文|靠譜的阿星

上市之后的360似低調(diào)了一些，直到5月29日凌晨向EOS官方提供安全漏洞。去年5月份WannaCry勒索病毒在全球肆虐，安全產(chǎn)品負責人孫曉駿在媒體溝通會上說過，“這回黑客有點‘人性化’，還手把手教你怎么用比特幣支付勒索費用。”

無巧不從書的。比特幣至去年5月份之后開始一路飆升，在5月30日EOS對比特幣的價格走勢是略跌0.37%（更多人相信安全漏洞發(fā)現(xiàn)等于提前“排雷”）。周鴻祎雖公開稱自己不懂區(qū)塊鏈，其實他懂不懂不要緊，底下的人懂就行了，他堅信“代碼是人寫的，肯定會有漏洞的?！痹趨^(qū)塊鏈的數(shù)字世界中，漏洞同樣也會無所不在。

區(qū)塊鏈風口刮來的重要因素是，區(qū)塊鏈的確比一般互聯(lián)網(wǎng)在理念和架構上更加注重“安全”，“分布式機制”保證了數(shù)據(jù)流的完整一致、不可篡改的特點。舉個例子更容易理解，阿星最近了解到國內(nèi)已有做智能鎖老板開始研發(fā)“區(qū)塊鏈鎖”了，而現(xiàn)有移動互聯(lián)網(wǎng)提供“中心化”云端服務器，黑客攻擊能夠砰砰同時打開非常的房門，而在“去中心化”網(wǎng)絡中安全系數(shù)無疑高出很多。

一、比特幣“交易所”為何成為黑客攻擊的頭號目標？

下手者目的很簡單，就是為竊取錢財而來，技術手段極為縝密，比特幣、區(qū)塊鏈安全問題顯然也比傳統(tǒng)網(wǎng)絡安全更為復雜。

2017年12月份告破的全國首例比特幣被盜案，戴某把正版錢包軟件破解之后植入獲取用戶賬戶名和密碼的爬蟲文件，在聊天群中丟給吳某下載安裝，隨后吳某的電子錢包軟件中181個比特幣被清空。戴某讓多人下載其錢包軟件的說辭極其簡單：“比特幣放在交易所不安全”，這是有前車之鑒的。

交易所目前是所有數(shù)字加密幣的存儲中心和流通中心，自然是黑客頭號目標。2014年，當時全球最大的比特幣交易所Mt.Gox宣布因遭受黑客攻擊，其CEO馬克·卡爾普稱“平臺上85萬個比特幣因公司系統(tǒng)漏洞被盜一空”而MT.Gox在日本旋即申請破產(chǎn)保護，而Mt.Gox是否監(jiān)守自盜成為一樁未了公案。三年后，“黑客”再次成為背鍋俠，2017年12月19日韓國比特幣交易所Youbit同樣因黑客攻擊丟失4000個比特幣后破產(chǎn)，故事驚人的相似。

傳統(tǒng)網(wǎng)絡攻擊往往是掛木馬病毒，或者制造一些偽正常訪問的DDos攻擊讓網(wǎng)站宕機；現(xiàn)在的網(wǎng)絡攻擊則是在“挖礦”時就掛了惡意腳本，黑客下手重點攻擊的目標的確是交易所存儲的加密貨幣，如果這個時候交易所缺乏職業(yè)操守的話，情況會非常不妙，據(jù)資深幣圈玩家小K向阿星爆料：“不怕交易所跑路，就怕交易所套路。定點爆倉、回滾、拔網(wǎng)線、機器人交易、凍結賬戶會造成虧損，而維權太難了，現(xiàn)在交易所服務器都在境外?！?/p>

趙長鵬從OKCoin跳槽出來創(chuàng)辦“幣安”，取這個名字是別有深意的。由于比特幣交易還處在消息極易影響市場行情的階段，黑客除了直接竊取貨幣，還能通過碰瓷“做空”來牟取暴利，成為極其隱秘的“莊家”。今年3月幣安遭受黑客攻擊，幣安及時中止了用戶加密幣提現(xiàn)，未發(fā)生盜幣，但是比特幣因此下跌10%；據(jù)比特律動報道稱，一些用戶賬戶加密幣被黑客換成比特幣之后，大量買入VIA（維爾幣），由此將后者價格拉升了110倍......

二、智能合約、數(shù)字錢包是區(qū)塊鏈安全事件頻發(fā)“重災區(qū)”

目前區(qū)塊鏈交易所共有數(shù)百家，誰家的技術對黑客防御指數(shù)高、抗風險能力強，運營規(guī)模及時間更長，就更能夠聚集起用戶的幣，相應的賠付能力也更有保障，所以交易所極易“頭部化”，并成為現(xiàn)階段產(chǎn)業(yè)中心的原因。除了交易所攻擊之外，黑客以及一般蟊賊智能合約和數(shù)字錢包領域神出鬼沒，同樣影響深遠。

1. 智能合約可能被黑客利用

2016年6月17日，眾籌超過1.5億美元的TheDAO由于出現(xiàn)安全漏洞，黑客攻擊導致價值超過6000萬美元的300萬個以太幣被盜。經(jīng)大量討論、投票、爭取、嘗試后失敗、再次嘗試，在以太坊區(qū)塊鏈官方的提議下，以太坊進行了“硬分叉”，數(shù)據(jù)回滾至整個網(wǎng)絡中由于安全攻擊而被影響的以太幣，最終TheDAO黯然退市。由于以太坊網(wǎng)絡中所有礦工沒有達成完全一致的回滾共識，最終釀成以太坊網(wǎng)絡分裂成至今“以太坊”（ETH）和“以太坊經(jīng)典”（ETC）的格局。

區(qū)塊鏈的技術特性決定了智能合約帶有病毒的傳播特性，一旦本身出現(xiàn)漏洞被黑客加以利用，影響是傳統(tǒng)網(wǎng)站的百倍計，并且很難短時間修復。從某種程度上，去年WannaCry勒索病毒就是典型的區(qū)塊鏈“智能合約”的應用場景之一，黑客把勒索病毒的智能合約發(fā)到網(wǎng)上，無須黑客進行任何其他操作實現(xiàn)比特幣到賬即自動解鎖電腦自動化。

（WannaCry就是典型的區(qū)塊鏈智能合約應用，黑客玩的很溜了）

慶幸的是，合約發(fā)布方們已經(jīng)意識問題嚴重性，開始執(zhí)行嚴格的智能合約審計，為智能合約筑起區(qū)塊鏈“馬其頓防線”成為趨勢。

2. 數(shù)字錢包中的資產(chǎn)不翼而飛原因多樣

“數(shù)字錢包”是用來存儲數(shù)字貨幣的軟件載體，其中，不聯(lián)網(wǎng)存儲私鑰的是“冷錢包”，目前市面上的硬件錢包就是冷錢包；而把私鑰托管在網(wǎng)絡的叫“熱錢包”，比如如電腦客戶端錢包、手機App錢包、網(wǎng)頁端錢包等等。

數(shù)字錢包就像是直接在區(qū)塊鏈世界里的“余額寶”，現(xiàn)在已經(jīng)有一些實體店開始支持比特幣支付了。但與余額寶、銀聯(lián)卡的貨幣存儲在銀行，即便被偷被騙也可追溯，畢竟銀行賬戶都有實名認證，而數(shù)字貨幣往往相對更難追溯，一旦被騙就很難找回，目前比特幣及代幣的監(jiān)管難度比較高；而不可篡改則意味著錢一旦被騙走，交易就不可能回退，基于這兩點，數(shù)字錢包成為黑客眼中的“肥肉”。

從數(shù)字錢包從設計、發(fā)布、下載、安裝、運行的途中但凡出現(xiàn)問題，均有可能中招。比如，是否通過官方渠道下載錢包，如果從第三方軟件平臺下載，會不會下載到有惡意插件的？即便通過官方渠道，是否處于安全的wifi環(huán)境？即便網(wǎng)絡環(huán)境沒問題，官方渠道的下載地址會不會遭到攻擊？就算這些雷一一避開，數(shù)字錢包本身是否可靠？廠商有沒有為了使用便捷而忽略安全運維？廠商是否具備安全存儲用戶私鑰的能力？

三、如何保護好自己的數(shù)字貨幣？有哪些實用干貨

安全是區(qū)塊鏈的“地基”，但是在區(qū)塊鏈的江湖里，有最優(yōu)秀的創(chuàng)業(yè)精英，也有最優(yōu)秀的騙子，基礎的確并沒有小白們想象的那么牢靠。提出安全隱患得有針對性的解決辦法才算圓滿，阿星在采訪眾多老韭菜和老師之后，拿到了不少壓箱底的干貨建議，經(jīng)過授權后拿出來發(fā)表，值得普通投資者拿小本本記下來：

（1）市面大多數(shù)加密貨幣錢包是中心化錢包，一旦發(fā)生意外，用戶資產(chǎn)丟失后難以追回；對于投資者而言，倘若持有大量的數(shù)字資產(chǎn)，更適合選用“去中心化錢包”，畢竟大量的資產(chǎn)由自己掌握才最放心。而對于短期的小額投資者而言，中心化的錢包的優(yōu)勢在于，使用體驗更加便捷，不過分批存放入不同的錢包更穩(wěn)。

（2）普通比特幣持有者賬戶可以“幣托”服務實現(xiàn)權益轉移，當交易所發(fā)生不可抗力因素用戶失去控制賬戶能力情況下，可通過“幣托”來實現(xiàn)與權益人（家人、朋友等）共同管理賬戶，實現(xiàn)賬戶權益的傳承。

（3）個人數(shù)字錢包的“私鑰”絕對不能外泄，“公鑰”是收款地址，就好比自己的門牌號碼，而私鑰/助記詞/keystore等相當于自家的“鑰匙”，這三類中任何一項均不要隨便泄露給別人，最好是能夠離線保存或保存在加密本地存儲硬盤或U盤里。

（4）數(shù)字貨幣投資者在轉賬時要反復確認轉幣對象和地址，因為錢包地址一般一串很長的字符，最好直接復制，并核對一遍；因而交易是不可逆的，一旦打過去就是別人的了。注意不要因為一些“更低的手續(xù)費”、“更多的額度”等承諾而繞過平臺擔保，進行私下點對點交易，一旦發(fā)生很難追回。

（5）平時用戶養(yǎng)成良好的使用習慣，多留個心眼，比如選擇主流交易平臺，從官方渠道下載錢包客戶端；備份好自己的錢包文件；設置復雜的密碼；在不同的平臺使用不同的登錄口令；謹慎下載論壇、社群里的文件，不要點擊來路不明的鏈接防止釣魚軟件中招；錢包地址尤其是私鑰絕對保密，在訪問平臺時，反復確認域名以防止進入山寨網(wǎng)站；盡量在私人的局域網(wǎng)和自己電腦或手機設備上網(wǎng)操作，殺毒軟件定期清理和更新必不可少等等。

阿星怎么看：

移動支付的流行是由于阿里和騰訊在安全投入很多看不見的技術支撐一樣，在區(qū)塊鏈安全上挑戰(zhàn)更大、情況更為復雜，目前數(shù)字貨幣及token是目前區(qū)塊鏈最主要的應用場景之一，利益激勵讓目前的區(qū)塊鏈成為利益告訴流通的新興領域，如果沒有“區(qū)塊鏈安全”為交易所、智能合約、數(shù)字錢包做好維護的話，區(qū)塊鏈美好的數(shù)字世界生態(tài)圖景都將是空中樓閣，區(qū)塊鏈安全也是一件不可能有終結的工作，這將是未來新的“道魔較量”！

作者：靠譜的阿星（李星），公眾號：靠譜的阿星，靠譜匯公司創(chuàng)始人，100多家主流科技媒體專欄作家，CMO訓練營導師，知名互聯(lián)網(wǎng)分析師，榮獲2017年鈦媒體年度作者「最具人氣獎」，區(qū)塊鏈風口第一批觀察者，阿星的個人微信號：1598145405，歡迎勾搭    

原創(chuàng)文章，作者：李星，如若轉載，請注明出處：《區(qū)塊鏈安全保衛(wèi)戰(zhàn)打響！如何保護好自己的幣？》http://www.cyfengchao.com/archives/21408