半年黑客盗走20亿美元!你的数字货币,还安全吗?
今年年初,一家日本数字货币交易所 CoinCheck 宣布遭遇黑客攻击,约 4 亿美元的新经币(NEM)被窃;
今年6月,韩国最大比特币交易平台、世界五大比特币交易所之一 Bithumb 被盗市值 3000 万美元的 token;
……
根据腾讯安全发布的《2018上半年区块链安全报告》显示,从 2013 年到 2018 年上半年,加密数字货币市场共发生过 54 起安全事件,其中 10 件重大安全事故由黑客攻击引起。仅今年上半年,黑客攻击导致 20 亿美元损失,区块链领域因安全问题损失超 27 亿美元。
为什么交易所被黑客频频得手?你的数字货币,是否安全?区块链生态系统中哪一环节更容易出问题?硅谷洞察研究院今日就试图分析、还原出一份属于区块链生态的安全图谱。
方式:传统攻击远多于新型攻击
在讨论生态安全之前,不妨先对区块链现有技术架构进行切割。硅谷洞察研究院参考业内现有的安全报告,对标准区块链架构进行简化、调整,大致可分为:底层硬件、基础层、中间层、应用层四个层次。
(区块链技术架构图,版权属于:硅谷洞察)
可以说,这众多环节里,只要稍有不慎,区块链就会受到安全的威胁、攻击。硅谷洞察研究院发现,尽管区块链属于新兴技术行业,但在遭到各类安全攻击当中,传统攻击仍居多。
荷兰应用科学研究组织与新加坡科技设计大学的研究人员曾建立了一个区块链安全事件数据库(Blckchain Insident Database),把导致资产损失的攻击事件定义为“安全事件”。那么,安全事件一共有多少起呢?从 2011 年到 2018 年,共有 86 起。造成的损失有多少呢?至少高达 35.5 亿美元。
硅谷洞察研究这 86 起攻击发现,主要是传统攻击、智能合约攻击和共识协议的攻击,三种攻击所占的比例大约为:66%、22%、12%。
这些传统攻击包括什么呢?最典型的就是黑客攻击,常见还有用户电脑感染木马。
专注区块链生态安全的慢雾安全团队告诉密探,这是因为区块链技术并不是基于完全新的、以往没有出现过的技术打造的,而是组合了各种现有的基础设施,加入新的经济、治理模型,所以传统安全攻击会存在。比如像中心化的交易所、钱包,但背后承载形式其实是 Web 系统、移动 App。所以遭到传统攻击,是不可避免的。
攻击对象:交易所与智能合约是重点
从当前多起区块链安全事件的结果导向来看,这恰好符合业界人士对区块链世界安全问题的共识:“区块链 1.0 时代,重心是在密钥和交易所上,而区块链 2.0 时代的重心则是智能合约。”
先来说说交易所。
卡内基梅隆大学研究人员发现,从 2010 年至 2015 年间建立的 80 家交易所当中,有近一半(38家)已经关闭。其中 25 家交易所遭遇安全漏洞,其中 15 个随后关闭。对于交易所而言,在遭遇安全漏洞后同一季度关闭的可能性比没有遭遇安全漏洞的交易所,概率高出 13 倍。
如今对交易所的攻击方式有哪些呢?根据《区块链安全生存指南》中统计,主要有下面四种方式:服务器被攻击、主机安全问题、恶意程序感染、DDoS 攻击。
比如韩国交易所Youbit(原Yapizon)被盗事件,就是在交易所服务器上发现了恶意软件,这被认为是朝鲜黑客组织 Lazarus 发起的。
密探此前介绍过“比特币第一疑案”——门头沟交易所被盗事件。门头沟共发生了两次被盗,第一次在 2011 年,由于门头沟审计人员所使用的一台电脑权限被攻击导致;第二次是遭到恶意程序感染,共损失 75 万个比特币和门头沟自己的 10 万个比特币,当时这批比特币总价值约 4.5 亿美元,按今天币价来看,将近 50 亿美元!第二次攻击事件也直接导致了门头沟交易所的破产。
说完钱包和交易所,我们来看看智能合约。
新加坡国立大学研究人员 Loi Luu和研究团队曾对以太坊智能合约的潜在安全进行长期检测,他们用开源安全分析程序 Oyente 检测后发现,19366 个以太坊智能合约中,有 8833 个是有缺陷的。这意味着接近一半的智能合约是有潜在安全隐患的。
香港理工大学博士生李晓琦和研究团队曾就区块链安全发表了多篇论文,李晓琦告诉硅谷洞察研究院,“很多代币被黑客进行攻击,就是利用了合约漏洞,大都是代码层面的逻辑漏洞”,而智能合约在代码层面遭到攻击,人为因素在其中起到了重要作用。比如在写代码的过程中,一些智能合约的开发没有得到充分优化,从而导致浪费以太币、消耗过多的 Gas,甚至引起对用户节点造成 DDoS 攻击等风险。
也就是说,即使是针对智能合约或交易所发动的攻击,哪怕在中间层——智能合约代码层面的问题,也可能影响到底层节点。对再去中心化的区块链而言,安全也是“牵一发而动全身”。
慢雾安全团队认为,确实会频繁听到关于智能合约的攻击事件,但并不是说只有这些层才有漏洞,而是因为某些层的研究门槛较低,所以才会频繁听到关于这方面的攻击事件。区块链技术的每一层都有独特的攻击面,由于设计逻辑和承载形式不同,针对每一层的攻击都需要深入分析其底层或者说内部原理,挖掘设计或实现上的缺陷。
(图片来自网络,版权属于原作者)
硅谷洞察研究院根据区块链现有常见的安全漏洞,总结出了下表:
区块链不同技术层常见攻击
(版权属于:硅谷洞察)
现有解决方案:学界业界有共性
针对现有的安全问题,学界和业界提出了什么解决方案呢?
据香港理工大学博士生李晓琦介绍,计算机学术界对区块链行业的敏感度很高,因为数据存储、点对点传输、区块链共识机制、加密算法,乃至安全问题,都是计算机技术的集成应用。如今,不少高校研究团队,已针对现有安全问题,提出了相应解决方案:
比如新加坡国立大学研究人员 Loi Luu,在博士生期间提出两个开源项目。一个是针对区块链共识机制的 51% 算力威胁,提出去中心化挖矿协议——SmartPool ,另一个是前面提到的 Oyente——帮助开发者在主网部署合约之前检查智能合约漏洞的软件。Oyente 创始团队告诉密探,目前 Oyente 仍在多家区块链创业公司中使用。
荷兰与新加坡的研究人员则认为,要想减少智能合约的安全隐患,对智能合约的验证和测试则很重要,而且必须纳入智能合约的设计环节当中。因为,智能合约并不像传统的代码可以修补、迭代,相反,一旦部署到链上,是不可逆转的。当检测到漏洞时,必须部署新的智能合约来修复它。
该研究人员提出以下四种方式,作为验证和测试的工具:第一,完善测试文档,让安全测试流程标准化;第二,模糊(Fuzzing)智能合约的输入;第三,为智能合约开发变异工具;第四,搜索区块链已经部署智能合约的痕迹。
如今,市场上的创业公司针对智能合约安全问题,主要有三种方式检验,第一是测试,第二是审计,第三是形式化验证。简单说,测试依靠程序自动跑,审计靠专家的专业知识去审核,形式化验证靠的是数学方法。
在慢雾安全团队看来,学界和业界具有众多共性,比如针对智能合约,形式化验证和自动化模糊测试,是目前业界不少团队在做的,而前面学界提出的解决方式之一,就有模糊测试。
无论是交易所,还是钱包,或者是Dapp,背后都站着广大的用户。去中心化通证交易平台 Kyber Network 则建议,从用户角度来看,特别是刚刚进入行业的非技术型用户,并不都具有阅读智能合约并判断 Dapp 真正目的的能力,所以应先从保管好自己的密钥/资产安全做起。
进行过数字货币交易的用户应该知道,数字钱包的密钥多半是一串没有任何规律的字母和数字组成,用户为了方便,通常把它保存在一个剪贴簿,当需要使用时再复制粘贴。但是,一旦自己电脑感染木马,则有可能被黑客追踪剪贴簿的地址,数字钱包就有可能被盗了。
(图片来自网络,版权属于原作者)
慢雾安全团队还建议,用户只参与通过专业安全审计机构把关的 DApp 或游戏,并且要求项目方将代码开源,杜绝后门或漏洞。
趋势:市场大,机会多,门槛高
按照腾讯安全发布的《2018上半年区块链安全报告》来看,区块链领域因安全问题损失超27亿美元,也就意味着,安全市场存在着巨大需求,因为它贯穿于区块链技术的每一个环节。
但硅谷洞察研究院发现,无论是 PitchBook 还是 CB Insight 的数据库,对区块链创业公司的类别划分中,安全并未单独成为一类,而把其跟身份认证、监管、数据储存等归位一类。慢雾安全团队认为,在任何行业发展过程中,安全一般是滞后的。在区块链行业不断发展的过程中,会伴随着安全事件的发生,给行业从业者带来警醒作用。
(截图自PitchBook 2018第三季度融资报告)
研究 PitchBook 2018年第三季度融资区块链公司发现,属于安全类别中的初创公司主要专注于交易安全,比如做比特币安全钱包的公司 Xapo 和硬件钱包公司 Ledger。Filament 和 Post-Quantum 则分别关注物联网与区块链的结合,以及区块链网络通讯安全。可见,对于区块链安全领域的创业,参与者并不多,市场很大,机会也很多。
分析 PitchBook 这几家公司可以发现,像 Xapo,成立于2012年,为用户提供在线比特币钱包、离线冷储存和基于比特币的借记卡三种服务。至今总融资额已高达4000万美元。投资人当中,就有领英创始人 Reid Hoffman、Max Levchin 等硅谷大佬。
(Greylock Partners 宣布投资Xapo)
同样做钱包的 Ledger,成立于2014年,如今总融资额高达 8500 万美元,最新一轮融资额高达7500万美元。
除了钱包公司屡获高额融资之外,交易所也瞄准了钱包。
就在 8 月,按交易量计算,全球最大加密货币交易所Binance(币安),对外第一笔收购就是移动钱包公司Trust Wallet。Trust Wallet 作为一款去中心化的加密钱包,目前主要专注于为基于以太坊区块链的数字代币提供安全存储服务,用户的私钥或其他隐私信息并不会保存在该公司的服务器上。
慢雾安全团队认为,这恰好意味着安全逐渐成为区块链的刚需,行业渴望数字资产的安全感。
但是,参与者少,融资额高,并不意味着参与者可以随时进入。总的来说,针对区块链安全生态的创业公司并不多,这是由区块链安全创业的高门槛决定的。慢雾安全团队认为,第一,是安全攻防实战经验的门槛,第二是要有区块链技术门槛。更重要的是,要守正出奇,需要创业者站在攻击者的视角去思考问题。
“你的对手是地下黑客,是亡灵军团,他们往往在暗处,他们毫不留情地收割。你得快,才能保护好用户。安全需要:唯快不破”。慢雾安全团队负责人告诉硅谷洞察研究院。
在安全事件频发的区块链领域,你持有的数字货币被盗过吗?大家又遭遇过什么安全事件?