黑客過境，幣圈難寧

獵雲註：在黑客攻擊後倒閉的項目不絕如縷。幣圈是一塊無人管的戈壁地。在幣圈尚無明確法律監管的情況下，這些黑客攻城掠地，侵佔一座又一座城池。無論是礦池、錢包、交易所還是公鏈，甚至是用戶的印表機、攝像頭，都有被黑客襲擊的可能。就這樣，幣圈每年上億美金的虛擬貨幣流入黑客口袋。文章來源：深鏈財經（ID：ID：deepchain）作者：大衛

自互聯網始，黑客存在久矣。

然後，顛覆互聯網的區塊鏈來了，黑客也隨之降臨。

分裂以太坊，門頭溝事件，BTER失竊……每一次幣圈事故背後都能瞧見他們身影出沒。

與互聯網的森嚴法治不同，幣圈黑客遊走在規章的模糊邊界，無人約束。每年上億美元贓款落入黑客腰包。

這是與古典互聯網截然不同的奇異景觀。

「互聯網發生安全事故丟失的是信心，幣圈安全事故丟的可能是命了。」一位區塊鏈安全人士表示。

利益之下，黑客肆掠，幣圈無人倖免。區塊鏈的頭頂上，始終籠罩著一層陰霾。

一場悄無聲息的遷徙

古典互聯網黑客正在往幣圈大規模遷徙。

「正是區塊鏈技術創新造就了這群黑客。」BYSEC.IO創始人莫良向深鏈財經稱，「區塊鏈是歷史上任何一個時代無法比擬的——代碼和錢畫上了等號。」

互聯網和幣圈是截然不同兩個世界。

「對於互聯網安全，一旦發生安全事故，往往丟失的是信心，但是用戶是健忘的。可對於數字貨幣交易所、錢包而言，丟失的就不僅僅是信心了，可能就是丟命了，是等同於法幣資產的身家性命。」 一位業內人士透露。

在黑客攻擊後倒閉的項目不絕如縷。門頭溝事件（2014年2月，黑客從Mt.Gox盜取用戶近75萬枚比特幣及交易所10萬枚比特幣）直接導致彼時世界第一大交易所Mt.Gox申請破產。

幣圈是一塊無人管的戈壁地。在幣圈尚無明確法律監管的情況下，這些黑客攻城掠地，侵佔一座又一座城池。

莫良將攻擊分為兩種：一種是鏈上攻擊，例如像BTG雙花攻擊。技術門檻高，攻擊者對區塊鏈技術有一定研究；一種是鏈下服務攻擊，比如對交易所、錢包的攻擊。

幣圈黑客目前的操作方式大部分屬於後者。即是說，黑客仍然用著傳統互聯網的方法在幣圈興風作浪。

「密鑰和錢包的安全是區塊鏈安全1.0的重心，智能合約是區塊鏈安全2.0的重心。但是目前大多數黑客事件還是使用傳統攻擊手段。」長亭科技區塊鏈安全研究員於曉航向深鏈財經表示。

古典互聯網黑客轉行幣圈，根本不需要學習成本，所要只是一個瞬念。

幣圈黑客已經將觸角伸向區塊鏈全產業鏈。

無論是礦池、錢包、交易所還是公鏈，甚至是用戶的印表機、攝像頭，都有被黑客襲擊的可能。

例如，對於礦池來說，黑客直接攻擊礦池，設法獲取礦池網站的管理員許可權，然後將礦池裡額虛擬貨幣轉移至自己帳戶。

此外，黑客還能黑進用戶的物聯網設備，偷設備上的算力，當用戶發現設備的耗電量增加、網路流量出現異樣，事實上其中是黑客在暗地裡挖礦，但用戶根本不會發現。

就這樣，幣圈每年上億美金的虛擬貨幣流入黑客口袋。

黑白邊緣

於曉航發現，自今年年初，開始做區塊鏈或者轉型區塊鏈的安全公司多了起來。

近日，BYSEC團隊也忙於不斷見新的投資人。

幣圈白帽子勢力正在擴張。白帽子，即正面的黑客，可以識別計算機系統或網路系統中的安全漏洞，並不去惡意利用，而是公布漏洞。

這是刀鋒上的生意。技術的價值在幣圈被無限發大。

莫良稱，「在安全人才儲備嚴重不足情況下，很多公司趁火打劫」。

很多安全公司奔著賺錢來的。莫良透露，在傳統互聯網行業，代碼審計按萬行收費，平均一行代碼1元至10元，而在區塊鏈行業，代碼審計費最高上萬元。

區塊鏈，碰撞出技術火花，同時也是一座富饒金礦。

「區塊鏈行業里的白帽子非常缺乏，因為安全其本身還是一個服務性的東西，跟黑帽的利益驅動相比，白帽更多是發自內心的責任感去做。」於曉航稱，相對黑帽來說，區塊鏈白帽陣營還是太小了。

與此對照的是源源不斷湧入幣圈的黑客團隊。

「未來一定會有更多黑客湧入區塊鏈。」莫良稱，最近耳聞，區塊鏈早已變成黑客眼中最肥的肉。

這是一場力量相差懸殊的競爭。

現行的技術和手段，加上區塊鏈去中心化、匿名的特點，黑客的行蹤很難被追溯。

而法律監管的缺失，更讓這群幣圈黑客肆意妄為。

白帽子卻常常陷入誤解的疑雲。

讓莫良最受挫的是大眾對黑客認知的缺失。很多區塊鏈公司對黑帽和白帽沒有清晰認知，「大家都覺得黑客是不分黑白的，只要你找上門就是壞的。事實上白帽被稱為道德黑客，完全是出於個人興趣，很多人在大互聯網公司領著百萬年薪，但還是願意不相識公司提出漏洞」。

充滿悖謬的是，監守自盜在事情經常在安全領域上演。有黑客偽裝白帽子，獲取內部信息後發起攻擊。

慢霧科技聯合創始人餘弦曾表示，自己在招人時第一考慮的是價值觀，然後才是其他，「在自我約束這方面，我們非常嚴肅」。

「守正出奇」，餘弦稱，黑客這個身份，自帶奇，但得守正。

與此同時，白帽子只有把自己設身為黑客，去模擬攻擊，才能發現漏洞。「以攻促防，只有了解攻擊者的手法與心理還有這個群體的生存模式，才能真正做好防禦。」餘弦介紹。

莫良稱，而今很多區塊鏈公司只有運營團隊，沒有技術團隊。莫良覺得成熟的區塊鏈項目應該設有獨立的安全部門。

「這不僅僅是技術層面的事，還是意識層面的。」 莫良稱。

「意識安全比技術安全還要重要。」於曉航也表示認同。

於曉航發現，2014年，BTER交易所發生失竊事件，源於BTERCEO韓林被黑客分析，而其個人密碼恰好是BTER交易所里很關鍵的密碼。

「不論你各個層面的安全防禦技術做得再好，如果你人的防禦意識出現問題，所有防禦都是泡湯的。」 於曉航介紹。

每個行業的興起，安全都不會得到重視。被黑客教育很多次後，行業才會重視。所以，這不僅僅是技術的更新，更是意識的迭代。

一邊是不斷湧入幣圈的黑客，掌握最頂級的資源，使用最豪華的設備，一邊是勢單力薄的白帽團隊，苦苦掙扎卻不被重視。

兩人爭分奪秒競爭，誰發現那個漏洞。現在看來，最後勝利的往往是黑客。

一場相差懸殊的競賽

「沒有不被攻擊過的交易所。」莫良稱，絕大多數交易所被攻擊後，常常裝作維護狀態，其實是「打破牙齒往肚子里吞」。

黑客陰霾籠罩每個人頭頂。

黑客思維縝密、耐力過人、行動迅捷，無人知曉黑客是單獨作戰還是團隊作業。同時，誰也不知道自己會不會是下一個受難者。

據於曉航觀察，在門頭溝事件發生的三年前，即2011年，黑客早已種下一顆木馬。

Mt.Gox團隊在瀏覽其他網站時，將木馬程序下載至本地，木馬程序自動搜索存放錢包密鑰的文件。

木馬悄悄潛伏在Mt.Gox伺服器里，導致錢包的密鑰文件被攻擊者拿到。

攻擊者十分狡猾，沒有立即轉走大筆交易，而是用了接近三年時間，將幣一點點轉出來。

當Mt.Gox發現問題時已經晚了，虛擬貨幣早已不知何處。

區塊鏈2.0時代來臨，黑客隨之升級了策略。

基於以太坊的智能合約有一個很重要的特徵——都是公開的。大家在使用之前都能看到該智能合約背後的代碼，所以理論上每個人都能確認智能合約有沒有發揮應有的作用。

這同時也帶來一件壞事，智能合約一旦發布就不能修改。所以在發布之前沒能做好合約升級，加上上線後很難更新迭代。

項目方在上線之後才發現問題，這個時候往往已經晚了——黑客早已對漏洞發起猛烈攻擊。

黑客推動一個行業的進步，也足以毀滅一個行業。

「區塊鏈太脆弱了」， 於曉航稱，「如果安全做得不好的話，非常打擊人們對新技術的信心。」

黑客每次大捷過後，又一場狂歡已經開始了。

「黑客就像非洲的僱傭軍，為錢服務。誰有錢就去不斷發起進攻。「莫良表示。

門頭溝事件之後，比特幣跌幅逾36%。

再出現像門頭溝這樣的一次黑客攻擊足矣讓比特幣再次萎靡數年。

追逐財富的黑客可不管這些。畢竟，他們還能竄入下一領地或者回到互聯網，尋找新的寶地。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！