以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads
首頁 > BNB價格 > Info

跟一個搞網絡安全的聊完數字貨幣,我喝了口茶壓壓驚_數字貨幣

Author:

Time:1900/1/1 0:00:00

獵云注:將比特幣放入所謂的“比特幣錢包”,全部比特幣被轉移,按現在市值凈虧損一千多萬。這是一個真實案例。就奇虎360信息安全研究員Sherlock看,區塊鏈技術的確不錯,但區塊鏈從底層代碼到最終應用涉及的多個方面都可能成為黑客的攻擊面。數字貨幣交易所也未必安全。此次淺黑科技對話區塊鏈領域資深人士Sherlock,暢談網絡安全及區塊鏈數字貨幣。文章來源:淺黑科技。原文如下:

前幾天,我去找到360信息安全中心的Sherlock,向他求教數字貨幣相關的網絡安全態勢,卻一上來就聽了個奇葩故事:

2017年7月的某一天,老武坐在派出所錄口供,手心全是汗。

他做夢也沒想到,自己旅了游回來,數字錢包里的186個比特幣竟全部消失。

當時比特幣才1萬2一枚,算起來值兩百多萬元。

“是黑客干的?”

老武細細一回想,覺得事有蹊蹺。

幾個月前,他被朋友拉進一個比特幣投資的微信群,一來二去認識了群主。

群主是個熱心腸,經常告誡大家要注意投資風險,還提醒大家注意比特幣安全,告訴大家不要把所有的錢都放在交易所,要存到“比特幣錢包”才最安全。

這天,群主給老武發來一個比特幣錢包軟件,告訴他,比特幣放在數字錢包最安全。

老武一看,確實是某知名比特幣錢包的安裝包,就按群主指導一步步操作,把自己的186個比特幣轉了進去。

幾天后,老武的186個比特幣全部丟失。

他當即找群主老戴質問,對方卻做出一個驚人的舉動:

他說,自己只是好心推薦軟件,比特幣被盜可能是因為老武自己泄露了錢包密碼。

不過,

畢竟是自己推薦老武用的錢包軟件,現在幣丟了自己也有部分責任,賠老武12萬元算是認倒霉。

幣安提醒用戶于2024年2月前將BUSD轉換為其它穩定幣:金色財經報道,幣安發布公告表示,由于Paxos停止發行新BUSD代幣,幣安將逐步停止支持BUSD。幣安將就受影響的服務,陸續以公告形式通知用戶。用戶的資產絕對安全,敬請放心,BUSD將始終由美元以1:1的比例錨定。幣安平臺將繼續支持多種穩定幣及其它數字資產。平臺提醒用戶可于2024年02月之前將其持有的BUSD資產轉換為幣安平臺支持的其它資產。[2023/8/31 13:08:53]

說完,群主真的轉給老武12萬塊錢。

“一個素未謀面的人這么輕易就轉給我十幾萬塊錢?”

老武斷定,這事兒多半跟這個群主有關。

……

……

……

幾個月后,沖入群主戴某的住所,發現幾十張銀行卡和多臺筆記本電腦。在其中一臺電腦里發現了和老武用的那款比特幣錢包軟件,以及一個盜號用的腳本。

原來,群主在對錢包軟件安裝包里植入了盜號腳本。那186個比特幣,正是通過這個后門,進了群主的口袋……

講完,Sherlock告訴我,這是央視報道過的真實案件。

他說:

“不少人以為區塊鏈去中心化、不可篡改就能絕對安全,完全不懼怕黑客。但其實區塊鏈從底層代碼到最終應用,可能涉及到很多方面,比如智能合約、錢包、交易所等等,這些地方都可能成為黑客的攻擊面。”

這就好比,有人把機械門鎖換成指紋鎖就以為自己的財產很安全,可其實小偷照樣有辦法復制指紋,甚至完全不管門鎖,直接拆門進來,或破墻而入,或跳窗戶進來……方法多得很。

區塊鏈會帶來哪些新的安全態勢?

我和Sherlock進行了一次詳談,他從底層代碼安全、數字錢包安全、數字貨幣交易所安全、新型套利方案等幾個方面向我梳理了自己對于區塊鏈一些理解,在此呈現給各位淺友們:

逾19.91萬枚CETH從Compound轉入未知錢包:金色財經報道,數據顯示,北京時間今日17:42,199,144枚CETH (約合6,892,384美元) 從Compound轉入未知錢包。[2023/6/19 21:47:14]

Sherlock,奇虎360信息安全研究員,2015年接觸數字貨幣,對區塊鏈和數字貨幣安全頗有見解。

一、數字貨幣區塊鏈底層代碼未必安全

“數字貨幣區塊鏈底層代碼也未必安全。”Sherlock向我回顧了區塊鏈發展史上的一次重大丑聞:

2016年6月,加密貨幣和區塊鏈社區發生了一次大地震,世界上最大最知名的眾籌項目theDAO遭黑客攻擊,價值6千萬美元的以太幣被盜!

調查原因,竟是theDAO編寫的智能合約代碼不夠嚴謹,里面有兩個函數漏洞,能讓攻擊者不斷從項資產池中偷取資產。

為了解決TheDAO大量資金被盜的問題,以太坊官方還推出了針對TheDAO的軟分叉版本Gethv1.4.8,增加了一些規則以鎖定黑客控制的以太幣。

可是,眼看著絕大多數礦工都升級了這個版本的軟件,軟分叉要大功告成時。由于時間倉促等原因,眾多大牛編寫出來的軟分叉版本居然又有一個明顯漏洞!這個漏洞能讓黑客零成本搞垮整個項目。

因為那次事件,以太坊社區發生了巨大分歧,一派人認為應該把項目回滾到黑客攻擊之前的狀態,另一派人則覺得回滾不符合區塊鏈“去中心化、不可篡改”的核心精神,不同意回滾。

最終,兩派通過投票徹底“決裂”,以太坊便硬分叉成了“以太經典”和“以太坊”,如同宇宙瞬間分裂成兩個一模一樣的平行世界各自運行。

“可是誰能確保修復后的代碼沒有新漏洞呢?只要是人寫的代碼就可能有漏洞。”Sherlock說,不少人迷信區塊鏈底層代碼是安全的,這種想法本身就很危險!

比特幣礦企TeraWulf的核動力挖礦設施開始運營:金色財經報道,比特幣礦企TeraWulf的Nautilus Cryptomine 設施(美國第一個核動力比特幣挖礦設施)開始運營,近 8000 臺在線挖礦設備代表計算能力或哈希率約為每秒 1.0 exahash (EH/s)。

根據周一公告,該公司預計在未來幾周內將有另外 8000 臺設備通電,使位于賓夕法尼亞州的 Nautilus 工廠的哈希率到 5月預計將達到 1.9 EH/?s。[2023/3/7 12:45:34]

對區塊鏈有所了解的人,相信都聽說過51%攻擊:只要控制一個區塊鏈上51%的算力,就能對鏈上的交易任意數據進行篡改。

以往,人們之所以相信區塊鏈是不可篡改的,就是堅信51%攻擊不可能發生,因為同時控制51%所需要的資源成本太高。

“可是,只要理論上來說可能,我們就不能不堤防!”

二、“李笑來們”很危險!

網絡安全行業有個常見名詞叫APT——高級持續性攻擊,意思是黑客長時間盯著某個目標,尋找各種突破口,甚至靜心布置一個巨大的騙局。

由于實施成本太高,這種攻擊形式以往只發生在國家和國家之間,或者大型組織之間。

“數字貨幣出現后,APT組織很可能把目標轉向“數字貨幣大戶”,目標從一系列大型設備轉向個人電腦。”

原因很簡單,因為他們的數字貨幣資產足夠值錢,個人目標相比有專業風控的大型組織更容易攻破,數字貨幣被盜后溯源難。

“以往人們把錢存在中心化的銀行,即便被偷被騙也比較容易追溯,畢竟銀行賬戶都有實名認證,可是數字貨幣一旦被騙就很難找回。

由于國家不承認數字貨幣的價值,有時甚至報警立案都會遇到一些困難。

數字貨幣的最大特點是去中心化,不可篡改,而這兩點恰恰讓數字貨幣持有者成了黑客最好的攻擊目標。去中心化意味著出的監管難度高,不可篡改意味著錢一旦被騙走,交易就不可能回退。

Huobi 34地址在快照后將1萬枚ETH轉至幣安和OKX存款錢包:11月13日消息,標記為Huobi 34的地址(0xcac725開頭)在Huobi進行資產快照(11月13日0點)時持有14858枚ETH,目前余額為3303.66 ETH。

鏈上數據顯示,快照后,該地址在今日上午將1萬枚ETH分別轉移至幣安和OKX存款錢包。其中約6000枚ETH轉入被Nansen標記為“OKX:Deposit”的錢包,約4000枚ETH轉入標記為“Binance:Deposit”的地址。[2022/11/13 12:58:49]

黑客為了盜走你的數字貨幣,可能盯上你家里、辦公室的WiFi網絡,黑進你的個人電腦,或者量身定制一套釣魚方案。

甚至,他們很可能設下一個巨大的騙局,利用社交關系靠近你,成為你的“朋友”,潛伏在你身邊好幾個月再行動!文章開頭的案例就是如此。

我問道:“李笑來曾經聲稱自己是比特幣首富,號稱擁有六位數的比特幣,算起來值十幾億,所以他很可能已經成為APT的目標咯?”

“當然有可能。”

三、錢包都不安全,錢還能安全嗎?

“黑客想盜走數字貨幣,數字錢包是一個很重要的攻擊面。”Sherlock說。

數字錢包是用來存儲數字貨幣的軟件載體,完全脫離網絡存儲私鑰的叫“冷錢包”,把私鑰托管在網上的叫“熱錢包”。

圍繞數字錢包,黑客可以大搞名堂。

當你想用數字錢包,多半就得下載軟件,而數字錢包從設計、發布,最后通過各種復雜的網絡傳輸來到你的電腦或者手機,中間要經過很多道流程,跨過千山萬水,但凡其中某個流程出現問題,你都有可能中招。

比如:

你是否通過正規官方渠道下載錢包軟件?從第三方軟件平臺下載時,會不會下載到帶有盜號后門的?

NFT抵押借貸協議BendDAO提案BIP#9投票開啟:金色財經報道,據NFT 抵押借貸協議 BendDAO 聯合創始人 @CodeInCoffee 在社交媒體透露,提案 BIP#9 投票已經正式開啟,本次投票時間只有 24 小時,旨在修改部分協議參數來解決流動性危機。包括將清算閾值調整為 70%、將拍賣周期調整為 4 小時、將利息基礎利率調整為 20%、以及當發生壞賬時 BendDAO 社區可投票決定如何處理。截至目前,有 1500 萬枚 veBEND Token 被用于投票且全部為贊成票,反對票比例0%,棄權票比例為 0%。[2022/8/22 12:41:43]

即便是在官方網站下載,如果你所處的WiFi網絡環境被黑,會不會被劫持到黑客的下載地址?

即便你的網絡環境沒問題,軟件官網的下載地址會不會早已被黑客黑掉,改成帶有盜號后門的軟件?

即便流程都沒問題,數字錢包的產品設計本身是否可靠?廠商是否為了滿足易用性而犧牲安全性?廠商是否安全地存儲用戶的私鑰?

……

……

……

單就一個數字錢包,黑客就有那么多攻擊面,你還覺得上了區塊鏈就是安全的嗎?

“你也有數字貨幣資產吧?,既然用個數字錢包都這么危險?你作為一個天天跟黑客打交道的安全從業者,是怎么做的呢?”我反問他。

他說:

“一方面,確認錢包本身的安全性,比如下載軟件后做個哈希值校驗,另一方面也要合理存儲。我的資產不多,一部分在交易所,一部分在熱錢包,一部分在冷錢包。雞蛋不要放在同一個籃子里,這是最基本也最容易做到的。”

我又問他,“自己用錢包保管數字貨幣不放心,托管在交易所總沒問題了吧?”

他笑著說,未必。

四、數字貨幣交易所也未必安全

Sherlock給我曬出一組數據:

2014年2月,當時世界最大的比特幣交易所Mt.Gox被盜85萬個比特幣。后來,Mt.Gox被曝出其實是監守自盜,真正被外盜的比特幣只有7000個。

2016年8月,最大的美元比特幣交易平臺Bitfinex出現漏洞,12萬比特幣被盜,當時價值6500萬美元,如果換算成2017年12月的價格,價值近20億美元。

2017年12月,韓國YouBit交易所被黑客攻擊,損失4000個比特幣,交易所宣布破產。

2017年12月21日,網傳烏克蘭Liqui交易所被盜6萬個比特幣,比特幣單價瞬間暴跌2000美元。

2018年3月7日,幣安交易所出現大量用戶賬號被盜,黑客控制的資產價值超過1億美元。甚至還有人傳言黑客利用了金融知識影響數字貨幣價格來間接獲利,導致不少數字貨幣價格暴跌。

“類似戲碼一定還會上演。”他說,

“數字貨幣交易市場這幾年的發展勢頭太快,而且相互競爭激烈,這種情況下安全技術、人力方面投入的速度未必跟得上自身需求增長的速度,必然會導致一些問題。

他說,以最近發生在幣安交易所的安全事件為例,其實幣安的風控措施相較以往發生過安全事故的其他交易所,已經所有提升。

在黑客提幣時利用大數據風控阻止了提幣操作,此前發生過的黑客事件,基本發生的交易所安全事件大多黑客直接提幣走人。

所以,他建議大家盡量使用知名的、大型的交易所,不要把資產放在小型、不知名的交易所,因為黑客也會挑軟柿子捏。

“一般來說,大的交易所通常安全風控手段相對完善,黑客不容易攻入,這時黑客很可能轉而攻擊小型交易所。

甚至,他們還會專挑一些沒有牌照的非法交易所攻擊,這樣即便被發現,交易所也不受法律保護。

比如黑客很可能跑去攻擊孟加拉國之類小國家的交易所,一方面因為那里本來就認定數字貨幣非法。另一方面跨國管制不便,也讓黑客更肆意妄為。”

五、利用明星效應的釣魚攻擊

如果說APT攻擊和交易所安全離普通人太遠,下面這種攻擊手法就發生在我們身邊。

前陣子,有人專門在一些知名人物的社交賬號底下頭像和名字設置成和名人一模一樣的頭像,發布一些虛假的信息,聲稱只要在某個數字貨幣地址轉入一定數額的幣,就能得到10倍的回饋。

這就好比大街上有人對你說,“你給我10塊錢吧,我會立刻返給你100塊。”就這樣顯而易見的詐騙信息,經統計,短短幾天之內竟能騙到價值幾十萬的數字貨幣。

為什么看起來如此愚蠢的騙術,也有人上當受騙?

Sherlock說,“這就是騙子們廣撒網的策略了,由于明星的粉絲很多,這種方式投放詐騙信息可以獲得大量展示。幾千個人里難免有那么幾個剛睡醒,腦子不太清醒的人。”

最后,由于這類詐騙信息實在太多,不少名人被迫把網名都改了:

類似的詐騙到了國內還有一種進階版,Sherlock又給我安利了一個真實案例:

一個叫“王團長”在微信群里向群友募集私募“韭菜基金”。

這天半夜,“王團長”忽然在群里發話:“基金募集明天就截止了,請大家趕緊打幣到地址XXXXXXX。”

于是,就有群友就按照王團長說的地址打過去22個以太幣,當時大約價值二十萬元。事后,這位網友才發現,群里忽然出現了好幾個“王團長”,真假難辨,自己的22個ETH直接進了騙子口袋。

“這種手段也常見于數字貨幣項目的私募階段,因為有的項目收益很高,參與者往往不能保持平常心,唯恐落后,這種貪利的心態讓他們更容易受騙。

并且,國內目前沒有正規的ICO途徑,參加私募純屬個人行為,缺乏監管,流程無法保證安全。”

這類詐騙方式其實一點都不新鮮,只是數字貨幣市場的活躍,讓它們重新迸發了活力。”Sherlock說。

六、傳統黑產也盯上數字貨幣

哪里有錢賺,哪里就少不了黑產。

Sherlock告訴我,在區塊鏈和數字貨幣興起的同時,也催生了一些新的套利方式……

原本黑客控制大量“肉雞”,通常會用來發起DDoS流量攻擊等。

數字貨幣火了之后,不少“肉雞”又多了新的角色——黑客還會把黑掉的機器配置成挖礦機,利用它們的算力來挖數字貨幣賺錢。

有的黑客還會專門在訪問量高的網站頁面或者博客植入挖礦腳本,用戶一旦訪問這樣的網站,電腦處理器性能就會瞬間被占滿,成為一個挖礦節點,為黑客的礦池提供算力。

那些原本專門盯著各大公司優惠活動,用大量手機卡批量套利的羊毛黨灰產,也開始盯上數字貨幣ICO項目發放的獎勵,不少活動剛開始沒多久,所有糖果就都進了灰產口袋。

甚至,黑客還會專門入侵別人的數字貨幣挖礦礦場,把他們的轉賬地址改成自己的。

總之,數字貨幣為黑產們提供了各種新的賺錢渠道和方式。反過來,豐厚的回報又吸引著新的一波人鋌而走險加入黑產……

---

聊到最后,Sherlock感慨:

“其實說白了,不管時代環境如何改變,安全攻防到了最后,都是人與任何人的較量。

騙子和網民們斗智斗勇,騙子不停地升級劇本,網民不斷增強安全意識和辨別能力;

黑客不斷發現新的攻擊面和攻擊手法,交易所、錢包等廠商也在不斷引進新的防御技術和人才。

或許正如老周所說的那樣,萬物皆變,人是安全的尺度吧!”

本文來自獵云網,創業家系授權發布,略經編輯修改,版權歸作者所有,內容僅代表作者獨立觀點。

Tags:數字貨幣比特幣區塊鏈十大數字貨幣交易所排名數字貨幣交易所官方網址數字貨幣詐騙案例視頻比特幣中國官網聯系方式40億比特幣能提現嗎比特幣最新價格行情走勢區塊鏈工程專業學什么區塊鏈存證怎么弄

BNB價格
如何用相機掰彎硬幣?美國大叔用慢鏡頭展示科學奧秘_MOS

如何把全世界都拍「彎」?美國網紅工程師DestinSandlin做到了。 在他的鏡頭中, 飛機原本筆直的螺旋槳直接扭出弧度: 高速自轉的硬幣,擰成了麻花: 沃爾瑪調查其與萊特幣合作的虛假新聞稿是.

1900/1/1 0:00:00
大爺大媽們擠破頭都要進的幣圈,究竟是個什么圈兒?_比特幣

幣圈有風險,入坑須謹慎。當大媽們都在討論比特幣和區塊鏈的時候——意味著市場風險空前巨大,幣圈中人能不能守得住自己的幣? 文/老坑 今年春節回鄉下過年,除夕那晚到小橋上玩煙花,不巧買了一扎潮濕的電.

1900/1/1 0:00:00
每日投融資速遞 | 合盤金融獲得2億人民幣融資,云存儲服務提供商Nasuni獲得3800萬美元融資——2017.9.13_APP

編者按:這里是36氪推出的欄目,盤點當天國內外投融資動態。今日國內的焦點是合盤金融獲得2.0億人民幣B輪融資,海外的投融資關注重點則是云存儲服務提供商Nasuni獲得3800萬美元E輪及以后融資.

1900/1/1 0:00:00
中國人自己的打賞數字貨幣——龍貓幣的誕生_TOC

龍貓幣 TOC擬在比特幣概念的基礎上進行改進,它既可滿足去中心化的要求,也具備更好匿名性,同時也支持防篡改的即時交易,又能保證普通POW和主節點服務同時受益.

1900/1/1 0:00:00
18年1月全球十大虛擬幣:萊特幣即將退出神壇;小蟻幣乘虛而入!_比特幣

群雄爭霸的亂世,如果你只了解比特幣,以太坊就真是out了;貨幣市值的動蕩,前十名一直飄忽不定,一起來看下當今全球市值排名前十的虛擬貨幣,來一起分析下十大貨幣的未來前景.

1900/1/1 0:00:00
被黑客操控的數字貨幣交易依舊防不勝防_比特幣

一切現象消息都在表明,以加密貨幣為代表的區塊鏈已經成為全民關注焦點。昨天晚上,全球第二大虛擬貨幣交易所幣安被黑客攻擊,在交易的漲跌期間,黑客通過在其他平臺做空單方式,輕易完成了收割.

1900/1/1 0:00:00
ads