腾讯安全报告:区块链地下黑客仅半年便获利20亿美元

来源:Bianews2019.06.20

哪里有财富,哪里就有盯着财富的劫匪——这一铁律在区块链世界也一样。随着比特币、山寨币和加密交易所如雨后春笋般的出现,黑客们找到了全新的发财路线。

根据腾讯安全提供的数据显示,与加密数字货币有关的黑客攻击事件,从 2013 年到 2018 年(上半年)直接增加了大约五倍的数量,全年预计增加 10 倍左右,其中仅今年上半年,黑客对加密数字货币的攻击就已经直接造成 20 亿美元的损失。

这其中,交易所需要负责的事件越来越多,一方面是缺乏法律监管带来的黑客肆意妄为,另一方面技术防护体系和监控程度也不如证券交易所和银行,再加上加密数字货币的匿名性所带来的低风险、高回报,数字加密货币行业也成为了黑客刀下的完美肥羊。

区块链也不一定 100% 安全

比特币诞生于 2009 年 1 月,起初的比特币在一群社区的自由信仰者手中度过了其创世期间的最脆弱时期。在 2010 年 5 月初,比特币刚刚获得几美分价值时,这些社区人员便开始宣称:比特币是世界上最安全的货币。

世界之大,也不知道哪个黑客在听说这一说辞后,便和比特币开了一个有史以来最为危险的玩笑。

在 2010 年 8 月 15 日,一名黑客曾在比特币高度为 74,638 的区块上,通过比特币的一个原生 bug 一夜间创造了 1844 亿枚比特币。当然,这名黑客在完成这一壮举后并没有进行后续的攻击动作,让比特币通货膨胀后瘫痪;如果有,那么我们便也见不到今天的比特币。

虽然黑客开完玩笑后,颇为满足的离开了,但这一 bug 却吓坏了当时比特币代码维护团队。比特币社区的首席开发者 Wladimir Van Der Laan 在回忆时直言:「这是有史以来最严重的问题」。

黑客放弃攻击有着许多原因,但其中颇为重要的一点是:2010 年 10 月时的比特币并没有多少价值,其暗网的流通市场还尚未建立,愿意买入和持有的人更是少之又少。如果这名黑客当时采取进一步动作,除了将这个本就没有太多价值的比特币归零外,并不会对这名黑客产生一丁点的利益和好处。

在经历这次和黑客的较量后,比特币在安全方面快速得到了技术人员的修补,比特币社区也在很长一段时间再也没提起「比特币是全世界最安全加密数字货币」的壮大宣言。随后几年黑客对比特币主网攻击均以失败告终,这倒是让一些媒体开始重提「比特币是全世界最安全的加密货币」的言论。

只是,2010 年 10 月的这次交锋,注定不会是黑客与比特币战争的结束,而是仅仅只是这场没有硝烟下战争的开始。

低端黑客也有高利润

比特币虽然安全了,但随着加密数字市场的出现,与之同时诞生的交易所、矿池及各类山寨币、分叉币等却显得如此脆弱,让黑客找到了对加密数字货币财富更好的掠夺方式。

维拉诺瓦大学(Villanova University)金融学助理教授约翰·塞杜诺夫曾表示,「过去几年,比特币和其他加密货币的受欢迎程度和价值都大幅上升。这种快速上升可能使一些交易所措手不及,他们可能没有手头上的资金、时间、甚至没有技术能力来快速提升安全能力以抵御潜在的攻击者」。

任何一个黑客都可以轻松地找到这些简单的漏洞。毕竟,与其攻击比特币区块链,不如利用比特币来获取财富,而这些初出茅庐的交易所,因为本身就没有多少安全防护投入,所以其安全漏洞远比「比特币」要多的多。

一个笔名为 Hacker 的黑客曾在 Steem 的上面介绍自己盗取比特币的经历:

在 2013 年 6 月,我无意间制作的一个比特币钓鱼网站给我发回了几十个交易所的登陆账号信息,出于好奇我登陆一下这些账号,很快就发现这家比特币交易所漏洞百出,我可以毫无阻碍地提走他们所有的比特币。

提币之后,我在 localbitcoins.com 上面出售了这些比特币,那一天我赚了 8000 美元的现金,感觉就像天堂,毕竟那是我四个月的工资。之后,我便毫无抵抗力的爱上了黑客的身份,它远比在办公室敲代码有趣的多。

诸如 Hacker 这类的只针对个人的黑客,在加密数字货币领域还属于黑客中的小玩家。他们大多只通过钓鱼网站、假钱包和键盘记录器等手段来盗取个人用户的私匙来实施盗窃行为。

真正威胁加密数字货币市场的并不是这部分小黑客,而是另一部分数量更少但智商更高的黑客,他们并不屑于通过钓鱼的方式来进行小资金上的犯罪,而是更喜欢通过查找交易所、矿池、以及其他小型 token 的智能合约的漏洞,来对比特币及其它加密数字货币发起掠夺式攻击。

在暗网里,黑客的地位是由他攻击后造成的损失价值或者获利价值来进行衡量的。而比特币及交易所被攻击的新闻,也宛如黑客的身价榜,财富和名誉也在不断吸引着新黑客的跃跃欲试。

交易所漏洞百出

据腾讯安全统计,在 2013 年到 2018 年上半年,加密数字货币市场共发生过 54 起安全事件,其中 10 件重大安全事故都是由黑客的攻击引起的。

2015 年 1 月 4 日,Bitstamp 交易所被黑客入侵,这名黑客在 1 月 4 日晚上至 5 日凌晨的几个小时内,将 19000 个比特币(价值 510 万美元)进行了洗劫,之后几天时间内,比特币价格暴跌 40%。

2016 年 8 月 2 日,黑客根据 Bitfinex 上的一个交易漏洞,在短时间内盗取了用户近 12 万个比特币,价值近 6700 万美金。这一事件,使其当日比特币价格大跌 20%。

2017 年 4 月,韩国交易所 Youbit 近 4000 比特币被盗,同年于 12 月再次遭受黑客攻击损失惨重并申请破产。

2018 年 3 月,币安交易所被黑客攻击。但是因为多重验证的关系,黑客只能通过做空手段去场外套现获益。受此事件影响,比特币暴跌 10%。

除了交易所被攻击,低算力代币也同样容易成为黑客的手中利剑。

2018 年 5 月,比特币黄金(BTG)遭遇 51% 双花攻击,损失 1860 万美元。而颇为可笑的是,为黑客提供算力支持的全球算力最大租借平台 NiceHash,在去年时也曾遭遇黑客洗劫,并被窃取了 7000 万美元的比特币。

区块律动 Blockbeats 发现,每次黑客的出击后都会或多或少的引起比特币下跌。知名互联网人 Caoz 这么说:

「黑客背后也有领导,有决策者,有利益诉求,有价值观,有禁区,有法律和道德的约束」。

比特币期货交易市场的出现,已经让一些比特币作恶基金开始通过雇佣黑客,来实现对比特币价值的操控。尽管这看起来不可接受,但在利益面前,这就是现实。

谁在成为黑客?

黑客似乎是一个颇为「中性」的名词,在 2010 年比特币尚未火爆之时,英格兰北部坎布里亚郡(Cumbria)警队和信息科技安全公司 Tufin 科技对来自伦敦的 1000 个孩子进行了成为黑客意愿的调查。

数据显示,有近四分之一的孩子进行过黑客活动,其中有五分之一的孩子是出于黑客赚钱的初衷去进行的黑客学习。

区块律动 Blockbeats 不知道,这 1000 个孩子中究竟有多少人成为了黑客,成为了后续比特币地下黑客攻击中的一份子,但在绝对的金钱利诱下,大概任何人都有成为地下黑客的潜力。

而地下黑客,作为一个隐藏在普通人背后的犯罪者,即便在这场比特币的战争背后并未直接屠杀任何人,却让不少普通人付出了惊人的代价。

2011 年 6 月 13 日,一位在黑客攻击中损失了 2.5 万枚比特币的用户发了一个求助帖:「我现在想自杀,尝试恢复钱包备份,但一点用都没有。除了跳楼自尽之外,请你们告诉我下一步该怎么做?」。

这个帖子的用户是幸运的,在这个已经拥有 7 年历史,长达 32 页的回复中,他通过发起捐款重新获得了一部分比特币。

然而,在媒体没有注意到的情况下,又有多少损失了资产,又有多少人找回了资产?在牛市的时候,所有人都放松了警惕,也让黑客有了可乘之机,如今进入熊市后,黑客更有动力来进行攻击。

因为安全问题的不断出现,也导致了越来越多的项目开始聘请区块链安全团队来审核代码、对项目进行安全性审查,也带动了不少区块链安全创业团队的出现。对于普通用户来说,应该去选择更安全的交易所和更可信的钱包来存储、使用自己的数字资产。而对于创业团队,无论是交易所还是项目方来说,都需要提高安全意识,保护用户的数字资产安全。

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态