8月7日,腾讯近日发布《2018上半年区块链安全报告》。报告显示,2018年上半年区块链安全共造成27亿美元损失。问题主要集中在3方面,分别是生态安全、区块链项目自身的机制安全以及使用者安全。其中生态安全和机制安全是最主要的两大安全问题,分别造成14.2亿、12.5亿美元的损失。除此之外,报告还指出,截至今年上半年,全球出现过的数字加密货币已经超过1600种,但其中存在大量完全没有实体项目支撑的“空气币”,几乎一文不值。
“安全”似乎永远是一个薛定谔的状态
毕竟一个系统被攻破之前,你永远不知道它是否安全。历史总是重演。就像当年 PC 和移动互联网时代一般,区块链正处在野蛮生长状态,随之伴生的便是安全事件爆发。目前,区块链领域似乎就处于这样的节点:BTG 遭到双花攻击、BEC 智能合约出现重大漏洞;币安遭到黑客攻击,OKex 网站出现漏洞;360 如此大体量的互联网安全公司开始关注一个公链的漏洞,无疑也衬托出区块链和 EOS 网络的巨大影响力。数家安全创业公司在此后宣布获得融资。区块链安全问题似乎瞬间得到了重视。实际上区块链领域的安全问题存在已久。对技术不明所以的吃瓜群众,似乎天然对区块链的安全有着蜜汁自信,认为资产放在链上就不会丢失,但此前曾发生多起交易所私钥被盗案件;也有人鼓吹将私钥放在自己手里最为安全,台面上是更多的个人私钥被盗、丢失等案例。
与数字加密货币有关的安全事件为何影响如此严重呢?产生安全风险的原因在哪儿?腾讯联合安全实验室和知道创宇公司认为,基于区块链加密数字货币引发的安全问题来源于区块链自身机制安全、生态安全和使用者安全三个方面。
上述三方面原因造成的经济损失分别是12.5亿、14.2亿和0.56亿美元。
总的趋势是,随着数字虚拟货币参与者的增加,各种原因导致的安全事件也显著增加。
细分来观察:区块链自身机制安全问题 —— 智能合约的问题 ——理论上存在的51%攻击已成现实区块链生态安全问题—— 交易所被盗(如前所述、触目惊心) ——交易所、矿池、网站被DDoS ——钱包、矿池面临DNS劫持风险(劫持数字虚拟币交易钱包地址的病毒已层出不穷) ——交易所被钓鱼、内鬼、钱包被盗、各种信息泄露、账号被盗等使用者安全问题 ——个人管理的账号和钱包被盗 ——被欺诈、被钓鱼、私钥管理不善,遭遇病毒木马等。
挖矿木马“异军突起”成币圈价值“风向标”
挖矿病毒发展成为2018年传播最广的网络病毒,且挖矿热度往往与币种价格成正比。由于挖矿病毒的控制者可以直接通过出售挖到的数字虚拟货币牟利,挖矿病毒的影响力空前高涨,已经完全取代几年前针对游戏玩家的盗号木马、针对网购用户的交易劫持木马、甚至是用于偷窥受害者家摄像头的远程控制木马。当受害者电脑运行挖矿病毒时,计算机CPU、GPU资源占用会上升,电脑因此变得卡慢,如果是笔记本电脑,会更容易观察到异常:比如电脑发烫、风扇转速增加,电脑噪声因此增加,电脑运行速度也因此变慢。挖矿年年有,但进入2018年以来,PC端挖矿木马以前所未有的速度增长,仅上半年爆出挖矿木马事件45起,比2017年整年爆出的挖矿木马事件都要多。
安全建议
区块链技术,仍是众多互联网公司乃至国有银行系统重点研究的领域。区块链的应用并不等同于数字虚拟货币,安全专家并不鼓励人们炒币,在此对炒币行为不做赘述。对于区块链安全来讲,从系统架构上,建议相关企业与专业区块链安全研究组织合作,及时发现、修复系统漏洞,避免导致严重的大规模资金被盗事件发生;对于参与数字虚拟币交易的网民来讲,应充分了解可能存在的风险,在电脑端、手机端使用安全软件,避免掉进网络钓鱼陷阱,避免数字虚拟币钱包被盗事件发生;对于普通网民而言,应防止电脑中毒成为被人控制的“矿工”,谨慎使用游戏外挂、破解软件、视频网站客户端破解工具,这些软件被人为植入恶意程序的概率较大。同时,安装正规杀毒软件并及时更新升级,当电脑卡顿、温度过热时,使用腾讯电脑管家进行检查,防止电脑被非法控制,造成不必要的损失;对于企业网站、服务器资源的管理者,应部署企业级网络安全防护系统,防止企业服务器被入侵安装挖矿病毒,防止受到勒索病毒侵害。企业网站应防止被黑,及时修补服务器操作系统、应用系统的安全漏洞,避免企业服务器沦为黑客挖矿的工具,同时也避免因服务器被入侵而导致企业网站的访客电脑沦为“矿工”。
