首页
学习
活动
专区
工具
TVP
发布
精选内容/技术社群/优惠产品,尽在小程序
立即前往

黑客攻击偷了18亿?区块链的安全软肋无解?

最近在乌克兰基辅举行的网络安全论坛上,有专家提供了一个数据:2018年黑客攻击造成的全球经济损失达到18亿美元,其中相当一部分受害者是加密数字货币和区块链技术领域的投资者和用户。

你可能会为这18亿美元咋舌,感叹学好一门技术就等于掌握了生财之道。但实际上,这位专家说出的“18亿美元”只是冰山一角,因为区块链领域2018年因为黑客攻击造成的损失远远不止这个数字!

如果你有持续在关注链圈币圈的相关报道,你肯定对这个行业中猖獗的网络盗窃耳熟能详。据统计,仅今年上半年区块链领域就因安全问题损失了27亿美元,其中11亿美元是由于数字加密货币被盗。

截止至目前,2018年因黑客攻击区块链领域造成的损失预计已达到33亿美元。

可是我们不由得想问,既然区块链被吹捧成了惊为天人的、不可穿透的网络,为什么会频繁出现攻击、盗窃的事故?

原因很简单,大多数盗窃案与区块链本身的漏洞是无关的,而是可以归结于人为失误。

在传统的银行系统中,我们严重依赖银行和政府来保证我们的资金安全。但在加密数字货币世界里,每个人都可以充当自己的银行,为自己的资金安全和保障负全部责任。如果保管不当,这些数字货币很容易被黑客全部席卷,并且无法追回。

想要避免成为被选中的“靶子”,首先要了解黑客最喜欢三种攻击盗窃方式——

钱包漏洞

保护加密货币安全的第一步是找到合适的钱包来存放它们。钱包有两种主要类型:热钱包和冷钱包。

“热钱包”是连接到互联网的数字钱包,从本质上讲,热钱包是不安全的,因为它们对网络连接开放,等于给了黑客进入大门的机会。

热钱包的一种常见形式是交易所的钱包。为了允许全球用户之间的持续交易,交易所的钱包需要是保持与互联网的连接的。这种敏感性,再加上用户们持有的资金量,使得交易所成为黑客的首要目标。

“冷钱包”是一种数字钱包,不与互联网相连,因此是一种更安全的选择。最常见的冷钱包是纸质钱包,它是一种印刷的纸,通常以二维码的形式保存着某个钱包地址的私钥。除非私钥被扫描并联机,否则它将完全与所有网络断开连接,因此基本上无法被窃取。

大多数币民都同时使用着热钱包和冷钱包。他们把少量资金放在热钱包里,用于日常交易,类似于支付账户;然后把大量资金放在冷钱包里,用于长期存储,类似于储蓄账户。

需要注意的是,交易所的钱包并不是热钱包的唯一形式,像Exodus这样的桌面软件钱包也可能遭到攻击。使用桌面软件钱包,用户虽然可以控制自己的私钥,但钱包仍然存在于计算机中,一旦某些恶意软件或病毒被下载并安装到了主机上,你的私钥和资产安全将会像无人之境一样,任由黑客入侵。

网络钓鱼和诈骗

最普遍同时也最成功的网络盗窃形式是欺骗用户主动交出他们的资金,或者更有甚者,让他们交出钱包的“钥匙”。

网络钓鱼攻击是将恶意网站伪装成大众熟悉的、合法的网站,以窃取密码、私钥,并最终洗劫资产。

每年都有新的钓鱼攻击被发明出来,但最古老且久经考验的方法是URL地址的轻微拼写错误。

例如,为了窃取币安用户的密码,诈骗者可能会在URL www.binance.com下贴出该网站的精确副本或“镜像”,把“i”替换成“í”。这个URL钓鱼地址与真实的www.binance.com地址非常相似,一个不知情的受害者在登录时很难分辨出蹊跷,在不知不自中就把自己的密码或者私钥奉献给了黑客窃贼们。

其实要解决这个问题非常简单,将你最常用的网站设置为书签,或者自己手动输入网址即可。

此外,最好是利用交易平台提供的所有安全特性,比如双重身份验证,在登录和发起提款请求时分别增加一层验证,这样一来即使他人获取了你的账户,也无法进行更多的操作。

不幸的是,有些类型的诈骗并不容易防范,比如IC0欺诈。一个看似高端的网站,一份详尽的白皮书和一个令人信服的团队介绍,就可以骗走投资者数千万美元。

这样的诈骗案例并不在少数,加密数字货币的匿名性让这些骗子为所欲为。他们为一个虚假的项目筹集资金,却无意履行路线图中列出的承诺,一旦IC0结束,他们就会卷款消失。

因此,仔细阅读白皮书,核实那些看起来高大上的团队成员信息,分辨是否有实际应用价值,这一切投资前的工作都必须做到位。

51%攻击

今年有一种利用区块链网络漏洞的攻击方式频频登上头条新闻,那就是臭名昭著的51%攻击。

想要理解这种攻击,首先要理解什么是区块链安全。比特币的区块链无法篡改的原因是,全球各地分布的数百万矿工参与验证了链上区块中的数据。

这种网络验证能力被叫做“哈希率”,也叫做算力。没有哪一个矿工是拥有过半的算力的,因此没有人拥有影响或篡改数据的权力。

一旦某个群体掌握了全网51%的算力,那区块链基本上就是他们的了,他们可以根据自己的选择去重写数据,等于自己跟自己玩了。

不乏一些别有用心的人经常利用这种漏洞来改变网络上的交易历史。在这种情况下,攻击者才是最后将新区块放到区块链上的人,因此51%攻击后,他们完全可以继续发动“双花”。

以BTG事件为例,就是黑客临时控制了区块链之后,不断地在交易所发起交易和撤销交易,将一定数量的BTG在多个钱包地址间来回转,一笔“钱”被花了多次,黑客的地址因此得到了388201个BTG。

目前这个问题是我们无法通过个人能力去解决的,不过虽然51%攻击看起来非常恐怖,但它也存在一个悖论。

如果想做到51%攻击,首先需要足够的钱去掌控全网51%的算力,这是非常大的一笔投资。

其次在攻击后,币种价格实际上会被摧毁,攻击者需要卖出非常多的币才能达到收支平衡。

最后,能发动51%攻击的就那几个大矿池,要锁定背后黑手很容易,想必也不会为了这些币去砸了自己的招牌和门面。

所以其实有脑子的黑客,一般是不会发动这样耗时耗力的攻击的,因为这种攻击方法远不如黑掉交易所或者个人账户见效快。

据初步统计,全球大约有30万的人或者黑客组织在盯着“区块链”这块肥肉,其中有90%都尝试发起过大大小小的攻击。专家说的18亿太过于乐观,事实上区块链领域已经在逐渐成为黑客们的提款机。

那么区块链的安全软肋是否无解?其实并不是,新技术意味着新的学习曲线,风险浮现需要时间,发展出应对风险的方法也需要时间。就如同WIFI一样,技术会不断革新,从而走向成熟的安全机制。

对于大多数圈内人来说,提高警惕、保管好私钥可能是唯一的办法了。“我们不知道黑客会用哪种方式攻击,但自身做好细节已经是最好的防备”。

  • 发表于:
  • 原文链接https://kuaibao.qq.com/s/20181021A0HPUI00?refer=cp_1026
  • 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
  • 如有侵权,请联系 cloudcommunity@tencent.com 删除。

相关快讯

扫码

添加站长 进交流群

领取专属 10元无门槛券

私享最新 技术干货

扫码加入开发者社群
领券