月亮链 月亮链
Ctrl+D收藏月亮链
首页 > FTX > 正文

区块链:重重事故下,区块链安全的难题与出路_UMB币

作者:

时间:1900/1/1 0:00:00

编者按:本文来自链捕手,作者:胡韬,Odaily星球日报经授权转载。纵观过去一年区块链行业的安全状况,几乎每个月都有较大的安全事件爆发,价值超百亿的链上资产被作恶者以不同的方式窃取,主要类型包括公链底层代码缺陷、DApp合约代码缺陷、私钥被窃、携款跑路等。随着加密资产在全球金融体系拥有越来越重要的地位,必然会吸引更多黑客的瞩目,区块链项目面临的安全攻防战将越来越频繁与困难,但这对行业而言也是契机。2019年对区块链行业而言是颇具意义的一年,众多政府与企业巨头都开始向区块链技术投向更多的注意力与资源,为未来区块链技术在更多场景的实际应用营造出相对友好的环境。不过在真正迈向大规模应用前,区块链行业仍有许多现实问题需要探讨与解决,其中包括安全问题。作为一项志在挑战现有金融行业的新兴产业,区块链行业的安全性尤其是影响自身前景最重要的因素之一,如果在安全问题上有所疏忽怠慢,未来很可能迟早会出现引起行业出现短期崩盘的事件。纵观过去一年区块链行业的安全状况,几乎每个月都有较大的安全事件爆发,价值超数百亿元的链上资产被黑客或作恶者以不同的方式窃取,主要类型包括公链底层代码缺陷、DApp合约代码缺陷、私钥被窃、携款跑路等。先是在去年1月5日,以太坊经典遭遇多次51%算力攻击,8.8万枚ETC被用于双花。同期,EOS、波场上诸多菠菜类DApp游戏由于合约代码安全性薄弱,开始频繁遭到黑客的重放攻击、随机数攻击、阻塞攻击等,此后全年都在持续不断地发生,致使合约开发者及用户遭受巨大损失,例如波场BTTBank游戏合约被盗1.8亿个BTT、EOS应用EOSDice被盗数万EOS、PokerEOS被盗2万多个EOS。根据成都链安的统计,区块链行业19年发生智能合约漏洞事件超百起,被黑总损失超1000万美元。在19年3月,DragonEx、Bithumb、Biki等多家交易所出现资产被盗,其中DragonEx总共损失价值超过600万美元的数字资产,被盗原因系该交易所客服从陌生人处获取并打开了一个捆绑后门的安装包,黑客通过该后门获取内部人员权限渗透进内网进而成功获取数字货币钱包私钥,Bithumb则是由于被裁员工「动手脚」被盗价值超过1800万美元的EOS资产。19年5月,币安由于安全漏洞被黑客利用网络钓鱼、病等攻击手段,从币安热钱包中盗取7000枚比特币,总损失达到4100万美金。而在18年,币安已经出现由API接口被黑导致的安全问题,黑客利用币安用户资产大幅拉升SYS、VIA等小币种的价格,实现在其他交易所出货套利的目的。在此后的6-7月,Plustoken钱包、波点钱包、MGC钱包等钱包项目陆续出现携款跑路的新闻,此前这些钱包利用高额利息吸引投资者将大量资产储存在己处,但事发后投资者储存的资产几乎全部无法取出,其中Plustoken钱包涉案金额据称高达上百亿,虽然此后部分涉案人员被抓捕,但卷走的加密资产疑似都未能追回。8-9月,比特币钱包Electrum两次遭黑客钓鱼攻击,据多方统计伪造Electrum升级提示的钓鱼攻击已盗窃至少1450枚BTC,当时价值1160万美元。11月,韩国知名交易所Upbit交易所遭到黑客攻击,34.3万个ETH被盗走,当时价值约5000万美元。12月,多个公链项目遭遇资产被盗的尴尬,先是唯链在14号宣布遭遇黑客攻击,被盗走11亿枚VET代币,价值640万美元;20日,NULS公链官方账户由于链底层代码缺陷被盗200万NULS代币,损失超过50万美元。尴尬的是,此前两者都曾表示代码已经过第三方代码安全审计。同月,公链IOTA主网出现共识分裂而无法更新的情况,TPS一度接近0。Vertcoin则遭受了51%攻击,攻击者成功利用自己的553个区块替代了603个VTC主链区块,致使项目损失10万美元。从前述概括不难看出,19年的区块链行业不断在上演各类安全事故,其中不乏多家知名交易所,暴露出许多区块链企业与项目在加密资产存储、底层架构开发层面存在严峻的问题。不过好消息在于,这些安全事件几乎都没有对对区块链行业造成整体性威胁,比特币、以太坊等主流区块链网络运行也较为稳定,称得上重大威胁的事件可能只有一件,即谷歌在今年9月宣称实现「量子霸权」。根据分析,量子计算机由于运用量子叠加原理,在增大信息容量、提高运算速度、确保信息安全等方面都将突破现有传统信息系统的极限,其运算速度可以达到传统电脑的「数亿倍」。据报道,谷歌量子计算机Sycamore完成特定计算任务的时间为3分20秒,当前世界上最快的超级计算机则需要1万年。由此,许多声音认为支撑区块链技术的椭圆曲线加密算法将很容易被量子计算攻破,并使得区块链的公私钥机制不再能有效保护用户资产,进而当前区块链所规划出的技术发展蓝图都将被量子计算摧毁。但很快有行业人士指出谷歌的声明并不靠谱,赵东就表示量子计算机要破解比特币的椭圆曲线算法,需要操作十万以上的量子比特数才有可能,目前谷歌的量子计算机可以操作几十个,而技术难度则随着操作数2的幂级上升,故而量子计算机离攻破比特币加密算法仍有很长时间。但不得不承认的是,量子计算如同于区块链行业的「达摩克利斯之剑」,始终是个悬在头上的潜在威胁,这意味着具有「量子抗性」的区块链与加密算法未来会具有显著需求,需要行业人士尽快加以突破。相比遥远的量子计算,更现实、更紧迫的问题还是在于公链与交易所在合约、协议、节点等层面的安全,一方面要更好地保障资产安全,另一方面要更好地保障DApp服务的稳定,提升公众对区块链技术安全性的信心。面对这些安全事故,解决方案无外乎两种路径,一种是事先预防,各方面都需要总结经验不断完善潜在漏洞,例如不要为了追求新概念、新模式刻意改造行业成熟算法、架构,尽量使用学术界证明过的算法或者已经广泛工程校验过的代码库;推动制定加密资产储存的行业标准,不合条件者应与第三方资产托管服务商合作;加强对日常运营中对敏感岗位人员电子设备的安全管理,进一步规范资产存储流程。同时,区块链项目也要充分利用外部力量,加强底层代码的审计。慢雾科技亦指出,区块链项目应当针对安全漏洞发布赏金计划,当黑客发现安全问题时有一个反馈的渠道,如果没有这样的一个渠道黑客会更倾向于利用漏洞攻击公链,而不是想办法去联系项目方反馈问题。另一类路径则是事后补救,联合行业多方冻结、追回资产,通过压缩黑客的变现空间来挤压黑客的攻击动机。由于区块链链上资产的所有流转信息都是可追溯的,黑客窃取的资产地址在被失窃方公开后,交易所等方面将很容易锁定数字资产并进行链上流向梳理和分析,在黑客转入资产后进行冻结。例如在今年3月韩国Bithumb交易所被盗价值约1800万美元的加密资产后,立即向具有合作关系的交易所以及说明情况并保持沟通,此后火币、KuCoin、ChangeNOW等多家交易所都将涉及Bithumb被盗地址的资产进行冻结,ChangeNOW进一步表示已经根据执法机关的指示将这些被盗资产存入一个安全的冷钱包。虽然此次Bithumb没有公布追回资产价值,但在18年6月的被盗事件中,Bithumb曾公布价值3100万美元的被盗资产已被追回1400万美元。虽然其他被盗交易所很少公开此类信息,但由Bithumb的案例不难推断出,多数主流交易所针对资产被盗问题已经达成合作共识与实质联系,这将使得黑客所窃取资产的可套现渠道受到相对严密的管控,但如若黑客不将所窃资产转入中心化交易所,外界在多数情况下仍然无可奈何,且随着DiFi行业的进一步发展,黑客亦可能通过抵押、去中心交易等方式获得更多变现渠道。可预期的解决方法在于硬分叉,公链团队可以号召所有节点共同对主网升级并实施硬分叉,进而使得被盗资产「失效」,例如今年12月NULS在团队账户超过360万元的资产被盗后,即通知各节点进行升级并硬分叉,未被转入交易所的剩余资产不再受到新链认可,为自身挽回超过270万元的损失。在更早的2016年,以太坊也曾由于TheDAO项目资产被盗问题实施过硬分叉。不过,目前还没有过某条公链由于交易所资产失窃而进行硬分叉的先例,今年赵长鹏在币安被盗7000个BTC时曾发文表示,币安会考虑区块重组/交易回滚等方式恢复被盗金额,却引起行业轩然大波与一致反对,可见区块链的分叉与回滚在资产失窃场景中并不太适用。总的来看,随着加密资产在全球金融体系拥有越来越重要的地位,必然会吸引更多黑客的瞩目,区块链项目面临的安全攻防战将越来越频繁与困难,但这对行业而言也是不错的契机,以更高的要求与投入在全球技术领域证明自身的可靠度与安全性。

Ripple一季度从Pantera Capital手中收购Bitstamp少数股份:5月25日消息,根据Galaxy Digital股东电话会议的最新记录,Ripple在今年第一季度收购了加密货币交易所Bitstamp的少数股权,但未透露具体股份。

Ripple从美国数字资产投资机构Pantera Capital手中收购了这些股份,Galaxy Digital为这笔交易提供咨询服务。[2023/5/25 10:39:53]

上海升级后已净提款超50万枚ETH,约85万枚ETH等待提款:金色财经报道,Token.Unlock数据显示,以太坊完成上海升级后至今,已净提款超50万枚ETH。此外Nansen统计数据显示,目前约85万枚ETH等待提款,其中待提款的实体中Kraken占比约46.3%,位列第一。[2023/4/16 14:06:40]

Web3医疗大数据协议DeHealth已集成Polygon:11月9日消息,Web3医疗大数据协议DeHealth宣布与Polygon集成。[2022/11/10 12:40:27]

Supremacy Games与MoonPay合作推出Stormtrooper NFT系列:金色财经报道,Supremacy Games和Web3游戏制作商Tyranno Studios宣布,通过与MoonPay及其NFT结账解决方案的合作,用户将能够用信用卡和借记卡以及Apple或Google Pay购买最近曝光的 \"Stormtrooper \"NFT系列。这种合作关系对于使所有标志性系列的粉丝有机会购买这些NFT而无需浏览传统的步骤至关重要。(prnewswire)[2022/10/27 11:46:46]

CME“美联储观察”:美联储11月加息75个基点的概率为94.5%:金色财经报道,据CME“美联储观察”,美联储11月加息50个基点至3.50%-3.75%区间的概率为5.5%,加息75个基点的概率为94.5%;到12月累计加息100个基点的概率为1.2%,累计加息125个基点的概率为24.2%,累计加息150个基点的概率为74.7%。[2022/10/20 16:30:48]

标签:区块链BITBithumbUMB区块链通俗易懂的例子图BITPAYbithumb交易所中文名UMB币

FTX热门资讯
比特币:我们碰上了近五年最差的圣诞行情_Ellaism

编者按:本文来自威廉闲谈,作者:陳威廉,Odaily星球日报经授权转载。今年是近五年来,圣诞节前行情最差的一年。也可以说,连着五年,只有今年没有如我们预料的一样出现“圣诞行情”.

1900/1/1 0:00:00
比特币:BTC挖矿难度创新高,是矿工看好减半预期持续加码?还是骑虎难下?_btc兑换人民币汇率

编者按:本文来自巴比特资讯,作者:王佳健,星球日报经授权发布。2020年1月2日凌晨5点,比特币在区块链高度为610848处完成最新的挖矿难度调整,最新难度上调至13.80T,较14天前,即12.

1900/1/1 0:00:00
YOU:Youbank不仅40亿崩盘跑路,还给你留了礼物_BAN

编者按:本文来自星传媒STARMEDIA,作者:Darcy,编辑:Never,运营:Harry,Odaily星球日报经授权转载.

1900/1/1 0:00:00
VAS:当庭爆料:挖矿机巨头与这家A股公司闹翻,10万台矿机交易是真是假?_AST

编者按:本文来自证券时报网,作者:杀生,Odaily星球日报经授权转载。2019年收官之际,上市公司众应互联与全球挖矿机巨头浙江亿邦联袂上演了一场区块链“矿机交易风云”:围绕10万台矿机是否如约.

1900/1/1 0:00:00
稳定币:欧洲央行行长:稳定币并不稳定,其将作为支付系统受到监管_CBDAO

编者按:本文来自巴比特资讯,编译:Wendy,星球日报经授权发布。上周,在写给欧洲议会成员的信件中,欧洲央行行长ChristineLagarde谈到了稳定币和Libra.

1900/1/1 0:00:00
FOMO:FOMO情绪初现端倪,你在车上没?_丘比特币是什么平台

本文来自:哈希派,作者:Adeline,星球日报经授权转发。 时刻关注朋友圈小红点,争做点赞狂魔;隔两分钟瞄一眼手机屏幕,就怕落下几条信息;反复刷新微博推特页面,走在吃瓜第一线......而跳出.

1900/1/1 0:00:00