1. 北竹林首页
  2. 资讯
  3. 区块链

黑客:去中心化的“癌症”

一、前言

癌症,非常恐怖的字眼,大多数人是唯恐避之不及的。虽然现在医学已经很发达了,有些癌症可以治好,但是癌症这种病仍然号称是“不治之症”、“绝症”。

我到维基百科上去查了一下:
一般人们…

一、前言


 

癌症,非常恐怖的字眼,大多数人是唯恐避之不及的。虽然现在医学已经很发达了,有些癌症可以治好,但是癌症这种病仍然号称是“不治之症”、“绝症”。

我到维基百科上去查了一下:

一般人们所说的“癌症”习惯上泛指所有恶性肿瘤。癌症具有细胞分化和增殖异常、生长失去控制、浸润性和转移性等生物学特征,其发生是一个多因子、多步骤的复杂过程,分为致癌、促癌、演进三个过程,与吸烟、感染、职业暴露、环境污染、不合理膳食、遗传因素密切相关。

其中的核心特点就是“生长失去控制”,在我看来,黑客就很像去中心化项目患上的“癌症”,长期存在、无法控制、难以治愈

 

二、币安

 

币安被盗不是一次二次了,市场好像已经见怪不怪了:

1、先是最近的这次——2019年5月8日凌晨,币安交易所发现了大规模的安全漏洞。此次攻击中,黑客在区块高度575012处从币安热钱包中盗取7000枚比特币,价值约达3亿人民币。

据悉,黑客能够获得大量用户API密钥,谷歌验证2FA码以及其他相关信息。在此次攻击中,黑客团体使用了复合型的攻击技术,包括网络钓鱼,病毒等其他攻击手段来盗取加密资产。

2、不到一年前,也是7000枚BTC被盗——2018年7月4日凌晨5时许,币安交易所出现超大额提现。据悉,2小时内,超过7000枚BTC被转入同一地址,币安疑似被盗的消息火速传开。

当日,币安出现了一笔可疑交易,一枚在币安报价0.29美元的SYS购买了96个 BTC(价值约623万美元)。同日清晨,SYS称其网络可能存在漏洞,10亿枚SYS竟采自于一个区块。币安的异常交易疑似与SYS的网络漏洞有关。

3、在此事件的4个月之前,币安就遭遇过当时被称为“史诗级黑客案例”的BTC被盗事件——3月7日23点前后,黑客操控若干币安用户账户,将加密货币全部币币交易换成BTC,数量达1万个BTC以上。黑客使用API交易机器人用这些BTC大量买入VIA币,VIA的价格直接被拉高了100倍以上,然后抛售来控制币价。

当时的市场受消息面影响全线崩溃式下挫,一小时暴跌高达10%。BTC跌破10000美元大关,并触及10日低点9400美元,跌幅超过10%。BTC此次下跌持续一个月之久,波段跌幅近30%。受此事件影响,BNB快速走低,两个交易日内跌超15%。

 

三、其它案例

 

除了币安之外,币圈被盗的案例多不胜数:

  1. MtGox——被盗,破产。
  2. Bitcoinica——2012年3月、5月和7月,老牌交易所Bitcoinica连续遭遇三次黑客攻击,其中,3月份丢失了43,554个比特币,5月份丢失了18,000个比特币,7月份再度丢失了40,000个比特币和4万美元。
  3. DAO——史上最大众筹项目、以太币的去中心化组织The DAO遭攻击,逾5000万美元以太币外溢,目前失窃的以太币被锁住,27天内无法流通。事件消息发布后,以太币价格下跌逾23%;拖累比特币价格也跌逾10%。以太坊基金建议暂停电子货币交易。
  4. EOS——360称发现“EOS”上存在“史诗级漏洞”。(币圈很喜欢“史诗级”这个词)
  5. DragonEx——继2019年1月份的新加坡Cryptopia交易所(C网)、2月份创始人意外死亡的加拿大最大的交易平台QuadrigaCX之后,又有一家交易所出事了,这次是老牌交易所—DragonEx。

。。。

这个列表还可以继续列下去,甚至可以这么说交易所的地位变迁史,就是交易所的黑客被盗史

而且最关键之处在于,被盗这种事永远不会终止,有了这一次,还会有下一次,还会有下下次,像癌症一样根本看不到“治愈”的可能性

 

四、才出虎口,又入狼穴

 

当年比特币以其去中心化的特性,被人们誉为“第一次用技术手段保证了私有财产不受侵犯”。但是,当遇到黑客的时候,去中心化特性又成了一把双刃剑,让人们的私有财产一旦出现问题又得不到相应的保护。真是让人有一种“才出虎口,又入狼穴”的感觉。

在传统的互联网时代交易所不存在这样的问题,互联网时代的交易所被盗顶多就是数据紊乱,服务暂停,只需要后续服务器停一停,数据一回滚就解决了。

但是在去中心化的时代,代码本身就是资产,而且没人有可以停掉某些项目的服务器,也根本无法回滚数据,只要被盗,就是实实在在的被盗了。

正是因为这个去中心化的特性,所以基本上一旦被盗,比如私钥泄露,你的财产就不再属于你了,追回财产这种事,对于真正的去中心化项目而言,是一件技术上不可能的事。

如果可能的话,当年DAO事件发生之后,ETH就不会硬分叉了。

ETH是因为有V神在,他的影响力可以支持ETH硬分叉成功,之后还能推动ETH项目继续发展。未来如果某个去中心化项目,被黑客盗取大部分资金,而又没有像V神这样有影响力的人物存在的话,很可能遭遇黑客事件之后就直接导致项目失败,也就是江湖上所说的“被盗即破产”。

所以,从某个角度来讲,确实“所有的交易所都在给黑客打工”,不光交易所,我认为所有项目,不限于项目方、钱包、矿池等等,只要在安全性上做的不够完美(注意,是完美),目前都是在给黑客打工

 

五、风控措施

 

那么有人会问,交易所这么容易被盗,难道是交易所没有风控吗?或者是风控技术不过关吗?

风控技术过不过关,这需要专业的公司来评测,但是每一家正常的交易所一定都是把风控看得很重要的,甚至应该是以风控为核心的,比如币安就一直在宣传它的七项风控政策:

  • 采用最新的技术来确保平台安全
  • 提供无与伦比的客户服务
  • 利用最先进的风险控制系统阻止任何异常活动
  • 币安学院对公众开展加密货币安全教育
  • 投资设立币安用户安全资产基金(SAFU)来保障币安对用户的安全承诺
  • 币安去中心化交易平台让加密资产安全性迈入新阶段
  • 拥有一支全部由大数据和风险管理专业人士组成的明星团队

其它交易所也都有一套严密的风控机制,包括充值提币黑名单拦截、用户可疑预警、异常行为检测、提币安全审核、风险操作实时提示、异常价格波动预警等等,环环相扣的检测机制。

6287584-4ac662f92bf7d0fb

六、BUG永不眠,黑客永不休

 

赵东曾经说过,黑客圈流行一句话,“只要100万美元,就可以攻陷所有交易所”。那么值得思考的是,既然交易所都有这么严密的风控,为什么还这么容易被攻陷呢?

这就要说到数字货币交易所的本质,有一种说法是,数字货币交易所的技术本质是:

同时维护几十套开源软件!

先别说几十套,就是单独一套软件的漏洞就不会少;一套不开源的软件可能还好一点,一套开源的软件,基本上是很难避免BUG被利用的,“开源让每一个细小的BUG都能被看到”——忘记是哪位程序大神说的了。

所有项目都有BUG,凡是有代码存在的地方就有BUG;即使你不停的解决BUG,解决了这个BUG,还有其它BUG在等着;解决了这个项目的所有BUG(如果你觉得可能的话),还有其它项目的BUG在等着你。换而言之,BUG永不眠

更何况区块链项目和互联网项目一样,也是需要不停的向前迭代。每一次更新代码的过程,又会带来新的BUG,源源不断,永远存在。

BUG永不眠,那么黑客就永远不会休止,那么区块链项目的安全问题要如何解决呢?

 

七、从系统层面

 

目前来看,并没有很好的办法,在目前区块链本身的技术还没有成熟,而且因为是行业发展的早期,政府的监管也没有介入,也没办法运用全社会的力量来追回。也就是说,目前内部外部都没有应对黑客的有力条件,所以如果现在出现被黑客盗取的事情,要么就依靠行业自治,比如多家交易所结成联盟,对特定帐户发起的交易拒绝提现之类;要么就只能干瞪眼。可以这么说,现在还是黑客的“黄金年代”。

当然也可以借鉴目前计算机行业针对BUG的做法,基本原则是——及早发现,及时干掉!

发现一个,就干掉一个,除此之外没有更好的办法。

另外,这个问题也可以上升到区块链项目的制度设计层面,最好在刚开始制度设计的时候就考虑到应对黑客这种事,设定好一定的缓冲。

一般来说,总的原则是这样的:去中心化程度越强,缓冲的余地越小,被盗后追回的可能性越小;中心化程度越强,缓冲的余地越大,被盗后追回的可能性越大

如果一个项目需要很强的去中心化特性,那这个系统一定要足够“小”,运行规则一定要足够精简,足够符合“最小可行原理”,这样才能让BUG尽可能的少,正如比特币一样;

如果对去中心化特性要求没这么强,可以允许一定的中心化特性存在,则一定要在刚开始就设置有效的人为的治理机制和补救机制。

除此之外,目前并没有更好的方法,也许有,大家可以留言探讨。

 

八、最后

 

最后,关于黑客这种事,需要提醒大家的是:

  • 这不是一次性事件,是未来将长期持续发生的事件;
  • 这不是黑天鹅事件,是概率上的100%,必然发生的事件;
  • 这不是结束,更大恶性事件的开始。

 

这次也许只是7000个BTC,下次就是7W个BTC,下下次就是70W个BTC,区块链行业发展的越壮大,区块链项目的市值越高,这个问题就会越严重,而且目前暂时无解,正如“癌症”一样。

作者:蒙特卡洛

声明:登载此文出于传递更多信息之目的,观点仅代表作者本人,绝不代表北竹林赞同其观点或证实其描述。

提示:投资有风险,入市须谨慎。本资讯不作为投资理财建议。

联系我们

QQ:

1739447883

邮箱:

1739447883@qq.com