不可忽视的4个安全问题和5种处理区块链的方法！

内容 | 万涛IDF极客实验室联合创始人

整理 | 阿利亚布

说到区块链，虽然被广泛讨论，但一直是一个令人尴尬的问题——数字资产的丢失和被盗的情况并不少见，包括此前币安的安全事件，也曾在业界引起轰动。

那么，区块链安全的现状究竟是怎样的呢？区块链和加密货币存在哪些安全问题？如何构建安全的智能合约？IDF至尊宏碁联合创始人万涛认为，不考虑安全就谈区块链是“流氓”；以安全为名鼓吹区块链，没有实际行动是无耻的。近日，万涛向《区块链大本营》讲述区块链安全。

那天晚上，黑客欺骗了所有人

2018年3月7日深夜，不少用户发现自己币安账户中持有的各种代币和数字货币被兑换成比特币。根据网友的反馈，很多被盗账号都认为是币安系统出错导致的，并试图从币安客服那里得到解释。还没等他们反应过来，黑客就已经开始了他们有组织、有预谋的行动。

由于大量代币被市场价格抛售，大部分币种开始下跌，市场上不明真相的散户也开始恐慌抛售。在币安比特币的交易对中，只有10多个币种处于正常状态，其他币种都在下跌。

在上涨的币种中，威盛（Vircoin）成为黑客影响市场的新目标：被黑客操纵的账户在1小时内用10000比特币炸毁威盛（爆款，即BlockBeats：币值极短上涨）随着时间的推移多次）。

引发恐慌性抛售后，黑客以高价将被盗账户中持有的比特币全部买进威盛，从22:50的0.$000225直接到0.$025，足足拉了110倍！在整个过程中，黑客总共消耗了大约 10,000 个比特币。

按照正常逻辑，此时黑客手中的其他账户可以高价卖出手中持有的VIA，兑换成比特币分发到安全账户，然后提现离场。这个过程类似于银行家恶意拉扯和砸市场，但黑客并没有这样做。

此时，币安已经注意到了异常情况。为防止黑客提币，币安平台已暂停所有提币。这样，即使黑客将货币的价值增加100倍，他也无法提取货币。

看到这里，你是不是觉得币安的安全防护很到位，没有办法让黑客提币离开市场？

太年轻！所有人都想错了，因为这次的攻击，黑客们甚至都不想提币离开市场，一个大丰收计划其实早就结束了。

有预谋的黑客当然认为交易所会立即停止所有账户提现以挽回损失，所以他们做出了“声音攻击”——攻击币安，但最大的利润并非来自币安。它来自：已经在全球各个交易所上市的“数字货币和代币的空头订单”。

按交易量计算，币安是全球第二大虚拟货币交易所。这个市场的任何波动都会很快影响到其他交易所，包括：OKEx、火币、Bitfinex、Upbit等，小到包括各种二三流交易所。币安交易所大部分币种的暴跌，势必会影响投资者在其他交易所的投资行为，进而影响虚拟货币价值的涨跌。

目前，已有多家交易所推出卖空交易。黑客的真正目的是在开卖空交易的市场下空单，当币值下跌时，直接收割一波离场。这样一来，币安提币就不用冒险了，市场下跌的那一刻，直接完成了利润的收获。

如果黑客在币安上盲目交易，就有可能无法成功提币，从而导致整个攻击失败。但黑客选择利用大型中心化交易所币安的信用背书来影响其他交易所。因为大量的空单分散在数百个交易所，无法查到。而黑客本质上并没有“窃取”任何人的数字货币，他们只是为每个人“改变了类型”。

看，在这次事件中，黑客的攻击已经“去中心化”了。

在这一点上，业界已经达成共识：这次入侵的潜伏期很长，黑客也很有组织，很有耐心。因为从黑客的行为来看，他们已经准备了很多手。如果他们可以提币，他们会立即提币并离开；如果他们无法提币，他们仍然可以去下一个交易所卖出或做空收获。

一个被贴上“筛子”标签的交易平台

币安的不安事件，或许日后回首，是区块链和数字货币安全史上的里程碑，意味着区块链安全领域已经有了非常专业的“玩家”，未来的攻防对抗将是. 变得多么可怕？

事实上，自比特币诞生以来，数字货币被盗事件就已经层出不穷。对于普通投资者来说，除了数字货币炒作的风险外，不受监管的数字货币交易所也会带来较高的安全风险。尤其是近年来，数字货币在价格和交易量上都出现了爆发式增长，交易所成为黑客盗窃和勒索的首选。

以下是比特币历史上一些比较著名的攻击：

因此，一些安全行业的人提出，凡是不顾安全而谈区块链的都是流氓。

玩区块链时如何防范安全风险？

数字货币盗窃和交易所安全事件频发，成为公众质疑其底层技术区块链安全的理由。那么，让我们盘点一下区块链技术可能存在的区块链安全风险。

钱包风险

所有主流数字货币都有相应的数字资产管理工具——钱包。以比特币为例，目前支持比特币的主流钱包有几十种，也分为“软件和硬件”、“线上和线下”、“PC和手机”等多种形式。

由于历史数据、网络同步、不便等问题，个人运行和维护庞大的比特币客户端来管理资产既繁琐又不切实际。越来越多的数字货币资产管理厂商开发了钱包应用或硬件。

在这个世界上，总有一些人因为运气不好或其他因素忘记了初始密钥或丢失了硬盘，导致数字资产从网络中永久消失。这样的案例还有很多，在最近的新闻或者笑话中经常可以看到。

同样，这个世界上总有一些人，因为自己的粗心大意，泄露了自己的钱包密钥文件，给自己造成了巨大的损失。在推特上，有人演示了AWS S3资源扫描工具的使用，发现了多个比特币钱包密钥文件wallet.dat，可以公开下载！任何人下载此文件并将其导入比特币客户端，都可以传输加密数字资产！

所以记住，财富不暴露，wallet.dat文件也不能暴露！

主流交易所或钱包管理软件均提供复制或扫描获取支付地址的方式。但是，如果电脑终端被植入木马，在复制或转账过程中，支付地址也可能被替换。

除了“密码”、密钥和钱包地址等安全问题外，钱包应用本身也存在较大的风险。使用数字货币钱包时，应选择官方推荐的钱包软件，切勿在社交网络中使用不明厂商或来源不明的钱包软件。

采矿风险

除了购买比特币，获取比特币最基本的方式是运行比特币客户端记账软件，成为网络区块链网络中的一个节点。通过参与区块链网络计算，维护全网数据，可以获得比特币奖励——俗称“挖矿”。当然，以目前整个比特币网络的挖矿难度，普通个人电脑无法通过挖矿获得收益。即使是专业矿工也需要几个月的时间才能获得回报，更不用说中间的高昂电费。

为此，互联网上诞生了“矿池”。个人用户在挖矿过程中将挖矿客户端连接到更大的矿池服务器。与其他个人矿工合作开采比特币。大型矿池挖比特币时，根据算力贡献度来划分不同的客户端。大多数矿池都会提供用户特定的挖矿软件和钱包地址。

以门罗币（XMR）挖矿程序为例，个人矿工用户在客户端运行如下程序：

执行程序后，挖矿程序加入矿池mro.example.org进行挖矿。如果门罗币被挖出，矿池将奖励门罗币并直接分发到地址 YOUR_WALLET_ADDRESS。

以下是比特币挖矿行业的主流形态：

通过简单的分析，我们可以看出挖矿行业存在以下风险：

如今，越来越多的黑客也开始瞄准矿池服务器。诸如“挖矿平台被黑：价值 6 亿比特币 4. 被盗”之类的新闻并不少见。

那么，如何规避挖矿风险呢？我的建议是，挖矿软件很容易被病毒绑定，用来盗取虚拟货币钱包。请从官方可靠渠道下载软件，使用专用矿机，不要在上面放重要信息（尤其是虚拟货币钱包）。此外，矿池存在倒闭和逃跑的风险。请务必尽快转移矿池的挖矿收益。

仅靠个人电脑无法挖掘出更多的数字货币，只有利用无限的互联网资源才能创造出更多的价值。因此，从2017年开始，黑客软件、木马病毒与挖矿相结合，逐渐渗入企业网络。成功入侵的服务器将全天 24 小时为黑客挖掘。那些安全措施不足、防御手段较差的企业，其服务器安全将面临更大的挑战。一旦防御失败，他们将完全沦为为黑客赚钱的矿工。

我遇到过企业服务器每天半夜满负荷运行，所有资源都耗尽，但是一旦运维人员登录服务器，系统又恢复正常。经过多方排查，最终发现服务器被植入了门罗币挖矿的黑客木马程序。

虽然企业信息没有泄露，但原本用于业务的计算资源却被挖矿软件占用，这本身就是一种浪费和损失。今天，当黑客进入你的系统时，不再是破坏和炫耀，而是利用服务器挖矿，让服务器成为摇钱树。它们甚至会帮助您“优化”您的服务器，提高您的计算能力，并耗尽您的最后一个计算单元！

代码实现安全

一个好的设计架构可以提高系统的安全性，但架构必须通过代码来实现。在软件实现的过程中，没有严格的编码安全，还是存在风险和漏洞的。与全网开放的比特币核心代码相比，钱包app软件、交易所网站代码等更容易出现应用安全漏洞。如果不能及时发现并修复安全漏洞，用户资产最终会被黑客窃取。

我们认为的“传统安全问题”，如交易所风控治理、网络钓鱼、社会工程欺诈和勒索等，在区块链技术和应用中不可避免地会遇到。

区块链自身的风险

由于区块链的“去中心化”特性，无需担心单点网络拒绝服务攻击。但短时间内大量超小（如：0.0001BTC）垃圾交易会迅速填满区块，导致其他转账信息无法及时确认，最终导致整个区块链网络传输延迟。

基于算力证明维护的比特币网络一直存在一个重大的理论风险：如果有人掌握了巨大的计算资源（超过全网一半的算力），他就可以通过强大的计算能力 这也称为“51% 攻击”。

虽然这种攻击的可能性不是很高（掌握这种算力的人可以从挖矿中受益匪浅，然后冒着篡改账本的风险很容易暴露自己），但理论上：一旦发现这种攻击，其他终端比特币网络可以联合硬分叉已知的区块链，都否认非法交易。

以太坊安全吗？当前已知的安全问题

以太坊（Ethereum）是一个具有智能合约功能的开源公共区块链平台。基于区块链的智能合约对区块链上的所有用户都是可见的。但是，这会导致所有漏洞（包括安全漏洞）都可见。

如果智能合约开发者疏忽或测试不足，智能合约代码存在漏洞，很容易被黑客利用和攻击。而且智能合约越强大比特币钱包安全性，逻辑越复杂，也越容易出现逻辑漏洞。同时，智能合约语言 Solidity 本身和合约设计也可能存在漏洞。

您可能还记得，2016 年 6 月 17 日是区块链历史上最严重的攻击之一。由于以太坊智能合约存在重大缺陷，区块链行业最大众筹项目 TheDAO（攻击前资产约 1 亿美元）遭到攻击，导致 TheDAO 资产池中分离出超过 300 万 ETH 资产。

2017年7月21日，智能合约编码公司Parity发布警告比特币钱包安全性，1.5及以后版本的钱包软件存在漏洞。根据 Etherscan.io 的数据，已确认价值 3000 万美元的 150,000 个以太币被盗。.

2017 年 11 月 8 日，以太坊 Parity 钱包出现了另一个重大漏洞。多重签名漏洞被黑客利用，导致数亿美元资产被冻结。

目前业界列出的已知以太坊安全漏洞如下：

考虑到以太坊的运行时间不到3年，以上漏洞可能只是冰山一角。在规划解决方案时，必须对智能合约代码进行全面测试。

近日，有安全团队曝光了以太坊“走私”漏洞引发的“全球黑客疯狂投币”，同样值得大家关注和关注。

构建安全智能合约的 5 种方法

第一个技巧是预测可能的错误。

任何有意义的智能合约或多或少都有缺陷。因此，您的代码必须能够正确处理出现的错误和漏洞。例如，始终确保以下规则：当智能合约发生错误时，可以停止合约（“断路器”）；预先考虑管理账户的资金风险（限（转）率、最高（转）额）；提供一种有效的方式来进行错误修复和功能增强。

第二个技巧是谨慎发布智能合约。

尝试在智能合约正式发布之前发现并修复可能的错误。对智能合约进行彻底测试，并在发现任何新的攻击手段（包括已经发布的合约）后及时进行测试；由于 Alpha 版本在测试网上发布，因此提供了一个 bug 赏金计划（类似于互联网安全行业中常见的那种），SRC bug bounty）；分阶段发布，每个阶段都提供足够的测试。

第三个技巧是保持智能合约简单。

复杂性增加了出错的风险。介绍的意思：

第四招，不断更新。

第五招是了解区块链的特性。

区块链技术和应用的发展给安防行业带来了巨大的创新机遇和机遇，也带来了极其严峻的挑战。

涉足区块链，一定要记住文章开头的那句话：

不顾安全谈区块链是“流氓”；以安全为名鼓吹区块链，没有实际行动是无耻的！

营长正在招聘

CSDN区块链大本营招聘2名编辑：

1. 对区块链技术有一定了解，对大公司动态极为敏感，深度分析意识强。

2. 投稿速度快，每天都可以提交问题和提交论文。

3. 有能力采访行业高层，深入阐述他们的观点。

4. 2 年以上相关媒体经验。

5. 英语6级以上，可以快速编译。

6. 本科以上学历

治疗：

永不低于行业水平，只要有人才，我们愿意为您提供一切资源

邮箱：puge@csdn.net

邮件中注明：姓名+区块链+编辑申请