自互联网始,黑客存在久矣。然后,颠覆互联网的区块链来了,黑客也随之降临。
分裂以太坊,门头沟事件,BTER失窃……每一次币圈事故背后都能瞧见他们身影出没。
与互联网的森严法治不同,币圈黑客游走在规章的模糊边界,无人约束。每年上亿美元赃款落入黑客腰包。这是与古典互联网截然不同的奇异景观。
互联网发生安全事故丢失的是信心,币圈安全事故丢的可能是命了。一位区块链安全人士表示。
利益之下,黑客肆掠,币圈无人幸免。区块链的头顶上,始终笼罩着一层阴霾。
一场悄无声息的迁徙
古典互联网黑客正在往币圈大规模迁徙。正是区块链技术创新造就了这群黑客。BYSEC.IO创始人莫良向深链财经称,区块链是历史上任何一个时代无法比拟的——代码和钱画上了等号。
互联网和币圈是截然不同两个世界。对于互联网安全,一旦发生安全事故,往往丢失的是信心,但是用户是健忘的。可对于数字货币交易所、钱包而言,丢失的就不仅仅是信心了,可能就是丢命了,是等同于法币资产的身家性命。一位业内人士透露。
在黑客攻击后倒闭的项目不绝如缕。门头沟事件(2014年2月,黑客从Mt.Gox盗取用户近75万枚比特币及交易所10万枚比特币)直接导致彼时世界第一大交易所Mt.Gox申请破产。币圈是一块无人管的戈壁地。在币圈尚无明确法律监管的情况下,这些黑客攻城掠地,侵占一座又一座城池。
莫良将攻击分为两种:一种是链上攻击,例如像BTG双花攻击。技术门槛高,攻击者对区块链技术有一定研究;一种是链下服务攻击,比如对交易所、钱包的攻击。币圈黑客目前的操作方式大部分属于后者。即是说,黑客仍然用着传统互联网的方法在币圈兴风作浪。
密钥和钱包的安全是区块链安全1.0的重心,智能合约是区块链安全2.0的重心。但是目前大多数黑客事件还是使用传统攻击手段。长亭科技区块链安全研究员于晓航向深链财经表示。
古典互联网黑客转行币圈,根本不需要学习成本,所要只是一个瞬念。币圈黑客已经将触角伸向区块链全产业链。无论是矿池、钱包、交易所还是公链,甚至是用户的打印机、摄像头,都有被黑客袭击的可能。
例如,对于矿池来说,黑客直接攻击矿池,设法获取矿池网站的管理员权限,然后将矿池里额虚拟货币转移至自己帐户。
数字资产交易所安全事件
此外,黑客还能黑进用户的物联网设备,偷设备上的算力,当用户发现设备的耗电量增加、网络流量出现异样,事实上其中是黑客在暗地里挖矿,但用户根本不会发现。就这样,币圈每年上亿美金的虚拟货币流入黑客口袋。
黑白边缘
于晓航发现,自今年年初,开始做区块链或者转型区块链的安全公司多了起来。近日,BYSEC团队也忙于不断见新的投资人。币圈白帽子势力正在扩张。白帽子,即正面的黑客,可以识别计算机系统或网络系统中的安全漏洞,并不去恶意利用,而是公布漏洞。
这是刀锋上的生意。技术的价值在币圈被无限发大。莫良称,在安全人才储备严重不足情况下,很多公司趁火打劫。很多安全公司奔着赚钱来的。莫良透露,在传统互联网行业,代码审计按万行收费,平均一行代码1元至10元,而在区块链行业,代码审计费最高上万元。
区块链,碰撞出技术火花,同时也是一座富饶金矿。区块链行业里的白帽子非常缺乏,因为安全其本身还是一个服务性的东西,跟黑帽的利益驱动相比,白帽更多是发自内心的责任感去做。于晓航称,相对黑帽来说,区块链白帽阵营还是太小了。
与此对照的是源源不断涌入币圈的黑客团队。未来一定会有更多黑客涌入区块链。莫良称,最近耳闻,区块链早已变成黑客眼中最肥的肉。这是一场力量相差悬殊的竞争。
现行的技术和手段,加上区块链去中心化、匿名的特点,黑客的行踪很难被追溯。而法律监管的缺失,更让这群币圈黑客肆意妄为。白帽子却常常陷入误解的疑云。
让莫良最受挫的是大众对黑客认知的缺失。很多区块链公司对黑帽和白帽没有清晰认知,大家都觉得黑客是不分黑白的,只要你找上门就是坏的。事实上白帽被称为道德黑客,完全是出于个人兴趣,很多人在大互联网公司领着百万年薪,但还是愿意不相识公司提出漏洞。
充满悖谬的是,监守自盗在事情经常在安全领域上演。有黑客伪装白帽子,获取内部信息后发起攻击。慢雾科技联合创始人余弦曾表示,自己在招人时第一考虑的是价值观,然后才是其他,在自我约束这方面,我们非常严肃。
守正出奇,余弦称,黑客这个身份,自带奇,但得守正。与此同时,白帽子只有把自己设身为黑客,去模拟攻击,才能发现漏洞。以攻促防,只有了解攻击者的手法与心理还有这个群体的生存模式,才能真正做好防御。余弦介绍。
莫良称,而今很多区块链公司只有运营团队,没有技术团队。莫良觉得成熟的区块链项目应该设有独立的安全部门。这不仅仅是技术层面的事,还是意识层面的。莫良称。意识安全比技术安全还要重要。于晓航也表示认同。
于晓航发现,2014年,BTER交易所发生失窃事件,源于BTERCEO韩林被黑客分析,而其个人密码恰好是BTER交易所里很关键的密码。不论你各个层面的安全防御技术做得再好,如果你人的防御意识出现问题,所有防御都是泡汤的。于晓航介绍。
每个行业的兴起,安全都不会得到重视。被黑客教育很多次后,行业才会重视。所以,这不仅仅是技术的更新,更是意识的迭代。一边是不断涌入币圈的黑客,掌握最顶级的资源,使用最豪华的设备,一边是势单力薄的白帽团队,苦苦挣扎却不被重视。两人争分夺秒竞争,谁发现那个漏洞。现在看来,最后胜利的往往是黑客。
一场相差悬殊的竞赛
没有不被攻击过的交易所。莫良称,绝大多数交易所被攻击后,常常装作维护状态,其实是打破牙齿往肚子里吞。黑客阴霾笼罩每个人头顶。
黑客思维缜密、耐力过人、行动迅捷,无人知晓黑客是单独作战还是团队作业。同时,谁也不知道自己会不会是下一个受难者。据于晓航观察,在门头沟事件发生的三年前,即2011年,黑客早已种下一颗木马。Mt.Gox团队在浏览其他网站时,将木马程序下载至本地,木马程序自动搜索存放钱包密钥的文件。木马悄悄潜伏在Mt.Gox服务器里,导致钱包的密钥文件被攻击者拿到。攻击者十分狡猾,没有立即转走大笔交易,而是用了接近三年时间,将币一点点转出来。当Mt.Gox发现问题时已经晚了,虚拟货币早已不知何处。
区块链2.0时代来临,黑客随之升级了策略。基于以太坊的智能合约有一个很重要的特征——都是公开的。大家在使用之前都能看到该智能合约背后的代码,所以理论上每个人都能确认智能合约有没有发挥应有的作用。这同时也带来一件坏事,智能合约一旦发布就不能修改。所以在发布之前没能做好合约升级,加上上线后很难更新迭代。项目方在上线之后才发现问题,这个时候往往已经晚了——黑客早已对漏洞发起猛烈攻击。
黑客推动一个行业的进步,也足以毁灭一个行业。区块链太脆弱了,于晓航称,如果安全做得不好的话,非常打击人们对新技术的信心。黑客每次大捷过后,又一场狂欢已经开始了。黑客就像非洲的雇佣军,为钱服务。谁有钱就去不断发起进攻。莫良表示。
门头沟事件之后,比特币跌幅逾36%。再出现像门头沟这样的一次黑客攻击足矣让比特币再次萎靡数年。
追逐财富的黑客可不管这些。毕竟,他们还能窜入下一领地或者回到互联网,寻找新的宝地。
本文来源于:深链财经