自互联网始,黑客存在久矣。 然后,颠覆互联网的来了,黑客也随之降临。 分裂以太坊,门头沟事件,BTER失窃……每一次币圈事故背后都能瞧见他们身影出没。 与互联网的森严法治不同,币圈黑客游走在规章的模糊边界,无人约束。每年上亿赃款落入黑客腰包。 这是与古典互联网截然不同的奇异景观。 “互联网发生安全事故丢失的是信心,币圈安全事故丢的可能是命了。”一位区块链安全人士表示。 利益之下,黑客肆掠,币圈无人幸免。区块链的头顶上,始终笼罩着一层阴霾。 深链财经 文丨大卫 一场悄无声息的迁徙 古典互联网黑客正在往币圈大规模迁徙。 “正是区块链技术创新造就了这群黑客。”BYSEC.IO创始人莫良向深链财经称,“区块链是历史上任何一个时代无法比拟的——代码和钱画上了等号。” 互联网和币圈是截然不同两个世界。 “对于互联网安全,一旦发生安全事故,往往丢失的是信心,但是用户是健忘的。可对于数字货币交易所、钱包而言,丢失的就不仅仅是信心了,可能就是丢命了,是等同于法币资产的身家性命。” 一位业内人士向深链财经透露。 在黑客攻击后倒闭的项目不绝如缕。门头沟事件(2014年2月,黑客从Mt.Gox盗取用户近75万枚及交易所10万枚比特币)直接导致彼时世界第一大交易所Mt.Gox申请破产。 币圈是一块无人管的戈壁地。在币圈尚无明确法律监管的情况下,这些黑客攻城掠地,侵占一座又一座城池。 莫良将攻击分为两种:一种是链上攻击,例如像BTG双花攻击。技术门槛高,攻击者对区块链技术有一定研究;一种是链下服务攻击,比如对交易所、钱包的攻击。 币圈黑客目前的操作方式大部分属于后者。即是说,黑客仍然用着传统互联网的方法在币圈兴风作浪。 “密钥和钱包的安全是区块链安全1.0的重心,智能合约是区块链安全2.0的重心。但是目前大多数黑客事件还是使用传统攻击手段。”长亭科技区块链安全研究员于晓航向深链财经表示。 古典互联网黑客转行币圈,根本不需要学习成本,所要只是一个瞬念。 币圈黑客已经将触角伸向区块链全产业链。 无论是矿池、钱包、交易所还是公链,甚至是用户的打印机、摄像头,都有被黑客袭击的可能。 例如,对于矿池来说,黑客直接攻击矿池,设法获取矿池网站的管理员权限,然后将矿池里额虚拟货币转移至自己帐户。 此外,黑客还能黑进用户的设备,偷设备上的算力,当用户发现设备的耗电量增加、网络流量出现异样,事实上其中是黑客在暗地里挖矿,但用户根本不会发现。
就这样,币圈每年上亿美金的虚拟货币流入黑客口袋。 黑白边缘 于晓航发现,自今年年初,开始做区块链或者转型区块链的安全公司多了起来。 近日,BYSEC团队也忙于不断见新的投资人。 币圈白帽子势力正在扩张。白帽子,即正面的黑客,可以识别计算机系统或网络系统中的安全漏洞,并不去恶意利用,而是公布漏洞。 这是刀锋上的生意。技术的价值在币圈被无限发大。 莫良称,“在安全人才储备严重不足情况下,很多公司趁火打劫”。 很多安全公司奔着赚钱来的。莫良透露,在传统互联网行业,代码审计按万行收费,平均一行代码1元至10元,而在区块链行业,代码审计费最高上万元。 区块链,碰撞出技术火花,同时也是一座富饶金矿。 “区块链行业里的白帽子非常缺乏,因为安全其本身还是一个服务性的东西,跟黑帽的利益驱动相比,白帽更多是发自内心的责任感去做。”于晓航称,相对黑帽来说,区块链白帽阵营还是太小了。 与此对照的是源源不断涌入币圈的黑客团队。 “未来一定会有更多黑客涌入区块链。”莫良称,最近耳闻,区块链早已变成黑客眼中最肥的肉。 这是一场力量相差悬殊的竞争。 现行的技术和手段,加上区块链去中心化、匿名的特点,黑客的行踪很难被追溯。 而法律监管的缺失,更让这群币圈黑客肆意妄为。 白帽子却常常陷入误解的疑云。 让莫良最受挫的是大众对黑客认知的缺失。很多区块链公司对黑帽和白帽没有清晰认知,“大家都觉得黑客是不分黑白的,只要你找上门就是坏的。事实上白帽被称为道德黑客,完全是出于个人兴趣,很多人在大互联网公司领着百万年薪,但还是愿意不相识公司提出漏洞”。 充满悖谬的是,监守自盗在事情经常在安全领域上演。有黑客伪装白帽子,获取内部信息后发起攻击。 慢雾科技联合创始人余弦曾表示,自己在招人时第一考虑的是价值观,然后才是其他,“在自我约束这方面,我们非常严肃”。 “守正出奇”,余弦称,黑客这个身份,自带奇,但得守正。 与此同时,白帽子只有把自己设身为黑客,去模拟攻击,才能发现漏洞。“以攻促防,只有了解攻击者的手法与心理还有这个群体的生存模式,才能真正做好防御。”余弦介绍。 莫良称,而今很多区块链公司只有运营团队,没有技术团队。莫良觉得成熟的区块链项目应该设有独立的安全部门。 “这不仅仅是技术层面的事,还是意识层面的。” 莫良称。 “意识安全比技术安全还要重要。”于晓航也表示认同。 于晓航发现,2014年,BTER交易所发生失窃事件,源于BTERCEO韩林被黑客分析,而其个人密码恰好是BTER交易所里很关键的密码。 “不论你各个层面的安全防御技术做得再好,如果你人的防御意识出现问题,所有防御都是泡汤的。” 于晓航介绍。 每个行业的兴起,安全都不会得到重视。被黑客教育很多次后,行业才会重视。所以,这不仅仅是技术的更新,更是意识的迭代。 一边是不断涌入币圈的黑客,掌握最顶级的资源,使用最豪华的设备,一边是势单力薄的白帽团队,苦苦挣扎却不被重视。 两人争分夺秒竞争,谁发现那个漏洞。现在看来,最后胜利的往往是黑客。 一场相差悬殊的竞赛 “没有不被攻击过的交易所。”莫良称,绝大多数交易所被攻击后,常常装作维护状态,其实是“打破牙齿往肚子里吞”。 黑客阴霾笼罩每个人头顶。 黑客思维缜密、耐力过人、行动迅捷,无人知晓黑客是单独作战还是团队作业。同时,谁也不知道自己会不会是下一个受难者。 据于晓航观察,在门头沟事件发生的三年前,即2011年,黑客早已种下一颗木马。 Mt.Gox团队在浏览其他网站时,将木马程序下载至本地,木马程序自动搜索存放钱包密钥的文件。 木马悄悄潜伏在Mt.Gox服务器里,导致钱包的密钥文件被攻击者拿到。 攻击者十分狡猾,没有立即转走大笔交易,而是用了接近三年时间,将币一点点转出来。 当Mt.Gox发现问题时已经晚了,虚拟货币早已不知何处。 区块链2.0时代来临,黑客随之升级了策略。 基于以太坊的智能合约有一个很重要的特征——都是公开的。大家在使用之前都能看到该智能合约背后的代码,所以理论上每个人都能确认智能合约有没有发挥应有的作用。 这同时也带来一件坏事,智能合约一旦发布就不能修改。所以在发布之前没能做好合约升级,加上上线后很难更新迭代。 项目方在上线之后才发现问题,这个时候往往已经晚了——黑客早已对漏洞发起猛烈攻击。 黑客推动一个行业的进步,也足以毁灭一个行业。 “区块链太脆弱了”, 于晓航称,“如果安全做得不好的话,非常打击人们对新技术的信心。” 黑客每次大捷过后,又一场狂欢已经开始了。 “黑客就像非洲的雇佣军,为钱服务。谁有钱就去不断发起进攻。“莫良表示。 门头沟事件之后,比特币跌幅逾36%。 再出现像门头沟这样的一次黑客攻击足矣让比特币再次萎靡数年。 追逐财富的黑客可不管这些。毕竟,他们还能窜入下一领地或者回到互联网,寻找新的宝地。 |