域名預(yù)訂/競(jìng)價(jià)���,好“米”不錯(cuò)過(guò)
文|靠譜的阿星
上市之后的360似低調(diào)了一些�����,直到5月29日凌晨向EOS官方提供安全漏洞�����。去年5月份WannaCry勒索病毒在全球肆虐��,安全產(chǎn)品負(fù)責(zé)人孫曉駿在媒體溝通會(huì)上說(shuō)過(guò)�����,“這回黑客有點(diǎn)‘人性化’�����,還手把手教你怎么用比特幣支付勒索費(fèi)用���。”
無(wú)巧不從書(shū)的���。比特幣至去年5月份之后開(kāi)始一路飆升,在5月30日EOS對(duì)比特幣的價(jià)格走勢(shì)是略跌0.37%(更多人相信安全漏洞發(fā)現(xiàn)等于提前“排雷”)。周鴻祎雖公開(kāi)稱自己不懂區(qū)塊鏈�����,其實(shí)他懂不懂不要緊�,底下的人懂就行了,他堅(jiān)信“代碼是人寫(xiě)的��,肯定會(huì)有漏洞的�。”在區(qū)塊鏈的數(shù)字世界中,漏洞同樣也會(huì)無(wú)所不在����。
區(qū)塊鏈風(fēng)口刮來(lái)的重要因素是�����,區(qū)塊鏈的確比一般互聯(lián)網(wǎng)在理念和架構(gòu)上更加注重“安全”�,“分布式機(jī)制”保證了數(shù)據(jù)流的完整一致、不可篡改的特點(diǎn)����。舉個(gè)例子更容易理解,阿星最近了解到國(guó)內(nèi)已有做智能鎖老板開(kāi)始研發(fā)“區(qū)塊鏈鎖”了��,而現(xiàn)有移動(dòng)互聯(lián)網(wǎng)提供“中心化”云端服務(wù)器,黑客攻擊能夠砰砰同時(shí)打開(kāi)非常的房門�����,而在“去中心化”網(wǎng)絡(luò)中安全系數(shù)無(wú)疑高出很多���。
一����、比特幣“交易所”為何成為黑客攻擊的頭號(hào)目標(biāo)���?
下手者目的很簡(jiǎn)單��,就是為竊取錢財(cái)而來(lái)��,技術(shù)手段極為縝密�,比特幣���、區(qū)塊鏈安全問(wèn)題顯然也比傳統(tǒng)網(wǎng)絡(luò)安全更為復(fù)雜����。
2017年12月份告破的全國(guó)首例比特幣被盜案���,戴某把正版錢包軟件破解之后植入獲取用戶賬戶名和密碼的爬蟲(chóng)文件���,在聊天群中丟給吳某下載安裝�����,隨后吳某的電子錢包軟件中181個(gè)比特幣被清空���。戴某讓多人下載其錢包軟件的說(shuō)辭極其簡(jiǎn)單:“比特幣放在交易所不安全”,這是有前車之鑒的�。
交易所目前是所有數(shù)字加密幣的存儲(chǔ)中心和流通中心,自然是黑客頭號(hào)目標(biāo)���。2014年����,當(dāng)時(shí)全球最大的比特幣交易所Mt.Gox宣布因遭受黑客攻擊��,其CEO馬克·卡爾普稱“平臺(tái)上85萬(wàn)個(gè)比特幣因公司系統(tǒng)漏洞被盜一空”而MT.Gox在日本旋即申請(qǐng)破產(chǎn)保護(hù)�,而Mt.Gox是否監(jiān)守自盜成為一樁未了公案��。三年后���,“黑客”再次成為背鍋俠�����,2017年12月19日韓國(guó)比特幣交易所Youbit同樣因黑客攻擊丟失4000個(gè)比特幣后破產(chǎn)�,故事驚人的相似。
傳統(tǒng)網(wǎng)絡(luò)攻擊往往是掛木馬病毒�����,或者制造一些偽正常訪問(wèn)的DDos攻擊讓網(wǎng)站宕機(jī);現(xiàn)在的網(wǎng)絡(luò)攻擊則是在“挖礦”時(shí)就掛了惡意腳本��,黑客下手重點(diǎn)攻擊的目標(biāo)的確是交易所存儲(chǔ)的加密貨幣��,如果這個(gè)時(shí)候交易所缺乏職業(yè)操守的話�,情況會(huì)非常不妙,據(jù)資深幣圈玩家小K向阿星爆料:“不怕交易所跑路����,就怕交易所套路���。定點(diǎn)爆倉(cāng)�����、回滾、拔網(wǎng)線����、機(jī)器人交易、凍結(jié)賬戶會(huì)造成虧損�,而維權(quán)太難了,現(xiàn)在交易所服務(wù)器都在境外���。”
趙長(zhǎng)鵬從OKCoin跳槽出來(lái)創(chuàng)辦“幣安”�,取這個(gè)名字是別有深意的�。由于比特幣交易還處在消息極易影響市場(chǎng)行情的階段,黑客除了直接竊取貨幣����,還能通過(guò)碰瓷“做空”來(lái)牟取暴利,成為極其隱秘的“莊家”��。今年3月幣安遭受黑客攻擊����,幣安及時(shí)中止了用戶加密幣提現(xiàn),未發(fā)生盜幣����,但是比特幣因此下跌10%;據(jù)比特律動(dòng)報(bào)道稱,一些用戶賬戶加密幣被黑客換成比特幣之后�����,大量買入VIA(維爾幣)�,由此將后者價(jià)格拉升了110倍......
二、智能合約�、數(shù)字錢包是區(qū)塊鏈安全事件頻發(fā)“重災(zāi)區(qū)”
目前區(qū)塊鏈交易所共有數(shù)百家,誰(shuí)家的技術(shù)對(duì)黑客防御指數(shù)高����、抗風(fēng)險(xiǎn)能力強(qiáng),運(yùn)營(yíng)規(guī)模及時(shí)間更長(zhǎng)�,就更能夠聚集起用戶的幣,相應(yīng)的賠付能力也更有保障���,所以交易所極易“頭部化”��,并成為現(xiàn)階段產(chǎn)業(yè)中心的原因�。除了交易所攻擊之外��,黑客以及一般蟊賊智能合約和數(shù)字錢包領(lǐng)域神出鬼沒(méi)���,同樣影響深遠(yuǎn)��。
1. 智能合約可能被黑客利用
2016年6月17日���,眾籌超過(guò)1.5億美元的TheDAO由于出現(xiàn)安全漏洞�����,黑客攻擊導(dǎo)致價(jià)值超過(guò)6000萬(wàn)美元的300萬(wàn)個(gè)以太幣被盜��。經(jīng)大量討論����、投票��、爭(zhēng)取����、嘗試后失敗、再次嘗試��,在以太坊區(qū)塊鏈官方的提議下�����,以太坊進(jìn)行了“硬分叉”�����,數(shù)據(jù)回滾至整個(gè)網(wǎng)絡(luò)中由于安全攻擊而被影響的以太幣��,最終TheDAO黯然退市��。由于以太坊網(wǎng)絡(luò)中所有礦工沒(méi)有達(dá)成完全一致的回滾共識(shí)��,最終釀成以太坊網(wǎng)絡(luò)分裂成至今“以太坊”(ETH)和“以太坊經(jīng)典”(ETC)的格局�。
區(qū)塊鏈的技術(shù)特性決定了智能合約帶有病毒的傳播特性,一旦本身出現(xiàn)漏洞被黑客加以利用���,影響是傳統(tǒng)網(wǎng)站的百倍計(jì)��,并且很難短時(shí)間修復(fù)���。從某種程度上,去年WannaCry勒索病毒就是典型的區(qū)塊鏈“智能合約”的應(yīng)用場(chǎng)景之一��,黑客把勒索病毒的智能合約發(fā)到網(wǎng)上�����,無(wú)須黑客進(jìn)行任何其他操作實(shí)現(xiàn)比特幣到賬即自動(dòng)解鎖電腦自動(dòng)化��。
慶幸的是,合約發(fā)布方們已經(jīng)意識(shí)問(wèn)題嚴(yán)重性�,開(kāi)始執(zhí)行嚴(yán)格的智能合約審計(jì),為智能合約筑起區(qū)塊鏈“馬其頓防線”成為趨勢(shì)����。
2. 數(shù)字錢包中的資產(chǎn)不翼而飛原因多樣
“數(shù)字錢包”是用來(lái)存儲(chǔ)數(shù)字貨幣的軟件載體,其中��,不聯(lián)網(wǎng)存儲(chǔ)私鑰的是“冷錢包”�����,目前市面上的硬件錢包就是冷錢包;而把私鑰托管在網(wǎng)絡(luò)的叫“熱錢包”���,比如如電腦客戶端錢包���、手機(jī)App錢包、網(wǎng)頁(yè)端錢包等等����。
數(shù)字錢包就像是直接在區(qū)塊鏈?zhǔn)澜缋锏?ldquo;余額寶”,現(xiàn)在已經(jīng)有一些實(shí)體店開(kāi)始支持比特幣支付了��。但與余額寶�����、銀聯(lián)卡的貨幣存儲(chǔ)在銀行����,即便被偷被騙也可追溯����,畢竟銀行賬戶都有實(shí)名認(rèn)證,而數(shù)字貨幣往往相對(duì)更難追溯���,一旦被騙就很難找回���,目前比特幣及代幣的監(jiān)管難度比較高;而不可篡改則意味著錢一旦被騙走,交易就不可能回退����,基于這兩點(diǎn),數(shù)字錢包成為黑客眼中的“肥肉”����。
從數(shù)字錢包從設(shè)計(jì)、發(fā)布、下載�����、安裝���、運(yùn)行的途中但凡出現(xiàn)問(wèn)題����,均有可能中招���。比如�����,是否通過(guò)官方渠道下載錢包�,如果從第三方軟件平臺(tái)下載�,會(huì)不會(huì)下載到有惡意插件的?即便通過(guò)官方渠道,是否處于安全的wifi環(huán)境?即便網(wǎng)絡(luò)環(huán)境沒(méi)問(wèn)題�,官方渠道的下載地址會(huì)不會(huì)遭到攻擊?就算這些雷一一避開(kāi),數(shù)字錢包本身是否可靠?廠商有沒(méi)有為了使用便捷而忽略安全運(yùn)維?廠商是否具備安全存儲(chǔ)用戶私鑰的能力?
三��、如何保護(hù)好自己的數(shù)字貨幣���?有哪些實(shí)用干貨
安全是區(qū)塊鏈的“地基”����,但是在區(qū)塊鏈的江湖里,有最優(yōu)秀的創(chuàng)業(yè)精英�����,也有最優(yōu)秀的騙子���,基礎(chǔ)的確并沒(méi)有小白們想象的那么牢靠。提出安全隱患得有針對(duì)性的解決辦法才算圓滿����,阿星在采訪眾多老韭菜和老師之后,拿到了不少壓箱底的干貨建議���,經(jīng)過(guò)授權(quán)后拿出來(lái)發(fā)表��,值得普通投資者拿小本本記下來(lái):
(1)市面大多數(shù)加密貨幣錢包是中心化錢包����,一旦發(fā)生意外��,用戶資產(chǎn)丟失后難以追回;對(duì)于投資者而言,倘若持有大量的數(shù)字資產(chǎn)��,更適合選用“去中心化錢包”��,畢竟大量的資產(chǎn)由自己掌握才最放心�。而對(duì)于短期的小額投資者而言,中心化的錢包的優(yōu)勢(shì)在于���,使用體驗(yàn)更加便捷����,不過(guò)分批存放入不同的錢包更穩(wěn)�。
(2)普通比特幣持有者賬戶可以“幣托”服務(wù)實(shí)現(xiàn)權(quán)益轉(zhuǎn)移,當(dāng)交易所發(fā)生不可抗力因素用戶失去控制賬戶能力情況下�����,可通過(guò)“幣托”來(lái)實(shí)現(xiàn)與權(quán)益人(家人���、朋友等)共同管理賬戶�����,實(shí)現(xiàn)賬戶權(quán)益的傳承���。
(3)個(gè)人數(shù)字錢包的“私鑰”絕對(duì)不能外泄 ��,“公鑰”是收款地址�����,就好比自己的門牌號(hào)碼�,而私鑰/助記詞/keystore等相當(dāng)于自家的“鑰匙”���,這三類中任何一項(xiàng)均不要隨便泄露給別人����,最好是能夠離線保存或保存在加密本地存儲(chǔ)硬盤或U盤里�。
(4)數(shù)字貨幣投資者在轉(zhuǎn)賬時(shí)要反復(fù)確認(rèn)轉(zhuǎn)幣對(duì)象和地址���,因?yàn)殄X包地址一般一串很長(zhǎng)的字符��,最好直接復(fù)制����,并核對(duì)一遍;因而交易是不可逆的��,一旦打過(guò)去就是別人的了。注意不要因?yàn)橐恍?ldquo;更低的手續(xù)費(fèi)”�����、“更多的額度”等承諾而繞過(guò)平臺(tái)擔(dān)保�����,進(jìn)行私下點(diǎn)對(duì)點(diǎn)交易���,一旦發(fā)生很難追回���。
(5)平時(shí)用戶養(yǎng)成良好的使用習(xí)慣,多留個(gè)心眼�,比如選擇主流交易平臺(tái),從官方渠道下載錢包客戶端;備份好自己的錢包文件;設(shè)置復(fù)雜的密碼;在不同的平臺(tái)使用不同的登錄口令;謹(jǐn)慎下載論壇�����、社群里的文件���,不要點(diǎn)擊來(lái)路不明的鏈接防止釣魚(yú)軟件中招;錢包地址尤其是私鑰絕對(duì)保密��,在訪問(wèn)平臺(tái)時(shí)�,反復(fù)確認(rèn)域名以防止進(jìn)入山寨網(wǎng)站;盡量在私人的局域網(wǎng)和自己電腦或手機(jī)設(shè)備上網(wǎng)操作,殺毒軟件定期清理和更新必不可少等等�。
阿星怎么看:
移動(dòng)支付的流行是由于阿里和騰訊在安全投入很多看不見(jiàn)的技術(shù)支撐一樣,在區(qū)塊鏈安全上挑戰(zhàn)更大�、情況更為復(fù)雜,目前數(shù)字貨幣及token是目前區(qū)塊鏈最主要的應(yīng)用場(chǎng)景之一�,利益激勵(lì)讓目前的區(qū)塊鏈成為利益告訴流通的新興領(lǐng)域,如果沒(méi)有“區(qū)塊鏈安全”為交易所��、智能合約�、數(shù)字錢包做好維護(hù)的話,區(qū)塊鏈美好的數(shù)字世界生態(tài)圖景都將是空中樓閣��,區(qū)塊鏈安全也是一件不可能有終結(jié)的工作����,這將是未來(lái)新的“道魔較量”!
作者:靠譜的阿星(李星),公眾號(hào):靠譜的阿星�,靠譜匯公司創(chuàng)始人,100多家主流科技媒體專欄作家����,CMO訓(xùn)練營(yíng)導(dǎo)師����,知名互聯(lián)網(wǎng)分析師�,榮獲2017年鈦媒體年度作者「最具人氣獎(jiǎng)」��,區(qū)塊鏈風(fēng)口第一批觀察者����,阿星的個(gè)人微信號(hào):1598145405,歡迎勾搭�����。
申請(qǐng)創(chuàng)業(yè)報(bào)道����,分享創(chuàng)業(yè)好點(diǎn)子。點(diǎn)擊此處��,共同探討創(chuàng)業(yè)新機(jī)遇�!
