5.5億一夜被盜！誰來守護虛擬貨幣的安全？

上周五，虛擬貨幣歷史上最大的一場劫案爆發。

日本第二大虛擬貨幣在線交易所Coincheck遭受到黑客攻擊，一夜之間被黑客盜取了價值5.5億美元的加密貨幣NEM（XEM）。這是虛擬貨幣誕生以來損失金額最大的一次黑客攻擊。

Coincheck CEO Koichiro Wada

事件一出，賠罪的賠罪，推鍋的推鍋。Coincheck馬上採取了緊急措施，限制XEM的存款，包括買賣和取款在內，暫時叫停了所有在Coincheck上的虛擬貨幣交易和日元取款。

同時，Coincheck也向平台上的26萬用戶承諾，會將目前總計價值5億多美元的被盜NEM悉數歸還。

硅兔君就想知道，這家2014年才成立、目前公司人數不過百人的交易所準備怎麼還這筆錢？（咳咳，腦海里的陰謀論頓時浮現…）

發行方NEM.io Foundation的主席Lon Wong第一時間聲稱「這不是我們的鍋」，都怪Coincheck不用NEM的多重簽名錢包技術（Multi-sig wallet）。

這裡硅兔君就要說一句公道話：用了難道就不會出問題？你難道忘記了2016的Bitfinex事件嗎？

盜幣，似乎已經成為了虛擬貨幣上無法消除的烙印，有關虛擬貨幣安全性的討論從它誕生以來從未停止過。從2013年的Mt.Gox，到2016年最大的事故DAO，再到今天的Coincheck，盜幣無論是規模還是數量上都在逐年提升。

這不是第一次盜幣，也肯定不會是最後一次。

門頭溝事件：4.7億美元

比特幣不翼而飛

Coincheck事件一出，區塊鏈的幾個論壇都炸鍋了，其中有一條回復高頻出現：「不會是又一次門頭溝事件吧。」

門頭溝，是區塊鏈社區給Mt.Gox事件的一個「昵稱」，這個在2014年發生的虛擬貨幣被盜（或自盜）案件幾乎一夜之間把比特幣的信譽全部敗光。當時總價值4.73億美元的比特幣被盜，是Coincheck之前歷史上最大的一筆。

位於日本的Mt.Gox (Magic The Gathering Online Exchange) 是當時世界上最大的比特幣交易所，擁有全世界70%的交易量。

其實，Mt.Gox的不靠譜和2014年「門頭溝」事件的發生早有徵兆。

一位軟體工程師在拜訪過Mt.Gox之後，發現這家公司根本沒有貨幣交易所應該有的技術工具（比如版本控制）和管理模式（交易量瓶頸）。這位軟體工程師預言：Mt.Gox的存在就是比特幣的系統性風險，而對交易者而言則是一個死亡陷阱。

2014年以前，Mt.Gox就已經遭受過幾次攻擊。

2011年6月19日，Mt.Gox平台上的比特幣幣值一夜之間跌落到只有1美分！

原因是攻擊者進入了Mt.Gox審計員的電腦，傳輸大量的比特幣給自己的賬戶。 他們使用交易所的軟體銷售偷來的比特幣，給系統造成了巨大的壓力，導致系統中比特幣的價值急劇下降。

最後，損失超過800多萬美元。

曾經Mt.Gox有多風光無限，當被盜事件發生，從雲端跌下來時就有多落魄不堪。

到了2014年，用戶對Mt.Gox已經很有意見了，因為交易經常被延誤。2月17日，Mt.Gox停止了所有比特幣的交易和提款，因為他們發現自己遭受到了交易延展性攻擊。

這是個什麼玩意兒呢？

簡單來說，當一個人發出比特幣交易請求後，由於區塊鏈的特性，黑客無法改變用戶已經放入到區塊鏈里的交易提交信息（比如幣的數量），但是他們可以微調交易信息，在不影響原有交易的基礎（不改名簽名）上生成一個新的交易請求，並放入區塊鏈中。

棘手的地方在於，儘管偽造的交易發生在原始交易後，但是請求過程有10分鐘，挖礦程序是隨機確認，所以偽造的交易有一定幾率被通過，原始交易被認為是重複交易或者交易失敗。

這導致的後果是，你以為你比特幣沒法出去，事實上已經成功了，然後你還傻乎乎地再發一次。

2014年2月17日對Mt.Gox的攻擊，直接導致比特幣暴跌。Mt.Gox宣布破產。

後來發現被盜的比特幣通過另一個名為BTC-e的交易所進行了洗錢。 BTC-e交易所的老大Alexander Vinnik在希臘被捕。

幸運的是，比特幣之後挺了過來。

DAO事件：5000萬美元以太幣

一夜間被偷偷運走

如今除了比特幣，要屬以太幣和它背後的以太坊最為強勢。

提出智能合約並基於通用腳本語言設計的以太坊旨在建立一個去中心化的生態圈，孵化和孕育出下一代偉大的商業應用。

但是，一年半前的一場黑客攻擊險些將以太坊徹底打趴。

DAO（Decentralized Autonomous Organization)是基於以太坊的風險投資機構，投資以太坊內的初創和項目，並在2016年完成了1.5億美元的眾籌。

任何一家公司要想在DAO上融資，必須要交「保護費」。

公司首先要用以太幣購買DAO的代幣，然後進入到一個由管理人開發的白名單；接下來所有DAO中的代幣擁有者將對這個家公司的項目進行投票，超過20%的贊成票就能得到融資。

如果你是代幣的擁有者但你不喜歡投票，沒關係，你可以退出DAO，退換代幣換回以太幣；你甚至可以自己建一個小小DAO，自己接受初創項目的提案。這個步驟叫做分離函數（Split Function）。

結果，這個分離函數成了黑客可以鑽空子的地方：在退還同樣數量的DAO代幣時，激活一個循環函數（Recursive Function），這樣，同樣數量的DAO代幣可以換回更多的以太幣。

2016年6月17日，一個黑客組織從DAO中運出了價值5000萬美元的以太幣。

這並不是以太坊的鍋，而是DAO背後的代碼漏洞。以太坊的創始人V神（Vitalik Buterin）當即作出決定，修改以太坊背後的代碼，讓DAO運出去的以太幣變得一文不值。

V神的舉動褒貶不一，所以導致了以太坊經歷第一次分叉，原來的以太坊成為了經典以太坊（ETC），而V神則帶領新以太坊（ETH）。

Bitfinex 失竊：7500萬美元

比特幣被盜

還記得前文提到的多重簽名錢包嗎？過度依賴這項技術而導致虛擬貨幣失竊的案例在2015年8月就發生過。

什麼是多重簽名錢包？簡單來說就是為在線錢包提供更多的安全性，避免人為錯誤。錢包的密鑰分成多份，讓不同的持有者看管，同時，錢包可以被一個或多個人使用。

這本來是一個聽上去增加安全性的措施，但問題是，即使是多重簽名錢包也依然是「熱錢包」，也就是在線的第三方平台上，這增加了貨幣的流通性但缺乏安全性；相比之下，「冷錢包」，也就是線下斷網的硬碟或者存儲器中，雖然犧牲了流通性，但是更加安全。

事情發生在交易所Bitfinex身上，他們在2015年和區塊鏈安全公司BitGo合作，開發了基於多重簽名錢包的「熱錢包」系統，由Bitfinex掌握用戶的兩把密鑰，BitGo掌握一把。

但這項技術反而成為了最終他們被黑客攻擊的切入點。黑客能夠做到侵入Bitfinex系統中獲取用戶的密鑰，同時還能控制由BitGo控制的密鑰。最終，他們從Bitfinex擄走了價值7500萬美元的比特幣。隔天比特幣應聲下挫20%。

同樣使用多重簽名錢包技術的以太坊應用Parity Wallet也遭受襲擊。2017年，黑客侵入用戶所使用的Parity Wallet，捲走了300萬美元的以太幣。

如果曆數虛擬貨幣歷史上的黑客攻擊，虛擬貨幣丟失金額最少的一次也有500萬美元。

這讓許多人開始擔心加密貨幣的安全性問題。

但在這一次Coincheck攻擊中，硅兔君（ID：sv_race）注意到一個細節：市場並沒有發生太大的波動。除了XEM本身下跌了11%外，沒有其他大幅度的下跌。

這個現象反而說明了虛擬貨幣市場的迅速增量和趨於穩定。

門頭溝事件中，丟失的價值4.7億美元的比特幣資產占當時虛擬貨幣總價值的5%，而這次Coincheck被盜的貨幣則不到市場總量的0.25%，已經不能相提並論了。

而且Coincheck宣布會歸還這筆貨幣，NEM Foundation也表示已經追蹤到了這筆錢，幸運的是這筆錢現在還沒有被動過，黑客正在想辦法將錢移到6個不同的交易所出售。

這比當年Mt.Gox「不負責任」的破產要負責任的多。

另一個值得注意的現象是，如果你仔細看以上硅兔君總結的案例，幾乎沒有一個案例是因為加密貨幣技術或者代碼本身的漏洞，而是交易所或者鏈上應用的安全漏洞導致，無論是Mt.Gox、Bitfinex還是Coincheck交易所，他們都存在比較嚴重的安全漏洞。

區塊鏈風口下催生的躺在錢上面交易所是否真的在技術和管理上做好了貨幣安全的準備，這反而是從業者需要深究的。

熱錢湧入下的虛擬貨幣被攻擊，也和黑客的集中攻擊有關。財帛動人心，巨大的利潤擺在眼前，也會讓黑客將重心放在盜取加密貨幣上，因此，虛擬貨幣所承受的攻擊也比過去更多更頻繁，這才會產生一種錯覺，將鍋推給虛擬貨幣身上。

一家銀行被劫，沒有人會去怪罪法幣。

一家交易所被黑，沒有人會去討伐虛擬貨幣，這是區塊鏈從業者應該追求的目標。

-END-

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！