歡迎來到上海仝薪網絡科技有限公司官網,上海網站建設公司上海網站制作公司微信網站上海競價托管公司
咨詢,就免費贈送域名與服務器,咨詢熱線:13761675098當前位置: 競價外包 > 建站知識 > 網站建設知識 >
聯系我們
電話咨詢:13761675098
E-mail:[email protected]
地址: 上海市金園一路1118弄

跟一個搞網絡安全的聊完數字貨幣,我喝了口茶壓壓驚

作者/整理:admin 來源:互聯網 2018-03-23

文章來源:淺黑科技

前幾天,我去找到 360 信息安全中心的Sherlock(網名),向他求教數字貨幣相關的網絡安全態勢,卻一上來就聽了個奇葩故事:

2017 年 7 月的某一天,老武坐在派出所錄口供,手心全是汗。

他做夢也沒想到,自己旅了游回來,數字錢包里的 186 個比特幣竟全部消失。

當時比特幣才 1 萬 2 一枚,算起來值兩百多萬元。(放到現在值一千多萬元)

“是黑客干的?”

老武細細一回想,覺得事有蹊蹺。

幾個月前,他被朋友拉進一個比特幣投資的微信群,一來二去認識了群主。

群主是個熱心腸,經常告誡大家要注意投資風險,還提醒大家注意比特幣安全,告訴大家不要把所有的錢都放在交易所,要存到“比特幣錢包”才最安全。

這天,群主給老武發來一個比特幣錢包軟件,告訴他,比特幣放在數字錢包最安全。

老武一看,確實是某知名比特幣錢包的安裝包,就按群主指導一步步操作,把自己的 186 個比特幣轉了進去。

641

(當時群主和老武的聊天記錄)

幾天后,老武的 186 個比特幣全部丟失。

他當即找群主老戴質問,對方卻做出一個驚人的舉動:

他說,自己只是好心推薦軟件,比特幣被盜可能是因為老武自己泄露了錢包密碼。

不過,

畢竟是自己推薦老武用的錢包軟件,現在幣丟了自己也有部分責任,賠老武 12 萬元算是認倒霉。

說完,群主真的轉給老武 12 萬塊錢。

641-1

(當時的聊天轉賬記錄)

“一個素未謀面的人這么輕易就轉給我十幾萬塊錢?”

老武斷定,這事兒多半跟這個群主有關。

……

……

……

幾個月后,警方沖入群主戴某的住所,發現幾十張銀行卡和多臺筆記本電腦。在其中一臺電腦里發現了和老武用的那款比特幣錢包軟件,以及一個盜號用的腳本。

641-2

641-3

原來,群主在對錢包軟件安裝包里植入了盜號腳本。那 186 個比特幣,正是通過這個后門,進了群主的口袋……

講完,Sherlock 告訴我,這是央視報道過的真實案件。

他說:

“不少人以為區塊鏈去中心化、不可篡改就能絕對安全,完全不懼怕黑客。但其實區塊鏈從底層代碼到最終應用,可能涉及到很多方面,比如智能合約、錢包、交易所等等,這些地方都可能成為黑客的攻擊面。”

這就好比,有人把機械門鎖換成指紋鎖就以為自己的財產很安全,可其實小偷照樣有辦法復制指紋,甚至完全不管門鎖,直接拆門進來,或破墻而入,或跳窗戶進來……方法多得很。

區塊鏈會帶來哪些新的安全態勢?

我和Sherlock進行了一次詳談,他從底層代碼安全、數字錢包安全、數字貨幣交易所安全、新型套利方案等幾個方面向我梳理了自己對于區塊鏈一些理解,在此呈現給各位淺友們:

641-4

Sherlock,奇虎 360 信息安全研究員, 2015 年接觸數字貨幣,對區塊鏈和數字貨幣安全頗有見解。

一、數字貨幣區塊鏈底層代碼未必安全

“數字貨幣區塊鏈底層代碼也未必安全。”Sherlock向我回顧了區塊鏈發展史上的一次重大丑聞:

2016 年 6 月,加密貨幣和區塊鏈社區發生了一次大地震, 世界上最大最知名的眾籌項目the DAO 遭黑客攻擊,價值 6 千萬美元的以太幣被盜!

調查原因,竟是 the DAO 編寫的智能合約代碼不夠嚴謹,里面有兩個函數漏洞,能讓攻擊者不斷從項?資產池中偷取資產。

為了解決TheDAO大量資金被盜的問題,以太坊官方還推出了針對TheDAO的軟分叉版本Gethv1.4.8,增加了一些規則以鎖定黑客控制的以太幣。

可是,眼看著絕大多數礦工都升級了這個版本的軟件,軟分叉要大功告成時。由于時間倉促等原因,眾多大牛編寫出來的軟分叉版本居然又有一個明顯漏洞!這個漏洞能讓黑客零成本搞垮整個項目。

因為那次事件,以太坊社區發生了巨大分歧,一派人認為應該把項目回滾到黑客攻擊之前的狀態,另一派人則覺得回滾不符合區塊鏈“去中心化、不可篡改”的核心精神,不同意回滾。

最終,兩派通過投票徹底“決裂”,以太坊便硬分叉成了“以太經典”和“以太坊”,如同宇宙瞬間分裂成兩個一模一樣的平行世界各自運行。

641-5

“可是誰能確保修復后的代碼沒有新漏洞呢?只要是人寫的代碼就可能有漏洞。”Sherlock說,不少人迷信區塊鏈底層代碼是安全的,這種想法本身就很危險!

對區塊鏈有所了解的人,相信都聽說過51%攻擊:只要控制一個區塊鏈上51%的算力,就能對鏈上的交易任意數據進行篡改。

以往,人們之所以相信區塊鏈是不可篡改的,就是堅信51%攻擊不可能發生,因為同時控制51%所需要的資源成本太高。

“可是,只要理論上來說可能,我們就不能不堤防!”

二、“李笑來們”很危險!

網絡安全行業有個常見名詞叫 APT —— 高級持續性攻擊,意思是黑客長時間(幾個月甚至幾年)盯著某個目標,尋找各種突破口,甚至靜心布置一個巨大的騙局。

由于實施成本太高,這種攻擊形式以往只發生在國家和國家之間,或者大型組織之間。

“數字貨幣出現后,APT組織很可能把目標轉向“數字貨幣大戶”,目標從一系列大型設備轉向個人電腦。”

原因很簡單,因為他們的數字貨幣資產足夠值錢,個人目標相比有專業風控的大型組織更容易攻破,數字貨幣被盜后溯源難。

“以往人們把錢存在中心化的銀行,即便被偷被騙也比較容易追溯,畢竟銀行賬戶都有實名認證,可是數字貨幣一旦被騙就很難找回。

由于國家不承認數字貨幣的價值,有時甚至報警立案都會遇到一些困難。

數字貨幣的最大特點是去中心化,不可篡改,而這兩點恰恰讓數字貨幣持有者成了黑客最好的攻擊目標。去中心化意味著出的監管難度高,不可篡改意味著錢一旦被騙走,交易就不可能回退。

黑客為了盜走你的數字貨幣,可能盯上你家里、辦公室的 WiFi 網絡,黑進你的個人電腦,或者量身定制一套釣魚方案。

甚至,他們很可能設下一個巨大的騙局,利用社交關系靠近你,成為你的“朋友”,潛伏在你身邊好幾個月再行動!文章開頭的案例就是如此。

我問道:“李笑來曾經聲稱自己是比特幣首富,號稱擁有六位數的比特幣,算起來值十幾億,所以他很可能已經成為APT的目標咯?”

“當然有可能。”

641-6

三、錢包都不安全,錢還能安全嗎?

“黑客想盜走數字貨幣,數字錢包是一個很重要的攻擊面。”Sherlock說。

數字錢包是用來存儲數字貨幣的軟件載體,完全脫離網絡存儲私鑰的叫“冷錢包”,把私鑰托管在網上的叫“熱錢包”。

圍繞數字錢包,黑客可以大搞名堂。

當你想用數字錢包,多半就得下載軟件,而數字錢包從設計、發布,最后通過各種復雜的網絡傳輸來到你的電腦或者手機,中間要經過很多道流程,跨過千山萬水,但凡其中某個流程出現問題,你都有可能中招。

比如:

你是否通過正規官方渠道下載錢包軟件?從第三方軟件平臺下載時,會不會下載到帶有盜號后門的?

即便是在官方網站下載,如果你所處的WiFi 網絡環境被黑,會不會被劫持到黑客的下載地址?

即便你的網絡環境沒問題,軟件官網的下載地址會不會早已被黑客黑掉,改成帶有盜號后門的軟件?

即便流程都沒問題,數字錢包的產品設計本身是否可靠?廠商是否為了滿足易用性而犧牲安全性?廠商是否安全地存儲用戶的私鑰?

……

……

……

單就一個數字錢包,黑客就有那么多攻擊面,你還覺得上了區塊鏈就是安全的嗎?

“你也有數字貨幣資產吧?,既然用個數字錢包都這么危險?你作為一個天天跟黑客打交道的安全從業者,是怎么做的呢?” 我反問他。

他說:

“一方面,確認錢包本身的安全性,比如下載軟件后做個哈希值校驗,另一方面也要合理存儲。我的資產不多,一部分在交易所,一部分在熱錢包,一部分在冷錢包。雞蛋不要放在同一個籃子里,這是最基本也最容易做到的。”

我又問他,“自己用錢包保管數字貨幣不放心,托管在交易所總沒問題了吧?”

他笑著說,未必。

四、數字貨幣交易所也未必安全

Sherlock給我曬出一組數據:

2014 年 2 月,當時世界最大的比特幣交易所 Mt.Gox被盜 85 萬個比特幣。后來,Mt.Gox 被曝出其實是監守自盜,真正被外盜的比特幣只有 7000 個。

2016 年 8 月,最大的美元比特幣交易平臺 Bitfinex 出現漏洞, 12 萬比特幣被盜,當時價值 6500 萬美元,如果換算成 2017 年 12 月的價格,價值近 20 億美元。

2017 年 12 月,韓國YouBit交易所被黑客攻擊,損失 4000 個比特幣,交易所宣布破產。

2017 年 12 月 21 日,網傳烏克蘭Liqui交易所被盜 6 萬個比特幣,比特幣單價瞬間暴跌 2000 美元。

2018 年 3 月 7 日,幣安交易所出現大量用戶賬號被盜,黑客控制的資產價值超過 1 億美元。甚至還有人傳言黑客利用了金融知識影響數字貨幣價格來間接獲利,導致不少數字貨幣價格暴跌。(可參考文章:《差點盜走十多億,做空比特幣又獲利幾十億?黑客這一波到底干了什么?》)

“類似戲碼一定還會上演。” 他說,

“數字貨幣交易市場這幾年的發展勢頭太快,而且相互競爭激烈,這種情況下安全技術、人力方面投入的速度未必跟得上自身需求增長的速度,必然會導致一些問題。

他說,以最近發生在幣安交易所的安全事件為例,其實幣安的風控措施相較以往發生過安全事故的其他交易所,已經所有提升。

在黑客提幣時利用大數據風控阻止了提幣操作,此前發生過的黑客事件,基本發生的交易所安全事件大多黑客直接提幣走人。

所以,他建議大家盡量使用知名的、大型的交易所,不要把資產放在小型、不知名的交易所,因為黑客也會挑軟柿子捏。

“一般來說,大的交易所通常安全風控手段相對完善,黑客不容易攻入,這時黑客很可能轉而攻擊小型交易所。

甚至,他們還會專挑一些沒有牌照的非法交易所攻擊,這樣即便被發現,交易所也不受法律保護。

比如黑客很可能跑去攻擊孟加拉國之類小國家的交易所,一方面因為那里本來就認定數字貨幣非法。另一方面跨國管制不便,也讓黑客更肆意妄為。”

五、利用明星效應的釣魚攻擊

如果說 APT 攻擊和交易所安全離普通人太遠,下面這種攻擊手法就發生在我們身邊。

前陣子,有人專門在一些知名人物的社交賬號底下頭像和名字設置成和名人一模一樣的頭像,發布一些虛假的信息,聲稱只要在某個數字貨幣地址轉入一定數額的幣,就能得到 10 倍的回饋。(詳見:《我中本聰,打錢》)

641-7

這就好比大街上有人對你說,“你給我 10 塊錢吧,我會立刻返給你 100 塊。” 就這樣顯而易見的詐騙信息,經統計,短短幾天之內竟能騙到價值幾十萬的數字貨幣。

為什么看起來如此愚蠢的騙術,也有人上當受騙?

Sherlock說,“這就是騙子們廣撒網的策略了,由于明星的粉絲很多,這種方式投放詐騙信息可以獲得大量展示。幾千個人里難免有那么幾個剛睡醒,腦子不太清醒的人。”

最后,由于這類詐騙信息實在太多,不少名人被迫把網名都改了:

641-8

(幣安創始人趙鵬_不送幣版)

641-9

(V_不送幣_神)

類似的詐騙到了國內還有一種進階版,Sherlock又給我安利了一個真實案例:

一個叫“王團長”在微信群里向群友募集私募“韭菜基金”。

這天半夜,“王團長”忽然在群里發話:“基金募集明天就截止了,請大家趕緊打幣到地址XXXXXXX。”

于是,就有群友就按照王團長說的地址打過去 22 個以太幣,當時大約價值二十萬元。事后,這位網友才發現,群里忽然出現了好幾個“王團長”,真假難辨,自己的 22 個 ETH 直接進了騙子口袋。

641-10

“這種手段也常見于數字貨幣項目的私募階段,因為有的項目收益很高,參與者往往不能保持平常心,唯恐落后,這種貪利的心態讓他們更容易受騙。

并且,國內目前沒有正規的ICO途徑,參加私募純屬個人行為,缺乏監管,流程無法保證安全。”

這類詐騙方式其實一點都不新鮮,只是數字貨幣市場的活躍,讓它們重新迸發了活力。”Sherlock說。

六、傳統黑產也盯上數字貨幣

哪里有錢賺,哪里就少不了黑產。

Sherlock告訴我,在區塊鏈和數字貨幣興起的同時,也催生了一些新的套利方式……

原本黑客控制大量“肉雞”(被黑客遠程控制的機器),通常會用來發起 DDoS 流量攻擊等。

數字貨幣火了之后,不少“肉雞”又多了新的角色 —— 黑客還會把黑掉的機器配置成挖礦機,利用它們的算力來挖數字貨幣賺錢。

有的黑客還會專門在訪問量高的網站頁面或者博客植入挖礦腳本,用戶一旦訪問這樣的網站,電腦處理器性能就會瞬間被占滿,成為一個挖礦節點,為黑客的礦池提供算力。

那些原本專門盯著各大公司優惠活動,用大量手機卡批量套利的羊毛黨灰產,也開始盯上數字貨幣 ICO 項目發放的獎勵(俗稱“糖果”),不少活動剛開始沒多久,所有糖果就都進了灰產口袋。

641-11

甚至,黑客還會專門入侵別人的數字貨幣挖礦礦場,把他們的轉賬地址改成自己的。

總之,數字貨幣為黑產們提供了各種新的賺錢渠道和方式。反過來,豐厚的回報又吸引著新的一波人鋌而走險加入黑產……

---

聊到最后,Sherlock感慨:

“其實說白了,不管時代環境如何改變,安全攻防到了最后,都是人與任何人的較量。

騙子和網民們斗智斗勇,騙子不停地升級劇本,網民不斷增強安全意識和辨別能力;

黑客不斷發現新的攻擊面和攻擊手法,交易所、錢包等廠商也在不斷引進新的防御技術和人才。

或許正如老周所說的那樣,萬物皆變,人是安全的尺度吧!”

重庆时时彩官方网站app