区块链危机:33亿美元被黑客轻松攫取

栏目: 编程工具 · 发布时间: 6年前

内容简介:九个亿财经消息——上周,ICO Rating对100家24小时交易额超过100万美元的加密货币交易所进行了分析,分析发现,只有46%的交易所安全参数符合标准,其余54%的加密货币交易所都没有执行标准的安全措施。要知道,加密货币交易所只是区块链生态的冰山一角,事实上,以加密、透明、不可篡改而被人吹捧的区块链,正遭遇着愈演愈烈的安全危机。据了解,在ICO Rating分析的100家交易所中,其中大多数交易所在一个或多个领域存在隐患。

九个亿财经消息——上周,ICO Rating对100家24小时交易额超过100万美元的加密货币交易所进行了分析,分析发现,只有46%的交易所安全参数符合标准,其余54%的加密货币交易所都没有执行标准的安全措施。

要知道,加密货币交易所只是区块链生态的冰山一角,事实上,以加密、透明、不可篡改而被人吹捧的区块链,正遭遇着愈演愈烈的安全危机。

没有90分

据了解,在ICO Rating分析的100家交易所中,其中大多数交易所在一个或多个领域存在隐患。

例如,41%的交易所允许用户密码少于8位,37%的交易所只允许用户使用数字或字母组成的密码,5%的交易所允许用户在没有电子邮件验证的情况下创建账户,3%的交易所没有2FA验证、只有46%的交易所满足上述所有四个条件,只有4%的交易所有较高的域名安全性……

在多种因素的考虑下,ICO Rating将这100家交易所进行了评分,其中,Coinbase的得分最高,89分;其次是Kraken,80分;然后是并列第三的Bitmex和Gopax,得分为78分。

值得注意的是Cobinhood(第8位),Ethfinex(第12位),Bittrex(第13位)和Binance(第17位)。而OKCoin排名垫底,得分仅仅只有15分。

没有90分,这就是现如今加密货币交易所的现状。

而在几天前,还有币安用户发推特称其账户被盗,与赵长鹏展开辩论。

从排名垫底的OKCoin,我们悲哀地发现,对于大多数用户来说,安全并不是其考虑的首要因素,虽然OKCoin缺乏全面的安全保障,但这并不妨碍OK还是现如今用户量最大的加密货币交易所。这或与其参与门槛和流程的相对精简有关。

黑客进攻“频繁高效”

据统计,截至目前,2018年因黑客攻击区块链领域造成的损失,预计已达到33亿美元。

33亿美元是什么概念。

现如今加密货币市场总资金量大约在2100亿美元,33亿美元意味着,其中有1.5%的资金都被黑客不费吹灰之力拿走。

这背后离不开这些黑客“频繁工作的态度”和“高效的工作质量”。

回顾今年10月份,距离现在不到20天的时间,安全问题已经达到了数十起。

10月3日,加密货币pigeoncoin(PGN)背后的开发人员证实,几周前在比特币代码中发现的一个严重bug已被利用。一位不知名的矿工成功利用了这个漏洞,得到了2.35亿枚pigeoncoin(价值约15000美元)。

10月5日,柚资银行被盗账户已经向各大交易所申请冻结,目前已有几家交易所冻结相关黑客账户。

10月6日,加密货币挖掘恶意软件侵袭巴西数十万台路由器之后,黑客已经破坏了印度另外3万台路由器。互联网安全部门Banbreach提道,在过去的一个月中,在印度受感染路由器的数量翻了一番。受感染路由器最多的前三大城市增长率为500%。

10月8日,韩国警察厅编写了一份过去3年来关于该国所有加密交易所和加密钱包黑客事件的报告。有7起加密交易所黑客案件和158起加密钱包黑客案件,其中91起发生在今年。但是,只有6人被捕。

每年,加密货币交易所被盗的钱数一直在稳步增加,2018年黑客案件中交易所金额达713亿韩元(约6300万美元)。

10月10日,降维安全实验室监测到成人娱乐系统spankchain支付通道(payment channel)关联的智能合约LedgerChannel遭到了重入攻击。某黑客发现了该支付通道合约的重入漏洞(Reentrancy),并于2017年10月7日上午8时许创建了恶意攻击合约,随后成功从该合约窃取了165.38 ETH,约合3.8万美元价值的以太币。虽然损失在一周后追回,但是这是黑客自愿归还。

10月11日,据白帽汇安全研究院消息,目前发现超过30w的MikroTik路由器被植入挖矿代码,攻击者利用的是维基解密披露的CIA Vault7黑客工具Chimay Red中的winbox任意目录文件读取(CVE-2018-14847)漏洞。

10月15日,EOSBet平台遭受了攻击,区块链安全公司PeckShield第一时间监测并捕捉到了该攻击行为的发生。根据EOS当前行情价格37元估算,EOSBet平台此次损失额超500万元。

10月17日,基于EOS的游戏WorldConquest遭受黑客攻击。

10月21日,据Coindesk报道,The Next Web一份报告指出,朝鲜黑客组织Lazarus已经设法窃取了超过5亿美元的数字货币……

据相关资料显示,与加密数字货币有关的黑客攻击事件,从2013年到2018年上半年,直接增加了大约5倍的数量,2018年全年预计增加约10倍。

而此前网络安全公司CiferTrace也发布了一份报告称,今年前9个月,通过黑客入侵交易所和交易平台窃取的加密货币飙升至9.27亿美元,比2017年的水平增长了近250%。

相比于黑客的“高效”,我们能追回的损失又有多少呢。

昨日,据路透社报道,总部位于加利福尼亚的CipherTrace公司的首席执行官大卫?埃文斯(David Jevans)表示,即使交易平台或交易所遭到黑客攻击,由于加密货币可以轻易地跨越不同的国界,只有20%的被盗密码被找回。

多方面问题

从综合上述不到一个月内,发生的加密货币被盗案,我们可以发现,加密货币交易所只是区块链生态种的冰山一角,实际上,黑客攫取资金的方式多种多样。光捂紧自己的钱包,显得有些无济于事。

今年9月,腾讯安全联合知道创宇发布了《2018上半年区块链安全报告》。该报告从区块链自身机制、区块链生态、使用者三大方面进行统计。

区块链自身机制问题。

据数据显示,2018年区块链领域被攻击对象中,智能合约遭受攻击造成的经济损失约为11亿美元,占比为55%。

据安全公司Hosho报告显示,区块链上智能合约的bug普遍存在。经过Hosho审计的智能合约项目筹集资金总额高达10亿美元,这些项目中有25%被发现存在严重漏洞,约有60%至少存在一个安全问题。

在知道创宇发布的《知道创宇以太坊合约审计CheckList》中,也披露了知道创宇404区块链安全研究团队针对全网公开的共39548个合约代码扫描的结果。

结果显示,截至2018年8月10日,发现共24791个(占比62%)合约涉及到以太坊智能合约设计缺陷问题(包括“条件竞争问题”、“循环DoS问题”等问题)。

不仅仅是智能合约,在区块链技术模型的数据层、网络层、共识层、激励层、合约层、应用层,都面临着不同程度的安全风险。

而在区块链生态中,包括PoW机制下的矿场和矿池、PoS机制下的权益节点、加密数字货币交易所、DApp应用,以及面向未来DApp应用的区块链网关系统等也都存在一定风险。

其中,围绕交易所和博彩类DApp发生的安全事件最为显著。交易所被盗远超其他事件类型。此外,交易所被钓鱼、内鬼盗窃、钱包失窃、各种信息数据泄露和篡改、交易所账号失窃等问题,也同样值得关注。

最后,在使用者方面,个人用户的安全问题也不容小觑。

由于数字虚拟币钱包这些交易 工具 的使用具有较高的门槛,要求使用者对计算机、加密原理、网络安全均有较高的认知。

然而,许多数字虚拟币交易参与者并不具有这些能力,极易出现安全问题。甚至因操作不当引发熟人作案,导致自身的数字资产被身边人盗取。

从区块链自身机制,到加密货币交易所、DApp,从项目方,到投资人、普通用户,可以看到的是,每一个环节都充斥着黑客的身影。

现如今,区块链的发展引人瞩目,大家都在期待着区块链技术的真正落地,但是,对于区块链来说,安全问题的日益凸显,无异于后院起火,自身矛盾都无法解除,又何谈惠泽大众。

来源:共享财经Neo


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Head First jQuery

Head First jQuery

Ryan Benedetti , Ronan Cranley / O'Reilly Media / 2011-9 / USD 39.99

Want to add more interactivity and polish to your websites? Discover how jQuery can help you build complex scripting functionality in just a few lines of code. With Head First jQuery, you'll quickly g......一起来看看 《Head First jQuery》 这本书的介绍吧!

HTML 压缩/解压工具
HTML 压缩/解压工具

在线压缩/解压 HTML 代码

随机密码生成器
随机密码生成器

多种字符组合密码

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具