freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

币圈一日,人间十年:黑客想了三刻钟就笑了
2018-03-01 08:30:38
导读:文中梳理了目前针对数字货币的十大安全威胁。在网络风险面前,人皆韭菜。毕竟,“比特币之父”中本聪的邮箱也曾被黑客光顾过。

2018 年的春节比以往来的要晚一些。你还是习惯性地埋头刷手机,换来的依旧是老妈的呵斥、老婆的抱怨和孩子的不解。

但是今年你突然多了一个理由:

币圈一日,人间十年:黑客想了三刻钟就笑了

“三点钟无眠"的信众们生怕错过这个千载难逢的封神之际。

“股神”巴菲特用了 61 年让伯克希尔·哈撒威公司市值突破 4800 亿美元,而加密货币从无到有,仅仅用了几年时间总市值就超过 5000 亿美元

美国知名投行分析师估测中国创业公司比特中国(Bitmain)2017 年营业利润约 30 亿至 40 亿美元间,这家出售矿机芯片的公司仅用了 4 年就能比肩英伟达花了 24 年才获得的年利润。

截止去年 5 月,比特币的价格翻了 3 000 000 倍,用时仅 8 年。

币圈一日,人间十年:黑客想了三刻钟就笑了

2018 的风往哪儿吹?

在我们讨论比特币以及区块链的安全问题前,首先简单了解这样几个概念:比特币、区块链、加密货币。(是的,它们说的并不是一回事儿)

比特币(bitcoin):比特币是由中本聪(Satoshi Nakamoto)“发行”的全球第一种加密电子货币。知乎上有个更通俗的解释:比特币本质上是外国黑客出的一套数学题,找到答案的玩家能够获得比特币奖励,一共只有 2100 万道题。因此存在大量比特币“矿工”通过“挖矿”寻找答案。

区块链(blockchain):区块链是比特币的底层技术,是一种去中心化的分布式账本数据库,没有中心,数据存储的每个节点都会同步复制整个账本,信息透明难以篡改。与“比特币泡沫”不同,2017 年区块链被写入了“国家信息化的第 13 个五年计划”,近日还获得了《人民日报》整版聚焦。

币圈一日,人间十年:黑客想了三刻钟就笑了

加密货币(Cryptocurrency):加密货币是继比特币之后、采用类似技术设计发行的“山寨币”(又称“竞争币”)。这个词五年前被编进了《牛津词典》。随着上比特币水涨船高,加密货币也迎来“黄金时代”,不完全统计有超过 1000 种加密货币在流通更,促成了上文提到的超过 5000 亿美元的总市值。2018 年初委内瑞拉推出国家“石油币”,土耳其也计划发行“土耳其币”。

对发行加密货币感兴趣的朋友,可以看看这篇有趣的文章《如何发行你自己的加密货币》。作者梳理了几个步骤:

1、命名 xx 币;

2、找个 logo;

3、组建初创团队;

4、建立项目网站;

5、写白皮书;

6、下载并注册以太坊,买一些以太币;

7、创建你的 token;

8、然后新币上市。

至此,跑题告一段落。

当黑客谈区块链时,他们谈些什么

自始至终,比特币(区块链)身上都刻着黑客印记:

它由这个时代最伟大的黑客“中本聪”发明;

币圈一日,人间十年:黑客想了三刻钟就笑了

黑客喜欢用比特币进行交易,因为其具有匿名性;

币圈一日,人间十年:黑客想了三刻钟就笑了

它在暗网被热捧,不法分子用其作为“勒索软件”的赎金......

币圈一日,人间十年:黑客想了三刻钟就笑了

四大国际会计师事务所之一永安会计师事务所报告显示,2015 至 2017 年间不法黑客已从加密货币投资者手中窃取资金价值约为 25.34 亿元人民币,占所有 ICO(数字货币首次公开募资)资金的 10%。

币圈一日,人间十年:黑客想了三刻钟就笑了

这里又要说到老生常谈的问题:既然加密货币号称加密、安全,为什么还会屡屡出现被盗?

跟其他所有运行在计算机上的程序一样,加密货币也频繁受到攻击。价值百万美元的比特币被盗、许多用户被钓鱼攻击甚至出现区块链诈骗。保险箱虽牢,无奈钥匙易失。小编结合  CSO 在线 和 Inspired eLearning 网站  梳理出下列十大常见加密货币攻击场景

不是每种情况都有为人所知的事实案例,但是只要有案例的,绝非个例。

此外,值得玩家们注意的是,截至目前还没有保险公司或者立法能够对你的损失负责。

币圈一日,人间十年:黑客想了三刻钟就笑了

来自 币世界

一、挖矿恶意软件

每一个新的比特币都让“未来挖到比特币”这件事情变得更加困难了。“矿工”进行比特币挖掘需要消耗大量电力让电脑运转并冷却。因此,通过恶意软件在不限地域的范围内“借用”别人的资源进行“挖矿”,不失为“良策”。

现如今,大量僵尸网络的存在目的就是为了挖币。尽管与劫持流量、盗取数据、造成受害者钱财损失相比,“挖矿”可能只是拖慢了你的电脑、路由器、摄像头......但是依旧会造成不小的损害。

案例:

YouTube 被黑客利用挖掘门罗币

特斯拉云服务器遭入侵,被安装恶意挖矿软件

《洛杉矶时报》网站被注入加密劫持代码,利用访客挖矿

二、盗取钱包

加密货币并没有硬币、纸币这样的载体,通常以“钱包”文件形式存放在电脑或硬盘等电子设备中。“钱包"和其他电脑中的文件相同,能够被攻击者盗取、控制、转移。最糟糕的情况不外乎你忘记了秘钥,或和“硅谷钢铁侠”马斯克一样忘记存放文件的位置了。

币圈一日,人间十年:黑客想了三刻钟就笑了

为防止攻击者以及恶意软件的威胁,专家通常建议用户使用离线钱包。如此一来,及时使用加密货币则会变得困难。如果你使用的是在线钱包,建议尽量设置多因素身份验证。

案例:

2017 年 11 月《财富》杂志曾经披露,大约有 278 万至 379 万比特币丢失,大约占当时比特币总数的六分之一。

三、转账木马

加密货币木马会在你的电脑中静静监视你的行为,当它发现你要进行转账的时候,它就会“苏醒”,然后将你要转账的目标替换成攻击者的账户。如果你对网页跳转不敏感的话,一旦点击“发送”按钮,后果将是无可挽回的。

案例:

BitPay 发现感染 Windows 的 Coinbitclip 木马,替换用户剪贴板的地址

卡巴斯基曾发现 CryptoShuffler 木马病毒,窃取价值 14 万美元比特币

四、利用漏洞

一位名人曾说过:理论上,理论与实践并没有区别;但是实践上,存在区别。

加密货币的密码逻辑算法是比其他程序更“健康”一些。但一个程序漏洞或者不安全的密钥处理,都能摧毁这看似完美的一切。尽管目前你或许感受不到其中的紧迫性,但是在你使用加密货币之前最好确认一下软件开发人员是否遵循了安全开发周期(SDL)流程来让安全漏洞的出现概率降至最低。

案例:

2018 年 2 月,新加坡和英国的几位研究者调查(《Finding The Greedy, Prodigal, and Suicidal Contracts at Scale》)发现超过 3.4 万个以太坊智能合约存在漏洞,这些合约存有价值 440 万美元的 ETH。仅 2017 年,由于代码安全问题造成的资金损失高达 5 亿美元,其中一半以上与以太坊相关。

五、“已知明文”攻击

好的加密让密文看起来犹如一团乱码,因此攻击者不应能解码出原始信息。但是区块链技术中,很容易被分析出原始信息。特定数字、字母存在于每个区块的固定位置上,攻击者便容易从每个加密区块中获得部分明文。总之,弱密码依旧会处于巨大的风险之中。

六、攻击网站

这是最为常见的区块链攻击行为之一,而且“适用”任何区块链项目。管理着上亿美元的加密货币网站,一旦被攻击者控制,那些需要用心数很多"零"的价值瞬间化为乌有。专家建议,将加密货币进行离线备份可以适当防范。当你在与加密货币网站进行交易时,至少应当确定网站是安全可信的。

案例:

2018 年初,日本最大的虚拟货币交易所 Coincheck 被黑客入侵,价值 5.34 亿美元 XEM 被盗。

黑客入侵数字货币初创公司 Bee Token,盗取价值 40 万美元以太坊

Bithumb 曾在 2017 年遭遇两次黑客攻击,泄露 3.6 万客户资料,被盗账号中有 266 个账户提现。

七、SHA-256 的安全性

不论比特币或区块链,通常都是采用了 SHA-256 算法保护。作为 SHA-1 的继承者,算法 MD5、SHA-1 等相继被破译,难免让人怀疑 SHA-2 何时也会进入“死亡名单”。 对此存疑的人,尚且可以打消这个顾虑。首先,SHA-256 在可预见的未来还算“不弱”。其次,全球大多数金融交易和 HTTPS 交易都是由 SHA-256 保护,因此规则一旦被破坏,值得担心的不仅仅是虚拟货币。况且中本聪本人就是密码学者,这样的问题且信他(们)是不会忽略的。

八、信号拦截

“SS7 漏洞”并不是一个新话题,这个协议漏洞可以导致用户的电话和短信数据遭到千里之外的窃听和盗取,即便是最新的蜂窝网络和最先进的加密技术于事无补。更加令人绝望的是,全球手机网络主干网都可能受到设计精良的系统窃听,通话、短信、位置数据无一幸免。

而对这一重大安全隐患,通信运营商似乎“并不愿意或者没有能力去修复”。

案例:

2017 年,攻击者利用 SS7 漏洞入侵用户邮箱,进而控制比特币钱包并窃取价值约为 2.7 万元的加密货币。

九、假新闻和钓鱼

币圈一日,人间十年:黑客想了三刻钟就笑了

学习需要花时间,相比之下获取资讯则更为容易。毕竟,每天看报纸也是“股神”巴菲特最爱做的事情之一。

对普通人而言,手机又收到新的推送了、热搜榜上又有新的动名词了、想看看朋友的最新动态最后竟然买了一堆在线课程......所有你想要的、不想要的、想让你了解一下的的信息纷至沓来,包括所有想让你产生共识的、"有价值"的虚拟货币。

2018 年初,Facebook 以“频繁带有误导或欺瞒的推销手段”为由,禁止了平台上所有虚拟货币广告上线。——好吧,不让用“比特币”了,那我们就用“比特巾”。

币圈一日,人间十年:黑客想了三刻钟就笑了

案例:

《今天是中本聪的生日将送出5000个比特币先到先得有人试过了是真的不管你信不信反正我先干为敬先转了你跟上万一真的呢你要真信那就绝了》一文,很有意思。

黑客利用谷歌广告窃取了价值 5000 万美元数字货币。

十、51% 攻击

Design SHIFT 创始人兼 CEO Olivier Boireau 曾写道:无论是执行智能合约还是交易加密货币,区块链保护的数字资产都只存在于计算机代码中。如果作为服务网络的节点有超过一半撒谎了,那么谎言就会成为事实。

当黑客能够对一半以上的分布式账本节点做出危害时,这种攻击就起作用了。在这种情况下,它们可以阻断确认以阻止新交易,并停止部分或全部用户之间的交易。他们还可以在他们控制网络的时候废掉已完成的交易,这意味着如果攻击加密币区块链,他们可以双倍使用加密币。

案例:

基于以太坊的两个区块链 Krypton 和 Shift 在 2016 年 8 月遭受了通常被称为“51% 的攻击”,攻击者通过其中一次攻击便成功窃取 21465 KR

除了上述安全风险外,币圈还出现了一批“羊毛党”。让正在“撒币”的虚拟货币发行主们苦不堪言。

币圈一日,人间十年:黑客想了三刻钟就笑了

安全建议

最后,无论你是币圈资深玩家还是正在观望的群众,希望你们都能尽量遵循下列安全建议

1、投资之前务必先研究一番,确认加密货币网站安全可靠。

2、不要相信微博、推特等社交媒体的投资建议,因为许多情况下都是陷阱。

3、慎重点击!避免错点钓鱼广告或恶意链接。

4、举报钓鱼信息,同时不要转发、分享那些充满诱惑的消息。

5、密切监视你的加密货币钱包、信用卡和银行账户。

6、警惕企图盗取你的身份令牌的社工手段。

7、定期对你的电脑、笔记本、手机和其他设备进行安全扫描,确保其得到及时更新和安全补丁。

8、通过短信进行的双因子身份验证,并不能确保万无一失。

币圈一日,人间一年。文中的加密货币安全事件几乎每天都有新增。说到底,这就是一场黑客的游戏。

抛开价值而言,无论“中本聪”的面具后隐藏的是一个人还是一群人,他(们)继承的是一种自由、开放、公平的黑客精神,这是镌刻在比特币骨髓中的真相。

*作者:极棒小编,文章首发于 GeekPwn 公众号

# 比特币 # 中本聪 # 区块链 # 数字货币
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者