失序的區(qū)塊鏈：黑客囂張攻擊 脆弱的“防護(hù)網(wǎng)”難以守護(hù)安全

失序的區(qū)塊鏈行業(yè)里，時(shí)刻隱藏著風(fēng)險(xiǎn)，黑客就是其一。就像武俠里的江洋大盜，他們隨時(shí)出沒(méi)在存儲(chǔ)著大量數(shù)字貨幣的區(qū)塊鏈錢包、交易所、DApp

失序的區(qū)塊鏈行業(yè)里，時(shí)刻隱藏著風(fēng)險(xiǎn)，黑客就是其一。

就像武俠里的江洋大盜，他們隨時(shí)出沒(méi)在存儲(chǔ)著大量數(shù)字貨幣的區(qū)塊鏈錢包、交易所、DApp里，伺機(jī)挖掘漏洞，竊取資產(chǎn)。

據(jù)Odaily星球日?qǐng)?bào)粗略統(tǒng)計(jì)，近一個(gè)月內(nèi)，區(qū)塊鏈領(lǐng)域涉百萬(wàn)以上黑客攻擊事件近5起。

另一面，多數(shù)項(xiàng)目拿這些黑客并沒(méi)有辦法。尤其是幣圈進(jìn)入熊市大半年以來(lái)，不少公司都鬧錢荒。區(qū)塊鏈安全防護(hù)系統(tǒng)因資金匱乏，防護(hù)能力正在變?nèi)酢?/p>

安全團(tuán)隊(duì)BYSEC COO劉澤坤告訴Odaily星球日?qǐng)?bào)，其平臺(tái)上注冊(cè)有5000多名網(wǎng)絡(luò)安全工程師，但在“生存第一”的熊市下，安全防護(hù)下降為弱需求。目前愿意付費(fèi)做安防的僅有10余家。

代碼安全無(wú)法守護(hù)，共識(shí)安全也岌岌可危。

熊市中，一部分礦工由于入不敷出關(guān)機(jī)蟄伏，直接導(dǎo)致了PoW網(wǎng)絡(luò)算力下跌，閑置算力成為“散兵游勇”，威脅著公鏈的安全。

礦工是共識(shí)安全的守護(hù)者，他們的缺位給了攻擊者可趁之機(jī)，本月初ETC遭遇51%攻擊即是一例。

這張本該嚴(yán)密的安全防護(hù)網(wǎng)，隨著熊市的持續(xù)，一個(gè)個(gè)牽引的防護(hù)點(diǎn)正在消失。

頻繁的攻擊

去年12月27日發(fā)生的錢包釣魚(yú)事件可能是近來(lái)最大的黑客攻擊事件。

據(jù)Cointelegraph消息，當(dāng)日有用戶在社交媒體上爆料，有團(tuán)體正在對(duì)加密貨幣錢包Electrum進(jìn)行惡意攻擊，并竊取了近250個(gè)BTC (約93.7萬(wàn)美元)。

消息隨后獲得Electrum證實(shí)，據(jù)介紹，該攻擊主要通過(guò)創(chuàng)建一個(gè)假版本的錢包，來(lái)騙取用戶的密碼信息。

2018年下半年，幣圈進(jìn)入了明顯的熊市，不少項(xiàng)目開(kāi)始減員收縮。但黑客永不眠，那些匯集資金的地方永遠(yuǎn)是黑客的目標(biāo)。

區(qū)塊鏈安全平臺(tái)DVP聯(lián)合創(chuàng)始人鄧煥也告訴Odaily星球日?qǐng)?bào)，今年12月以來(lái)，越來(lái)越多的攻擊者將目光投向了EOS DApp。

根據(jù)區(qū)塊鏈安全網(wǎng)bcsec統(tǒng)計(jì)，12月份其搜索到區(qū)塊鏈領(lǐng)域發(fā)生的攻擊事件共有20余起，對(duì)行業(yè)造成損失約190萬(wàn)美元，其中90%受攻擊的對(duì)象是EOS上的DApp。

1月16日凌晨03：47-03：55之間，DAppShield監(jiān)測(cè)到，有黑客向EOS競(jìng)猜類游戲“影骰”發(fā)起連續(xù)攻擊，獲利超1萬(wàn)個(gè)EOS。黑客采用的交易阻塞攻擊手段。一個(gè)月來(lái)，黑客已經(jīng)憑借該手段發(fā)動(dòng)了4 次攻擊。

12月18日晚間至19日凌晨，多個(gè)EOS頭部DAPP則遭遇回滾交易攻擊。

遭受攻擊的幾款游戲基本為EOS頭部較活躍的競(jìng)猜類游戲：EOSMax、ToBet、BigGame和BetDice。據(jù)PeckShield的數(shù)據(jù)，其中，BetDice一周日均活躍用戶數(shù)超5000人，交易額也在5000萬(wàn)EOS以上。

與此同時(shí)，黑客利用重放攻擊漏洞攻破另一款競(jìng)猜類游戲TRUSTBET。

這些集中攻擊，讓幾款游戲共損失303404.18 EOS。以EOS當(dāng)時(shí)的單價(jià)18元來(lái)測(cè)算，黑客盜走的金額達(dá)546萬(wàn)元。

對(duì)于這次攻擊，蔣旭憲曾向Odaily星球日?qǐng)?bào)表示，這次攻擊背后是同一個(gè)團(tuán)伙或個(gè)人。另外，ECAF追回盜取的EOS預(yù)計(jì)難度較大，目前已經(jīng)牽涉到1808個(gè)賬戶，數(shù)量還在增長(zhǎng)中。

鄧煥分析指出，從早期針對(duì)以太坊的The DAO，到最近的BCE、SMT代幣等事件，以太坊生態(tài)已經(jīng)經(jīng)過(guò)了一場(chǎng)來(lái)自黑客的“血的洗禮“，生態(tài)環(huán)境逐漸趨于安全。而DApp生態(tài)的第二翹楚EOS目前正處于蠻荒生長(zhǎng)階段，于是黑客開(kāi)始將魔爪伸向這里。

囂張的攻擊者

對(duì)于黑客而言，攻擊這種從別人口袋里掏錢的生意，只有錢難不難掏，沒(méi)有錢多錢少的分別。

我們知道，交易所是幣圈最大的聚寶盆，亦是黑客攻擊的高發(fā)地。即使在交易量大幅萎縮的境況下，交易所亦逃不過(guò)黑客的“摸排”。

賀凱(化名)是X交易所的市場(chǎng)負(fù)責(zé)人。“盡管(我們交易所)在各個(gè)行情網(wǎng)站上排不上名，但被黑客‘打’卻是家常便飯。”

據(jù)他介紹，全球有約1.5萬(wàn)家交易所，在業(yè)內(nèi)稍微能說(shuō)的出名字的，基本上三天兩頭就要來(lái)一次攻防戰(zhàn)。身處這個(gè)“聚寶盆”中，他已經(jīng)見(jiàn)怪不怪。

但去年11月份的那次黑客尋釁事件，讓賀凱哭笑不得。

那天中午，X交易所的客服像往常一樣在微信群里和用戶聊天。

突然有人加她，沒(méi)有注明名字和事由，她通過(guò)了。

不料對(duì)方一上來(lái)就像查戶口似的問(wèn)：“哎，你是X交易所的嗎?”

“你們其他聯(lián)系方式能給我一個(gè)嗎?”

對(duì)方看客服沒(méi)反應(yīng)補(bǔ)充了句，“我要‘打’你們了，怕到時(shí)聯(lián)系不上你們。這個(gè)(號(hào))是你們的啰?”

客服當(dāng)時(shí)明白了，跟她聊天的這個(gè)人可能是個(gè)黑客。常規(guī)的黑客攻擊是先攻擊再勒索，而且最好能攻其不備以降低成本。待攻下后再聯(lián)系被攻擊方商談“贖金”事宜。

但這個(gè)黑客似乎勝券在握，就等著攻擊結(jié)束后的談判了。

“真是活久見(jiàn)”，客服心想。無(wú)奈，客服只得回復(fù)他：“你先打吧，打完再說(shuō)。”

作為區(qū)塊鏈“白帽子”平臺(tái)的調(diào)度人，鄧煥沒(méi)少見(jiàn)這類令人咋舌的攻擊。

去年12月5日，幣安發(fā)布了一個(gè)去中心化交易所DEX。消息出來(lái)的第二天，DVP即觀察到，社交軟件中有個(gè)冒充DEX斂財(cái)釣魚(yú)網(wǎng)站。

下圖是該釣魚(yú)網(wǎng)站的主頁(yè)。從UI上看簡(jiǎn)直可以以假亂真。

該網(wǎng)站放著幣安此前發(fā)布的DEX的宣傳視頻。并配文虛構(gòu)了一個(gè)活動(dòng)，稱為慶祝DEX的推出，特向全球粉絲贈(zèng)送5000 BTC作為回饋。參與活動(dòng)的用戶需要先驗(yàn)證地址，驗(yàn)證時(shí)需發(fā)送0.1 - 10個(gè)BTC到指定地址，而后將獲得貢獻(xiàn)BTC數(shù)的10倍BTC。

在轉(zhuǎn)賬頁(yè)面，還伴有實(shí)時(shí)更新的獎(jiǎng)池?cái)?shù)量、該地址的轉(zhuǎn)賬交易記錄以及參與用戶的即時(shí)評(píng)價(jià)等，十分逼真。DVP當(dāng)即發(fā)現(xiàn)有人轉(zhuǎn)賬，那些幣隨即被提走。

DVP 向幣安報(bào)告了該情報(bào)。但該釣魚(yú)網(wǎng)站作為外部網(wǎng)站，幣安也拿他沒(méi)辦法。

DVP還發(fā)現(xiàn)，這個(gè)第二天就能上線高仿網(wǎng)站的攻擊者，之前還用同樣的手段模仿過(guò)OKEX，可謂在失序的世界中無(wú)法無(wú)天。即使熊市如此之涼，它也能抓住熱點(diǎn)穩(wěn)賺一筆。

脆弱的“防護(hù)網(wǎng)”

在這些安全事件背后，是黑客不分牛熊的攻擊和熊市中防護(hù)網(wǎng)缺失的矛盾。

有數(shù)據(jù)顯示，目前全球有10000+的區(qū)塊鏈項(xiàng)目，區(qū)塊鏈安全服務(wù)公司卻只有不到50家。從紅藍(lán)對(duì)抗的角度講，紅隊(duì)(攻擊方)就要比藍(lán)隊(duì)(防守方)弱得多。再遇熊市，恐會(huì)讓這一狀況更加惡劣。

當(dāng)前，各個(gè)項(xiàng)目方、服務(wù)商在寒冬中縮小成本，其在安全上的需求也繼續(xù)弱化。這形成了一個(gè)惡性循環(huán)，在安全上投入越低便越容易遭到攻擊，造成的損失又將給項(xiàng)目方帶來(lái)致命的災(zāi)難。

安全團(tuán)隊(duì)BYSEC的COO劉澤坤和Odaily星球日?qǐng)?bào)講了上個(gè)月發(fā)生的一個(gè)案例。一個(gè)以太坊上的菠菜類DApp遭遇黑客攻擊，數(shù)萬(wàn)個(gè)ETH被盜，盡管其已做過(guò)基本的審計(jì)，但離相對(duì)安全仍然很遠(yuǎn)。

按理說(shuō)，每個(gè)項(xiàng)目都應(yīng)投入10%的錢來(lái)保障100%的資金的安全，但很多團(tuán)隊(duì)在縮減開(kāi)支中跳過(guò)了這一步。

BYSEC團(tuán)隊(duì)是個(gè)“白帽子”平臺(tái)，其上注冊(cè)了5000余名“白帽子”，大多是傳統(tǒng)安全業(yè)人員，在上面兼職挖漏洞領(lǐng)取賞金。

到了熊市，平臺(tái)上仍在支付賞金的項(xiàng)目方僅有10余家，BYSEC團(tuán)隊(duì)只能提示平臺(tái)上的“白帽子”盡量只在這些付費(fèi)廠家中挖洞，不然可能要變成“楊白勞”。

其他的廠家，要么沒(méi)有付費(fèi)意愿，要么沒(méi)有付費(fèi)能力。

在BYSEC發(fā)現(xiàn)一些交易所的重大漏洞后，劉澤坤帶著這些漏洞去聯(lián)系交易所，希望安全服務(wù)能得到適當(dāng)回報(bào)。

但對(duì)方給出的答復(fù)卻經(jīng)常是，“你們的這個(gè)服務(wù)的確很好，我們也很需要，但老實(shí)說(shuō)我們的收入都沒(méi)這么多，實(shí)在是付不起。” “活都活不下去了，還講什么安全。就好像我都吃泡面了，你還跟我說(shuō)泡面不健康。”

轉(zhuǎn)型謀生存

進(jìn)入安全行業(yè)的錢變少了。一面沒(méi)了新的客戶、新的投入，一面是存量客戶已被瓜分殆盡。

安全團(tuán)隊(duì)處境維艱。

慢霧安全團(tuán)隊(duì)在接受Odaily星球日?qǐng)?bào)此前的采訪時(shí)表示，(安全行業(yè))蓬勃發(fā)展后，會(huì)進(jìn)入類似紅海的階段，需要大家進(jìn)行差異化競(jìng)爭(zhēng)。比如現(xiàn)在經(jīng)常有客戶問(wèn)我們：你們和別人有什么不一樣?

大家需要進(jìn)行差異化競(jìng)爭(zhēng)才能活下來(lái)，BYSEC也認(rèn)同這個(gè)觀點(diǎn)，并且正在考慮轉(zhuǎn)型。劉澤坤透露，團(tuán)隊(duì)打算利用在安全行業(yè)的積累做一款數(shù)字貨幣的支付網(wǎng)關(guān)SAAS，面向數(shù)字貨幣的商家和C端用戶。

從服務(wù)對(duì)象和應(yīng)用場(chǎng)景看，這似乎已和安全行業(yè)脫鉤了。但行業(yè)沒(méi)有生意，像BYSEC這樣的平臺(tái)并沒(méi)有什么好的辦法。

唯一值得欣慰的或許是，以技術(shù)見(jiàn)長(zhǎng)的白帽子，如果要回到互聯(lián)網(wǎng)或是在其他領(lǐng)域做安全，轉(zhuǎn)換的成本不算太高。

關(guān)鍵詞： 失序 區(qū)塊鏈 黑客囂張