跟一個搞網絡安全的聊完數字貨幣，我喝了口茶壓壓驚_數字貨幣

獵云注：將比特幣放入所謂的“比特幣錢包”，全部比特幣被轉移，按現在市值凈虧損一千多萬。這是一個真實案例。就奇虎360信息安全研究員Sherlock看，區塊鏈技術的確不錯，但區塊鏈從底層代碼到最終應用涉及的多個方面都可能成為黑客的攻擊面。數字貨幣交易所也未必安全。此次淺黑科技對話區塊鏈領域資深人士Sherlock，暢談網絡安全及區塊鏈數字貨幣。文章來源：淺黑科技。原文如下：

前幾天，我去找到360信息安全中心的Sherlock，向他求教數字貨幣相關的網絡安全態勢，卻一上來就聽了個奇葩故事：

2017年7月的某一天，老武坐在派出所錄口供，手心全是汗。

他做夢也沒想到，自己旅了游回來，數字錢包里的186個比特幣竟全部消失。

當時比特幣才1萬2一枚，算起來值兩百多萬元。

“是黑客干的？”

老武細細一回想，覺得事有蹊蹺。

幾個月前，他被朋友拉進一個比特幣投資的微信群，一來二去認識了群主。

群主是個熱心腸，經常告誡大家要注意投資風險，還提醒大家注意比特幣安全，告訴大家不要把所有的錢都放在交易所，要存到“比特幣錢包”才最安全。

這天，群主給老武發來一個比特幣錢包軟件，告訴他，比特幣放在數字錢包最安全。

老武一看，確實是某知名比特幣錢包的安裝包，就按群主指導一步步操作，把自己的186個比特幣轉了進去。

幾天后，老武的186個比特幣全部丟失。

他當即找群主老戴質問，對方卻做出一個驚人的舉動：

他說，自己只是好心推薦軟件，比特幣被盜可能是因為老武自己泄露了錢包密碼。

不過，

畢竟是自己推薦老武用的錢包軟件，現在幣丟了自己也有部分責任，賠老武12萬元算是認倒霉。

某交易員通過投資UNI、AAVE、LDO一個月內獲利近43萬美元:7月16日消息，據Lookonchain監測，某交易員（0x123d開頭地址）在沒有投資Meme幣的情況下1個月內獲利42.8萬美元。該交易員操作如下：6月16日總成本：94.2萬美元以4.34美元的價格買入71891枚UNI（31.2萬美元）；以50美元的價格買入6371枚AAVE（32萬美元）；以1.64美元的價格買入189,255枚LDO（31萬美元）。

7月15日總收益：137萬美元以5.84美元的價格賣出71891枚UNI（42萬美元）；以79美元的價格賣出6371枚AAVE（50.04萬美元）；以2.37美元的價格賣出189,255枚LDO（44.85萬美元）。[2023/7/16 10:58:26]

說完，群主真的轉給老武12萬塊錢。

“一個素未謀面的人這么輕易就轉給我十幾萬塊錢？”

老武斷定，這事兒多半跟這個群主有關。

……

……

……

幾個月后，沖入群主戴某的住所，發現幾十張銀行卡和多臺筆記本電腦。在其中一臺電腦里發現了和老武用的那款比特幣錢包軟件，以及一個盜號用的腳本。

原來，群主在對錢包軟件安裝包里植入了盜號腳本。那186個比特幣，正是通過這個后門，進了群主的口袋……

講完，Sherlock告訴我，這是央視報道過的真實案件。

他說：

“不少人以為區塊鏈去中心化、不可篡改就能絕對安全，完全不懼怕黑客。但其實區塊鏈從底層代碼到最終應用，可能涉及到很多方面，比如智能合約、錢包、交易所等等，這些地方都可能成為黑客的攻擊面。”

這就好比，有人把機械門鎖換成指紋鎖就以為自己的財產很安全，可其實小偷照樣有辦法復制指紋，甚至完全不管門鎖，直接拆門進來，或破墻而入，或跳窗戶進來……方法多得很。

美國財政部一般賬戶余額已不足500億美元，創2017年以來最低值:金色財經報道，據macromicro數據顯示，美國財政部一般賬戶余額（TGA）已不足500億美元，截至5月24日只剩下約490億美元，創下自2017年以來的最低值。美國財政部一般賬戶是美國政府處理日常開支的主要運營賬戶，目前美國眾議院正在就債務上限問題進行談判，一旦達成協議，美國財政部一般賬戶余額將會獲得流動性并發行新債券以補充賬戶。（cryptoslate）[2023/5/26 9:44:54]

區塊鏈會帶來哪些新的安全態勢？

我和Sherlock進行了一次詳談，他從底層代碼安全、數字錢包安全、數字貨幣交易所安全、新型套利方案等幾個方面向我梳理了自己對于區塊鏈一些理解，在此呈現給各位淺友們：

Sherlock，奇虎360信息安全研究員，2015年接觸數字貨幣，對區塊鏈和數字貨幣安全頗有見解。

一、數字貨幣區塊鏈底層代碼未必安全

“數字貨幣區塊鏈底層代碼也未必安全。”Sherlock向我回顧了區塊鏈發展史上的一次重大丑聞：

2016年6月，加密貨幣和區塊鏈社區發生了一次大地震，世界上最大最知名的眾籌項目theDAO遭黑客攻擊，價值6千萬美元的以太幣被盜！

調查原因，竟是theDAO編寫的智能合約代碼不夠嚴謹，里面有兩個函數漏洞，能讓攻擊者不斷從項資產池中偷取資產。

為了解決TheDAO大量資金被盜的問題，以太坊官方還推出了針對TheDAO的軟分叉版本Gethv1.4.8，增加了一些規則以鎖定黑客控制的以太幣。

可是，眼看著絕大多數礦工都升級了這個版本的軟件，軟分叉要大功告成時。由于時間倉促等原因，眾多大牛編寫出來的軟分叉版本居然又有一個明顯漏洞！這個漏洞能讓黑客零成本搞垮整個項目。

DWF Labs昨日花費13.5 ETH兌換成LADYS，目前處于浮虧中:5月10日消息，據鏈上數據分析師余燼檢測，投資機構 DWF Labs 昨日斥資 13.5 ETH（約合 2.5 萬美元）兌換為一種名為 LADYS 的 Meme Coin，目前處于浮虧中（當前持倉 LADYS 價值 2 萬美元）。[2023/5/10 14:55:04]

因為那次事件，以太坊社區發生了巨大分歧，一派人認為應該把項目回滾到黑客攻擊之前的狀態，另一派人則覺得回滾不符合區塊鏈“去中心化、不可篡改”的核心精神，不同意回滾。

最終，兩派通過投票徹底“決裂”，以太坊便硬分叉成了“以太經典”和“以太坊”，如同宇宙瞬間分裂成兩個一模一樣的平行世界各自運行。

“可是誰能確保修復后的代碼沒有新漏洞呢？只要是人寫的代碼就可能有漏洞。”Sherlock說，不少人迷信區塊鏈底層代碼是安全的，這種想法本身就很危險！

對區塊鏈有所了解的人，相信都聽說過51%攻擊：只要控制一個區塊鏈上51%的算力，就能對鏈上的交易任意數據進行篡改。

以往，人們之所以相信區塊鏈是不可篡改的，就是堅信51%攻擊不可能發生，因為同時控制51%所需要的資源成本太高。

“可是，只要理論上來說可能，我們就不能不堤防！”

二、“李笑來們”很危險！

網絡安全行業有個常見名詞叫APT——高級持續性攻擊，意思是黑客長時間盯著某個目標，尋找各種突破口，甚至靜心布置一個巨大的騙局。

由于實施成本太高，這種攻擊形式以往只發生在國家和國家之間，或者大型組織之間。

“數字貨幣出現后，APT組織很可能把目標轉向“數字貨幣大戶”，目標從一系列大型設備轉向個人電腦。”

原因很簡單，因為他們的數字貨幣資產足夠值錢，個人目標相比有專業風控的大型組織更容易攻破，數字貨幣被盜后溯源難。

Web3游戲公司Kryptomon與Unstoppable Domains達成合作:金色財經報道，Web3游戲公司Kryptomon宣布與Web3域名提供商Unstoppable Domains達成合作，將為Kryptomon NFT持有者提供獨特的認證徽章。

據此前報道，今年5月，NFT元宇宙游戲Kryptomon宣布完成1000萬美元私募輪融資，NFX領投，PLAYSTUDIOS、Griffin Gaming Partners、Tal Ventures和花旗集團前首席執行官Vikram Pandit等參投。（Cryptodaily）[2022/11/11 12:51:46]

“以往人們把錢存在中心化的銀行，即便被偷被騙也比較容易追溯，畢竟銀行賬戶都有實名認證，可是數字貨幣一旦被騙就很難找回。

由于國家不承認數字貨幣的價值，有時甚至報警立案都會遇到一些困難。

數字貨幣的最大特點是去中心化，不可篡改，而這兩點恰恰讓數字貨幣持有者成了黑客最好的攻擊目標。去中心化意味著出的監管難度高，不可篡改意味著錢一旦被騙走，交易就不可能回退。

黑客為了盜走你的數字貨幣，可能盯上你家里、辦公室的WiFi網絡，黑進你的個人電腦，或者量身定制一套釣魚方案。

甚至，他們很可能設下一個巨大的騙局，利用社交關系靠近你，成為你的“朋友”，潛伏在你身邊好幾個月再行動！文章開頭的案例就是如此。

我問道：“李笑來曾經聲稱自己是比特幣首富，號稱擁有六位數的比特幣，算起來值十幾億，所以他很可能已經成為APT的目標咯？”

“當然有可能。”

三、錢包都不安全，錢還能安全嗎？

“黑客想盜走數字貨幣，數字錢包是一個很重要的攻擊面。”Sherlock說。

數字錢包是用來存儲數字貨幣的軟件載體，完全脫離網絡存儲私鑰的叫“冷錢包”，把私鑰托管在網上的叫“熱錢包”。

Silvergate Capital二季度凈收入為3860萬美元，同比增加84.6%:7月19日消息，美國加密友好銀行Silvergate Bank母公司Silvergate Capital第二季度的凈收入從2740萬美元增長至3860萬美元，同比增長84.6% 。Silvergate Exchange Network本季度處理了1913億美元的轉賬，與第一季度相比增長了34%，與去年同期相比下降了20%。另外，其客戶從2022年一季度的1503名增加到2022年一季度的1585名。（Coindesk）[2022/7/19 2:23:35]

圍繞數字錢包，黑客可以大搞名堂。

當你想用數字錢包，多半就得下載軟件，而數字錢包從設計、發布，最后通過各種復雜的網絡傳輸來到你的電腦或者手機，中間要經過很多道流程，跨過千山萬水，但凡其中某個流程出現問題，你都有可能中招。

比如：

你是否通過正規官方渠道下載錢包軟件？從第三方軟件平臺下載時，會不會下載到帶有盜號后門的？

即便是在官方網站下載，如果你所處的WiFi網絡環境被黑，會不會被劫持到黑客的下載地址？

即便你的網絡環境沒問題，軟件官網的下載地址會不會早已被黑客黑掉，改成帶有盜號后門的軟件？

即便流程都沒問題，數字錢包的產品設計本身是否可靠？廠商是否為了滿足易用性而犧牲安全性？廠商是否安全地存儲用戶的私鑰？

……

……

……

單就一個數字錢包，黑客就有那么多攻擊面，你還覺得上了區塊鏈就是安全的嗎？

“你也有數字貨幣資產吧？，既然用個數字錢包都這么危險？你作為一個天天跟黑客打交道的安全從業者，是怎么做的呢？”我反問他。

他說：

“一方面，確認錢包本身的安全性，比如下載軟件后做個哈希值校驗，另一方面也要合理存儲。我的資產不多，一部分在交易所，一部分在熱錢包，一部分在冷錢包。雞蛋不要放在同一個籃子里，這是最基本也最容易做到的。”

我又問他，“自己用錢包保管數字貨幣不放心，托管在交易所總沒問題了吧？”

他笑著說，未必。

四、數字貨幣交易所也未必安全

Sherlock給我曬出一組數據：

2014年2月，當時世界最大的比特幣交易所Mt.Gox被盜85萬個比特幣。后來，Mt.Gox被曝出其實是監守自盜，真正被外盜的比特幣只有7000個。

2016年8月，最大的美元比特幣交易平臺Bitfinex出現漏洞，12萬比特幣被盜，當時價值6500萬美元，如果換算成2017年12月的價格，價值近20億美元。

2017年12月，韓國YouBit交易所被黑客攻擊，損失4000個比特幣，交易所宣布破產。

2017年12月21日，網傳烏克蘭Liqui交易所被盜6萬個比特幣，比特幣單價瞬間暴跌2000美元。

2018年3月7日，幣安交易所出現大量用戶賬號被盜，黑客控制的資產價值超過1億美元。甚至還有人傳言黑客利用了金融知識影響數字貨幣價格來間接獲利，導致不少數字貨幣價格暴跌。

“類似戲碼一定還會上演。”他說，

“數字貨幣交易市場這幾年的發展勢頭太快，而且相互競爭激烈，這種情況下安全技術、人力方面投入的速度未必跟得上自身需求增長的速度，必然會導致一些問題。

他說，以最近發生在幣安交易所的安全事件為例，其實幣安的風控措施相較以往發生過安全事故的其他交易所，已經所有提升。

在黑客提幣時利用大數據風控阻止了提幣操作，此前發生過的黑客事件，基本發生的交易所安全事件大多黑客直接提幣走人。

所以，他建議大家盡量使用知名的、大型的交易所，不要把資產放在小型、不知名的交易所，因為黑客也會挑軟柿子捏。

“一般來說，大的交易所通常安全風控手段相對完善，黑客不容易攻入，這時黑客很可能轉而攻擊小型交易所。

甚至，他們還會專挑一些沒有牌照的非法交易所攻擊，這樣即便被發現，交易所也不受法律保護。

比如黑客很可能跑去攻擊孟加拉國之類小國家的交易所，一方面因為那里本來就認定數字貨幣非法。另一方面跨國管制不便，也讓黑客更肆意妄為。”

五、利用明星效應的釣魚攻擊

如果說APT攻擊和交易所安全離普通人太遠，下面這種攻擊手法就發生在我們身邊。

前陣子，有人專門在一些知名人物的社交賬號底下頭像和名字設置成和名人一模一樣的頭像，發布一些虛假的信息，聲稱只要在某個數字貨幣地址轉入一定數額的幣，就能得到10倍的回饋。

這就好比大街上有人對你說，“你給我10塊錢吧，我會立刻返給你100塊。”就這樣顯而易見的詐騙信息，經統計，短短幾天之內竟能騙到價值幾十萬的數字貨幣。

為什么看起來如此愚蠢的騙術，也有人上當受騙？

Sherlock說，“這就是騙子們廣撒網的策略了，由于明星的粉絲很多，這種方式投放詐騙信息可以獲得大量展示。幾千個人里難免有那么幾個剛睡醒，腦子不太清醒的人。”

最后，由于這類詐騙信息實在太多，不少名人被迫把網名都改了：

類似的詐騙到了國內還有一種進階版，Sherlock又給我安利了一個真實案例：

一個叫“王團長”在微信群里向群友募集私募“韭菜基金”。

這天半夜，“王團長”忽然在群里發話：“基金募集明天就截止了，請大家趕緊打幣到地址XXXXXXX。”

于是，就有群友就按照王團長說的地址打過去22個以太幣，當時大約價值二十萬元。事后，這位網友才發現，群里忽然出現了好幾個“王團長”，真假難辨，自己的22個ETH直接進了騙子口袋。

“這種手段也常見于數字貨幣項目的私募階段，因為有的項目收益很高，參與者往往不能保持平常心，唯恐落后，這種貪利的心態讓他們更容易受騙。

并且，國內目前沒有正規的ICO途徑，參加私募純屬個人行為，缺乏監管，流程無法保證安全。”

這類詐騙方式其實一點都不新鮮，只是數字貨幣市場的活躍，讓它們重新迸發了活力。”Sherlock說。

六、傳統黑產也盯上數字貨幣

哪里有錢賺，哪里就少不了黑產。

Sherlock告訴我，在區塊鏈和數字貨幣興起的同時，也催生了一些新的套利方式……

原本黑客控制大量“肉雞”，通常會用來發起DDoS流量攻擊等。

數字貨幣火了之后，不少“肉雞”又多了新的角色——黑客還會把黑掉的機器配置成挖礦機，利用它們的算力來挖數字貨幣賺錢。

有的黑客還會專門在訪問量高的網站頁面或者博客植入挖礦腳本，用戶一旦訪問這樣的網站，電腦處理器性能就會瞬間被占滿，成為一個挖礦節點，為黑客的礦池提供算力。

那些原本專門盯著各大公司優惠活動，用大量手機卡批量套利的羊毛黨灰產，也開始盯上數字貨幣ICO項目發放的獎勵，不少活動剛開始沒多久，所有糖果就都進了灰產口袋。

甚至，黑客還會專門入侵別人的數字貨幣挖礦礦場，把他們的轉賬地址改成自己的。

總之，數字貨幣為黑產們提供了各種新的賺錢渠道和方式。反過來，豐厚的回報又吸引著新的一波人鋌而走險加入黑產……

---

聊到最后，Sherlock感慨：

“其實說白了，不管時代環境如何改變，安全攻防到了最后，都是人與任何人的較量。

騙子和網民們斗智斗勇，騙子不停地升級劇本，網民不斷增強安全意識和辨別能力；

黑客不斷發現新的攻擊面和攻擊手法，交易所、錢包等廠商也在不斷引進新的防御技術和人才。

或許正如老周所說的那樣，萬物皆變，人是安全的尺度吧！”

本文來自獵云網，創業家系授權發布，略經編輯修改，版權歸作者所有，內容僅代表作者獨立觀點。

Tags：數字貨幣比特幣區塊鏈十大數字貨幣交易所排名數字貨幣交易所官方網址數字貨幣詐騙案例視頻比特幣中國官網聯系方式40億比特幣能提現嗎比特幣最新價格行情走勢區塊鏈工程專業學什么區塊鏈存證怎么弄

火幣下載