上周，逾2500个ETH遭窃，区块链生态安全为何漏洞百出？

5月21日，加密货币交易应用程序Taylor遭到一场灾难性的黑客攻击，丢失了2578.98个ETH，总价值达150万美元。次日上午，Taylor团队才发现已经遭到黑客入侵，所有资产全部被盗走，不仅包含那2500多个ETH，还有这个团队自己的Tay代币。

Taylor团队表示，黑客很可能与今年3月份从CypheriumChain项目中偷走超过1.7万个ETH（约合900万美元）的作案者是同一个人/团伙，因为这两次被盗代币都被转移到了同一个地址：

0x94f20ccff70d82d1579d8B11f2985F8dE9B287Cf。但是除此之外，Taylor对黑客的其他信息一无所知。

在作案手段上，Taylor认为黑客是“以某种方式”获得了该团队一个设备的访问权，然后控制了一个1Password应用（1Password是Taylor管理用户密码的应用程序），然后黑客再用平台用户的账户密码窃取了这些代币。

为了尽快恢复项目，这个团队将会发布新的代币。但是从以往黑客窃取加密货币事件来看，Taylor本次损失的资金基本上收不回来了。

人们常说币圈无宁日。除了Taylor和CypheriumChain之外，今年3月还有网络犯罪分子，用比特币钱包应用Electrum的恶意仿冒产品Electrum Pro窃取用户的秘钥。国内也有相关交易平台被黑的事件发生。当然，国内外类似的事情还有很多。可以说，进入2018年还没几个月，比特币交易平台被黑的事件就频频发生。

区块链平台安全建设严重滞后

近年来，数字货币交易平台繁荣发展，各平台都专注于核心业务，但在信息安全方面投入的精力十分有限，相应的防御措施十分薄弱，因此安全事件才频繁出现。

从信息安全角度来讲，黑客能够得逞的原因主要有三个：一是通过钓鱼等手段窃取并冒用身份；二是利用区块链交易平台的网络漏洞，其中就包括账号密码中的弱口令、口令复用等导致的漏洞；三是内部恶意人员监守自盗，或盗用相关同事身份，或离职后仍有访问权限。

可以看出，虽然区块链技术具有去中心化、防篡改的特点，但是区块链业务在账户准入方面还存在严重的安全问题。

全面提升区块链业务账户安全

针对这些问题，锦佰安科技推出了一个综合的安全解决方案，以加强区块链交易平台各个环节的抵御能力，提升区块链业务的账户安全。

在用户的业务端

一、便捷安全的身份认证方式

用户既可以通过SecID AI行为识别，或SecID线上快速身份认证来进行身份识别，确保只有本人才能登录账户和执行敏感操作。

（1）SecID AI行为识别身份认证

锦佰安科技自主研发的SecID AI行为识别系统，能通过手机中的多个传感器，多维度、多规则地收集用户日常登录的操作行为和使用习惯，然后利用卷积神经网络、循环神经网络、贝叶斯网络等方法，对这些特征进行持续深度学习，为每个用户单独建立识别模型，并与用户本人进行相似度匹配，即可对用户身份进行身份确认。通过这些核心技术，SecID不仅能有效分辨当前操作者是人还是机器，而且还能精确辨别其是否为用户本人。

具体应用到区块链交易平台的业务端，相关APP用户在进行注册、登录、支付、转账等敏感性操作时，其行为数据会同步与用户的AI模型对比，只有相似度达到一定阈值时才允许执行相关操作，从而有效拦截了非本人授权的操作（包括黑客远程操作及机器操作等），确保账户内资金的安全。值得一提的是，整个过程是在用户无感知状态下完成的，用户完全无需改变操作习惯。

（2）SecID快速身份认证

SecID快速身份认证基于FIDOUAF1.0协议标准实现，能够在用户名和密码的基础上完成多因素身份认证。这种方式就是在用户名和密码的基础上，结合日趋成熟的生物特征识别（如指纹识别）与系统锁屏（密码、九宫格、PIN码等）完成简化版的多因素身份认证。

针对区块链交易平台的业务网站及服务器的登录、敏感操作等环节，采用硬件隔离即插即用的本地身份认证，用户隐私、生物特征信息及其产生的私钥不会上传到云端，而是保存在手机硬件可信环境之中，从而有效保护隐私。

二、大额交易时的身份识别与授权

在大额交易等关键操作环节，SecID身份识别与交叉授权机制加大审核力度。对授权人和被授权人，通过指纹识别或人脸识别等手段进行身份识别。与此同时，单独的审计日志还能对交易行为进行追溯和审计。

通过以上技术手段，SecID阻断了敏感操作环节用户身份被冒用的可能。

针对区块链交易所内部办公环境

区块链交易所内部办公环境也存在黑客攻击风险。针对这一问题，SecID对内网办公环境中涉及的网络准入（VPN/WiFi）、办公PC登陆、访问电子邮件系统、访问其他Web类办公系统等登陆操作，集成了多因素二次认证（一件确认、图片密码、指纹识别、人脸识别等），确保只有合法可信的人进入对应系统。

SecID统一身份认证管理平台可有效防止钓鱼、弱密码、账户职权混乱及区块链交易所内部恶意人员等导致的安全隐患，同时又能方便安全审计、责任到人。

持续性安全监测

除此之外，锦佰安科技还提供每月两次的高频次安全检测，贯穿软件系统整个生命周期的安全服务，上线前360度全方位安全检测等，防范复杂多维、手段变化多样、隐藏技术运用多的新型安全攻击。

身份安全是重中之重

由于区块链生态中虚拟货币的属性，哪怕出现一丝安全问题，都有可能造成真金白银的损失。在区块链生态安全体系中，用户的身份安全是重中之重。作为国内领先的身份识别综合解决方案提供商，锦佰安科技将为区块链生态安全打造更可信的身份识别方式，全面提升交易平台的账户安全。