虚拟货币成盗窃新目标，黑客盯上区块链代码漏洞

一行代码蒸发64亿人民币。这一令人难以置信的黑客行动发生在今年 4 月。仅仅因为黑客发现了一个代码漏洞，相关区块链产品的整个市值瞬间被转出，接近于零。

“如果说传统意义上的货币依赖于国家信用及其价值，那么加密数字货币的存在依赖于区块链技术的信用。”在ISC2018区块链与网络安全论坛上，山东警察学院侦查系网络犯罪侦查教研室副主任张轩表示，由于陆续发现区块链技术代码漏洞及相应的安全事件，人们对区块链技术的信心。

虚拟货币成盗窃新目标，黑客盯上区块链代码漏洞（图片来自：pixabay.com上的免费图片）

此前认为，由于分布式存储、加密算法等技术的应用，区块链技术具有不可篡改、可追溯的特点，被认为是“万无一失”。但是，此功能主要针对存储在块中的信息。以文章开头的案例为例，区块链技术保证可以追溯到64亿被转移的地方，黑客的操作也将被系统防篡改。记录，但不能“拒绝”黑客篡改底层代码来保护虚拟数字货币。

区块链技术本身存在可被利用的漏洞。 “利用区块链技术成为不法分子谋取非法利益的新手段。”张轩说，甚至有人说，区块链技术引发了一场经济犯罪的革命。面对新手段带来的新挑战，我们应该如何应对，才能保持区块链技术的长远发展？

虚拟货币成为新的盗窃目标

前不久，一部名为《隐藏天空：美女的计划》的盗版电影上映，讲述了一群美女盗贼盗取一块价值的故事1.5亿美元的故事钻石项链。

与币圈发生的盗窃案相比，这条项链的价值并没有那么惊人。例如，在今年3月30日中国警方破获的一起虚拟货币盗窃事件中，国内某知名网络公司的三名黑客入侵受害者张某的电脑，盗取了价值6亿元的比特币、以太坊等虚拟货币。 空。

过去，小偷的目标是金、银、珠宝和成堆的钞票。现在，只要稳稳坐在电脑前，动动手指，就可以通过盗取虚拟货币“致富”。加密数字货币已成为高科技犯罪的新目标。世界各国都陷入困境。资料显示，在价值5.3亿美元的代币被盗后，日本16家加密数字货币交易所拟成立自律小组，自查自查系统漏洞。

360集团信息安全部王微博表示，针对非个人电脑的公链和交易所已经公开攻击57起，损失10亿美元。不过，他认为这只是“冰山一角”。大量攻击因对交易所声誉造成负面影响而不会公开，损失由交易所自己承担。

除了盗窃，虚拟货币也成为不法分子的工具。 “比特币已成为洗钱工具，衍生出‘专业水房’。”张悬说道。她举了一个真实的案例：受害人在QQ上遇到了嫌疑人。他自称是一名曾在伊拉克作战的士兵。他希望受害人帮他取包裹，这需要80万美元的保证金。受害人将资金汇给专门从事比特币交易的王某，王某用比特币支付给嫌疑人。对于犯罪嫌疑人来说，没有证据表明是诈骗来取钱，并且在王某某处有大量比特币交易。资金的进入增加了调查的难度。

“比特币的参与（目前黑市认可的加密数字货币多为比特币），可能会使警方破案追击资金链的手段失效。”张悬说，在工作中，深感这个案子并不好查，追案难度大增。

更重要的是，犯罪分子不是个人或团伙，而是正常运作的合法企业。张轩介绍，一家技术运维公司开发了木马病毒，安装在客户负责运维的机器上。挖矿程序是在机器内存没有被占用的情况下启动的，在被发现之前已经开采了5000多种数字货币。据统计，该公司在全国非法控制机器超过300万台。 “这种违法行为的法律定位还很模糊。”张轩表示，新的刑事形势催促完善法律法规，提醒执法人员不断更新知识储备。

每天3次检查和填补空白

“我们可能不知道黑客是如何攻击的，但我们应该做好每一个细节的安全。”王微博表示，自己并没有意识到自己的弱点。故障排除可以最大限度地降低安全风险，甚至可以提前预防问题。

就像攻防战一样，一旦掌握了区块链技术的“生命之门”，黑客的外部攻击就会一发不可收拾。而“加固城墙”和“严查堵漏”是防守方适应变化的有效手段。

据王微博介绍，黑客对区块链技术的攻击可以发生在六个不同的层面，包括应用层、合约层、激励层和数据层。不同级别的不同攻击方式会产生不同的后果。

攻击等级越低，越容易“触发全身”。例如，对数据层的攻击将带来整个区块链而不是单个节点的变化。今年5月，由于攻击者篡改了某条区块链的生成时间，导致挖矿难度降低，整个主链被劫持，导致攻击者获得大量代币。

因此，360安全团队从黑客攻击六个方面入手研究，分别发现漏洞，“开药方”。通过对公链和交易所的安全测试，360安全团队发现了42个漏洞，其中有29个可能影响用户账号安全的高危漏洞。

除了排查问题，团队还对部分黑客的攻击进行了深入测试，并撰写了《公链渗透测试白皮书》。王微博表示，即将发布白皮书，其中将对部分安全事件进行分析，以区块链攻击为切入点，深入分析黑客的攻击方式，以及如何做好安全防护不同的攻击。<​​/p>

王微博认为，区块链行业处于比较早期的发展阶段，在安全方面还存在很多问题。在区块链技术的发展过程中，安全是硬性要求。需要构建区块链安全生态系统，重点关注数字货币钱包、智能合约等不同产品。同时，还需要从矿池、交易所等数字货币中生成节点。实施动态防御。

不建议盲目启动区块链项目

“除了让区块链技术本身更加稳固和值得信赖之外，我们还面临着区块链的链上数据。连接真实数据的问题。”中国信息通信研究院云计算与大数据研究所所长魏凯表示，每个行业在使用区块链时都有自己的痛点，比如溯源行业，如何保证数据上链，哪个对应不被“掉”的被追溯产品？

链上写的信息是否真实，能否准确反映现实。这是区块链技术无法解决的，必须通过制度体系等链外手段来保障。魏凯认为，目前的配套体系是欠缺的。

“要启动一个区块链应用程序，你应该首先问四个问题。”魏凯道：“我需要为任务记录数据吗？记录的数据需要多方参与吗？参与的多方可以相互信任吗？如果你找不到一个你可以信任的黑客是如何盗取比特币，那你可以考虑放弃原有的载体，使用区块链技术。最后一个问题黑客是如何盗取比特币，你能容忍它的效率比中心化系统低吗？”

魏凯解释说，使用区块链的成本也很高，因为它是一个封闭的系统，效率肯定没有中心化系统高。目前，在使用区块链技术时，并没有明显的效率优势。 .

魏凯用“焦虑”来形容目前业界乃至政府对区块链的态度。 “20多个省市出台了与区块链相关的激励政策，很多地方都建起了区块链建筑。入驻这些建筑的公司是否发现了必须使用区块链的场景？什么？这个问题值得深思。”魏凯认为，除了区块链技术本身的完善，政策、法规、验证等制度还需要进一步推进。为此，中国信息通信研究院于4月9日联合158家企业启动了“可信区块链推进计划”，推动技术标准、行业应用、政策法规等方面的推进，逐步完善区块链发展。对生态有益。

//bi.zol.com.cn/697/6978210.htmlbi.zol.com.cntrue 中关村在线//bi.zol.com.cn/697/6978210.htmlreport5390 一一行代码蒸发了64亿人民币。这一令人难以置信的黑客行动发生在今年 4 月。仅仅因为黑客发现了一个代码漏洞，相关区块链产品的整个市值瞬间被转出，接近于零。 “如果说传统意义上的货币依赖于国家信用并具有价值，那么加密数字货币的存在依赖于区块链技术的信用。” 9月6日，...