2019年區(qū)塊鏈行業(yè)的安全狀況回顧分析

縱觀過去一年區(qū)塊鏈行業(yè)的安全狀況，幾乎每個(gè)月都有較大的安全事件爆發(fā)，價(jià)值超百億的鏈上資產(chǎn)被作惡者以不同的方式竊取，主要類型包括公鏈底層代碼缺陷、DApp合約代碼缺陷、私鑰被竊、攜款跑路等。

隨著加密資產(chǎn)在全球金融體系擁有越來(lái)越重要的地位，必然會(huì)吸引更多黑客的矚目，區(qū)塊鏈項(xiàng)目面臨的安全攻防戰(zhàn)將越來(lái)越頻繁與困難，但這對(duì)行業(yè)而言也是契機(jī)。

2019年對(duì)區(qū)塊鏈行業(yè)而言是頗具意義的一年，眾多政府與企業(yè)巨頭都開始向區(qū)塊鏈技術(shù)投向更多的注意力與資源，為未來(lái)區(qū)塊鏈技術(shù)在更多場(chǎng)景的實(shí)際應(yīng)用營(yíng)造出相對(duì)友好的環(huán)境。

不過在真正邁向大規(guī)模應(yīng)用前，區(qū)塊鏈行業(yè)仍有許多現(xiàn)實(shí)問題需要探討與解決，其中包括安全問題。作為一項(xiàng)志在挑戰(zhàn)現(xiàn)有金融行業(yè)的新興產(chǎn)業(yè)，區(qū)塊鏈行業(yè)的安全性尤其是影響自身前景最重要的因素之一，如果在安全問題上有所疏忽怠慢，未來(lái)很可能遲早會(huì)出現(xiàn)引起行業(yè)出現(xiàn)短期崩盤的事件。

縱觀過去一年區(qū)塊鏈行業(yè)的安全狀況，幾乎每個(gè)月都有較大的安全事件爆發(fā)，價(jià)值超數(shù)百億元的鏈上資產(chǎn)被黑客或作惡者以不同的方式竊取，主要類型包括公鏈底層代碼缺陷、DApp合約代碼缺陷、私鑰被竊、攜款跑路等。

先是在去年1月5日，以太坊經(jīng)典遭遇多次51%算力攻擊，8.8萬(wàn)枚ETC被用于雙花。同期，EOS、波場(chǎng)上諸多菠菜類DApp游戲由于合約代碼安全性薄弱， 開始頻繁遭到黑客的重放攻擊、隨機(jī)數(shù)攻擊、阻塞攻擊等，此后全年都在持續(xù)不斷地發(fā)生，致使合約開發(fā)者及用戶遭受巨大損失，例如波場(chǎng)BTTBank游戲合約被盜1.8億個(gè)BTT、EOS應(yīng)用EOSDice被盜數(shù)萬(wàn)EOS、Poker EOS被盜2萬(wàn)多個(gè)EOS。根據(jù)成都鏈安的統(tǒng)計(jì)，區(qū)塊鏈行業(yè)19年發(fā)生智能合約漏洞事件超百起，被黑總損失超1000萬(wàn)美元。

在19年3月，DragonEx、Bithumb、Biki等多家交易所出現(xiàn)資產(chǎn)被盜，其中DragonEx 總共損失價(jià)值超過 600萬(wàn)美元的數(shù)字資產(chǎn)，被盜原因系該交易所客服從陌生人處獲取并打開了一個(gè)捆綁后門的安裝包，黑客通過該后門獲取內(nèi)部人員權(quán)限滲透進(jìn)內(nèi)網(wǎng)進(jìn)而成功獲取數(shù)字貨幣錢包私鑰，Bithumb則是由于被裁員工「動(dòng)手腳」被盜價(jià)值超過1800萬(wàn)美元的EOS資產(chǎn)。

19年5月，幣安由于安全漏洞被黑客利用網(wǎng)絡(luò)釣魚、病毒等攻擊手段，從幣安熱錢包中盜取7000枚比特幣，總損失達(dá)到4100萬(wàn)美金。而在18年，幣安已經(jīng)出現(xiàn)由API接口被黑導(dǎo)致的安全問題，黑客利用幣安用戶資產(chǎn)大幅拉升SYS、VIA等小幣種的價(jià)格，實(shí)現(xiàn)在其他交易所出貨套利的目的。

在此后的6-7月，Plustoken錢包、波點(diǎn)錢包、MGC錢包等錢包項(xiàng)目陸續(xù)出現(xiàn)攜款跑路的新聞，此前這些錢包利用高額利息吸引投資者將大量資產(chǎn)儲(chǔ)存在己處，但事發(fā)后投資者儲(chǔ)存的資產(chǎn)幾乎全部無(wú)法取出，其中Plustoken錢包涉案金額據(jù)稱高達(dá)上百億，雖然此后部分涉案人員被警方抓捕，但卷走的加密資產(chǎn)疑似都未能追回。

8-9月，比特幣錢包Electrum兩次遭黑客釣魚攻擊，據(jù)多方統(tǒng)計(jì)偽造Electrum升級(jí)提示的釣魚攻擊已盜竊至少1450枚BTC，當(dāng)時(shí)價(jià)值1160萬(wàn)美元。11月，韓國(guó)知名交易所Upbit交易所遭到黑客攻擊，34.3萬(wàn)個(gè)ETH被盜走，當(dāng)時(shí)價(jià)值約5000萬(wàn)美元。

12月，多個(gè)公鏈項(xiàng)目遭遇資產(chǎn)被盜的尷尬，先是唯鏈在14號(hào)宣布遭遇黑客攻擊，被盜走11億枚VET代幣，價(jià)值 640萬(wàn)美元；20日，NULS公鏈官方賬戶由于鏈底層代碼缺陷被盜200萬(wàn)NULS代幣，損失超過50萬(wàn)美元。尷尬的是，此前兩者都曾表示代碼已經(jīng)過第三方代碼安全審計(jì)。

同月，公鏈 IOTA 主網(wǎng)出現(xiàn)共識(shí)分裂而無(wú)法更新的情況，TPS 一度接近 0。Vertcoin則遭受了51％攻擊，攻擊者成功利用自己的553個(gè)區(qū)塊替代了603個(gè)VTC主鏈區(qū)塊，致使項(xiàng)目損失10萬(wàn)美元。

從前述概括不難看出，19年的區(qū)塊鏈行業(yè)不斷在上演各類安全事故，其中不乏多家知名交易所，暴露出許多區(qū)塊鏈企業(yè)與項(xiàng)目在加密資產(chǎn)存儲(chǔ)、底層架構(gòu)開發(fā)層面存在嚴(yán)峻的問題。

不過好消息在于，這些安全事件幾乎都沒有對(duì)對(duì)區(qū)塊鏈行業(yè)造成整體性威脅，比特幣、以太坊等主流區(qū)塊鏈網(wǎng)絡(luò)運(yùn)行也較為穩(wěn)定，稱得上重大威脅的事件可能只有一件，即谷歌在今年9月宣稱實(shí)現(xiàn)「量子霸權(quán)」。

根據(jù)分析，量子計(jì)算機(jī)由于運(yùn)用量子疊加原理，在增大信息容量、提高運(yùn)算速度、確保信息安全等方面都將突破現(xiàn)有傳統(tǒng)信息系統(tǒng)的極限，其運(yùn)算速度可以達(dá)到傳統(tǒng)電腦的「數(shù)億倍」。據(jù)報(bào)道，谷歌量子計(jì)算機(jī)Sycamore完成特定計(jì)算任務(wù)的時(shí)間為3分20秒，當(dāng)前世界上最快的超級(jí)計(jì)算機(jī)則需要1萬(wàn)年。

由此，許多聲音認(rèn)為支撐區(qū)塊鏈技術(shù)的橢圓曲線加密算法將很容易被量子計(jì)算攻破，并使得區(qū)塊鏈的公私鑰機(jī)制不再能有效保護(hù)用戶資產(chǎn)，進(jìn)而當(dāng)前區(qū)塊鏈所規(guī)劃出的技術(shù)發(fā)展藍(lán)圖都將被量子計(jì)算摧毀。

但很快有行業(yè)人士指出谷歌的聲明并不靠譜，趙東就表示量子計(jì)算機(jī)要破解比特幣的橢圓曲線算法，需要操作十萬(wàn)以上的量子比特?cái)?shù)才有可能，目前谷歌的量子計(jì)算機(jī)可以操作幾十個(gè)，而技術(shù)難度則隨著操作數(shù)2的冪級(jí)上升，故而量子計(jì)算機(jī)離攻破比特幣加密算法仍有很長(zhǎng)時(shí)間。

但不得不承認(rèn)的是，量子計(jì)算如同于區(qū)塊鏈行業(yè)的「達(dá)摩克利斯之劍」，始終是個(gè)懸在頭上的潛在威脅，這意味著具有「量子抗性」的區(qū)塊鏈與加密算法未來(lái)會(huì)具有顯著需求，需要行業(yè)人士盡快加以突破。

相比遙遠(yuǎn)的量子計(jì)算，更現(xiàn)實(shí)、更緊迫的問題還是在于公鏈與交易所在合約、協(xié)議、節(jié)點(diǎn)等層面的安全，一方面要更好地保障資產(chǎn)安全，另一方面要更好地保障DApp服務(wù)的穩(wěn)定，提升公眾對(duì)區(qū)塊鏈技術(shù)安全性的信心。

面對(duì)這些安全事故，解決方案無(wú)外乎兩種路徑，一種是事先預(yù)防，各方面都需要總結(jié)經(jīng)驗(yàn)不斷完善潛在漏洞，例如不要為了追求新概念、新模式刻意改造行業(yè)成熟算法、架構(gòu)，盡量使用學(xué)術(shù)界證明過的算法或者已經(jīng)廣泛工程校驗(yàn)過的代碼庫(kù)；推動(dòng)制定加密資產(chǎn)儲(chǔ)存的行業(yè)標(biāo)準(zhǔn)，不合條件者應(yīng)與第三方資產(chǎn)托管服務(wù)商合作；加強(qiáng)對(duì)日常運(yùn)營(yíng)中對(duì)敏感崗位人員電子設(shè)備的安全管理，進(jìn)一步規(guī)范資產(chǎn)存儲(chǔ)流程。

同時(shí)，區(qū)塊鏈項(xiàng)目也要充分利用外部力量，加強(qiáng)底層代碼的審計(jì)。慢霧科技亦指出，區(qū)塊鏈項(xiàng)目應(yīng)當(dāng)針對(duì)安全漏洞發(fā)布賞金計(jì)劃，當(dāng)黑客發(fā)現(xiàn)安全問題時(shí)有一個(gè)反饋的渠道，如果沒有這樣的一個(gè)渠道黑客會(huì)更傾向于利用漏洞攻擊公鏈，而不是想辦法去聯(lián)系項(xiàng)目方反饋問題。

另一類路徑則是事后補(bǔ)救，聯(lián)合行業(yè)多方凍結(jié)、追回資產(chǎn)，通過壓縮黑客的變現(xiàn)空間來(lái)擠壓黑客的攻擊動(dòng)機(jī)。由于區(qū)塊鏈鏈上資產(chǎn)的所有流轉(zhuǎn)信息都是可追溯的，黑客竊取的資產(chǎn)地址在被失竊方公開后，交易所等方面將很容易鎖定數(shù)字資產(chǎn)并進(jìn)行鏈上流向梳理和分析，在黑客轉(zhuǎn)入資產(chǎn)后進(jìn)行凍結(jié)。

例如在今年3月韓國(guó)Bithumb交易所被盜價(jià)值約1800萬(wàn)美元的加密資產(chǎn)后，立即向具有合作關(guān)系的交易所以及警方說(shuō)明情況并保持溝通，此后火幣、KuCoin、ChangeNOW等多家交易所都將涉及Bithumb被盜地址的資產(chǎn)進(jìn)行凍結(jié)，ChangeNOW進(jìn)一步表示已經(jīng)根據(jù)執(zhí)法機(jī)關(guān)的指示將這些被盜資產(chǎn)存入一個(gè)安全的冷錢包。雖然此次Bithumb沒有公布追回資產(chǎn)價(jià)值，但在18年6月的被盜事件中，Bithumb曾公布價(jià)值3100萬(wàn)美元的被盜資產(chǎn)已被追回1400萬(wàn)美元。

雖然其他被盜交易所很少公開此類信息，但由Bithumb的案例不難推斷出，多數(shù)主流交易所針對(duì)資產(chǎn)被盜問題已經(jīng)達(dá)成合作共識(shí)與實(shí)質(zhì)聯(lián)系， 這將使得黑客所竊取資產(chǎn)的可套現(xiàn)渠道受到相對(duì)嚴(yán)密的管控，但如若黑客不將所竊資產(chǎn)轉(zhuǎn)入中心化交易所，外界在多數(shù)情況下仍然無(wú)可奈何，且隨著DiFi行業(yè)的進(jìn)一步發(fā)展，黑客亦可能通過抵押、去中心交易等方式獲得更多變現(xiàn)渠道。

可預(yù)期的解決方法在于硬分叉，公鏈團(tuán)隊(duì)可以號(hào)召所有節(jié)點(diǎn)共同對(duì)主網(wǎng)升級(jí)并實(shí)施硬分叉，進(jìn)而使得被盜資產(chǎn)「失效」，例如今年12月NULS在團(tuán)隊(duì)賬戶超過360萬(wàn)元的資產(chǎn)被盜后，即通知各節(jié)點(diǎn)進(jìn)行升級(jí)并硬分叉，未被轉(zhuǎn)入交易所的剩余資產(chǎn)不再受到新鏈認(rèn)可，為自身挽回超過270萬(wàn)元的損失。在更早的2016年，以太坊也曾由于The DAO項(xiàng)目資產(chǎn)被盜問題實(shí)施過硬分叉。

不過，目前還沒有過某條公鏈由于交易所資產(chǎn)失竊而進(jìn)行硬分叉的先例， 今年趙長(zhǎng)鵬在幣安被盜7000個(gè)BTC時(shí)曾發(fā)文表示，幣安會(huì)考慮區(qū)塊重組/交易回滾等方式恢復(fù)被盜金額，卻引起行業(yè)軒然大波與一致反對(duì)，可見區(qū)塊鏈的分叉與回滾在資產(chǎn)失竊場(chǎng)景中并不太適用。

總的來(lái)看，隨著加密資產(chǎn)在全球金融體系擁有越來(lái)越重要的地位，必然會(huì)吸引更多黑客的矚目，區(qū)塊鏈項(xiàng)目面臨的安全攻防戰(zhàn)將越來(lái)越頻繁與困難，但這對(duì)行業(yè)而言也是不錯(cuò)的契機(jī)，以更高的要求與投入在全球技術(shù)領(lǐng)域證明自身的可靠度與安全性。