文|靠譜的阿星
上市之后的360似低調(diào)了一些,直到5月29日凌晨向EOS官方提供安全漏洞。去年5月份WannaCry勒索病毒在全球肆虐,安全產(chǎn)品負(fù)責(zé)人孫曉駿在媒體溝通會上說過,“這回黑客有點(diǎn)‘人性化’,還手把手教你怎么用比特幣支付勒索費(fèi)用。”
無巧不從書的。比特幣至去年5月份之后開始一路飆升,在5月30日EOS對比特幣的價(jià)格走勢是略跌0.37%(更多人相信安全漏洞發(fā)現(xiàn)等于提前“排雷”)。周鴻祎雖公開稱自己不懂區(qū)塊鏈,其實(shí)他懂不懂不要緊,底下的人懂就行了,他堅(jiān)信“代碼是人寫的,肯定會有漏洞的。”在區(qū)塊鏈的數(shù)字世界中,漏洞同樣也會無所不在。
區(qū)塊鏈風(fēng)口刮來的重要因素是,區(qū)塊鏈的確比一般互聯(lián)網(wǎng)在理念和架構(gòu)上更加注重“安全”,“分布式機(jī)制”保證了數(shù)據(jù)流的完整一致、不可篡改的特點(diǎn)。舉個(gè)例子更容易理解,阿星最近了解到國內(nèi)已有做智能鎖老板開始研發(fā)“區(qū)塊鏈鎖”了,而現(xiàn)有移動互聯(lián)網(wǎng)提供“中心化”云端服務(wù)器,黑客攻擊能夠砰砰同時(shí)打開非常的房門,而在“去中心化”網(wǎng)絡(luò)中安全系數(shù)無疑高出很多。
一、比特幣“交易所”為何成為黑客攻擊的頭號目標(biāo)?
下手者目的很簡單,就是為竊取錢財(cái)而來,技術(shù)手段極為縝密,比特幣、區(qū)塊鏈安全問題顯然也比傳統(tǒng)網(wǎng)絡(luò)安全更為復(fù)雜。
2017年12月份告破的全國首例比特幣被盜案,戴某把正版錢包軟件破解之后植入獲取用戶賬戶名和密碼的爬蟲文件,在聊天群中丟給吳某下載安裝,隨后吳某的電子錢包軟件中181個(gè)比特幣被清空。戴某讓多人下載其錢包軟件的說辭極其簡單:“比特幣放在交易所不安全”,這是有前車之鑒的。
交易所目前是所有數(shù)字加密幣的存儲中心和流通中心,自然是黑客頭號目標(biāo)。2014年,當(dāng)時(shí)全球最大的比特幣交易所Mt.Gox宣布因遭受黑客攻擊,其CEO馬克·卡爾普稱“平臺上85萬個(gè)比特幣因公司系統(tǒng)漏洞被盜一空”而MT.Gox在日本旋即申請破產(chǎn)保護(hù),而Mt.Gox是否監(jiān)守自盜成為一樁未了公案。三年后,“黑客”再次成為背鍋俠,2017年12月19日韓國比特幣交易所Youbit同樣因黑客攻擊丟失4000個(gè)比特幣后破產(chǎn),故事驚人的相似。
傳統(tǒng)網(wǎng)絡(luò)攻擊往往是掛木馬病毒,或者制造一些偽正常訪問的DDos攻擊讓網(wǎng)站宕機(jī);現(xiàn)在的網(wǎng)絡(luò)攻擊則是在“挖礦”時(shí)就掛了惡意腳本,黑客下手重點(diǎn)攻擊的目標(biāo)的確是交易所存儲的加密貨幣,如果這個(gè)時(shí)候交易所缺乏職業(yè)操守的話,情況會非常不妙,據(jù)資深幣圈玩家小K向阿星爆料:“不怕交易所跑路,就怕交易所套路。定點(diǎn)爆倉、回滾、拔網(wǎng)線、機(jī)器人交易、凍結(jié)賬戶會造成虧損,而維權(quán)太難了,現(xiàn)在交易所服務(wù)器都在境外。”
趙長鵬從OKCoin跳槽出來創(chuàng)辦“幣安”,取這個(gè)名字是別有深意的。由于比特幣交易還處在消息極易影響市場行情的階段,黑客除了直接竊取貨幣,還能通過碰瓷“做空”來牟取暴利,成為極其隱秘的“莊家”。今年3月幣安遭受黑客攻擊,幣安及時(shí)中止了用戶加密幣提現(xiàn),未發(fā)生盜幣,但是比特幣因此下跌10%;據(jù)比特律動報(bào)道稱,一些用戶賬戶加密幣被黑客換成比特幣之后,大量買入VIA(維爾幣),由此將后者價(jià)格拉升了110倍......
二、智能合約、數(shù)字錢包是區(qū)塊鏈安全事件頻發(fā)“重災(zāi)區(qū)”
目前區(qū)塊鏈交易所共有數(shù)百家,誰家的技術(shù)對黑客防御指數(shù)高、抗風(fēng)險(xiǎn)能力強(qiáng),運(yùn)營規(guī)模及時(shí)間更長,就更能夠聚集起用戶的幣,相應(yīng)的賠付能力也更有保障,所以交易所極易“頭部化”,并成為現(xiàn)階段產(chǎn)業(yè)中心的原因。除了交易所攻擊之外,黑客以及一般蟊賊智能合約和數(shù)字錢包領(lǐng)域神出鬼沒,同樣影響深遠(yuǎn)。
1. 智能合約可能被黑客利用
2016年6月17日,眾籌超過1.5億美元的TheDAO由于出現(xiàn)安全漏洞,黑客攻擊導(dǎo)致價(jià)值超過6000萬美元的300萬個(gè)以太幣被盜。經(jīng)大量討論、投票、爭取、嘗試后失敗、再次嘗試,在以太坊區(qū)塊鏈官方的提議下,以太坊進(jìn)行了“硬分叉”,數(shù)據(jù)回滾至整個(gè)網(wǎng)絡(luò)中由于安全攻擊而被影響的以太幣,最終TheDAO黯然退市。由于以太坊網(wǎng)絡(luò)中所有礦工沒有達(dá)成完全一致的回滾共識,最終釀成以太坊網(wǎng)絡(luò)分裂成至今“以太坊”(ETH)和“以太坊經(jīng)典”(ETC)的格局。
區(qū)塊鏈的技術(shù)特性決定了智能合約帶有病毒的傳播特性,一旦本身出現(xiàn)漏洞被黑客加以利用,影響是傳統(tǒng)網(wǎng)站的百倍計(jì),并且很難短時(shí)間修復(fù)。從某種程度上,去年WannaCry勒索病毒就是典型的區(qū)塊鏈“智能合約”的應(yīng)用場景之一,黑客把勒索病毒的智能合約發(fā)到網(wǎng)上,無須黑客進(jìn)行任何其他操作實(shí)現(xiàn)比特幣到賬即自動解鎖電腦自動化。
慶幸的是,合約發(fā)布方們已經(jīng)意識問題嚴(yán)重性,開始執(zhí)行嚴(yán)格的智能合約審計(jì),為智能合約筑起區(qū)塊鏈“馬其頓防線”成為趨勢。
2. 數(shù)字錢包中的資產(chǎn)不翼而飛原因多樣
“數(shù)字錢包”是用來存儲數(shù)字貨幣的軟件載體,其中,不聯(lián)網(wǎng)存儲私鑰的是“冷錢包”,目前市面上的硬件錢包就是冷錢包;而把私鑰托管在網(wǎng)絡(luò)的叫“熱錢包”,比如如電腦客戶端錢包、手機(jī)App錢包、網(wǎng)頁端錢包等等。
數(shù)字錢包就像是直接在區(qū)塊鏈?zhǔn)澜缋锏?ldquo;余額寶”,現(xiàn)在已經(jīng)有一些實(shí)體店開始支持比特幣支付了。但與余額寶、銀聯(lián)卡的貨幣存儲在銀行,即便被偷被騙也可追溯,畢竟銀行賬戶都有實(shí)名認(rèn)證,而數(shù)字貨幣往往相對更難追溯,一旦被騙就很難找回,目前比特幣及代幣的監(jiān)管難度比較高;而不可篡改則意味著錢一旦被騙走,交易就不可能回退,基于這兩點(diǎn),數(shù)字錢包成為黑客眼中的“肥肉”。
從數(shù)字錢包從設(shè)計(jì)、發(fā)布、下載、安裝、運(yùn)行的途中但凡出現(xiàn)問題,均有可能中招。比如,是否通過官方渠道下載錢包,如果從第三方軟件平臺下載,會不會下載到有惡意插件的?即便通過官方渠道,是否處于安全的wifi環(huán)境?即便網(wǎng)絡(luò)環(huán)境沒問題,官方渠道的下載地址會不會遭到攻擊?就算這些雷一一避開,數(shù)字錢包本身是否可靠?廠商有沒有為了使用便捷而忽略安全運(yùn)維?廠商是否具備安全存儲用戶私鑰的能力?
三、如何保護(hù)好自己的數(shù)字貨幣?有哪些實(shí)用干貨
安全是區(qū)塊鏈的“地基”,但是在區(qū)塊鏈的江湖里,有最優(yōu)秀的創(chuàng)業(yè)精英,也有最優(yōu)秀的騙子,基礎(chǔ)的確并沒有小白們想象的那么牢靠。提出安全隱患得有針對性的解決辦法才算圓滿,阿星在采訪眾多老韭菜和老師之后,拿到了不少壓箱底的干貨建議,經(jīng)過授權(quán)后拿出來發(fā)表,值得普通投資者拿小本本記下來:
(1)市面大多數(shù)加密貨幣錢包是中心化錢包,一旦發(fā)生意外,用戶資產(chǎn)丟失后難以追回;對于投資者而言,倘若持有大量的數(shù)字資產(chǎn),更適合選用“去中心化錢包”,畢竟大量的資產(chǎn)由自己掌握才最放心。而對于短期的小額投資者而言,中心化的錢包的優(yōu)勢在于,使用體驗(yàn)更加便捷,不過分批存放入不同的錢包更穩(wěn)。
(2)普通比特幣持有者賬戶可以“幣托”服務(wù)實(shí)現(xiàn)權(quán)益轉(zhuǎn)移,當(dāng)交易所發(fā)生不可抗力因素用戶失去控制賬戶能力情況下,可通過“幣托”來實(shí)現(xiàn)與權(quán)益人(家人、朋友等)共同管理賬戶,實(shí)現(xiàn)賬戶權(quán)益的傳承。
(3)個(gè)人數(shù)字錢包的“私鑰”絕對不能外泄 ,“公鑰”是收款地址,就好比自己的門牌號碼,而私鑰/助記詞/keystore等相當(dāng)于自家的“鑰匙”,這三類中任何一項(xiàng)均不要隨便泄露給別人,最好是能夠離線保存或保存在加密本地存儲硬盤或U盤里。
(4)數(shù)字貨幣投資者在轉(zhuǎn)賬時(shí)要反復(fù)確認(rèn)轉(zhuǎn)幣對象和地址,因?yàn)殄X包地址一般一串很長的字符,最好直接復(fù)制,并核對一遍;因而交易是不可逆的,一旦打過去就是別人的了。注意不要因?yàn)橐恍?ldquo;更低的手續(xù)費(fèi)”、“更多的額度”等承諾而繞過平臺擔(dān)保,進(jìn)行私下點(diǎn)對點(diǎn)交易,一旦發(fā)生很難追回。
(5)平時(shí)用戶養(yǎng)成良好的使用習(xí)慣,多留個(gè)心眼,比如選擇主流交易平臺,從官方渠道下載錢包客戶端;備份好自己的錢包文件;設(shè)置復(fù)雜的密碼;在不同的平臺使用不同的登錄口令;謹(jǐn)慎下載論壇、社群里的文件,不要點(diǎn)擊來路不明的鏈接防止釣魚軟件中招;錢包地址尤其是私鑰絕對保密,在訪問平臺時(shí),反復(fù)確認(rèn)域名以防止進(jìn)入山寨網(wǎng)站;盡量在私人的局域網(wǎng)和自己電腦或手機(jī)設(shè)備上網(wǎng)操作,殺毒軟件定期清理和更新必不可少等等。
阿星怎么看:
移動支付的流行是由于阿里和騰訊在安全投入很多看不見的技術(shù)支撐一樣,在區(qū)塊鏈安全上挑戰(zhàn)更大、情況更為復(fù)雜,目前數(shù)字貨幣及token是目前區(qū)塊鏈最主要的應(yīng)用場景之一,利益激勵(lì)讓目前的區(qū)塊鏈成為利益告訴流通的新興領(lǐng)域,如果沒有“區(qū)塊鏈安全”為交易所、智能合約、數(shù)字錢包做好維護(hù)的話,區(qū)塊鏈美好的數(shù)字世界生態(tài)圖景都將是空中樓閣,區(qū)塊鏈安全也是一件不可能有終結(jié)的工作,這將是未來新的“道魔較量”!
作者:靠譜的阿星(李星),公眾號:靠譜的阿星,靠譜匯公司創(chuàng)始人,100多家主流科技媒體專欄作家,CMO訓(xùn)練營導(dǎo)師,知名互聯(lián)網(wǎng)分析師,榮獲2017年鈦媒體年度作者「最具人氣獎(jiǎng)」,區(qū)塊鏈風(fēng)口第一批觀察者,阿星的個(gè)人微信號:1598145405,歡迎勾搭。
申請創(chuàng)業(yè)報(bào)道,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處,共同探討創(chuàng)業(yè)新機(jī)遇!
近日,遠(yuǎn)光軟件基于區(qū)塊鏈技術(shù)研發(fā)的“電益鏈能源金融平臺”榮獲廣東省信息技術(shù)應(yīng)用創(chuàng)新產(chǎn)業(yè)聯(lián)盟頒發(fā)的“2020年廣東省信息技術(shù)應(yīng)用創(chuàng)新優(yōu)秀產(chǎn)品和解決方案”獎(jiǎng),再次彰顯了公司在新技術(shù)應(yīng)用領(lǐng)域的創(chuàng)新能力。
在新時(shí)代的浪潮下,區(qū)塊鏈數(shù)字技術(shù)的應(yīng)用越來越廣泛,給各行各業(yè)帶來新機(jī)遇的同時(shí),也給金融秩序帶來了新的挑戰(zhàn)。虛擬貨幣具備匿名性、去中心化、追蹤難等特點(diǎn),越來越多不法分子利用虛擬貨幣進(jìn)行詐騙、傳銷、非法跨境轉(zhuǎn)移資產(chǎn)等違法犯罪活動,嚴(yán)重侵害人民群眾財(cái)產(chǎn)安全。
因?yàn)?021年經(jīng)濟(jì)不景氣,我認(rèn)識的好多站長都轉(zhuǎn)型去研究琢磨挖礦去了。個(gè)人感覺“挖礦”這件事主要是浪費(fèi)資源,費(fèi)顯卡,費(fèi)電,但對日常生產(chǎn)生活沒起到什么作用。
本次活動我們邀請到了50+行業(yè)領(lǐng)袖人物,通過演講、對話、作品展等方式,帶領(lǐng)大家深入了解部落城的過去、現(xiàn)在及未來。希望通過一場創(chuàng)意與視聽交互的觀看旅程,解密區(qū)塊鏈帶來的加密世界、融合傳統(tǒng)勢力與新生力量的創(chuàng)新成果,一展區(qū)塊鏈生態(tài)發(fā)展全貌。
“我國多省市政府已將區(qū)塊鏈技術(shù)融入新基建的一系列建設(shè)方案,區(qū)塊鏈作為新基建中可信網(wǎng)絡(luò)建設(shè)的重要支撐,是助推數(shù)字經(jīng)濟(jì)高質(zhì)量發(fā)展的客觀需要。
通過創(chuàng)新應(yīng)用場景,推動其生態(tài)系統(tǒng)的發(fā)展和貨幣的流通是每一個(gè)項(xiàng)目的必修課。StatterNetwork作為一個(gè)有著強(qiáng)大技術(shù)支撐的元宇宙項(xiàng)目,其主網(wǎng)幣STT不僅僅局限于簡單的價(jià)值儲存和交易媒介,而是廣泛的應(yīng)用在全生態(tài)和跨鏈生態(tài)中。本文將深入探討STT的主要應(yīng)用場景與價(jià)值。1.二級市場交易作為Statte
近日,亞洲區(qū)塊鏈學(xué)會會長蔡志川博士發(fā)表了題為《波場TRON——數(shù)字未來之航,領(lǐng)航區(qū)塊鏈新時(shí)代》的文章指出,隨著新時(shí)代的來臨,區(qū)塊鏈技術(shù)和數(shù)字化經(jīng)營成為企業(yè)家升級的新引擎,孫宇晨和其創(chuàng)辦的波場TRON在過去幾年里發(fā)展迅速,尤其是在2023年,通過持續(xù)努力、技術(shù)創(chuàng)新和開放合作,波場TRON將繼續(xù)引領(lǐng)行業(yè)
9月4日,國際權(quán)威研究機(jī)構(gòu)IDC發(fā)布“中國BaaS廠商市場份額,2022”報(bào)告。報(bào)告顯示,螞蟻集團(tuán)憑借螞蟻鏈以26.6%的市場占有率位居第一,騰訊云、華為云以16.3%、11.4%分列二三位。據(jù)了解,這是螞蟻鏈連續(xù)三年中國BaaS市場第一,據(jù)了解,螞蟻鏈?zhǔn)菄鴥?nèi)代表性的區(qū)塊鏈廠商,技術(shù)完全自主研發(fā)。其
2023年7月20日,成都鏈安創(chuàng)始人&CEO楊霞教授受邀在新一代信息技術(shù)安全與WEB3.0安全專題峰會上發(fā)表“區(qū)塊鏈安全態(tài)勢與技術(shù)研究”主題演講。成都鏈安楊霞教授首先介紹了全球區(qū)塊鏈安全態(tài)勢,指明目前全球區(qū)塊鏈安全事件層出不窮、居高不下,同時(shí),區(qū)塊鏈、虛擬貨幣也被一些不法分子用來從事非法活動,監(jiān)管面
李先生是一位酒品收藏家,他對白酒的熱愛無與倫比,用心收集了許多珍貴的酒品。但是,他的收藏之旅卻遭遇到了一次大打擊。李先生為了慶祝自己生日,決定品嘗自己收藏了20年的白酒。激動之下,他打開珍藏的白酒,只想品味一口歷經(jīng)歲月的美酒。然而,想不到的是,香氣撲鼻之際,他發(fā)現(xiàn)嘴中的味道與記憶中的完全不同。心情一
成都鏈安上榜《嘶吼2023網(wǎng)絡(luò)安全產(chǎn)業(yè)圖譜》2023年7月10日,嘶吼安全產(chǎn)業(yè)研究院聯(lián)合國家網(wǎng)絡(luò)安全產(chǎn)業(yè)園區(qū)(通州園)正式發(fā)布《嘶吼2023網(wǎng)絡(luò)安全產(chǎn)業(yè)圖譜》。成都鏈安憑借自身技術(shù)實(shí)力以及在區(qū)塊鏈安全行業(yè)廣泛的品牌影響力,榮登《嘶吼2023網(wǎng)絡(luò)安全產(chǎn)業(yè)圖譜》區(qū)塊鏈安全賽道榜單。這也是成都鏈安連續(xù)第二
近日,工業(yè)和信息化部辦公廳公布2022年區(qū)塊鏈典型應(yīng)用案例名單,江行智能《基于區(qū)塊鏈技術(shù)的工業(yè)園區(qū)“源網(wǎng)荷儲一體化”綜合能源服務(wù)系統(tǒng)》作為標(biāo)桿案例入選。據(jù)了解,本次區(qū)塊鏈典型應(yīng)用案例征集吸引了全國各大省市的優(yōu)秀區(qū)塊鏈項(xiàng)目的紛紛參與。經(jīng)企業(yè)自主申報(bào)、地方和央企推薦、專家評審等環(huán)節(jié)的層層考核,61個(gè)具較
近日,知帆科技、知帆學(xué)院發(fā)布了《2022年區(qū)塊鏈與虛擬貨幣犯罪趨勢研究報(bào)告》(下稱《報(bào)告》)。
11月19日,在由成都市人民政府、中國信息通信研究院主辦,成都鏈安協(xié)辦的第二屆中國可信區(qū)塊鏈安全攻防大賽啟動會上,成都市新經(jīng)濟(jì)發(fā)展委員會公布首批國家區(qū)塊鏈創(chuàng)新應(yīng)用試點(diǎn)項(xiàng)目,成都鏈安“區(qū)塊鏈+智慧助警服務(wù)平臺”項(xiàng)目入選首批試點(diǎn)項(xiàng)目名單,并獲得授牌。
近日,國內(nèi)AI繪畫應(yīng)用軟件“數(shù)畫”官方發(fā)布一條公告,引起整個(gè)AI繪畫業(yè)界的轟動。公告顯示“數(shù)畫”上線真人元宇宙AI虛擬頭像制作功能,并于2022年11月18日開始為畫友正式投入服役