上市之后的360似低調(diào)了一些，直到5月29日凌晨向EOS官方提供安全漏洞。去年5月份WannaCry勒索病毒在全球肆虐，安全產(chǎn)品負(fù)責(zé)人孫曉駿在媒體溝通會(huì)上說(shuō)過(guò)，“這回黑客有點(diǎn)‘人性化’，還手把手教你怎么用比特幣支付勒索費(fèi)用。”

無(wú)巧不從書的。比特幣至去年5月份之后開始一路飆升，在5月30日EOS對(duì)比特幣的價(jià)格走勢(shì)是略跌0.37%(更多人相信安全漏洞發(fā)現(xiàn)等于提前“排雷”)。周鴻祎雖公開稱自己不懂區(qū)塊鏈，其實(shí)他懂不懂不要緊，底下的人懂就行了，他堅(jiān)信“代碼是人寫的，肯定會(huì)有漏洞的。”在區(qū)塊鏈的數(shù)字世界中，漏洞同樣也會(huì)無(wú)所不在。

區(qū)塊鏈風(fēng)口刮來(lái)的重要因素是，區(qū)塊鏈的確比一般互聯(lián)網(wǎng)在理念和架構(gòu)上更加注重“安全”，“分布式機(jī)制”保證了數(shù)據(jù)流的完整一致、不可篡改的特點(diǎn)。舉個(gè)例子更容易理解，阿星最近了解到國(guó)內(nèi)已有做智能鎖老板開始研發(fā)“區(qū)塊鏈鎖”了，而現(xiàn)有移動(dòng)互聯(lián)網(wǎng)提供“中心化”云端服務(wù)器，黑客攻擊能夠砰砰同時(shí)打開非常的房門，而在“去中心化”網(wǎng)絡(luò)中安全系數(shù)無(wú)疑高出很多。

一、比特幣“交易所”為何成為黑客攻擊的頭號(hào)目標(biāo)?

下手者目的很簡(jiǎn)單，就是為竊取錢財(cái)而來(lái)，技術(shù)手段極為縝密，比特幣、區(qū)塊鏈安全問(wèn)題顯然也比傳統(tǒng)網(wǎng)絡(luò)安全更為復(fù)雜。

2017年12月份告破的全國(guó)首例比特幣被盜案，戴某把正版錢包軟件破解之后植入獲取用戶賬戶名和密碼的爬蟲文件，在聊天群中丟給吳某下載安裝，隨后吳某的電子錢包軟件中181個(gè)比特幣被清空。戴某讓多人下載其錢包軟件的說(shuō)辭極其簡(jiǎn)單：“比特幣放在交易所不安全”，這是有前車之鑒的。

交易所目前是所有數(shù)字加密幣的存儲(chǔ)中心和流通中心，自然是黑客頭號(hào)目標(biāo)。2014年，當(dāng)時(shí)全球最大的比特幣交易所Mt.Gox宣布因遭受黑客攻擊，其CEO馬克·卡爾普稱“平臺(tái)上85萬(wàn)個(gè)比特幣因公司系統(tǒng)漏洞被盜一空”而MT.Gox在日本旋即申請(qǐng)破產(chǎn)保護(hù)，而Mt.Gox是否監(jiān)守自盜成為一樁未了公案。三年后，“黑客”再次成為背鍋俠，2017年12月19日韓國(guó)比特幣交易所Youbit同樣因黑客攻擊丟失4000個(gè)比特幣后破產(chǎn)，故事驚人的相似。

傳統(tǒng)網(wǎng)絡(luò)攻擊往往是掛木馬病毒，或者制造一些偽正常訪問(wèn)的DDos攻擊讓網(wǎng)站宕機(jī);現(xiàn)在的網(wǎng)絡(luò)攻擊則是在“挖礦”時(shí)就掛了惡意腳本，黑客下手重點(diǎn)攻擊的目標(biāo)的確是交易所存儲(chǔ)的加密貨幣，如果這個(gè)時(shí)候交易所缺乏職業(yè)操守的話，情況會(huì)非常不妙，據(jù)資深幣圈玩家小K向阿星爆料：“不怕交易所跑路，就怕交易所套路。定點(diǎn)爆倉(cāng)、回滾、拔網(wǎng)線、機(jī)器人交易、凍結(jié)賬戶會(huì)造成虧損，而維權(quán)太難了，現(xiàn)在交易所服務(wù)器都在境外。”

趙長(zhǎng)鵬從OKCoin跳槽出來(lái)創(chuàng)辦“幣安”，取這個(gè)名字是別有深意的。由于比特幣交易還處在消息極易影響市場(chǎng)行情的階段，黑客除了直接竊取貨幣，還能通過(guò)碰瓷“做空”來(lái)牟取暴利，成為極其隱秘的“莊家”。今年3月幣安遭受黑客攻擊，幣安及時(shí)中止了用戶加密幣提現(xiàn)，未發(fā)生盜幣，但是比特幣因此下跌10%;據(jù)比特律動(dòng)報(bào)道稱，一些用戶賬戶加密幣被黑客換成比特幣之后，大量買入VIA(維爾幣)，由此將后者價(jià)格拉升了110倍……

二、智能合約、數(shù)字錢包是區(qū)塊鏈安全事件頻發(fā)“重災(zāi)區(qū)”

目前區(qū)塊鏈交易所共有數(shù)百家，誰(shuí)家的技術(shù)對(duì)黑客防御指數(shù)高、抗風(fēng)險(xiǎn)能力強(qiáng)，運(yùn)營(yíng)規(guī)模及時(shí)間更長(zhǎng)，就更能夠聚集起用戶的幣，相應(yīng)的賠付能力也更有保障，所以交易所極易“頭部化”，并成為現(xiàn)階段產(chǎn)業(yè)中心的原因。除了交易所攻擊之外，黑客以及一般蟊賊智能合約和數(shù)字錢包領(lǐng)域神出鬼沒(méi)，同樣影響深遠(yuǎn)。

1.智能合約可能被黑客利用

2016年6月17日，眾籌超過(guò)1.5億美元的TheDAO由于出現(xiàn)安全漏洞，黑客攻擊導(dǎo)致價(jià)值超過(guò)6000萬(wàn)美元的300萬(wàn)個(gè)以太幣被盜。經(jīng)大量討論、投票、爭(zhēng)取、嘗試后失敗、再次嘗試，在以太坊區(qū)塊鏈官方的提議下，以太坊進(jìn)行了“硬分叉”，數(shù)據(jù)回滾至整個(gè)網(wǎng)絡(luò)中由于安全攻擊而被影響的以太幣，最終TheDAO黯然退市。由于以太坊網(wǎng)絡(luò)中所有礦工沒(méi)有達(dá)成完全一致的回滾共識(shí)，最終釀成以太坊網(wǎng)絡(luò)分裂成至今“以太坊”(ETH)和“以太坊經(jīng)典”(ETC)的格局。

區(qū)塊鏈的技術(shù)特性決定了智能合約帶有病毒的傳播特性，一旦本身出現(xiàn)漏洞被黑客加以利用，影響是傳統(tǒng)網(wǎng)站的百倍計(jì)，并且很難短時(shí)間修復(fù)。從某種程度上，去年WannaCry勒索病毒就是典型的區(qū)塊鏈“智能合約”的應(yīng)用場(chǎng)景之一，黑客把勒索病毒的智能合約發(fā)到網(wǎng)上，無(wú)須黑客進(jìn)行任何其他操作實(shí)現(xiàn)比特幣到賬即自動(dòng)解鎖電腦自動(dòng)化。

(WannaCry就是典型的區(qū)塊鏈智能合約應(yīng)用，黑客玩的很溜了)

慶幸的是，合約發(fā)布方們已經(jīng)意識(shí)問(wèn)題嚴(yán)重性，開始執(zhí)行嚴(yán)格的智能合約審計(jì)，為智能合約筑起區(qū)塊鏈“馬其頓防線”成為趨勢(shì)。

2.數(shù)字錢包中的資產(chǎn)不翼而飛原因多樣

“數(shù)字錢包”是用來(lái)存儲(chǔ)數(shù)字貨幣的軟件載體，其中，不聯(lián)網(wǎng)存儲(chǔ)私鑰的是“冷錢包”，目前市面上的硬件錢包就是冷錢包;而把私鑰托管在網(wǎng)絡(luò)的叫“熱錢包”，比如如電腦客戶端錢包、手機(jī)App錢包、網(wǎng)頁(yè)端錢包等等。

數(shù)字錢包就像是直接在區(qū)塊鏈?zhǔn)澜缋锏?ldquo;余額寶”，現(xiàn)在已經(jīng)有一些實(shí)體店開始支持比特幣支付了。但與余額寶、銀聯(lián)卡的貨幣存儲(chǔ)在銀行，即便被偷被騙也可追溯，畢竟銀行賬戶都有實(shí)名認(rèn)證，而數(shù)字貨幣往往相對(duì)更難追溯，一旦被騙就很難找回，目前比特幣及代幣的監(jiān)管難度比較高;而不可篡改則意味著錢一旦被騙走，交易就不可能回退，基于這兩點(diǎn)，數(shù)字錢包成為黑客眼中的“肥肉”。

從數(shù)字錢包從設(shè)計(jì)、發(fā)布、下載、安裝、運(yùn)行的途中但凡出現(xiàn)問(wèn)題，均有可能中招。比如，是否通過(guò)官方渠道下載錢包，如果從第三方軟件平臺(tái)下載，會(huì)不會(huì)下載到有惡意插件的?即便通過(guò)官方渠道，是否處于安全的wifi環(huán)境?即便網(wǎng)絡(luò)環(huán)境沒(méi)問(wèn)題，官方渠道的下載地址會(huì)不會(huì)遭到攻擊?就算這些雷一一避開，數(shù)字錢包本身是否可靠?廠商有沒(méi)有為了使用便捷而忽略安全運(yùn)維?廠商是否具備安全存儲(chǔ)用戶私鑰的能力?

三、如何保護(hù)好自己的數(shù)字貨幣?有哪些實(shí)用干貨

安全是區(qū)塊鏈的“地基”，但是在區(qū)塊鏈的江湖里，有最優(yōu)秀的創(chuàng)業(yè)精英，也有最優(yōu)秀的騙子，基礎(chǔ)的確并沒(méi)有小白們想象的那么牢靠。提出安全隱患得有針對(duì)性的解決辦法才算圓滿，阿星在采訪眾多老韭菜和老師之后，拿到了不少壓箱底的干貨建議，經(jīng)過(guò)授權(quán)后拿出來(lái)發(fā)表，值得普通投資者拿小本本記下來(lái)：

(1)市面大多數(shù)加密貨幣錢包是中心化錢包，一旦發(fā)生意外，用戶資產(chǎn)丟失后難以追回;對(duì)于投資者而言，倘若持有大量的數(shù)字資產(chǎn)，更適合選用“去中心化錢包”，畢竟大量的資產(chǎn)由自己掌握才最放心。而對(duì)于短期的小額投資者而言，中心化的錢包的優(yōu)勢(shì)在于，使用體驗(yàn)更加便捷，不過(guò)分批存放入不同的錢包更穩(wěn)。

(2)普通比特幣持有者賬戶可以“幣托”服務(wù)實(shí)現(xiàn)權(quán)益轉(zhuǎn)移，當(dāng)交易所發(fā)生不可抗力因素用戶失去控制賬戶能力情況下，可通過(guò)“幣托”來(lái)實(shí)現(xiàn)與權(quán)益人(家人、朋友等)共同管理賬戶，實(shí)現(xiàn)賬戶權(quán)益的傳承。

(3)個(gè)人數(shù)字錢包的“私鑰”絕對(duì)不能外泄，“公鑰”是收款地址，就好比自己的門牌號(hào)碼，而私鑰/助記詞/keystore等相當(dāng)于自家的“鑰匙”，這三類中任何一項(xiàng)均不要隨便泄露給別人，最好是能夠離線保存或保存在加密本地存儲(chǔ)硬盤或U盤里。

(4)數(shù)字貨幣投資者在轉(zhuǎn)賬時(shí)要反復(fù)確認(rèn)轉(zhuǎn)幣對(duì)象和地址，因?yàn)殄X包地址一般一串很長(zhǎng)的字符，最好直接復(fù)制，并核對(duì)一遍;因而交易是不可逆的，一旦打過(guò)去就是別人的了。注意不要因?yàn)橐恍?ldquo;更低的手續(xù)費(fèi)”、“更多的額度”等承諾而繞過(guò)平臺(tái)擔(dān)保，進(jìn)行私下點(diǎn)對(duì)點(diǎn)交易，一旦發(fā)生很難追回。

(5)平時(shí)用戶養(yǎng)成良好的使用習(xí)慣，多留個(gè)心眼，比如選擇主流交易平臺(tái)，從官方渠道下載錢包客戶端;備份好自己的錢包文件;設(shè)置復(fù)雜的密碼;在不同的平臺(tái)使用不同的登錄口令;謹(jǐn)慎下載論壇、社群里的文件，不要點(diǎn)擊來(lái)路不明的鏈接防止釣魚軟件中招;錢包地址尤其是私鑰絕對(duì)保密，在訪問(wèn)平臺(tái)時(shí)，反復(fù)確認(rèn)域名以防止進(jìn)入山寨網(wǎng)站;盡量在私人的局域網(wǎng)和自己電腦或手機(jī)設(shè)備上網(wǎng)操作，殺毒軟件定期清理和更新必不可少等等。

阿星怎么看：

移動(dòng)支付的流行是由于阿里和騰訊在安全投入很多看不見的技術(shù)支撐一樣，在區(qū)塊鏈安全上挑戰(zhàn)更大、情況更為復(fù)雜，目前數(shù)字貨幣及token是目前區(qū)塊鏈最主要的應(yīng)用場(chǎng)景之一，利益激勵(lì)讓目前的區(qū)塊鏈成為利益告訴流通的新興領(lǐng)域，如果沒(méi)有“區(qū)塊鏈安全”為交易所、智能合約、數(shù)字錢包做好維護(hù)的話，區(qū)塊鏈美好的數(shù)字世界生態(tài)圖景都將是空中樓閣，區(qū)塊鏈安全也是一件不可能有終結(jié)的工作，這將是未來(lái)新的“道魔較量”!