網(wǎng)絡(luò)安全問(wèn)題如履薄冰 區(qū)塊鏈不是解決之道
說(shuō)到區(qū)塊鏈,也許有的人還熱衷于追漲比特幣,因?yàn)閰^(qū)塊鏈就是比特幣的底層技術(shù),但隨著區(qū)塊鏈技術(shù)的進(jìn)一步發(fā)展,其“去中心化”功能及“數(shù)據(jù)防偽”功能在其他領(lǐng)域逐步受到重視。人們開(kāi)始認(rèn)識(shí)到,區(qū)塊鏈的應(yīng)用也許不僅局限在金融領(lǐng)域,而是可以擴(kuò)展到任何有需求的領(lǐng)域中去,支付、云計(jì)算、大數(shù)據(jù)、物聯(lián)網(wǎng)等其他領(lǐng)域中來(lái),毫無(wú)例外,大家都認(rèn)為區(qū)塊鏈的技術(shù)讓網(wǎng)絡(luò)安全看到了希望。但是,近日AKamai發(fā)布了一篇文章,文章的標(biāo)題立刻吸引了眾視媒體的注意力,《區(qū)塊鏈能解決網(wǎng)絡(luò)安全?別逗了,區(qū)塊鏈自己都不安全!》。
文章中提到了區(qū)塊鏈的網(wǎng)絡(luò)安全問(wèn)題,對(duì)于其中最重要的區(qū)塊鏈的網(wǎng)絡(luò)安全是否真的無(wú)懈可擊,做出了解釋。從原理和設(shè)計(jì)機(jī)制等方面來(lái)看,區(qū)塊鏈很難成為黑客的攻擊目標(biāo),但它并非無(wú)懈可擊的。針對(duì)公鏈的攻擊早已屢見(jiàn)不鮮。根據(jù)安全公司 Carbon Black 統(tǒng)計(jì),僅2018年上半年,黑客就從各種加密貨幣平臺(tái)盜取了價(jià)值11億美元的加密貨幣!有利可圖的網(wǎng)絡(luò)犯罪為攻擊者提供了巨大的動(dòng)機(jī)和吸引力,而暗網(wǎng)則為他們提供了理想銷(xiāo)贓渠道。攻擊者針對(duì)各類(lèi)公鏈進(jìn)行攻擊所獲得的經(jīng)驗(yàn)以及開(kāi)發(fā)出的工具,已經(jīng)為以后針對(duì)企業(yè)區(qū)塊鏈的攻擊打好了堅(jiān)實(shí)基礎(chǔ)。
眾視媒體從網(wǎng)絡(luò)上了解到,其實(shí)區(qū)塊鏈的安全事故在全球發(fā)生的頻率并不低
以下列舉了部分區(qū)塊鏈安全事故
時(shí)間:2013年11月10日
幣種:比特幣
失竊數(shù)量:4100
數(shù)字貨幣交易平臺(tái):Tradefortress比特幣銀行
國(guó)家:澳大利亞
事件回顧:澳國(guó)一位18歲的青年用自己的電腦開(kāi)設(shè)了一家比特幣銀行,名為“Tradefortress”,但是因?yàn)?ldquo;內(nèi)鬼”,其運(yùn)營(yíng)的比特幣銀行被盜,損失了4100個(gè)比特幣,但是由于擔(dān)心失去比特幣所有權(quán),他又不敢向警方報(bào)案。因?yàn)槿绻麍?bào)警,他就要提供比特幣賬戶(hù)私鑰,意味著他所持有的剩余比特幣資產(chǎn)可能被其他人擁有。
原因:疑似“內(nèi)鬼”
時(shí)間:2011年
幣種:比特幣
失竊數(shù)量:80000
數(shù)字貨幣交易平臺(tái):MtGox
國(guó)家:日本
事件回顧:MtGox 本來(lái)是一個(gè)叫 McCaleb 的人開(kāi)發(fā)的交易網(wǎng)游卡片的一個(gè)網(wǎng)站,本意是“Magic the Gathering Online Exchange”,后來(lái) McCaleb 把它改成了比特幣交易網(wǎng)站,在 2011 年 3 月賣(mài)給了 Mark Karpeles,就成為了MtGox。但是MtGox在 Mark Karpeles 接手之前就被黑客攻擊過(guò),損失了 8 萬(wàn)個(gè)比特幣。
原因:交易平臺(tái)本身系統(tǒng)漏洞
時(shí)間:2014年2月
幣種:比特幣
失竊數(shù)量:850000
數(shù)字貨幣交易平臺(tái):MtGox
國(guó)家:日本
事件回顧:MtGox因?yàn)槠渥陨硐到y(tǒng)軟件漏洞,被黑客偷取將近85萬(wàn)個(gè)比特幣,其中有交易所本身的10萬(wàn)個(gè)比特幣,而更多的是用戶(hù)的75萬(wàn)個(gè)比特幣。同年,因?yàn)闊o(wú)力承擔(dān)所帶來(lái)的巨大損失,MtGox公司宣布破產(chǎn)。時(shí)至今日,仍然有很多用戶(hù)在追討賠償。
原因:黑客利用平臺(tái)自身漏洞,致使系統(tǒng)產(chǎn)生無(wú)數(shù)個(gè)假的未完成交易,但其實(shí)交易已經(jīng)完成,但是系統(tǒng)仍然認(rèn)為交易失敗,退換黑客比特幣。兩次比特幣失竊的原因都是系統(tǒng)軟件本身的漏洞,可以說(shuō)是“吃一塹,卻未長(zhǎng)一智”。
時(shí)間:2014年3月
幣種:比特幣
失竊數(shù)量:12.3%
數(shù)字貨幣交易平臺(tái):Poloniex
國(guó)家:美國(guó)
事件回顧:美國(guó)數(shù)字貨幣交易所Poloniex于2014年3月被盜,損失12.3%的比特幣,此后該交易所發(fā)布聲明稱(chēng)計(jì)劃償還3月份所受攻擊丟失的比特幣。據(jù)消息稱(chēng),此次是因?yàn)楹诳屠昧私灰灼脚_(tái)的代碼漏洞。該平臺(tái)負(fù)責(zé)人D’Agosta表示,客戶(hù)損失的資金將從交易所的盈利中拿出來(lái),未來(lái)會(huì)加強(qiáng)安全措施,避免再次出現(xiàn)類(lèi)似情況。但是,有知情人士透露,Poloniex可能涉及內(nèi)幕交易。
原因:平臺(tái)系統(tǒng)漏洞以及疑似“內(nèi)幕交易”,導(dǎo)致被黑客攻擊,好在交易所同意賠償客戶(hù)資金。
時(shí)間:2015年1月
幣種:比特幣
失竊數(shù)量:19000
數(shù)字貨幣交易平臺(tái):Bitstamp
國(guó)家:盧森堡
事件回顧:2015年1月,全球知名的數(shù)字貨幣交易所Bitstamp被盜1.9萬(wàn)枚比特幣。
原因:系統(tǒng)漏洞
時(shí)間:2015年2月
幣種:比特幣
失竊數(shù)量:7170
數(shù)字貨幣交易平臺(tái):比特兒
國(guó)家:中國(guó)
事件回顧:2015年2月14日,國(guó)內(nèi)山寨幣交易平臺(tái)比特兒宣布被盜7170個(gè)BTC。
原因:系統(tǒng)漏洞
時(shí)間:2016年1月
幣種:比特幣&萊特幣
失竊數(shù)量:1.3萬(wàn)BTC&30萬(wàn)LTC
數(shù)字貨幣交易平臺(tái):Cryptsy
國(guó)家:美國(guó)
事件回顧:2016年1月,交易所Cryptsy稱(chēng)其被攻擊, 1.3萬(wàn)BTC以及30萬(wàn)LTC被盜,損失達(dá)600萬(wàn)美元,隨后該交易所關(guān)閉并且再也沒(méi)重啟。
原因:系統(tǒng)漏洞
時(shí)間:2016年5月
幣種:比特幣&以太幣
失竊數(shù)量:200萬(wàn)美元
數(shù)字貨幣交易平臺(tái):Gatecoin
國(guó)家:中國(guó)香港
事件回顧:2016年5月,香港數(shù)字貨幣交易所Gatecoin遭黑客攻擊 損失約200萬(wàn)美元。
原因:系統(tǒng)漏洞
時(shí)間:2016年8月
幣種:比特幣
失竊數(shù)量:120000
數(shù)字貨幣交易平臺(tái):Bitfinex
國(guó)家:中國(guó)香港
事件回顧:2016年8月,Bitfinex遭黑客攻擊,約12萬(wàn)BTC被盜,損失達(dá)7500萬(wàn)美元。
原因:系統(tǒng)漏洞
時(shí)間:2017年6月
幣種:比特幣&以太幣
失竊數(shù)量:10億韓元
數(shù)字貨幣交易平臺(tái):Bithumb
國(guó)家:韓國(guó)
事件回顧:2017年6月,韓國(guó)最大交易所Bithumb被盜數(shù)十億韓元,三萬(wàn)用戶(hù)信息被泄露。
原因:系統(tǒng)漏洞
時(shí)間:2018年1月
幣種:比特幣
失竊數(shù)量:5.3億美金
數(shù)字貨幣交易平臺(tái):Coincheck
國(guó)家:日本
事件回顧:2018年1月,日本最大的比特幣交易所之一Coincheck遭黑客攻擊,5.3億美金被盜。
原因:系統(tǒng)漏洞
時(shí)間:2018年2月
幣種:Nano
失竊數(shù)量:接近1.7億美金
數(shù)字貨幣交易平臺(tái):BitGrail
國(guó)家:意大利
事件回顧:意大利加密貨幣交易所BitGrail宣布其價(jià)值1.7億美元的Nano幣被盜,BitGrail創(chuàng)始人拒絕賠償用戶(hù)損失。
原因:系統(tǒng)漏洞
時(shí)間:2018年4月
幣種:BEC
失竊數(shù)量:超過(guò)ICO發(fā)行數(shù)量
數(shù)字貨幣交易平臺(tái):以太坊
國(guó)家:中國(guó)
事件回顧:4月22日,BEC出現(xiàn)異常交易,黑客轉(zhuǎn)出的代幣數(shù)量超過(guò)發(fā)行數(shù)量,BEC市值幾乎瞬間歸零。
原因:BEC的智能合約出現(xiàn)低級(jí)失誤,沒(méi)有檢查數(shù)據(jù)溢出,從而致使黑客抓住漏洞。
時(shí)間:2018年5月
幣種:EDU
失竊數(shù)量:10億
數(shù)字貨幣交易平臺(tái):以太坊
國(guó)家:中國(guó)
事件回顧:EDU(EduCoin)被爆出現(xiàn)合約漏洞,任意賬戶(hù)的 EDU Token可被隨意轉(zhuǎn)走,多達(dá)數(shù)十億代幣被盜。
原因:EDU智能合約出現(xiàn)漏洞,黑客通過(guò)智能合約漏洞竊取代幣。
時(shí)間:2018年6月
幣種:多幣種
失竊數(shù)量:500億韓元
數(shù)字貨幣交易平臺(tái):Coinrail&Bithumb
國(guó)家:韓國(guó)
事件回顧:韓國(guó)科學(xué)技術(shù)信息通信部已確認(rèn)Coinrail、Bithumb交易所被盜事件發(fā)生前全體員工收到大量郵件,通過(guò)惡意代碼攻擊了交易所的熱錢(qián)包。交易所的部分加密貨幣(10~20%)保存在熱錢(qián)包,而大部分加密貨幣(80~90%)保存在斷開(kāi)互聯(lián)網(wǎng)的冷錢(qián)包。此次Bithumb遭到黑客攻擊,總共損失約合3200萬(wàn)美元,距離上一次韓國(guó)Coinrail交易所黑客攻擊事件才10天時(shí)間。
原因:交易平臺(tái)熱錢(qián)包的系統(tǒng)漏洞以及部分代幣的智能合約漏洞。
愛(ài)丁堡龍比亞大學(xué)計(jì)算機(jī)學(xué)院的教授Bill Buchanan表示:“區(qū)塊鏈可以彌補(bǔ)我們?cè)诎踩珜?shí)踐方面的信任缺失度,在2018年,我們對(duì)任何數(shù)據(jù)都要進(jìn)行加密,這是必須的。但是目前來(lái)說(shuō),我們沒(méi)辦法判斷你的電子郵件有沒(méi)有被其他人看過(guò)或者修改過(guò),我們甚至還無(wú)法驗(yàn)證郵件是否真的是你朋友發(fā)過(guò)來(lái)的。
而應(yīng)用區(qū)塊鏈方法,我們可以合理驗(yàn)證并簽署交易。雖然現(xiàn)在大家一提到區(qū)塊鏈,可能首先想到的就是各種加密貨幣,但區(qū)塊鏈技術(shù)其實(shí)還可以為我們的數(shù)字服務(wù)構(gòu)造更加值得信任的基礎(chǔ)設(shè)施。
現(xiàn)在整個(gè)IT社區(qū)的注意力已經(jīng)開(kāi)始轉(zhuǎn)移到物聯(lián)網(wǎng)&智能設(shè)備的身上了,而安全性絕對(duì)是首要考慮因素之一。雖然物聯(lián)網(wǎng)可以提升我們的工作和生產(chǎn)效率,但這也意味著我們需要面臨更多的安全風(fēng)險(xiǎn)。很多公司因而尋求應(yīng)用區(qū)塊鏈來(lái)保護(hù)IoT及工業(yè)IoT(IIoT)設(shè)備安全的方法——因?yàn)閰^(qū)塊鏈技術(shù)可增強(qiáng)身份驗(yàn)證,改善數(shù)據(jù)溯源和流動(dòng)性,并輔助記錄管理。
未來(lái)網(wǎng)絡(luò)安全還會(huì)出現(xiàn)很多新式的、意想不到的威脅,而且還會(huì)一直存在。區(qū)塊鏈只是為網(wǎng)絡(luò)安全提供了一個(gè)解決的思路,并不能包治百病。但利用區(qū)塊鏈強(qiáng)化系統(tǒng),來(lái)減少對(duì)集中式機(jī)構(gòu)或單點(diǎn)系統(tǒng)的依賴(lài),還是能夠讓網(wǎng)絡(luò)安全得到一些改善的。
責(zé)任編輯:祝璇