2018年区块链安全事件盘点：恶龙猖獗，但屠龙者仍在

2018年，是区块链发展最迅猛的一年，全球加密货币总市值一度接近8000亿美金。但层出不穷的漏洞，使2018年成为黑客最为猖獗的一年。

安全事件的频发，严重阻碍了区块链的健康发展，不仅给用户带来了不小的损失，还直接导致了许多项目的“终结”。

2018年到底发生了哪些安全事件？

以下是猎豹区块链安全中心的整理盘点。希望广大用户和从业者能够引以为鉴。

概述

2018年，无论是安全事件的数量，还是造成的损失，都呈现指数级上升：

图1：安全事件造成的经济损失趋势(万美元)，来源：bcsec

图2： 重大安全事件数量统计，来源：bcsec

据Besec统计，2018年总计超过20亿美金被盗，大型事件数量超过130多起（平均3天一起），区块链用户和项目方们纷纷沦为全球30万黑客的“提款机”。

图3：2018安全事件造成的损失统计，来源：31QU

这其中，交易所的安全事件数量（56.67%）和损失的金额(13.44亿美元)都高居榜首；智能合约安全安全事件极少（6.67%），但造成的经济损失比例却极高（12.4亿美元）；DApp、个人钱包、公司服务器也无一幸免。

智能合约安全

目前，区块链整体还处于低迷期，但是智能合约的发展却非常稳定，根据猎豹区块链安全中心的数据，近一个月以太坊的智能合约平均每天以2000+的数量在增长。

智能合约漏洞虽然数量不多，但是所造成的损失是非常巨大的，这与solidity语言的特性有关，也与ERC20协议使代币发行变得便捷有关。

智能合约漏洞的TOP10攻击类型为： 重入攻击、权限控制、整型溢出、未检查的call返回值、交易顺序依赖、时间戳依赖、条件竞争、短地址攻击、可预测的随机处理等。

所有智能合约事件中，最著名的当属美链事件。18年4月22日下午，才发行两个月左右的BEC美蜜合约出现重大的溢出漏洞，黑客通过合约的批量转账方法无限生成代币，天量BEC从两个地址转出，进而引发抛售潮。当日，BEC的价值几乎归零。损失金额超过10亿。

由于区块链的"代码即一切"的原则，导致目前没有有效的安全防护手段来彻底避免智能合约安全的问题。

对于智能合约的开发，小豹建议摒弃“敏捷开发”的理念。而采用缓慢而有条理的方法来开发智能合约，在最初设计和编码时，就尽量谨慎和考虑周全。

开发管理者也不要对开发人员太大的压力（比如制定严格的期限等），通常来说，赶出来的东西都多多少少会有问题。

另外，在上链之前，找到专业的区块链安全公司对智能合约进行安全审计是最最基础和必要的。

以下是2018年智能合约大事件，以及相关事件的一些细节：

（1）2018年 8月22日，GOD.GAME合约遭到黑客攻击，GOD智能合约上的以太坊总量归零

（2）2018年4月25日，SmartMesh 出现重大安全漏洞，导致1.4亿美元损失

（3）18年4月22日下午，才发行两个月左右的BEC美蜜合约因为存在溢出漏洞，被黑客从两个地址不断转出代币，使BEC价格几乎归零，损失金额总计超过10亿美元。

交易所安全

据网络安全公司 CiferTrace 10月发布的一份报告显示，2018年前9个月，通过黑客入侵交易所窃取的加密货币就已达9.27亿美金，已经是整个2017年的2.5倍。

韩国科技部的调查报告称：“大部分交易所都存在安全漏洞。”

那么，为什么加密货币交易所安全问题层出不穷？

一方面，数字货币的匿名性，不可篡改性以及无监管特性，导致了资产转移便捷，溯源找回难度大。另一方面，数字货币交易行业出现时间短，发展又非常快，利润高，导致本来技术积累就不足的情况下，仍然忽视信息安全方面的建设，隐藏的安全漏洞多，攻击起来相对容易。甚至还有一些加密数字交易所甚至完全没有安全系统。

数字货币交易所面临的安全威胁主要包括：服务器软件漏洞、配置不当、DDoS攻击、服务端Web程序漏洞（包括技术性漏洞和业务逻辑缺陷）、办公电脑安全问题、内部人员攻击等。

对于规模较大，用户较多的交易所，还会面临用户被攻击者利用仿冒的钓鱼网站骗取认证信息的问题。

而针对这些安全威胁，小豹建议交易所在面向用户之前，先进行渗透测试，代码审计等安全服务，挖掘并修复系统存在的安全漏洞。

另外，建议交易所对所有正式入职的员工进行必要的基础的安全培训。

最后，针对数字虚拟币交易的网民，建议大家主动学习安全知识，并在电脑端、手机端使用安全软件，千万不要自信“裸奔”，以避免掉进网络钓鱼陷阱以及钱包被盗事件的发生。

以下是2018年加密货币交易所被盗事件，以及相关事件的具体细节。

（1）1月，日本最大的数字加密货币交易所 Coincheck 被盗走价值5.34亿美元的XEM。Coincheck 是日本第二大交易所，在之后的官方发布会上，Coincheck 表示，XEM 被盗是因为存储 XEM 的热钱包的私钥被黑客所窃取，但是没有其他币种被盗。受此事件影响，XEM 当天下跌9.8%。

（2）2月11日，意大利加密货币交易所 BitGrail 被攻击，价值 1.7 亿美元的加密货币 NANO 被盗。

（3）3月7日，Binance 遭到黑客入侵，黑客通过控制币安部分账户，卖出这些账户持仓的比特币，买入 VIA 币，导致 VIA 逆市大涨。币安将异常交易进行了回滚处理，但此事件依然引起市场恐惧，随后几天比特币跌幅超过15%。

（4）4月1日，Bit-Z 遭遇黑客攻击，未造成资金损失。为此 Bit-Z 专门设立了10000个 ETH 安全基金，用于奖励安全漏洞提交者。这笔奖励在当时价值400万美金。

（5）4月13日，印度三大比特币交易所之一 Coinsecure 在官网发布公告称，该交易所438个 BTC 失窃，价值约330万美元。该交易所首席安全官 Amitabh Saxena 被列为嫌疑人。这是印度最大的加密货币被盗事件。

（6）6月5日，Bitfinex 遭到“拒绝服务（denial-of-service）”攻击，Bitfinex 随即暂停了交易所的所有交易。

（7）6月10日，韩国数字加密货币交易所 Coinrail 遭到黑客攻击，损失超过5000万美元。Coinrail 加密货币总量的70%被保存在冷钱包，被盗总量的三分之二已被追回。

（8）6月20日，韩国加密货币交易所 Bithumb 被黑客攻击，价值3000万美元的加密货币被盗，这是 Bithumb 第三次被黑客攻击。

此前，该交易所还遭受了两次“黑客攻击”。

第一次：2017年4月，Bithumb 某员工电脑被黑，导致超过3万名用户的资料被窃，Bithumb 也因此被韩国监管机构罚款5.5万美元。

第二次：2017年12月22日，韩国MBC电视台雇佣了一家安保公司，对包括Bithumb 在内的5家韩国交易所进行安全测试。该安保公司成功“黑入”包括Bithumb 在内的5家交易所，并获取了部分用户数据和资金。受雇“黑客”声称仅使用了“基本的黑客技巧”。

但是，安全问题并未引起交易所足够重视，这才导致了2018年6月份的黑客事件发生。

（9）9月20日，日本数字货币交易所 Zaif 宣布遭受黑客攻击，损失5967万美元。其中1959万美元属于该交易所自有资金，其余4007万美元属于客户资金。

Dapp安全

智能合约和交易所是安全的重灾区，18年话题度颇高的 DApp，也没能逃脱黑客的魔爪，虽然损失金额在所有安全事件中比例较低，但频繁的安全事件严重影响着Dapp生态的落地与应用。

据 Dapp.review 最新数据显示，目前运行在以太坊、EOS、波场等公链上的 DApp 总数量超过1900个。

处于DApp生态建设初步发展阶段的EOS，DApp相关的安全问题层出不穷。截止12月份，由于DApp漏洞导致的损失已经高达39.5万个EOS与1.3万个ETH。按照两者最高市值计算，损失财富超过2700万美金。

2018年下半年，DApp安全事件集中爆发，黑客攻击事件主要发生在EOS主网。攻击手段也是花样百出： 随机数攻击、种子漏洞、假币攻击……

EOS作为被寄予厚望的企业级区块链操作系统，基于此的 DApp 为什么会发生如此多黑客攻击事件？

今年5月份，EOS创始人BM曾表示，为EOS主网提供有价值的漏洞将获得1万美金的报酬。该悬赏令颁布之后，一位名叫“Jon Bottarini”的网友透漏，有人仅一天就发现了8个漏洞，获得8万美金奖励。这也充分说明EOS主网本身存在大量安全问题。

实际上，针对EOS上DApp的攻击，正越来越专业化、团队化。

11月份以来，作为三大EOS竞猜类DApp，EOSDice、FFgame 和 EOS.WIN 先后发生了“随机数漏洞”攻击。据知情人士爆料，这些攻击案件系一人或者同一团队所为。该知情人士表示，已经成功锁定黑客交易所账户。

相较于EOS网络，以太坊的黑客攻击事件要稍微少一些。

下面是2018年以来DApp上发生的黑客攻击事件，以及相关事件具体细节：

（1）7月25日，狼人游戏（EOS 版本的 Fomo 3D）出现“溢出”漏洞，导致游戏损失60686个EOS。EOS核心仲裁论坛（EACF）对黑客的行为仲裁后，签发新的仲裁令，冻结黑客的EOS账户：eosfomoplay1。

（2）8月22日，Fomo 3D（Last Winner）遭受黑客攻击，损失10469个ETH（价值约300万美金）。安比（SECBIT）实验室首次宣布断定Fomo3D大奖获得者采取了一些“特殊攻击技巧”，攻击者通过高额手续费吸引矿工优先打包，最终以较低成本针对性地堵塞区块，加速游戏结束，提高自己获胜概率。

9月24日，Fomo 3D 第二轮游戏开始之后，黑客采用相似的攻击手段，拿到了3264.668个以太坊奖励。

（3）8月27日，Luckyos旗下的石头剪刀布游戏被黑客攻破，损失未知。

（4）9月2日，EOS.win “随机数”被黑客攻击，导致损失2000ESO。

（5）9月10日，EOSBet 遭到黑客攻击，共计损失了4000个EOS；4天后，EOSBet再次遭黑客“假通知”攻击，损失145321个EOS，目前损失已被追回。

（6）9月12日，LuckyGo遭到攻击者 iloveloveeos（恶意合约）而被迫下线。当天晚上，iloveloveeos又迅速攻击了新上线的游戏LuckyGo。这两次攻击都属于“随机数缺陷攻击”。

（7）9月12日 EOS Happy Slot 遭黑客重放攻击，损失5000个EOS。一名账号为 imeosmainnet 的黑客利用“重放攻击”，导致项目方损失了5000个EOS。

（8）9月14日，去中心化交易所Newdex遭到黑客攻击。黑客利用假币在交易所换区真币，共计获利11803个EOS。

攻击过程是这样的：攻击者创造了一种全新的代币，发行量也是10亿（EOS发行量为10亿），并将其命名为“EOS”。攻击者采用特殊的方法，用11800个假EOS在Newdex上兑换出了大量等值真币。

（9）9月15日，EOS.Win 遭受黑客假币攻击，共计损失超过4000个EOS。

11月11日， EOS.Win 还在11月11日遭受了第二次攻击。此次攻击黑客在一分钟之内，共计向 EOS.WIN 游戏合约（eosluckydice）发起10次攻击，获利超9180个EOS。

（10）10月16日，World Conquest 遭受黑客“缴税规则”攻击，拒绝其他玩家参与，进而盈利4555个EOS；

（11）10月26日，EOS Royale 遭受黑客“随机数”攻击，损失10800个EOS。过程是这样的：黑客通过调用随机数发生器，计算出先前区块的信息，进而获得游戏随机数，从而破解 EosRoyale 钱包，并窃取价值 60000 美金的 EOS 代币。

（12）10月28日，EOS Poker 遭受黑客“种子漏洞”攻击，损失1374个EOS。

（13）10月31日，EOSCast遭遇黑客假币攻击，导致72912个EOS被黑客转走。根据游戏规则，黑客分别用100、1000、10000个假EOS代币进行攻击，每次攻击可得到198、9800、19600个不等的EOS。在进行最后一次攻击时，游戏方察觉到异常攻击，及时转走了奖金池仅剩的8000个EOS。

ECAF（EOS核心仲裁委员会，对智能合约有仲裁权限）针对此事件即时响应，并发布了仲裁令，冻结了相关涉事账户。

（14）11月4日，EOSDice发公告称智能合约遭到攻击，但由于其拥有自动检测功能，在攻击之后，合约自动将剩余资金转移至安全地址。此事件导致EOSDice损失2545个EOS。

（15）11月8日，FFgame遭遇了黑客攻击，黑客账户jk2uslllkjfd向FFgame游戏合约 (eoswallet415)发起多达304次攻击，共计获利1331.2922个EOS。

（16）11月10日，黑客向MyEosVegas游戏合约(eosvegasjack)发起超700次攻击，已获利超9000个EOS。

（17）11月26日，竞技类DApp遭遇了前所未有的新型回滚攻击。

（18）12月3日，Dice3D遭遇黑客攻击，损失10569个EOS。黑客已将被盗的EOS转至火币。Dice3D官方决定自费拿出部分EOS给予玩家补偿。

钱包安全

数字货币钱包有热钱包和冷钱包之分，冷钱包由于私钥不接触网络，相对安全性较高，不过随着技术的快速迭代，无论热钱包还是冷钱包，都相继被黑客攻击。

2018年，因为钱包安全而损失的金额损失在4000万美元左右。这其中，大部分是黑客通过各种手段获取到用户私钥，导致资产被盗。还有一部分是钱包设计存在缺陷造成的。

因为区块链的去中心化特点，黑客攻击目标的就是想方设法搞到用户私钥，如果用户存储方式不当，就肯可能被钓鱼邮件、木马病毒等方式攻击，导致资产被盗。

因此，建议广大用户把私钥要抄在纸上或物理方式保管，要抄对，然后放在一个绝对不会忘的地方，千万不要存储在网上，保证私钥不触网，还要保证私钥和钱包不要放在一块；另外，尽量选择用户基数大，安全事件较少的钱包；最后，无论在网页端还是手机端，都必须安装安全软件，千万不能“裸”奔。

钱包设计上的缺陷也会引发攻击事件，并且一旦爆发，影响力和损失金额将会很广。

比如国外某钱包在第一次运行的时候，默认为用户创建一个新钱包并将钱包文件未加密存储在系统本地，攻击者可以读取存储的钱包文件，通过对钱包应用逆向分析等技术手段，还原该钱包的算法逻辑，并由此直接恢复出用户的助记词以及根密钥等敏感数据。

对于这部分安全问题，只能建议钱包项目在面向用户之前，找到专业的安全团队进行安全方面的审计。

下面是2018年以来钱包相关的黑客攻击事件：

（1）1月8日，Reddit Tippr 用户被黑客盗走了数千个BCH（比特币现金）。

（2）1月17日，XLM钱包被攻击，超40万美元XLM被盗。事件起源是黑客劫持了BlackWallet.co 的DNS服务器，据估计，此次攻击事件，导致近70万个XLM被盗，价值超过40万美元。

（3） 1月22日，黑客入侵IOTA钱包，盗走价值400万美金的IOTA。据CCN报道，原因出在用户用来生成IOTA钱包私钥的网站被黑。

（4）3月4日，钛合金区块链（TBIS）发布推特宣称遭受黑客攻击，公司钱包被盗窃了1870万BAR代币（约90万美元）。

（5）4月17日，数字货币投资者和Youtube博主Ian Balina昨晚在直播评论ICO项目时受到黑客攻击，黑客从他的Etherscan钱包中转移了超过200万美元的数字货币。

（6）4月25日，MyEtherWallet遭劫，共损失约500个ETH。

（7）6月6日，日本零售商Shopin的MEW钱包遭到黑客攻击，损失了超1000万美元的加密货币。其中包括以太坊、Level Up、Orbs与Shopin。

（8）8月15日，陕西省西安市警方抓获了三名高级黑客嫌疑人，三人曾共同合作，盗取价值了6亿元加密货币。

今年3月30日，盗窃事件发生之后，受害人张姓男子报案，称自己的电脑被非法攻击，价值数亿元的虚拟货币被洗劫一空。随后警方展开搜捕工作，今年8月15日，三名黑客被警方逮捕。

（9）9月25日，EOS持仓大户gm3dcnqgenes账号被盗，共计损失209万个EOS（约1080万美元）。

（10）10月22日，瑞士区块链公司Trade.io称，其冷钱包中的5000万TIO被盗，价值750万美金，其中130万TIO被转移到Kucoin和Bancor两个交易所。Kucoin已经暂停了TIO的交易，而Bancor则永久删除了TIO。

（11）10月25日，Reddit用户账户遭黑客攻击，黑客从他的钱包中盗窃了14个比特币(89500美元)、22个ETH(4400美元)和大约1170万个COSS代币(77万美元)，这些加密货币总共价值86.4万美金。

回顾整个2018年的安全事件，有人持悲观态度，认为区块链是极度高危的行业，应该避而远之。

但也有认为，安全事件的频发从侧面反映了这个行业被前所未有的关注，因为黑客只会花时间攻击有价值的东西。

在猎豹区块链安全小豹看来，虽然2018年黑客猖獗，但全球范围内的区块链安全公司也已经悄悄崛起；整个行业也会因为付出惨痛代价，而加强安全方面的投入和建设；用户安全教育也逐渐被重视起来。未来区块链行业的蓬勃发展还是非常可期的。

（作者：猎豹区块链安全，内容来自链得得内容开放平台“得得号”；本文仅代表作者观点，不代表链得得官方立场）