幣的價值,有時甚至報警立案都會遇到一些困難。
數字貨幣的最大特點是去中心化,不可篡改,而這兩點恰恰讓數字貨幣持有者成了黑客最好的攻擊目標。去中心化意味著出的監管難度高,不可篡改意味著錢一旦被騙走,交易就不可能回退。
NFT公司Candy Digital已解雇約數百名員工,NFT交易量今年大幅下滑:11月29日消息,在加密貨幣市場環境動蕩、加之今年NFT交易量大幅下滑的情況下,NFT公司Candy Digital已解雇約數百名員工。根據Sportico報告顯示,該公司大約100名員工被裁員,超過三分之一員工總數。目前尚不清楚裁員的原因以及是否有任何特定部門受到影響,因為Candy Digital尚未公開裁員問題。
據悉,Candy Digital于2021年6月推出,得到了體育電子商務商店Fanatics、加密貨幣友好企業家Gary Vaynerchuk和Galaxy Digital首席執行官Mike Novogratz的支持。[2022/11/29 21:09:51]
黑客為了盜走你的數字貨幣,可能盯上你家里、辦公室的WiFi網絡,黑進你的個人電腦,或者量身定制一套釣魚方案。
甚至,他們很可能設下一個巨大的騙局,利用社交關系靠近你,成為你的“朋友”,潛伏在你身邊好幾個月再行動!文章開頭的案例就是如此。
我問道:“李笑來曾經聲稱自己是比特幣首富,號稱擁有六位數的比特幣,算起來值十幾億,所以他很可能已經成為APT的目標咯?”
“當然有可能。”
三、錢包都不安全,錢還能安全嗎?
“黑客想盜走數字貨幣,數字錢包是一個很重要的攻擊面。”Sherlock說。
數字錢包是用來存儲數字貨幣的軟件載體,完全脫離網絡存儲私鑰的叫“冷錢包”,把私鑰托管在網上的叫“熱錢包”。
圍繞數字錢包,黑客可以大搞名堂。
當你想用數字錢包,多半就得下載軟件,而數字錢包從設計、發布,最后通過各種復雜的網絡傳輸來到你的電腦或者手機,中間要經過很多道流程,跨過千山萬水,但凡其中某個流程出現問題,你都有可能中招。
FTX網絡釣魚事件的攻擊者已將獲利資金轉入Fixed Float和幣安:10月24日消息,慢霧MistTrack監測顯示,FTX網絡釣魚事件的攻擊者已將獲利資金轉入加密交易所Fixed Float和幣安。此前FTX創始人Sam Bankman-Fried(SBF)表示如果攻擊者在24小時內從FTX賬戶中竊取的600萬美元的95%資金返還,將免除他們的責任。[2022/10/24 16:36:49]
比如:
你是否通過正規官方渠道下載錢包軟件?從第三方軟件平臺下載時,會不會下載到帶有盜號后門的?
即便是在官方網站下載,如果你所處的WiFi網絡環境被黑,會不會被劫持到黑客的下載地址?
即便你的網絡環境沒問題,軟件官網的下載地址會不會早已被黑客黑掉,改成帶有盜號后門的軟件?
即便流程都沒問題,數字錢包的產品設計本身是否可靠?廠商是否為了滿足易用性而犧牲安全性?廠商是否安全地存儲用戶的私鑰?
……
……
……
單就一個數字錢包,黑客就有那么多攻擊面,你還覺得上了區塊鏈就是安全的嗎?
“你也有數字貨幣資產吧?,既然用個數字錢包都這么危險?你作為一個天天跟黑客打交道的安全從業者,是怎么做的呢?”我反問他。
他說:
“一方面,確認錢包本身的安全性,比如下載軟件后做個哈希值校驗,另一方面也要合理存儲。我的資產不多,一部分在交易所,一部分在熱錢包,一部分在冷錢包。雞蛋不要放在同一個籃子里,這是最基本也最容易做到的。”
我又問他,“自己用錢包保管數字貨幣不放心,托管在交易所總沒問題了吧?”
他笑著說,未必。
四、數字貨幣交易所也未必安全
Sherlock給我曬出一組數據:
2014年2月,當時世界最大的比特幣交易所Mt.Gox被盜85萬個比特幣。后來,Mt.Gox被曝出其實是監守自盜,真正被外盜的比特幣只有7000個。
2016年8月,最大的美元比特幣交易平臺Bitfinex出現漏洞,12萬比特幣被盜,當時價值6500萬美元,如果換算成2017年12月的價格,價值近20億美元。
2017年12月,韓國YouBit交易所被黑客攻擊,損失4000個比特幣,交易所宣布破產。
2017年12月21日,網傳烏克蘭Liqui交易所被盜6萬個比特幣,比特幣單價瞬間暴跌2000美元。
2018年3月7日,幣安交易所出現大量用戶賬號被盜,黑客控制的資產價值超過1億美元。甚至還有人傳言黑客利用了金融知識影響數字貨幣價格來間接獲利,導致不少數字貨幣價格暴跌。
“類似戲碼一定還會上演。”他說,
“數字貨幣交易市場這幾年的發展勢頭太快,而且相互競爭激烈,這種情況下安全技術、人力方面投入的速度未必跟得上自身需求增長的速度,必然會導致一些問題。
他說,以最近發生在幣安交易所的安全事件為例,其實幣安的風控措施相較以往發生過安全事故的其他交易所,已經所有提升。
在黑客提幣時利用大數據風控阻止了提幣操作,此前發生過的黑客事件,基本發生的交易所安全事件大多黑客直接提幣走人。
所以,他建議大家盡量使用知名的、大型的交易所,不要把資產放在小型、不知名的交易所,因為黑客也會挑軟柿子捏。
“一般來說,大的交易所通常安全風控手段相對完善,黑客不容易攻入,這時黑客很可能轉而攻擊小型交易所。
甚至,他們還會專挑一些沒有牌照的非法交易所攻擊,這樣即便被發現,交易所也不受法律保護。
比如黑客很可能跑去攻擊孟加拉國之類小國家的交易所,一方面因為那里本來就認定數字貨幣非法。另一方面跨國管制不便,也讓黑客更肆意妄為。”
五、利用明星效應的釣魚攻擊
如果說APT攻擊和交易所安全離普通人太遠,下面這種攻擊手法就發生在我們身邊。
前陣子,有人專門在一些知名人物的社交賬號底下頭像和名字設置成和名人一模一樣的頭像,發布一些虛假的信息,聲稱只要在某個數字貨幣地址轉入一定數額的幣,就能得到10倍的回饋。
這就好比大街上有人對你說,“你給我10塊錢吧,我會立刻返給你100塊。”就這樣顯而易見的詐騙信息,經統計,短短幾天之內竟能騙到價值幾十萬的數字貨幣。
為什么看起來如此愚蠢的騙術,也有人上當受騙?
Sherlock說,“這就是騙子們廣撒網的策略了,由于明星的粉絲很多,這種方式投放詐騙信息可以獲得大量展示。幾千個人里難免有那么幾個剛睡醒,腦子不太清醒的人。”
最后,由于這類詐騙信息實在太多,不少名人被迫把網名都改了:
類似的詐騙到了國內還有一種進階版,Sherlock又給我安利了一個真實案例:
一個叫“王團長”在微信群里向群友募集私募“韭菜基金”。
這天半夜,“王團長”忽然在群里發話:“基金募集明天就截止了,請大家趕緊打幣到地址XXXXXXX。”
于是,就有群友就按照王團長說的地址打過去22個以太幣,當時大約價值二十萬元。事后,這位網友才發現,群里忽然出現了好幾個“王團長”,真假難辨,自己的22個ETH直接進了騙子口袋。
“這種手段也常見于數字貨幣項目的私募階段,因為有的項目收益很高,參與者往往不能保持平常心,唯恐落后,這種貪利的心態讓他們更容易受騙。
并且,國內目前沒有正規的ICO途徑,參加私募純屬個人行為,缺乏監管,流程無法保證安全。”
這類詐騙方式其實一點都不新鮮,只是數字貨幣市場的活躍,讓它們重新迸發了活力。”Sherlock說。
六、傳統黑產也盯上數字貨幣
哪里有錢賺,哪里就少不了黑產。
Sherlock告訴我,在區塊鏈和數字貨幣興起的同時,也催生了一些新的套利方式……
原本黑客控制大量“肉雞”,通常會用來發起DDoS流量攻擊等。
數字貨幣火了之后,不少“肉雞”又多了新的角色——黑客還會把黑掉的機器配置成挖礦機,利用它們的算力來挖數字貨幣賺錢。
有的黑客還會專門在訪問量高的網站頁面或者博客植入挖礦腳本,用戶一旦訪問這樣的網站,電腦處理器性能就會瞬間被占滿,成為一個挖礦節點,為黑客的礦池提供算力。
那些原本專門盯著各大公司優惠活動,用大量手機卡批量套利的羊毛黨灰產,也開始盯上數字貨幣ICO項目發放的獎勵,不少活動剛開始沒多久,所有糖果就都進了灰產口袋。
甚至,黑客還會專門入侵別人的數字貨幣挖礦礦場,把他們的轉賬地址改成自己的。
總之,數字貨幣為黑產們提供了各種新的賺錢渠道和方式。反過來,豐厚的回報又吸引著新的一波人鋌而走險加入黑產……
---
聊到最后,Sherlock感慨:
“其實說白了,不管時代環境如何改變,安全攻防到了最后,都是人與任何人的較量。
騙子和網民們斗智斗勇,騙子不停地升級劇本,網民不斷增強安全意識和辨別能力;
黑客不斷發現新的攻擊面和攻擊手法,交易所、錢包等廠商也在不斷引進新的防御技術和人才。
或許正如老周所說的那樣,萬物皆變,人是安全的尺度吧!”
本文來自獵云網,創業家系授權發布,略經編輯修改,版權歸作者所有,內容僅代表作者獨立觀點。
Tags:數字貨幣比特幣區塊鏈十大數字貨幣交易所排名數字貨幣交易所官方網址數字貨幣詐騙案例視頻比特幣中國官網聯系方式40億比特幣能提現嗎比特幣最新價格行情走勢區塊鏈工程專業學什么區塊鏈存證怎么弄
不要一看到硬分叉就想到分叉幣,分叉幣是逐利動機下的主動行為,并且發幣也僅只是區塊鏈的一個功能而已,這個功能可以用也可以不用.
1900/1/1 0:00:00來源:31QU 比特現金誕生于2017年8月1日,這個加密貨幣是從比特幣主網分叉來的。從分叉那天起,RogerVer就開始為比特現金站臺。對于比特現金的誕生,當時的幣圈莫衷一是.
1900/1/1 0:00:00就在幣安何一還在忙著開“媒體線上交流會”,澄清各種傳聞時,徐明星已經站在中國金融啟蒙年會上,接受著新身份的授予——北京區塊鏈生態投資基金主要管理人.
1900/1/1 0:00:00隨著大家逐漸接觸數字資產,交易所大家也都有所耳聞,先前推薦過火幣交易所注冊交易的文章,今天給大家介紹的是一個新的交易所,僅域名就花了2500個比特幣.
1900/1/1 0:00:0002:44去年9月4日,央行發布的文件明確叫停了代幣發行融資——也就是ICO禁令。這種融資主體通過代幣的違規發售、流通,向投資者籌集比特幣、以太幣等所謂“虛擬貨幣”的行為,在國內被明令禁止.
1900/1/1 0:00:00比原礦機大家都陸陸續續開工了,比原這次營銷最成功的應該就是讓很多散戶都去買了這個機器,那么問題來了。散戶都沒有自己的礦場,只能把機器放在家里或者辦公室里.
1900/1/1 0:00:00