區塊鏈安全保衛戰打響！如何保護好自己的幣？

上市之後的360似低調了一些，直到5月29日凌晨向EOS官方提供安全漏洞。去年5月份WannaCry勒索病毒在全球肆虐，安全產品負責人孫曉駿在媒體溝通會上說過，「這回黑客有點『人性化』，還手把手教你怎麼用比特幣支付勒索費用。」

無巧不從書的。比特幣至去年5月份之後開始一路飆升，在5月30日EOS對比特幣的價格走勢是略跌0.37%（更多人相信安全漏洞發現等於提前「排雷」）。周鴻禕雖公開稱自己不懂區塊鏈，其實他懂不懂不要緊，底下的人懂就行了，他堅信「代碼是人寫的，肯定會有漏洞的。」在區塊鏈的數字世界中，漏洞同樣也會無所不在。

區塊鏈風口刮來的重要因素是，區塊鏈的確比一般互聯網在理念和架構上更加註重「安全」，「分散式機制」保證了數據流的完整一致、不可篡改的特點。舉個例子更容易理解，阿星最近了解到國內已有做智能鎖老闆開始研發「區塊鏈鎖」了，而現有移動互聯網提供「中心化」雲端伺服器，黑客攻擊能夠砰砰同時打開非常的房門，而在「去中心化」網路中安全係數無疑高出很多。

一、比特幣「交易所」為何成為黑客攻擊的頭號目標？

下手者目的很簡單，就是為竊取錢財而來，技術手段極為縝密，比特幣、區塊鏈安全問題顯然也比傳統網路安全更為複雜。

2017年12月份告破的全國首例比特幣被盜案，戴某把正版錢包軟體破解之後植入獲取用戶賬戶名和密碼的爬蟲文件，在聊天群中丟給吳某下載安裝，隨後吳某的電子錢包軟體中181個比特幣被清空。戴某讓多人下載其錢包軟體的說辭極其簡單：「比特幣放在交易所不安全」，這是有前車之鑒的。

交易所目前是所有數字加密幣的存儲中心和流通中心，自然是黑客頭號目標。2014年，當時全球最大的比特幣交易所Mt.Gox宣布因遭受黑客攻擊，其CEO馬克·卡爾普稱「平台上85萬個比特幣因公司系統漏洞被盜一空」而MT.Gox在日本旋即申請破產保護，而Mt.Gox是否監守自盜成為一樁未了公案。三年後，「黑客」再次成為背鍋俠，2017年12月19日韓國比特幣交易所Youbit同樣因黑客攻擊丟失4000個比特幣後破產，故事驚人的相似。

傳統網路攻擊往往是掛木馬病毒，或者製造一些偽正常訪問的DDos攻擊讓網站宕機；現在的網路攻擊則是在「挖礦」時就掛了惡意腳本，黑客下手重點攻擊的目標的確是交易所存儲的加密貨幣，如果這個時候交易所缺乏職業操守的話，情況會非常不妙，據資深幣圈玩家小K向阿星爆料：「不怕交易所跑路，就怕交易所套路。定點爆倉、回滾、拔網線、機器人交易、凍結賬戶會造成虧損，而維權太難了，現在交易所伺服器都在境外。」

趙長鵬從OKCoin跳槽出來創辦「幣安」，取這個名字是別有深意的。由於比特幣交易還處在消息極易影響市場行情的階段，黑客除了直接竊取貨幣，還能通過碰瓷「做空」來牟取暴利，成為極其隱秘的「莊家」。今年3月幣安遭受黑客攻擊，幣安及時中止了用戶加密幣提現，未發生盜幣，但是比特幣因此下跌10%；據比特律動報道稱，一些用戶賬戶加密幣被黑客換成比特幣之後，大量買入VIA（維爾幣），由此將後者價格拉升了110倍......

二、智能合約、數字錢包是區塊鏈安全事件頻發「重災區」

目前區塊鏈交易所共有數百家，誰家的技術對黑客防禦指數高、抗風險能力強，運營規模及時間更長，就更能夠聚集起用戶的幣，相應的賠付能力也更有保障，所以交易所極易「頭部化」，並成為現階段產業中心的原因。除了交易所攻擊之外，黑客以及一般蟊賊智能合約和數字錢包領域神出鬼沒，同樣影響深遠。

1. 智能合約可能被黑客利用

2016年6月17日，眾籌超過1.5億美元的TheDAO由於出現安全漏洞，黑客攻擊導致價值超過6000萬美元的300萬個以太幣被盜。經大量討論、投票、爭取、嘗試後失敗、再次嘗試，在以太坊區塊鏈官方的提議下，以太坊進行了「硬分叉」，數據回滾至整個網路中由於安全攻擊而被影響的以太幣，最終TheDAO黯然退市。由於以太坊網路中所有礦工沒有達成完全一致的回滾共識，最終釀成以太坊網路分裂成至今「以太坊」（ETH）和「以太坊經典」（ETC）的格局。

區塊鏈的技術特性決定了智能合約帶有病毒的傳播特性，一旦本身出現漏洞被黑客加以利用，影響是傳統網站的百倍計，並且很難短時間修復。從某種程度上，去年WannaCry勒索病毒就是典型的區塊鏈「智能合約」的應用場景之一，黑客把勒索病毒的智能合約發到網上，無須黑客進行任何其他操作實現比特幣到賬即自動解鎖電腦自動化。

（WannaCry就是典型的區塊鏈智能合約應用，黑客玩的很溜了）

慶幸的是，合約發布方們已經意識問題嚴重性，開始執行嚴格的智能合約審計，為智能合約築起區塊鏈「馬其頓防線」成為趨勢。

2. 數字錢包中的資產不翼而飛原因多樣

「數字錢包」是用來存儲數字貨幣的軟體載體，其中，不聯網存儲私鑰的是「冷錢包」，目前市面上的硬體錢包就是冷錢包；而把私鑰託管在網路的叫「熱錢包」，比如如電腦客戶端錢包、手機App錢包、網頁端錢包等等。

數字錢包就像是直接在區塊鏈世界裡的「餘額寶」，現在已經有一些實體店開始支持比特幣支付了。但與餘額寶、銀聯卡的貨幣存儲在銀行，即便被偷被騙也可追溯，畢竟銀行賬戶都有實名認證，而數字貨幣往往相對更難追溯，一旦被騙就很難找回，目前比特幣及代幣的監管難度比較高；而不可篡改則意味著錢一旦被騙走，交易就不可能回退，基於這兩點，數字錢包成為黑客眼中的「肥肉」。

從數字錢包從設計、發布、下載、安裝、運行的途中但凡出現問題，均有可能中招。比如，是否通過官方渠道下載錢包，如果從第三方軟體平台下載，會不會下載到有惡意插件的？即便通過官方渠道，是否處於安全的wifi環境？即便網路環境沒問題，官方渠道的下載地址會不會遭到攻擊？就算這些雷一一避開，數字錢包本身是否可靠？廠商有沒有為了使用便捷而忽略安全運維？廠商是否具備安全存儲用戶私鑰的能力？

三、如何保護好自己的數字貨幣？有哪些實用乾貨

安全是區塊鏈的「地基」，但是在區塊鏈的江湖裡，有最優秀的創業精英，也有最優秀的騙子，基礎的確並沒有小白們想像的那麼牢靠。提出安全隱患得有針對性的解決辦法才算圓滿，阿星在採訪眾多老韭菜和老師之後，拿到了不少壓箱底的乾貨建議，經過授權後拿出來發表，值得普通投資者拿小本本記下來：

（1）市面大多數加密貨幣錢包是中心化錢包，一旦發生意外，用戶資產丟失後難以追回；對於投資者而言，倘若持有大量的數字資產，更適合選用「去中心化錢包」，畢竟大量的資產由自己掌握才最放心。而對於短期的小額投資者而言，中心化的錢包的優勢在於，使用體驗更加便捷，不過分批存放入不同的錢包更穩。

（2）普通比特幣持有者賬戶可以「幣托」服務實現權益轉移，當交易所發生不可抗力因素用戶失去控制賬戶能力情況下，可通過「幣托」來實現與權益人（家人、朋友等）共同管理賬戶，實現賬戶權益的傳承。

（3）個人數字錢包的「私鑰」絕對不能外泄，「公鑰」是收款地址，就好比自己的門牌號碼，而私鑰/助記詞/keystore等相當於自家的「鑰匙」，這三類中任何一項均不要隨便泄露給別人，最好是能夠離線保存或保存在加密本地存儲硬碟或U盤裡。

（4）數字貨幣投資者在轉賬時要反覆確認轉幣對象和地址，因為錢包地址一般一串很長的字元，最好直接複製，並核對一遍；因而交易是不可逆的，一旦打過去就是別人的了。注意不要因為一些「更低的手續費」、「更多的額度」等承諾而繞過平台擔保，進行私下點對點交易，一旦發生很難追回。

（5）平時用戶養成良好的使用習慣，多留個心眼，比如選擇主流交易平台，從官方渠道下載錢包客戶端；備份好自己的錢包文件；設置複雜的密碼；在不同的平台使用不同的登錄口令；謹慎下載論壇、社群里的文件，不要點擊來路不明的鏈接防止釣魚軟體中招；錢包地址尤其是私鑰絕對保密，在訪問平台時，反覆確認域名以防止進入山寨網站；盡量在私人的區域網和自己電腦或手機設備上網操作，殺毒軟體定期清理和更新必不可少等等。

阿星怎麼看：

移動支付的流行是由於阿里和騰訊在安全投入很多看不見的技術支撐一樣，在區塊鏈安全上挑戰更大、情況更為複雜，目前數字貨幣及token是目前區塊鏈最主要的應用場景之一，利益激勵讓目前的區塊鏈成為利益告訴流通的新興領域，如果沒有「區塊鏈安全」為交易所、智能合約、數字錢包做好維護的話，區塊鏈美好的數字世界生態圖景都將是空中樓閣，區塊鏈安全也是一件不可能有終結的工作，這將是未來新的「道魔較量」！

作者：靠譜的阿星（李星），公眾號：靠譜的阿星，靠譜匯公司創始人，100多家主流科技媒體專欄作家，CMO訓練營導師，知名互聯網分析師，榮獲2017年鈦媒體年度作者「最具人氣獎」，區塊鏈風口第一批觀察者。

(以上文字僅代表作者個人觀點，並不代表金評媒立場)

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！