區塊鏈世界安全還需要多少「門頭溝事件」？

2018年末，時隔5年，門頭溝事件再重新被人提起，是日本檢方要求對門頭溝交易所（Mt.Gox ）前CEO馬克.卡佩勒斯 判處10年刑期。

然而在這樣的寒冬里，這條消息似乎並未掀起多大的波瀾。根據騰訊發布的研究報告，2018年僅上半年區塊鏈領域因為安全問題造成的損失高達20億美元，交易所是遭受黑客攻擊和損失的重災區。

關於門頭溝事件

2014年2月24日，曾佔比特幣交易量70%的世界第一大交易所Mt.Gox被曝遭遇黑客攻擊，平台10萬枚比特幣及用戶75萬枚比特幣被盜（後來找回20萬枚比特幣），3天後，Mt.Gox申請破產。這個事件後來被稱為「門頭溝事件」，人們至今驚心於它的結局。

一次黑客攻擊足以摧毀一家交易所。

千里之堤，潰於蟻穴

Mt.Gox於2007年由「電驢之父（eDonkey）」Jed.McCaleb創立，2011年3月6日Mt.Gox無力再支撐下去，於是將網站出售給卡佩勒斯。Mt.Gox就此開啟「法胖時代」（卡佩勒斯是法國人，身材肥壯，被戲稱為「法胖」）。

「法胖時代」的關鍵詞可能就是「黑客攻擊」。

迎來新主人的第二月，Mt.Gox就被爆出黑客攻擊，損失8萬枚比特幣。

兩個月後，Mt.Gox又迎來一次黑客攻擊。

2011年6月20日凌晨3點，Mt.Gox出現大量賣單，比特幣價格從17.5美元暴跌至0.01美元，交易持續幾分鐘後才得以恢復。根據後來被揭露出來的信息，實際情況是公司一個審計師的電腦最先受到了黑客攻擊，黑客獲得Jed McCaleb賬戶的訪問許可權，因此能夠操縱賬戶餘額並在Mt.Gox系統上出售大量比特幣，此次交易所賬戶被黑客轉移了約2000個比特幣。

這一次的損失主要原因在於卡佩勒斯，因為Jed賬戶賣給卡佩勒斯3個月後，後者卻沒有修改賬戶對資料庫的管理許可權。

2013年3月12日至2014年2月15日，Mt.Gox多次出現暫停比特幣提現故障等事件，一度引發比特幣擠兌。

「 門頭溝事件」發生之前，Mt.Gox背後早已暗藏危機，但是他們的CEO卡佩勒斯顯然沒注意到這點。

在外界看來，Mt.Gox當時已經是最大的比特幣交易網站，從2011年至2013年，Mt.Gox牢牢挾持比特幣交易量峰頂的位置，一度佔有比特幣交易總量的70%。

2014年2月25日，Mt.Gox的投資人嘗試登陸網站，頁面一片空白。Mt.Gox官方Twitter亦刪除了所有內容。

3天後，Mt.Gox在東京申請破產保護。從終止交易、網站下線、宣布關停到申請破產保護，全球前第一大交易所Mt.Gox在一周內完成了。

有內部文件稱，黑客預謀已久，一共盜取了744408枚比特幣，加上平台被盜的10萬枚比特幣，一共約85萬枚比特幣被盜（後來有20萬枚BTC在一個冷錢包被發現）。

安全人視角下的門頭溝事件

「門頭溝事件的發生、比特幣被盜、Mt.GOX破產，在當時甚至現在，都是必然的。」區塊鏈安全團隊玄貓安全實驗室認為，經過回顧門頭溝事件發生的始末，門頭溝事件的發生是必然的，安全問題是整個行業所面臨的問題。如果這次不是Mt.Gox，那還是會有下一個「門頭溝」：

Mt.Gox對安全的意識、投入太少，據報道稱接手Mt.Gox後不久，卡佩勒斯不再專註於Mt.Gox，他最關心的是貓、咖啡館和美食,就連交易所頻頻出現黑客事件時他也拒不加班。全球範圍內普通的互聯網公司對安全的投入低於5%，國內普遍不足1%，更何況作為新興領域的區塊鏈行業？

在頻繁遭受黑客攻擊盜取之後，據稱，原創始人Jeff給卡佩勒斯支了四招：慢慢用公司美元買比特幣補上；屯點比特幣等升值；找比特幣大戶投資；自己挖礦。卻唯獨沒有「修復漏洞、提高安全防範」的建議。同樣，我們也沒有看到針對黑客攻擊Mt.Gox做更多的安全防範和投入。玄貓安全實驗室透露，「業內大部分交易所都是這樣處理安全問題，我們每天給區塊鏈公司提交發現的安全漏洞，然而確認、修復的卻不多「。

區塊鏈技術的快速發展，帶動了整個產業生態發展，包括交易所、錢包、礦池、公鏈、Dapp等等，越來越多的黑客把非法獲利的目光投向了這個領域。而數字資產盜竊案件的溯源、司法取證、執法，遠比法幣盜竊案件難得多。

2018年區塊鏈安全事件暴增4倍

2018年至今，區塊鏈領域安全事件發生71起，相較於2017年的15起，增長了373%。區塊鏈領域安全問題日益凸顯，逐漸成為區塊鏈技術發展的核心關鍵。

這其中，交易所的安全事件數量（56.67%）和損失的金額（13.44億美元）都高居榜首；回顧2018年加密貨幣交易所被盜事件：

（1）1月，日本最大的數字加密貨幣交易所Coincheck被盜走價值5.34億美元的XEM。Coincheck是日本第二大交易所，在之後的官方發布會上，Coincheck表示，XEM被盜是因為存儲XEM的熱錢包的私鑰被黑客所竊取，但是沒有其他幣種被盜。受此事件影響，XEM當天下跌9.8%。

（2）2月11日，義大利加密貨幣交易所BitGrail被攻擊，價值1.7億美元的加密貨幣NANO被盜。

（3）3月7日，Binance遭到黑客入侵，黑客通過控制幣安部分賬戶，賣出這些賬戶持倉的比特幣，買入VIA幣，導致VIA逆市大漲。幣安將異常交易進行了回滾處理，但此事件依然引起市場恐懼，隨後幾天比特幣跌幅超過15%。

（4）4月1日，Bit-Z遭遇黑客攻擊，未造成資金損失。為此 Bit-Z專門設立了10000個ETH安全基金，用於獎勵安全漏洞提交者。這筆獎勵在當時價值400萬美金。

（5）4月13日，印度三大比特幣交易所之一Coinsecure在官網發布公告稱，該交易所438個BTC失竊，價值約330萬美元。該交易所首席安全官Amitabh Saxena被列為嫌疑人。這是印度最大的加密貨幣被盜事件。

（6）6月5日，Bitfinex遭到「拒絕服務（Ddos）」攻擊，Bitfinex隨即暫停了交易所的所有交易。

（7）6月10日，韓國數字加密貨幣交易所Coinrail遭到黑客攻擊，損失超過5000萬美元。Coinrail加密貨幣總量的70%被保存在冷錢包，被盜總量的三分之二已被追回。

（8）6月20日，韓國加密貨幣交易所Bithumb被黑客攻擊，價值3000萬美元的加密貨幣被盜，這是Bithumb第三次被黑客攻擊。

此前，該交易所還遭受了兩次「黑客攻擊」。

第一次：2017年4月，Bithumb某員工電腦被黑，導致超過3萬名用戶的資料被竊，Bithumb也因此被韓國監管機構罰款5.5萬美元。

第二次：2017年12月22日，韓國MBC電視台僱傭了一家安保公司，對包括Bithumb在內的5家韓國交易所進行安全測試。該安保公司成功「黑入」包括Bithumb在內的5家交易所，並獲取了部分用戶數據和資金。受雇「黑客」聲稱僅使用了「基本的黑客技巧」。

但是，安全問題並未引起交易所足夠重視，這才導致了2018年6月份的黑客事件發生。

（9）9月20日，日本數字貨幣交易所Zaif宣布遭受黑客攻擊，損失5967萬美元。其中1959萬美元屬於該交易所自有資金，其餘4007萬美元屬於客戶資金。

同樣，智能合約、公鏈、錢包、Dapp的安全事件也是層出不窮，據統計2018年區塊鏈大型安全事件數量超過130多起（平均3天一起），區塊鏈用戶和項目方們紛紛淪為全球30萬黑客的「提款機」。

區塊鏈世界安全還需要多少「門頭溝事件」

2018年在「熙熙攘攘」的區塊鏈安全攻防戰中結束了。黑客出於利益頻繁進攻，白帽子守於道義嚴加防守，雙方比拼誰先找到漏洞。安全事件頻發卻側面反應了這個領域受到了前所未有的關注，全球範圍內也湧現了越來越多的區塊鏈安全公司。

如果每次區塊鏈世界的安全意識提升，都需要一次甚至多次的「門頭溝事件」，那代價太大了區塊鏈世界又經得起多少次「門頭溝事件」？

區塊鏈世界在未來充滿了未知和變數，可以預見的是2019年，安全的攻防大戰會繼續上演，且會愈演愈烈。

*

本文作者：BUGX，轉載請註明來自FreeBuf.COM

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！