資產(chǎn)安全一直是數(shù)字世界中的重中之重，而賬戶被盜也一直是加密世界中老生常談。無(wú)論是個(gè)人用戶還是交易所都曾因?yàn)閿?shù)字資產(chǎn)安全問(wèn)題而煩惱。究竟發(fā)生了什么呢？以史為鑒，就讓我們來(lái)盤(pán)點(diǎn)一下區(qū)塊鏈歷史上曾出現(xiàn)的重大黑客攻擊事件。

價(jià)值溢出事件（2010年8月）

2010年8月15日，未知黑客對(duì)比特幣發(fā)動(dòng)攻擊，利用大整數(shù)溢出漏洞，繞過(guò)了系統(tǒng)的平衡檢查，將比特幣的總量有限的設(shè)定打破，黑客憑空創(chuàng)造出了1844.67億個(gè)比特幣。

在這一局面中，中本聰為挽救比特幣，被迫發(fā)動(dòng)了比特幣歷史上的第一次硬分叉。

Bitcoinica （2012年3月和5月）

Bitcoinica是一家老牌交易所，它曾在2012年遭遇兩次黑客攻擊。黑客利用其安全松懈的服務(wù)器，獲取了客戶數(shù)據(jù)（包括密鑰），共計(jì)盜走61000個(gè)BTC，最終導(dǎo)致Bitcoinica破產(chǎn)。

Bitfloor（2012年9月）

與Bitcoinica的被盜過(guò)程相似，黑客入侵了Bitfloor的服務(wù)器，盜走了24000個(gè)BTC。Bitfloor從此一蹶不振，并于次年4月關(guān)閉。

Poloniex（2014年3月）

2014年3月，剛成立兩個(gè)月的Poloniex交易所的服務(wù)器被入侵。一名黑客發(fā)現(xiàn)Poloniex的漏洞，即提現(xiàn)系統(tǒng)在同時(shí)收到多個(gè)請(qǐng)求的情況下允許出現(xiàn)負(fù)余額。提現(xiàn)系統(tǒng)注意到異?；顒?dòng)后，關(guān)閉了進(jìn)入受影響賬戶的通道。

MtGox（2014年2月）

MtGox是當(dāng)時(shí)規(guī)模最大的老牌交易所，也遭遇了最嚴(yán)重的黑客攻擊。由程序員Jed McCaleb創(chuàng)建。2010年7月，他讀到一篇關(guān)于比特幣的文章，于是修改了網(wǎng)站代碼，用于交易比特幣，并于2011年將該網(wǎng)站賣(mài)給了Mark Karpeles（法胖）。到了2014年，MtGox處理的比特幣交易占全球70%。

2014年2月7日，MtGox宣布暫停交易，理由是其安全軟件存在漏洞。兩周后，網(wǎng)站突然關(guān)閉，MtGox申請(qǐng)破產(chǎn)。此次損失共計(jì)85萬(wàn)BTC，在當(dāng)時(shí)價(jià)值4.7億美元。這個(gè)問(wèn)題導(dǎo)致投資者信心受挫，比特幣直接暴跌36%。

許多人懷疑是法胖監(jiān)守自盜，他于2015年因欺詐、挪用公款和操縱用戶余額等罪名被捕，但這并不能直接證明他與交易所被盜事件有關(guān)。2017年，美國(guó)當(dāng)局在希臘逮捕了俄羅斯人Alexander Vinnik，他控制的錢(qián)包不僅有MtGox被盜的比特幣，還包括Bitcoinica、Bitfloor的。

Bitstamp （2015年1月）

安全事件不斷發(fā)生，交易所開(kāi)始把幣存儲(chǔ)在兩個(gè)錢(qián)包上：冷錢(qián)包和熱錢(qián)包。冷錢(qián)包，即不聯(lián)網(wǎng)的服務(wù)器，又稱(chēng)離線錢(qián)包。熱錢(qián)包則用來(lái)存儲(chǔ)足夠的錢(qián)以滿足用戶的每日交易需求。

2015年1月，Bitstamp熱錢(qián)包里的19000個(gè)比特幣被黑客通過(guò)釣魚(yú)手段竊取。幸運(yùn)的是，Bitstamp 90%的幣都存儲(chǔ)在冷錢(qián)包里，并沒(méi)有受到影響。

The DAO （2016年6月）

基于以太坊網(wǎng)絡(luò)發(fā)行的加密貨幣運(yùn)行方式跟比特幣不同，但同樣都是黑客攻擊的對(duì)象。以太坊區(qū)塊鏈環(huán)境有別于其他數(shù)值貨幣，可以通過(guò)智能合約進(jìn)行交易的。

所謂智能合約即設(shè)置好要求，一旦滿足設(shè)定條件就會(huì)自動(dòng)執(zhí)行。以太坊全網(wǎng)有6000臺(tái)電腦，因此網(wǎng)絡(luò)難以被修改或被控制。以太坊架構(gòu)支持去中心化自治組織DAO，把規(guī)則和決策通過(guò)代碼的形式寫(xiě)進(jìn)區(qū)塊鏈之中，允許智能合約在不受人為監(jiān)控的條件下自動(dòng)執(zhí)行。

2016年4月，Genesis DAO創(chuàng)造了一個(gè)投資者可以給項(xiàng)目投票的社區(qū)，獲得20%以上支持的項(xiàng)目可獲得資金支持。DAO在以太坊上融到了2.5億美金。6月份，黑客發(fā)現(xiàn)了一個(gè)支持單一幣種多次提現(xiàn)的漏洞，而智能合約更新的速度比不上提現(xiàn)的速度。短短幾個(gè)小時(shí)內(nèi)，DAO 合約里面30%的ETH都被轉(zhuǎn)移了。

盜竊事件被公開(kāi)后，Genesis DAO 執(zhí)行了硬分叉，創(chuàng)造出了一條新的區(qū)塊鏈。但是這次分叉受到了社區(qū)部分持幣者的反對(duì)，他們認(rèn)為篡改時(shí)間戳就是在稀釋其他人手上以太坊的價(jià)值。之后，社區(qū)發(fā)起投票，89%的人支持硬分叉。反對(duì)者從社區(qū)分離出去，重組了原鏈，改名Ethereum Classic。

Bitfinex （2016年8月）

這是繼MtGox熱錢(qián)包被盜后發(fā)生的第二大交易所被盜事件。諷刺的是，Bitfinex進(jìn)行軟件升級(jí)本是為了提高安全，卻沒(méi)想到軟件內(nèi)含有漏洞。Bitfinex當(dāng)初使用的是BitGo提供的多簽交易軟件。

時(shí)至今日，沒(méi)人清楚黑客是怎么避開(kāi)多個(gè)簽名盜走幣的。現(xiàn)在最主流的解釋是Bitfinex服務(wù)器安裝了不合適的軟件。Bitfinex事件中，黑客盜走了12萬(wàn)個(gè)比特幣， 當(dāng)時(shí)價(jià)值7200萬(wàn)美元。

隨后，為了補(bǔ)還客戶的損失，Bitfinex通過(guò)代幣進(jìn)行股權(quán)融資，并使用營(yíng)業(yè)額按月賠償客戶后逐步彌補(bǔ)虧空，艱難的熬了過(guò)來(lái)。

Parity（2017年7月和11月）

以太坊也受過(guò)多重簽名系統(tǒng)缺陷的影響。2017年7月17日，有人攻擊了多重簽名錢(qián)包服務(wù)商Parity，目標(biāo)是三家最近剛完成ICO的公司。黑客一共竊取了152037個(gè)比特幣，價(jià)值3200萬(wàn)美元。Parity將本次攻擊歸咎于Parity錢(qián)包版本中智能合約代碼存在漏洞，并于7月20日發(fā)布了補(bǔ)丁。

糟糕的是，該補(bǔ)丁解決了智能合約的問(wèn)題，卻還存在另一個(gè)安全隱患。Parity在其智能合約代碼上新增了“kill” 功能，該功能允許用戶永久鎖定Parity錢(qián)包。Parity開(kāi)發(fā)者沒(méi)有將這一代碼更新到所有的用戶錢(qián)包中，而是選擇跟一個(gè)中心化library（合約庫(kù)）進(jìn)行函數(shù)調(diào)用。

11月6日，用戶名為“devops199”的編程新手意外鎖死了library，所有與library相連的錢(qián)包也被鎖死了。受影響的錢(qián)包共計(jì)587個(gè)，包含513，774個(gè)ETH，價(jià)值約1.5億美元。

這不是犯罪也不是惡意行為，卻給以太坊帶來(lái)一個(gè)大問(wèn)題：是否再次進(jìn)行硬分叉以恢復(fù)被鎖定的587個(gè)錢(qián)包？4月，Parity向以太坊社區(qū)發(fā)起投票，最終以55%反對(duì)票拒絕了硬分叉，丟失的幣也就永遠(yuǎn)找不回來(lái)了！

NiceHash（2017年12月）

NiceHash是一家位于斯洛文尼亞的礦場(chǎng)。黑客利用釣魚(yú)成功竊取一名員工的證件，盜走4700個(gè)BTC，當(dāng)時(shí)價(jià)值近8000萬(wàn)美元。

Coincheck（2018年1月）

Coincheck是一家日本交易所，被盜取了5億個(gè)NEM。黑客取出NEM后迅速兌換成其他加密貨幣，以至于NEM基金會(huì)放棄了恢復(fù)工作。這次損失高達(dá)5.3億美元，超過(guò)了2014年MtGox的損失。由于Coincheck在被黑后隨即凍結(jié)提現(xiàn)，因此穩(wěn)住了用戶，交易所最終才得以存活下來(lái)。

Coinrail和Bithumb（2018年6月）

2018年6月，韓國(guó)兩家交易所的熱錢(qián)包遭遇攻擊。其中Coinrail損失了5300個(gè) BTC（價(jià)值接近4000萬(wàn)美元），Bithumb損失了近3100萬(wàn)美元。

事實(shí)上，區(qū)塊鏈應(yīng)用存在一些中心化數(shù)據(jù)庫(kù)所沒(méi)有的安全問(wèn)題。

區(qū)塊鏈在數(shù)據(jù)安全方面確實(shí)超過(guò)了傳統(tǒng)數(shù)據(jù)庫(kù)。如果區(qū)塊鏈想要實(shí)現(xiàn)在自己諾言——改變傳統(tǒng)數(shù)據(jù)的存儲(chǔ)和操作方式，那么它就必須去緩解和解決存在的這些安全問(wèn)題！那到底有哪些安全漏洞？需要怎么去解決應(yīng)對(duì)呢？

訪問(wèn)區(qū)塊鏈需要公鑰和私鑰等一些密鑰。密鑰是足夠長(zhǎng)度的加密字符串，想猜出來(lái)它，呵呵。要是沒(méi)有公鑰和私鑰的正確組合，你想訪問(wèn)區(qū)塊鏈中的數(shù)據(jù)那是不實(shí)際的，這同時(shí)說(shuō)明了區(qū)塊鏈技術(shù)的優(yōu)勢(shì)和弱點(diǎn)。沒(méi)有正確的密鑰，黑客就無(wú)法訪問(wèn)你的數(shù)據(jù)，這說(shuō)明區(qū)塊鏈很安全。但另一方面，黑客的目的就是想拿到正確的密鑰來(lái)完成他不可告人的目的。在區(qū)塊鏈的世界中，擁有你的密鑰和擁有你的數(shù)據(jù)所有權(quán)完全是同義詞。這也就說(shuō)明了區(qū)塊鏈的缺陷。確保你的密鑰安全，保證不要被黑客竊取。

黑客也知道猜密鑰沒(méi)用，所以他們花費(fèi)大量的時(shí)間來(lái)竊取你的密鑰。獲得密鑰的最佳機(jī)會(huì)是攻擊整個(gè)區(qū)塊鏈系統(tǒng)中最脆弱的點(diǎn)——PC、手機(jī)等終端設(shè)備。Windows、安卓中的安全漏洞最容易成為區(qū)塊鏈黑客的目標(biāo)，因?yàn)閰^(qū)塊鏈密鑰在任何時(shí)候都可以在這些設(shè)備上輸入、顯示和存儲(chǔ)。而黑客們就可以窺探并捕獲，如果我們沒(méi)有充分保護(hù)我們的設(shè)備，那你的財(cái)富就不翼而飛啦，而且老鐵你還找不回來(lái)！下面簡(jiǎn)單幾步可以非常有效地防止黑客竊取你的區(qū)塊鏈密鑰：

給你的Windows、安卓設(shè)備裝上殺軟吧，并確保同時(shí)更新殺軟和操作系統(tǒng)！定期查殺惡意軟件！不要將密鑰存儲(chǔ)在記事本，word或其他文件中。如果確需，那就用可靠的加密軟件強(qiáng)加密！別以任何理由給任何人通過(guò)郵件發(fā)送密鑰。如果確需，那就用區(qū)塊鏈的電子錢(qián)包！各種密鑰分開(kāi)放！

我們的信息只有通過(guò)區(qū)塊鏈輸入或者輸出，區(qū)塊鏈才會(huì)有價(jià)值。隨著分布式賬本的使用，提供第三方解決方案的市場(chǎng)將越來(lái)越大。可以預(yù)見(jiàn)，在區(qū)塊鏈平臺(tái)整合、錢(qián)包、支付、科技金融、智能合約等5個(gè)方面會(huì)有大量第三方的解決方案。兄弟，我想你也想到了，分布式賬本的強(qiáng)烈需求為區(qū)塊鏈的開(kāi)發(fā)帶來(lái)春天！但是第三方的供應(yīng)商也存在一些安全隱患，可能一些第三方自己也沒(méi)有意識(shí)到自己開(kāi)發(fā)的系統(tǒng)的安全性有待提高，代碼可能有瑕疵，甚至在員工的層面存在漏洞，這都可能使其客戶的區(qū)塊鏈憑證和數(shù)據(jù)暴露給未經(jīng)授權(quán)的人員。區(qū)塊鏈供應(yīng)商中存在的安全隱患。

當(dāng)?shù)谌?a target="_blank">產(chǎn)品涉及到智能合約（如果對(duì)智能合約不了解或感興趣，請(qǐng)關(guān)注本號(hào)并查看之前的文章錯(cuò)過(guò)比特幣？難道還要錯(cuò)過(guò)區(qū)塊鏈的下一個(gè)應(yīng)用風(fēng)口——智能合約？）時(shí)，這種安全風(fēng)險(xiǎn)尤為嚴(yán)重。因?yàn)槟愕恼麄€(gè)系統(tǒng)的所有行為或多或少的以智能合約的方式存儲(chǔ)在區(qū)塊鏈上，一個(gè)漏洞就可以造成災(zāi)難性的后果！因此，如果你需要第三方的區(qū)塊鏈解決方案，你需要考察整個(gè)區(qū)塊鏈行業(yè)的生態(tài)系統(tǒng)，經(jīng)驗(yàn)和信譽(yù)應(yīng)該作為參考的兩個(gè)關(guān)鍵的指標(biāo)！

福布斯的報(bào)道是這么說(shuō)的，區(qū)塊鏈中首要的安全問(wèn)題就是缺乏標(biāo)準(zhǔn)和規(guī)定！其實(shí)，只要有規(guī)定或標(biāo)準(zhǔn)，區(qū)塊鏈純粹主義者就會(huì)高度警惕。好奇boy也許會(huì)問(wèn)了：區(qū)塊鏈不是和治理、規(guī)定處在對(duì)立面嗎？那得看你怎么它！如果回顧咱們上面說(shuō)的第二個(gè)風(fēng)險(xiǎn)，供應(yīng)商風(fēng)險(xiǎn)。如果沒(méi)有標(biāo)準(zhǔn)，如果沒(méi)有規(guī)定，那上面提到的5個(gè)領(lǐng)域哪一個(gè)會(huì)從中獲益？顯然沒(méi)有！標(biāo)準(zhǔn)讓?xiě)?yīng)用更安全。

缺乏標(biāo)準(zhǔn)協(xié)議意味著區(qū)塊鏈開(kāi)發(fā)人員很難從其他人的錯(cuò)誤中受益。此外，在某些情況下，可能需要整合鏈條，隨著多種技術(shù)的融合，缺乏標(biāo)準(zhǔn)化可能意味著新的安全風(fēng)險(xiǎn)。標(biāo)準(zhǔn)和規(guī)定問(wèn)題比技術(shù)問(wèn)題要復(fù)雜的多。和其他技術(shù)發(fā)展類(lèi)似，隨著歷史進(jìn)程的發(fā)展，這些問(wèn)題終會(huì)得到解決，歷史也許會(huì)驚人的相似：

強(qiáng)制的標(biāo)準(zhǔn)和規(guī)定慢慢的便可可以說(shuō)的通。（互聯(lián)網(wǎng)發(fā)展初期的標(biāo)準(zhǔn)和監(jiān)管）在一些創(chuàng)新領(lǐng)域，大的企業(yè)聯(lián)合體內(nèi)部實(shí)施自己的標(biāo)準(zhǔn)和監(jiān)管。（如今大型互聯(lián)網(wǎng)公司在一些垂直領(lǐng)域的自由標(biāo)準(zhǔn)和監(jiān)管）僅用于大型企業(yè)內(nèi)部，進(jìn)行自我管理的區(qū)塊鏈將沒(méi)有具體標(biāo)準(zhǔn)和監(jiān)管。（如今大型互聯(lián)網(wǎng)公司會(huì)制定自己的私有協(xié)議）

雖然自比特幣出世已經(jīng)有八年，但區(qū)塊鏈能否安全應(yīng)用于數(shù)字貨幣還是處在實(shí)驗(yàn)階段的。但是一些分布式賬本的開(kāi)發(fā)者很急，想在區(qū)塊鏈上部署未曾驗(yàn)證測(cè)試的代碼。一個(gè)臭名昭著的例子就是DAO攻擊。（關(guān)于DAO攻擊，希望不懂的看官自行百度，謝謝~）。DAO攻擊之后，DAO貶值了三分之一，這下可不得了，DAO攻擊一度登上區(qū)塊鏈領(lǐng)域文章的熱搜！要解決這種類(lèi)型的安全風(fēng)險(xiǎn)至少有兩個(gè)很好的解決方案：

相互監(jiān)督：在部署之前對(duì)代碼進(jìn)行嚴(yán)格的同行審計(jì)。專(zhuān)業(yè)的人干專(zhuān)業(yè)的事：智能合約測(cè)試由獨(dú)立測(cè)試機(jī)構(gòu)進(jìn)行。

這兩個(gè)方案中的使用任何一個(gè)都會(huì)發(fā)現(xiàn)DAO中的缺陷，那么在未來(lái)也時(shí)同樣如此！

盡管歷史上的損失令人痛心，可喜的是針對(duì)安全問(wèn)題的解決方案正在越來(lái)越完善。

正如互聯(lián)網(wǎng)殺毒時(shí)代至今的演變一樣，我們期待更完美的技術(shù)性能迎來(lái)區(qū)塊鏈的進(jìn)一步普及引用，真正從內(nèi)而外地形成一個(gè)可靠、透明、可追溯的分布式平臺(tái)，為金融交易創(chuàng)造安全空間、促進(jìn)保障社會(huì)信任關(guān)系。