區塊鏈行業漏洞頻現 是黑客太牛還是合約安全不堪一擊？

WeiDu第48期分享

作者 | WeiDu

交易並不是低買高賣；實際上，它是高買、更高賣，是強者更強、弱者更弱。

——是川銀藏 日本股神

區塊鏈行業火爆繁榮的同時，安全問題引發眾人矚目，交易所，智能合約……遭遇黑客瘋狂狙擊，安全問題迫在眉睫。這是我盤點了最近兩年ERC-20合約和交易所遭到黑客攻擊的事件。

2016/6/17

由於以太坊的智能合約存在重大缺陷，區塊鏈業界最大的眾籌項目TheDAO(被攻擊前擁有1億美元左右資產)遭到了攻擊，導致300多萬以太幣資產被分離出TheDAO 資產池。

2016/7/21

同樣基於以太坊的電子錢包服務商Parity警告1.5版本及之後的錢包軟體存在漏洞，據Etherscan.io的數據確認有價值3000萬美元的15萬以太幣被盜。

2017/11/8

以太坊Parity錢包出現重大bug，多重簽名漏洞被黑客利用，導致上億美元資金被凍結。

2018-06-12

黑客通過掃描與以太坊網路進行通信的8545埠來尋找Geth客戶端並竊取用戶的數字貨幣，被盜的以太坊價值超過了2000萬美元。

除了被盜事件外，以太坊被曝出的漏洞問題同樣多的令人難過。

2018/2/24

新加坡和英國幾位研究員指出，3.4萬多份以太坊智能合約可能存在容易被攻擊的漏洞，導致數百萬美元以太幣暴露在風險中，其中2365份屬於著名項目。

2018/3/6

倫敦大學學院計算機科學系副教授伊利亞.謝爾蓋表示，通過基於以太坊平台的近100 萬份智能合約進行每份合約10秒的分析後發現，有34200份智能合約很容易遭到黑客攻擊。並且，通過對3759份智能合約進行抽樣調查，發現其中3686份合約有89%的概率含有漏洞。

2018/5/24

黑客通過#EDU#智能合約漏洞，無中生有的派生出了30億枚EDU Token代幣，通過拋售EDU Token，獲得BTC現貨，再順勢拋售BTC現貨，引發BTC市場動蕩。

2018/6/28

區塊鏈安全公司PeckShield披露了一個能夠造成以太坊受影響geth節點瞬間休克或崩潰的安全漏洞。PeckShield將披露的漏洞命名為「Ethereum Packet of Death(EPoD)」，即「致命報文」，攻擊者通過發送一個惡意報文即可向geth節點發動攻擊。該漏洞一旦被利用可能會給以太坊2/3以上的網路帶來嚴重衝擊。

2018/7/8

降維安全實驗室爆出AMR合約存在高危漏洞，攻擊者可隨意增發代幣。隨後圳鏈安合夥伴BCSEC安全團隊，PeckShield安全團隊，創宇信息技術有限公司等對此智能合約進行分析並確認漏洞真實存在而且已經被黑客利用。

2018/7/10

北京時間昨日18：46網站開始受到黑客頻繁攻擊，黑客企圖利用網站過載情況攻擊獲得ETH，導致20：45時開始網站ETH等其他數字貨幣交易量數據劇增以及ET會員購買通道阻塞，最終造成交易額數據過萬億的異常情況

北京時間13：10 Chrome擴展程序Hola或被攻擊 24小時內使用MEW服務的用戶需轉移資金。Myetherwallet發布緊急消息，如果用戶安裝Chrome擴展程序Hola並在24小時內使用MEW服務，請立即將資金轉入新賬戶。Hola 5小時前被攻擊，攻擊者在MEW上跟蹤用戶活動。

根據美國區塊鏈安全公司CipherTrace發布的報告顯示，2018年上半年，加密貨幣交易所中大約有7.61億美元的加密貨幣被盜，被盜規模是2017年全年水平的三倍，2017年全年交易所失竊的加密貨幣價值為2.66億美元。安全不僅是交易所的面臨的頭號難題，更是區塊鏈技術向前發展過程中的阻礙。

每當智能合約被曝安全漏洞後，黑客就可以輕易地利用這些漏洞，進行虛擬貨幣的無限增發、隨意轉賬等等。根據白帽匯安全研究院的《區塊鏈產業安全分析報告》，截止6月底，由於智能合約所導致的安全問題已經造成了12.4億美元的損失，佔到了總損失的43.3%。

為何黑客入侵事件頻現？

交易所戰鬥能力低

中心化的加密貨幣交易所在食物鏈頂端，坐擁大量資金，激發了蠢蠢欲動的黑客。與國際級的證券交易所相比，不堪一擊的防備技術，成了黑客攻擊的首選。

貨幣的匿名性為黑客盜幣提供便利

加密貨幣在傳輸過程中，通過代碼的方式流通，其具備的匿名屬性，無論是在得手後套現，還是在財產轉移方面，均為黑客提供了便利。

」智能合約「本身就存有漏洞

在今年四月，一個名為SMT的代幣突然被曝出有黑客利用智能合約的proxyOverFlow 漏洞生成了巨額 Token，這直接導致該 Token 的價格一路暴跌。

據悉，在市場中有大量基於ERC-20 的代幣，此類代幣的智能合約代碼中均存有proxyOverFlow 漏洞，這也就意味著包括火幣、OKEx、以太坊在內的多數交易所均處於風雨飄搖之中。

怎樣將黑客拒之門外？

提高打怪升級的水平

毋庸置疑，提高抵禦與防備技術水平，是提升加密貨幣安全係數的重要前提。另外，如何增強底層錢包的安全性是交易所在安全領域內最需迫切解決的第一課題。

各方獨立，並引入第三方監管機制

交易所的軟肋，除了技術之外，還包括其自身的局限性。現在多數的交易所將撮合系統、資金存儲以及結算清算等功能融合在一起，一旦其中某個點被擊破，整個交易所將處於不可想像的危機之中。

我認為，如果能採用獨立式運營模式，以及引進第三方監管機制，也許會對交易所大有裨益。我們知道，區塊鏈上的所有用戶都可以看到基於區塊鏈的智能合約，也就是說包括安全漏洞在內的所有漏洞均可見。如果智能合約的程序員哥哥疏忽或者測試的不夠充分，而造成智能合約的代碼有漏洞的話，黑客便可輕易攻破交易所。

安全問題一直是區塊鏈行業的「頑疾」，針對這種「頑疾」目前依舊沒有完全治癒「頑疾」的良方，所以在這兒提醒用戶投資時盡量選擇體量大的交易所和投資機構，降低資產被盜風險；提醒交易所和安全機構應該加大對安全方面的關注和投入，從而更好的促進區塊鏈行業健康發展。

行情速遞

截止發稿

BTC：43593元ETH：3025元 EOS：50.50元 BCH：4763元

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！