正在阅读: 线上“财富”遭觊觎 黑客盯上区块链代码漏洞

线上“财富”遭觊觎 黑客盯上区块链代码漏洞

2018-09-12 09:25来源:科技日报

调查问题加载中,请稍候。
若长时间无响应,请刷新本页面

  线上“财富”遭觊觎

  黑客盯上区块链代码漏洞

  区块链技术的发展,安全方面是硬需求。需要构建区块链安全生态,从数字货币钱包、智能合约等不同产品上着力,同时,还需要从矿池、交易所等数字货币产生的节点上实施动态防范。

  本报记者 张佳星

  一行代码蒸发64亿人民币。这个不可思议的黑客操作发生在今年4月,仅仅因为被黑客找到了一个代码漏洞,与之相关的区块链产品的全部市值瞬间被全部转出,趋近于零。

  “如果说传统意义上的货币仰仗国家信用而有价值,那么加密数字货币的存在仰仗区块链技术的信用。”9月6日,在由众享比特等合作主办的ISC2018区块链与网络安全论坛上,山东警察学院侦查系网络犯罪侦查教研室副主任张璇表示,由于区块链技术代码中漏洞相继被发现,以及对应的一些安全事件,逐步打击着人们对区块链技术的信心。

  此前认为,区块链技术由于分布存储、加密算法等技术的应用,拥有了不可篡改、可追溯等被认为是“万无一失”的特性。然而,该特性主要针对存储在区块中的信息来说,以文中开头的案例为例,区块链技术保障了可以追溯到这64亿转移到了哪里,黑客的操作也会被系统不可篡改地记录,却并不能“拒绝”黑客对底层代码的篡改,保护虚拟数字货币。

  区块链技术本身存在漏洞可以被利用。“利用区块链技术,成了犯罪分子非法获利的新手段。”张璇说,甚至有人表示,区块链技术已经了引发经济犯罪的革命。面对新手段带来的新挑战,该如何应对,以维护区块链技术的长远发展?

  虚拟货币成偷盗新目标

  不久前,一部名为《瞒天过海:美人计》的偷盗题材电影上映,讲述一众美女偷盗高手,盗取一条价值1.5亿美元的钻石项链的故事。

  相较于发生在币圈的偷盗事件,这条项链的价值就不那么令人咂舌了。例如今年3月30日,我国警方破获的一起虚拟货币偷盗事件中,3名供职于国内知名网络公司的黑客侵入受害人张某电脑,将价值6亿元的比特币、以太坊等虚拟货币洗劫一空。

  过去盗贼的目标是金银珠宝、成沓钞票,如今只要稳坐电脑前,动动手指,通过虚拟货币的窃取就可能“致富”。加密数字货币,成了高科技犯罪的新目标。世界各国均备受困扰,资料显示,在价值5.3亿美元的代币被盗后,日本16家加密数字货币交易所打算成立一个自我监管小组,自省自查系统漏洞。

  360集团信息安全部王伟波表示,目前公开的针对非个人电脑的对公链和交易所的攻击行为已公开的有57次,并造成了10亿美元的损失。但他认为这只是“冰山一角”,大量的攻击由于会对交易所的信誉造成负面影响不会被公开,损失也会被交易所自行消化。

  除了窃取,虚拟货币也沦为犯罪分子的工具。“比特币成为洗钱工具,并衍生出了‘专业水房’。”张璇说。她列举了一个实际发生的案件:受害人在QQ上认识了嫌疑人,他自称是在伊拉克打过仗的军人,希望受害人帮他代收邮包,代收邮包需要80万美元保证金。受害人把资金打给专门做比特币交易的王某,王某支付给嫌疑人比特币,对于嫌疑人来说并未留下收钱的诈骗证据,而比特币交易的王某处有大量的资金进入,增加排查难度。

  “比特币(目前黑市承认的加密数字货币大多为比特币)的参与,使得警方破案追寻资金链条的方法可能就要失效了。”张璇说,在工作中,深感案子不好查了,追查罪犯的难度大大增加。

  更有甚者,犯罪分子不在是一个人或一个团伙,而是一个正常经营的合法企业。张璇介绍,一个技术运维公司开发了一个木马病毒,安装在自己负责运维的客户机器上,机器内存占用不多时就启动挖矿程序,被发现前已挖得数字货币5000多枚。经统计,该公司非法控制了全国300多万台机器。“这种违法行为的法律定位至今仍非常模糊。”张璇说,新的犯罪态势敦促着法律、法规的健全,提醒执法人员不断更新知识储备。

  每日三省吾身查漏补缺

  “我们可能不知道黑客怎么攻击,但是应该把每个细节的安全做好。”王伟波表示,对自身漏洞的排查,可以将安全风险降到最低,甚至提前预防问题的出现。

  如同一场攻防战,一旦掌握了区块链技术的“命门”,黑客分子的外部攻击将一发不可收拾。而“加固城墙”“严查堵漏”则是防守方以不变应万变的有效方法。

  据王伟波介绍,黑客对区块链技术的攻击可发生在应用层、合约层、激励层、数据层等六个不同层面。对不同层面的攻击手法不同,造成的后果也不同。

  越底层的攻击,越可能“牵一发而动全身”。例如,对数据层的攻击将带来整个区块链而非一个节点的变化。今年5月份,因攻击者篡改了某区块链生成的时间,导致挖矿难度下降,劫持了整个主链,导致攻击者获取了大量的代币。

  因此,360安全团队就从黑客攻击的六个方面入手进行了研究,分别找出漏洞,并“开出药方”。通过对某公链和交易所进行了安全测试,360安全团队发现42个漏洞,其中可以影响到用户账户安全的高危漏洞29个。

  除了排查漏洞,团队还对黑客的一些攻击进行了深入测试,并编写《公链渗透测试白皮书》。王伟波说,白皮书会不久后进行发布,其中将分析一些安全事件,以区块链攻击为切入点,深入分析黑客的攻击手法,以及针对不同的攻击,怎么做好安全防护。

  王伟波认为,区块链产业正处于发展比较前期的阶段,目前安全方面还存在很多问题。区块链技术的发展,安全方面是硬需求,需要构建区块链安全生态,从数字货币钱包、智能合约等不同产品上着力,同时,还需要从矿池、交易所等数字货币产生的节点上实施动态防范。

  盲目上马区块链项目不可取

  “我们除了让区块链技术本身更扎实,更值得信赖之外,还面临一个区块链的链上数据与现实数据衔接的问题。”中国信息通信研究院云计算与大数据研究所部门主任魏凯表示,每个行业使用区块链时都有自己的痛点,例如溯源行业,如何确保上链的数据,对应的正是要追溯的产品,而不会被“掉包”?

  写到链上的信息是不是真实的,能够准确反映现实的。这是区块链技术解决不了的,而必须依靠链外的手段保障,例如制度体系。魏凯认为,目前配套体系是缺乏的。

  “要上马区块链应用,应该先问4个问题。”魏凯说,“任务要不要记录数据?记录的数据是不是必须多方参与?参与的多方能不能互信?如果找不到可以信任的,那么,就可以考虑抛弃原有载体,使用区块链技术。最后一个问题,能够容忍它与中心化系统相比效率较低的特性吗?”

  魏凯解释,使用区块链的成本也非常高,因为它是一个封闭式的系统,效率肯定没有中心化的系统效率高,目前,在使用时,区块链技术没有明显的效率优势。

  魏凯用“焦虑症”形容目前产业界、甚至政府对区块链的态度。“现在有二十几个省市发布了与区块链有关的激励刺激政策,很多地方盖起了区块链大厦,入驻这些大厦的企业有没有挖掘出什么非得用区块链不可的场景来呢?这个问题值得大家深思。”魏凯认为,除了区块链技术本身的完善外,政策、法规、验证等体系仍需要进一步推动建设。为此,中国信息通信研究院于4月9日,联合158家企业发起了“可信区块链推进计划”,推进技术标准、行业应用和政策法规等工作,以期逐步完善区块链发展的有利生态。

[责编:李伯玺]

阅读剩余全文(

相关阅读

您此时的心情

新闻表情排行 /
  • 开心
     
    0
  • 难过
     
    0
  • 点赞
     
    0
  • 飘过
     
    0

视觉焦点

  • 沈锡纯中国画作品展在福建省美术馆开幕

  • 北京:花团锦簇迎佳节

独家策划

推荐阅读
如何在新变局中应对新挑战?如何在新格局下推动新发展?在刚刚闭幕的第十二届夏季达沃斯论坛上,来自100多个国家和地区的2000多名人士,把脉国际形势新趋向,探寻世界发展新方向,求解全球合作新走向,其中,最引人注目的关键词是“创新”。
2018-09-22 09:08
9月21日,彩色灯笼装扮香港利东街夜景。
2018-09-22 08:32
这是9月21日在2018中国国际通用航空博览会拍摄的飞行表演。当日,为期4天的2018中国国际通用航空博览会在石家庄开幕,此次展会将举办航空器静态展、特技飞行表演及飞行演示等系列活动,为中秋佳节期间市民出行提供了一个好去处。
2018-09-22 08:30
近日,北京天安门广场及长安街沿线花坛布置工作正加紧进行。
2018-09-22 08:21
醉美的秋日,大自然一不小心打翻了颜料盘,祖国大地,大江南北,稻田泛黄、田野铺金,一幅幅色彩斑斓的美丽画卷徐徐展开。
2018-09-22 08:20
新疆:18年不变 老味道月饼又迎中秋
2018-09-21 19:53
迎丰收 晒丰收 庆丰收
2018-09-21 19:52
9月20日,侵华日军南京大屠杀遇难同胞纪念馆馆长张建军(前右)与南京大屠杀幸存者夏淑琴(前左)一起做月饼。社会爱心人士、学生代表等在纪念馆职工食堂与他们一起做月饼,表演文艺节目,共迎佳节。
2018-09-21 10:11
韩国总统文在寅20日结束对朝鲜访问返回首尔后,在新闻中心发表对国民报告时表示,美朝重启对话的条件已经成熟,希望美方能够换位思考,早日重启与朝鲜的对话。 新华社记者 王婧嫱 摄  9月20日,在韩国首尔,韩国总统文在寅在新闻中心发表讲话。
2018-09-21 10:03
当日,安普里奥·阿玛尼品牌在米兰时装周发布2019春夏新品时装。当日,安普里奥·阿玛尼品牌在米兰时装周发布2019春夏新品时装。当日,安普里奥·阿玛尼品牌在米兰时装周发布2019春夏新品时装。
2018-09-21 10:03
9月20日下午,D4083次列车缓缓开出敦煌站,驶往千里之外的甘肃省省会兰州,这标志着兰新高铁与敦煌铁路成功“牵手”,敦煌没有动车的历史自此终结。 新华社记者 范培珅 摄  9月20日,在敦煌火车站,乘坐首趟动车组列车的旅客从车窗内向外拍照。
2018-09-21 09:50
时值金秋,地处世界“黄金水稻带”纬度范围的吉林省各水稻产区陆续开始收获,黑土地上稻浪滚滚,金黄遍野,田间地头一片忙碌的丰收景象。 新华社记者许畅摄  在吉林省吉林市万昌镇,农民驾驶收割机收割水稻(9月18日无人机拍摄)。
2018-09-21 09:40
9月20日,邱婷在家中对巨幅剪纸作品《中国农民丰收节》进行修饰。该作品长2018厘米,内容以二十四节气物候特征为主线,农耕文化、民间风俗等贯穿其中,寓意农民幸福安康,共庆丰收。
2018-09-21 09:36
9月19日,在南非行政首都比勒陀利亚,“中国防务”展区亮相第十届非洲航空航天与防务展。为期5天的第十届非洲航空航天与防务展19日在南非行政首都比勒陀利亚开幕。为期5天的第十届非洲航空航天与防务展19日在南非行政首都比勒陀利亚开幕。
2018-09-21 09:35
9月20日在广州长隆野生动物世界拍摄的熊猫宝宝“隆仔”。“隆仔”于7月12日由大熊猫“隆隆”在广州产下,目前体重已超过6斤,生长发育情况良好。“隆仔”于7月12日由大熊猫“隆隆”在广州产下,目前体重已超过6斤,生长发育情况良好。
2018-09-21 09:31
9月20日,在美国东部马里兰州哈福德县,哈福德县警长杰弗里·加勒(前)在记者会上介绍枪击案情况。当日,哈福德县一处企业园区发生枪击案,当地警方说枪击案造成数人死亡,另有数人受伤。
2018-09-21 09:30
9月20日,在奥地利萨尔茨堡,欧洲理事会主席图斯克(中)、欧盟委员会主席容克(右)和奥地利总理库尔茨出席新闻发布会。此次峰会主要讨论了移民、内部安全和英国“脱欧”等问题。此次峰会主要讨论了移民、内部安全和英国“脱欧”等问题。
2018-09-21 09:29
这是广南县八宝镇坝龙村的稻田景色(9月20日无人机拍摄)。云南省文山壮族苗族自治州广南县八宝镇今年种植优质水稻22000余亩,秋收季节,田野里一片金黄,景色如画。云南省文山壮族苗族自治州广南县八宝镇今年种植优质水稻22000余亩,秋收季节,田野里一片金黄,景色如画。
2018-09-21 09:29
加载更多