加载中 ...

干货分享丨2018 年区块链安全概述(二)

2019-02-05 20:09 编辑:btc268.com 来源:区块链资讯

  作为区块链的最佳应用场景,加密数字货币在 2018 年度过转折年,先后经历狂热迷恋、萎靡不振、以及批量退潮三个阶段。

  目前加密数字货币交易市场进入低潮期,所有币价都在不断刷新底线,大量不合格投资人和趁乱捞油水的机构被清洗出去。

  对金融市场来说,此次清洗对金融市场起到普及风险教育的作用,也让虚拟数字货币交易有了模板,为今后行业监管规则的创建打下基础。

  ?

  发展与问题

  据 BCSEC 网站数据和 PeckShield 提供的数据显示,2018 年全年因为区块链安全事故而造成的经济损失高达 22.38 亿美元。

  2018 年下半年,尽管熊市背景下活跃人数和交易量都骤然减少,安全事件发生的频率却没有放缓,尤其是 EOS 区块链的智能合约出现的问题最多。

  安全问题成为加密数字货币行业的痼疾之一,各类攻击预警信息不断。

  年初,日本加密数字货币交易所 Coincheck 遭黑客攻击,平台超 5.2 亿美元 NEM(新绊币)被非法转移。

  之后,美链 BEC、SMT、EDU 等智能合约被派盾 PeckShield 曝出重大安全漏洞。

  安全问题频发的同时,攻击预警也有了相应的成绩。早前,慢雾安全团队披露一起因以太坊生态缺陷导致的数字资产盗窃事件,阻止攻击者长达两年时间的数字资产盗用行为。

  之后,360 发现 EOS 区块链系统在解析智能合约 WASM 的溢出漏洞,防止黑客控制整个 EOS 网络后造成的严重损失。

  3 月 7 日,币安被黑客攻击,开创首次黑客攻击用户无客观损失的案例。黑客通过非法入侵币安用户的账户,将用户各种各样的代币即时币币交易换成 BTC。

  大量抛售代币引发恐慌性抛售,黑客则选取其中一种——VIA(维尔币),用操纵的账号在 1 小时内买入 1 万个比特币的 VIA,造成该币种的暴涨。使得该币种从 22 点 50 分的 0.000225 美元直接上涨 100 倍到 0.025 美元,拉爆 110 倍。黑客并未趁机提币取现,而是悄然离场。

  事实上,在抛售用户的各种代币前,其已经在全世界各个交易所上挂出「代币做空单」,在大盘下跌时获得收益。

  整个过程通过币安的影响力获得利益,未提取用户代币在客观上也没构成损失,开创黑客攻击交易所获利的新模式。

  造成此次攻击的原因,有用户反映是币安账户的 Google 二步验证没有起效,币安也承认 API key 是账号被盗的原因。

  3 月 9 日,中国人民银行行长周小川就「金融改革与发展」相关问题回答中外记者提问时,回答了记者关于 ICO 的提问。

  他将 ICO 定性为「会让人产生可以一夜暴富的幻想,不是什么好事」的金融衍生品。

  监管层对 ICO 的态度是,央行不支持比特币和人民币直接交易,也不认可比特币等虚拟货币作为零售支付工具。对于乱象频出的现状治理,要将不慎重的产品停一下,有前途的经过测试后再推广。

  彼时拥有中国金融领域最高话语权的小川行长,对加密数字货币市场的研究并非表面,他指出比特币等分叉产品出台太快,不够慎重,可能对金融稳定和货币政策传导产生不可预测的作用。他鼓励研究新的技术,但要求不要钻政策的空子。

  这些观点直接影响了整个加密数字交易,当日所有交易所几乎全部飘红,市场恐慌情绪加重,OKEx 实际控制人徐明星也发出要上交国家的声音。

  徐明星是加密数字货币交易所 OKcoin 和 OKEx 的实控人,提前布局该领域使其成为第一批吃螃蟹的人之一。凭借独创的与股市期货一脉相承的合约交易模式,OK 系资本快速积累,成为国内三大交易所之一。

  但技术上的不纯熟使得 OK 系交易所频频出现故障,用户遭受巨额损失得不到赔偿,由此引发激烈的公众事件。二者的根本,还是技术安全引发的监管不信任和用户信心耗损。

  3 月 30 日凌晨,加密数字货币交易所 OKEx 出现 BTC 季度合约比现货指数高出超 20%,最低点逼近 4000 美元。该情况持续近 100 分钟,OKEx 随后采取措施,宣布将进行交易回滚。

  OKEx 团队称,经技术初步调查,此价格剧烈走偏于市场价,是异常账户通过大量异常操作,导致 BTC 季度合约价格异常,大幅偏离指数。

  业内人士认为,在市场的正常交易下出现价格偏差是正常情况。相比之下,此前币安用户被黑客操纵交易 VIA/BTC 为例,币安也没有回滚交易。在发布回滚决定时,OKEx 称会公布异常用户通过不计成本的异常平仓,突破限价的交易细节,但至今未给出。且 OKEx 一再强调交易所权利,更大可能上,是对自身利益的维护,和市场交易这一基本原则的破坏。

  加密数字货币是去中心化技术的产物,公然回滚交易不仅证明了加密货币交易所对交易的可操控性,还公然破坏区块链不可篡改的特性。

  交易所的强势地位在此前的天价上币费上有所体现,此次 OKEx 的回滚交易操作,开创了交易所公然操作用户交易的先河,也再次证明交易所在币圈产业链中占据主导地位。而这种强势地位直接影响着用户的交易安全,也使得行业风气下行。

  2018 年 11 月 15 日,因为未对未来的升级计划达成一致,BCH(比特币现金)的两个核心团队 BCH ABC 和 BCH SV 宣布对 BCH 开启分叉,标志着币圈势力开始分裂。

  凌晨 1:52 分,BitcoinCash(BCH)网络完成升级,BCH 算力战开启。

  这次分叉后,吴忌寒支持的 BCH ABC 与澳洲中本聪支持的 BCH SV 正式开始争夺 BCH 主导权。

  当日下午 BCH ABC 领先 BCH SV 36 个区块后,吴忌寒代表的 BCH ABC 一直处于出块领先地位。

  最终以两条链 BCH ABC、BCH SV 分叉的两条链共存结束,目前用户资产暂时得到了保全。

  BCH ABC 和 BCH SV 原本在同一阵营,此次倒戈分裂代表着币圈旧势力的重新划分。BCH 的争夺对币圈的影响是直接的。

  分叉前,BCH ABC 和 BCH SV 多次在社交平台发布具有煽动性的宣言,使得以 BTC 为首的加密数字代币连续暴跌。

  BCH 算力争夺,实际上是 BTC 保守派和激进派的决裂,相关企业站队背后,代表着链圈势的重新划分。

  吴忌寒和澳洲中本聪的分裂,也使得算力之外的势力被迫选择一方,交易所开始被迫站队,用户没有选择权,成为二者势力划归的受害者。

  在算力战期间,因为存在双花攻击的风险,用户手中的 BCH ABC 和 BCH SV 几乎无法交易,交易所也暂停了两个币种的充值和体现,这让大量用户的资产在这次资本对抗中受损。

  7 月 25 日,EOS DAPP《狼人杀》智能合约被攻击。这是 EOS DAPP 首例被攻击案例。当日,慢雾安全团队警告 EOS 狼人杀团队,游戏合约遭受溢出攻击,资金池已变成负数。

  EOS Fomo3D 狼人杀是一款与以太坊 Fomo3D 相似的游戏,英文全称为 Fear of missing out。

  EOS Fomo3D 游戏使用闪拍模式,主要规则为:游戏开始有 24 小时倒计时,每位玩家购买,时间就会延长 30s,越早购买的玩家,能获得更多的分红,最后一个购买的玩家,将获得奖池中 48% 的 ETH。

  但是,该游戏就因出现智能合约存在严重漏洞、被黑客攻击、团队有强制结束权利等问题被参与者所诟病。游戏团队紧急上线新合约之后,仍然发生第二次攻击,攻击者(eosfomoplay1)盗走 60686 个 EOS,是 EOS DAPP 不完全统计中,被黑客攻击损失代币数量最多的合约漏洞。

  在此之后,EOS 上出现大量博彩类型 DAPP,因为采用开源模板和未对合约安全进行考虑等原因,此后出现了几十次与 EOS DAPP 有关的黑客攻击,包括回滚攻击、随机数预测攻击、可重入攻击、逻辑漏洞攻击等。

  为什么随机数攻击总是发生在 EOS 链上?

  或许有人会感到奇怪的是,为什么博彩游戏遭遇随机数漏洞攻击的事件似乎总是在 EOS 链上发生?很少听到其他链上的遇到同样手法的攻击。并不是因为其他链上的博彩游戏少,只是其他链上或许采用的是完全不同的随机数生成方式。

  区块链上从本质来讲几乎是不可能生成随机数的。因为区块链要求各个节点间达成共识,然而每个计算机却会生成不同的随机数,无法验证。

  以太坊为例,以太坊提出的解决方法是推荐 DApp 使用链下的 Oraclize 库生成随机数。这实质上是引入了一个第三方,这样的随机数生成方法对第三方有着极高的要求,需要第三方可信。因此这也引发了不符合区块链去中心化本质的要求。

  不过从目前来看,这样的解决方案确实提供了较高的安全性。区块链能解决很多问题,可是不能解决所有问题。或许 DApp 的某些部分暂时还是需要靠链下解决。

  ——END——

关键词:比特币新闻 币牛牛

转载自比特币新闻网(www.btc268.com),提供比特币行情走势分析与数字货币投资炒币最新消息。

原文标题:干货分享丨2018 年区块链安全概述(二)

原文地址:http://www.btc268.com/qkl/js/6556.html

本文来源:区块链资讯编辑:btc268.com

本文仅代表作者个人观点,与本网站立场无关。

本网站转载信息目的在于传递更多信息。请读者仅作参考,投资有风险,入市须谨慎!

'); })();