一年损失数十亿美元，区块链成了30万黑客的提款机？

白话区块链

从入门到精通，看我就够了！

一位笔名为“Hacker”的黑客曾如此回忆：

2013年6月，我在十几家比特币交易所发现漏洞后，毫无阻碍地提走了所有的比特币，并通过场外交易出售了这些币。那一天赚到了8000美元，相当于4个月的工资，感觉就像在天堂……

2013年，比特币的价格起起落落，最高达到1242美元，超过了当时一盎司黄金的价格，比特币的“数字黄金”之名由此得来。

此后，比特币等基于区块链技术的数字货币，便成了黑客最喜欢攻击的新目标。

根据腾讯安全和知道创宇联合发布的《2018上半年区块链安全报告》（下简称《安全报告》）的数据，2018上半年区块链领域因安全问题造成的损失已超过27亿美元，约有11亿美元的数字货币被盗（金额为当时市值）。

01

1/4智能合约有漏洞，数字货币成黑客攻击目标

图片来源：腾讯安全2018上半年区块链安全报告

多份区块链安全报告的数据显示：已发布上链的区块链智能合约中，有相当比例的智能合约存在不同的安全漏洞问题。

来自安全公司Hosho的报告显示，区块链智能合约的Bug普遍存在。经Hosho审计的区块链项目，筹集资金总额高达10亿美元，审计中发现这些项目中的智能合约有25%存在严重漏洞，约有60％至少存在一个安全问题。

知道创宇发布的另一项安全报告《知道创宇以太坊合约审计CheckList》，披露了公司安全研究团队针对全网公开的共39548个合约代码扫描的结果。结果显示，截止2018年8月10日，发现其中共有24791个(占比62%)合约涉及到以太坊智能合约设计缺陷问题（缺陷包括“Approve条件竞争问题”、“循环DoS问题”等,其中Approve条件竞争漏洞的结果可能引发丢币的问题;以太坊的循环DoS问题则可能因Gas消耗过大导致交易失败，合约无法执行)。其中：

有“Approve条件竞争问题”的合约共22981个，其中的15325个合约甚至还处于交易状态。

有“循环DoS问题”的合约共1810个，其中1740个合约仍处于交易状态。

超过60%的以太坊智能合约出现设计缺陷问题，意味着基于这些智能合约的数字货币系统也存在着安全隐患。

另一方面，网络安全解决方案提供商趋势科技在一份新研究中也表明：网络犯罪分子的注意力正从“快速的勒索软件攻击”转移到“较慢的、更隐蔽的运算资源窃取以进行数字货币的挖矿”——与2017年全年相比，2018上半年检测到的数字货币挖矿攻击增加了96%，检测到的挖矿病毒与2017年上半年相比增加了956%。

黑客，已经盯上了数字货币的安全问题。

“黑客对区块链的攻击还会一直持续，甚至会越来越多。”一位安全人士说。

02

安全损失逐年增加，现数十万人在攻击区块链网络

图片来源：区块链产业安全分析报告

从2011年起，赵伟就开始关注比特币，黑客出身的他，最懂黑客的手段。

他说：“现在，黑客把区块链都当成靶场了。我们追踪全球黑客，有30多万的人或组织在攻击区块链网络，基本上90%的黑客在盯着区块链的安全问题。一旦攻破，由于区块链是匿名的，资产丢了没法找回，所以黑客们就把区块链当成取款机一样。”

根据白帽汇安全研究院在今年5月30日发布的《区块链产业安全分析报告》数据，全球发生的区块链安全事件数量呈逐年上升态势。

事实上，从数字货币诞生之日起，安全问题就如影随行。

2011年发生了第一起比特币安全事件，涉及24.8万个比特币（当时市值为102万美金）；2014年因区块链安全问题涉及到约85万个比特币（当时市值为4.6亿美金）；而到了今年上半年，因安全问题引起的经济损失已经达到了19亿美金。

《安全报告》中，腾讯安全技术专家将导致区块链数字货币安全问题的原因归结于“自身机制安全、生态安全和使用者安全”三个方面：

一是区块链自身机制问题，以以太坊为代表的区块链智能合约设计，存在的漏洞问题带来的经济损失极为严重。

2016年6月，以太坊上当时最大的众筹项目“The DAO”被攻击，黑客获得超过350万个以太币，最终导致以太坊分叉为ETH和ETC。

另外，理论上，如果黑客控制了区块链网络中的绝大多数节点，就能改写已有的共有账本，从而实现“

51%攻击

”。

二是区块链生态安全问题。区块链生态体系的参与者包括PoW机制下的矿场和矿池、PoS机制下的权益节点、数字货币交易平台、软硬件钱包、数据跟踪浏览器、DApp，以及面向未来DApp的区块链网关系统等。

其中，围绕交易平台发生的安全事件最为常见，被盗事件的数量远超其他事件类型。此外，交易平台被钓鱼、钱包失窃、各种信息数据遭泄露和篡改、交易平台账号失窃等问题，也同样不容忽视。

三是使用者自己造成的安全问题。数字货币钱包的使用门槛较高，使用者最好能对计算机、网络安全有一定了解。然而，许多数字货币交易者并不具有这些能力，因此极易出现安全问题。

据《安全报告》数据，2018上半年因上述三方面原因造成的经济损失分别为12.5亿、14.2亿和0.56亿美元，总损失合计高达27亿美元。

03

破坏共识，安全问题助推了数字货币的熊市

图片来源：网络

2018年，比特币价格自2万美元的高点一路下跌，最低跌破6000美元，全球数字货币总市值也大幅受挫。

在赵伟看来，这波熊市跟区块链安全不无关系。他认为，黑客盗币、攻击区块链系统，最大的伤害是破坏了区块链的共识，打破了信任，而“没有了共识，容易引起砸盘，黑客收割了所有人，而且是极端的杀鸡取卵。

数学算法帮助快速达成共识，维护着区块链网络的安全，在比特币面世之初，持有量排名靠前的很多用户正是安全人员。当黑客盗取了人们认为最安全的“数字黄金”后，大家发现它并不安全。

可以说，频出的区块链安全问题，助推了数字货币熊市的到来。

在数字货币的安全事件上，问世近十年的比特币也曾遭遇过“灭顶之灾”——2010年8月15日，一名黑客曾在比特币高度为74638的区块上，通过比特币的原生Bug一夜间创造了1844亿枚比特币。

或许是因为那时比特币价格太低，没有引起大多数人注意。这名黑客在完成这一“壮举”后，没有再进行后续的攻击动作，让比特币免于在“通货膨胀”后陷入瘫痪。

虽然黑客开过玩笑后，颇为满意地离开了，但这一事件却吓坏了当时的比特币代码维护团队。比特币社区的首席开发者Wladimir Van Der Laan在回忆这件事时直言“（2010年比特币被攻击）是有史以来最严重的问题”。

2014年发生了著名的“门头沟”事件，Mt.Gox曾经是全球最大的比特币交易平台，因被黑客盗币最终破产，大约75万枚比特币付之东流，在当时引发了比特币价格的大跌。

2018年3月，某交易量排名居前列的交易所被黑客攻击，黑客通过做空手段在场外套现获益。受此事件影响，比特币暴跌10%。

其他的数字货币黑客事件还有很多。几乎每次黑客的出击，在造成重大经济损失的同时，或多或少都会引起比特币价格的下跌。

虽然没有绝对的安全，但区块链如果要应用在具体的行业上，安全是必须要持续提升和改进的根本技术问题，否则，无论在区块链上面附加了多少价值，都会顷刻间化为乌有。