盘点区块链史上黑客事件 如何保障资产安全?
资产安全一直是数字世界中的重中之重,而丢币也一直是加密世界中老生常谈,无论是个人用户还是交易所都曾因为数字资产被盗而麻烦上身。
尤其是数字货币交易所,在以往的事件中,黑客攻击曾经几度给区块链项目和交易所带来严重的打击,以史为鉴,回过头来,我们来盘点一下区块链历史上出现的重大黑客攻击事件,作为借鉴,这些事件又给了我们那些启发和教训?
价值溢出事件(2010年8月)
2010年8月15日,未知黑客对比特币发动攻击,利用大整数溢出漏洞,绕过了系统的平衡检查,将比特币的总量有限的设定打破,黑客凭空创造出了1844.67亿个比特币。
在这一局面中,中本聪为挽救比特币,被迫发动了比特币历史上的第一次硬分叉。
Allinvain事件
2011年6月,一名叫Allinvain的用户成为有记录以来首次大规模比特币偷盗事件的受害者。Allinvain一觉醒来发现被黑客窃取了25000枚BTC,当时价值约为50万美元。
Bitcoinica (2012年3月和5月)
Bitcoinica是一家老牌交易所,它曾在2012年遭遇两次黑客攻击。黑客利用其安全松懈的服务器,获取了客户数据(包括密钥),共计盗走61000个BTC,最终导致Bitcoinica破产。
Bitfloor(2012年9月)
与Bitcoinica的被盗过程相似,黑客入侵了Bitfloor的服务器,盗走了24000个BTC。Bitfloor从此一蹶不振,并于次年4月关闭。
Poloniex(2014年3月)
2014年3月,刚成立两个月的Poloniex交易所的服务器被入侵。一名黑客发现Poloniex的漏洞,即提现系统在同时收到多个请求的情况下允许出现负余额。提现系统注意到异常活动后,关闭了进入受影响账户的通道。
但在此之前,Poloniex加密货币总储备的12.3%被盗。Poloniex暂时将每个账户的余额都扣除12.3%,后续再全部恢复。Poloniex最终幸存下来,并于2018年被收购。
MtGox(2014年2月)
MtGox是当时规模最大的老牌交易所,也遭遇了最严重的黑客攻击。由程序员Jed McCaleb创建。2010年7月,他读到一篇关于比特币的文章,于是修改了网站代码,用于交易比特币,并于2011年将该网站卖给了Mark Karpeles(法胖)。到了2014年,MtGox处理的比特币交易占全球70%。
2014年2月7日,MtGox宣布暂停交易,理由是其安全软件存在漏洞。两周后,网站突然关闭,MtGox申请破产。此次损失共计85万BTC,在当时价值4.7亿美元。这个问题导致投资者信心受挫,比特币直接暴跌36%。
许多人怀疑是法胖监守自盗,他于2015年因欺诈、挪用公款和操纵用户余额等罪名被捕,但这并不能直接证明他与交易所被盗事件有关。2017年,美国当局在希腊逮捕了俄罗斯人Alexander Vinnik,他控制的钱包不仅有MtGox被盗的比特币,还包括Bitcoinica、Bitfloor的。Bitstamp (2015年1月)
安全事件不断发生,交易所开始把币存储在两个钱包上:冷钱包和热钱包。冷钱包,即不联网的服务器,又称离线钱包。热钱包则用来存储足够的钱以满足用户的每日交易需求。
2015年1月,Bitstamp热钱包里的19000个比特币被黑客通过钓鱼手段窃取。幸运的是,Bitstamp 90%的币都存储在冷钱包里,并没有受到影响。
The DAO (2016年6月)
基于以太坊网络发行的加密货币运行方式跟比特币不同,但同样都是黑客攻击的对象。以太坊区块链环境有别于其他数值货币。ETH是通过电脑代码,即智能合约交易的。
所谓智能合约即设置好要求,一旦满足设定条件就会自动执行。以太坊全网有6000台电脑,因此网络难以被修改或被控制。以太坊架构支持去中心化自治组织DAO,把规则和决策通过代码的形式写进区块链之中,允许智能合约在不受人为监控的条件下自动执行。
2016年4月, Genesis DAO创造了一个投资者可以给项目投票的社区,获得20%以上支持的项目可获得资金支持。DAO在以太坊上融到了2.5亿美金。6月份,黑客发现了一个支持单一币种多次提现的漏洞,而智能合约更新的速度比不上提现的速度。短短几个小时内,DAO 合约里面30%的ETH都被转移了。盗窃事件被公开后,Genesis DAO 执行了硬分叉,创造出了一条新的区块链。但是这次分叉受到了社区部分持币者的反对,他们认为篡改时间戳就是在稀释其他人手上以太坊的价值。之后,社区发起投票,89%的人支持硬分叉。反对者从社区分离出去,重组了原链,改名Ethereum Classic。
Bitfinex (2016年8月)
中国观察