草根金融
信息分享

区块链世界重大黑客事件

   

 加密货币价值的飙升引发了一系列有关“区块链黑客攻击”的新闻报道。“将一枚完全数字化的硬币用于匿名、不可逆交易的想法已经够新颖的了;黑客利用无法追踪的资金偷走数亿美元的故事令人恐惧。很少有媒体账户费心解释,大多数加密货币黑客攻击的目标不是区块链技术本身。加密货币不受监管的本质以及对基于技术的信任吸引了骗子和庞氏骗局,而大多数黑客攻击的目标是钱包和交易所等加密货币服务,利用传统网络犯罪技术的网络弱点。

一、价值溢出事故(2010年8月)

   域名“bitcoin.org”于2010年8月注册。2009年1月,第一个开源客户托管在SourceForge上。2010年8月,一位名叫杰夫·加兹克(Jeff Garzik)的开发商注意到,一个区块创造了920亿比特币,远远超过了比特币创造者所设想的2100万比特币的最大供应量。一个有企业精神的黑客修改了链中的一个块,使输出变得非常大,以至于当它们加在一起时,会溢出值检查函数。这个块创建并添加了两个相同的920亿BTC交易。在被发现后的五个小时内,有补丁的客户端开始用有效的块替换有缺陷的块,这是加密货币“硬分叉”的一个早期例子。以目前相当于全球货币供应量16倍的估值计算,1,840亿比特币变得一文不值。这是区块链技术被直接黑客攻击的少数案例之一。

二、Allinvain的小偷(2011年6月)

一名黑客以AllinVain的用户名访问了加密货币挖掘商的硬盘驱动器,并将2.5万比特币转移到一个外部钱包中,但始终未被找回。除了被盗资金的数字性质,这种盗窃类似于黑客从个人电脑上窃取任何银行账户。这是第一个被报道的加密货币盗窃案件。

(Allinvain,all in 了无用的东西)

三、Bitcoinica(2012年3、5月)

交易所是一个数字市场,在这里加密货币以法定货币(美元、欧元等)买卖。一个早期的交易平台是Bitcoinica,该平台在2012年春季曾两次遭到黑客攻击。这次攻击是通过Bitcoinica网站主机松懈的安全措施进行的,有些人(可能是另一个客户或流氓员工)获得了客户数据,包括加密密钥。盗贼总共偷走了61000比特币,迫使比特币清算。

四、Bitfloor(2012年9月)

这让人想起Bitoinica的攻击,黑客侵入了另一家交易所的服务器,偷走了2.4万比特币。Bitfloor从未从损失中恢复过来,并于次年4月关闭。

五、Poloniex(2014年3月)

2014年3月,黑客侵入了成立两个月的Poloniex交易所的服务器。该交易所的创始人特里斯坦·达戈斯塔(Tristan D’agosta)解释说,一名黑客发现,Poloniex提现系统在同时收到多个请求的情况下允许出现负余额。提现系统注意到异常活动并关闭了对受影响账户的访问,但在此之前,Poloniex加密货币总储备的12.3%被盗。Poloniex暂时将每个账户持有人的余额减少了12.3%,但最终全额偿还了每个账户。该公司幸存下来,并于2018年初被收购。

六、MtGox(2014年2月)史称门头沟

第一次主要的加密货币攻击,包括硬币数量和价值,攻击了历史最悠久和规模最大的交易所。2010年,MtGox从一个“魔法:在线聚会”的玩家可以交换卡片的网站改头换面。2010年7月,当他在Slashdot上读到一篇关于加密货币的文章时,最初的开发者因为不值得付出努力而放弃了这个项目。他重新设计了代码的用途,把它卖给了东京的开发商马克·卡佩莱斯(Mark Karpeles)。到2014年,MtGox全世界比特币交易占有率达到70%。

2014年2月7日,MtGox突然暂停所有交易,理由是其安全软件存在缺陷。交易暂停了两周,然后网站突然消失了。MtGox申请破产。损失估计为85个比特币,当时价值4.7亿美元。这个问题导致所有比特币贬值36%,原因是投资者在争论比特币是否足够安全,值得认真对待。

关于MtGox内爆的原因一直争论不休。许多人怀疑马克•卡佩莱斯(Mark Karpeles),他于2015年因欺诈、挪用公款和操纵账本余额在日本被捕,尽管这些指控似乎与85个btc的消失有间接关系。竞争对手交易所的所有者于2017年在希腊被捕,被控洗钱,包括可追溯到MtGox的硬币。

同样有力的论据是,第三方黑客利用管理不善和不安全的操作。2011年,MtGox的审计机构的电脑遭到了损失近900万美元的黑客攻击。2014年,日本破产受托人接管这些资产后,在一个旧钱包里发现了20万比特币。分析人士指出,由于缺乏版本控制系统和严格的测试程序,软件更新处于无政府状态,管理能力严重不足。就像MtGox破产前一年的一位分析师所说的那样,“网上交易所的聚集对比特币来说是一种系统性风险,是交易员的死亡陷阱,也是一种由无知的人经营的业务。”

七、Bitstamp(2015年1月)

经过多次黑客攻击,加密交易所学会了在两个地点储存加密货币。一个“冷”钱包是一个没有连接到互联网的服务器,本质上是通过阻止外部网络访问而使其空转。一个“热门”钱包为用户提供了足够的钱来进行日常交易。Bitstamp热钱包被黑客利用鱼叉式网络钓鱼攻击抢劫了19000比特币,经过数周的努力,最终骗过了一名系统管理员。幸运的是,Bitstamp 90%的硬币都在冷钱包里,没有受到影响。

八、DAO(2016年6月)

基于虚无的加密货币的运作方式与比特币不同,但也被证明易受黑客攻击。以太坊环境不同于其他数字货币。价值的标志,称为以太(ETH),通过称为“智能合约”的计算机代码进行交换,该代码在满足预先指定的条件时运行。由于它们运行在一个由6000台计算机组成的区块链网络上,因此不受修改或审查的影响。以太坊体系结构支持去中心化自治组织(DAO),它通过在区块链中编码规则和决策制定,从而允许智能合约独立于文档或人工监督发挥作用。

2016年4月,Genesis DAO创建了一个社区,在这里投资者可以对项目进行投票,那些获得至少20%支持的项目将获得资助。今年6月,一名黑客利用一个漏洞,在同一个令牌上多次取款的速度比智能合约代码更新的速度还快。几个小时内,DAO内30%的ETH被分流。当盗窃事件被报告时,Genesis DAO背后的开发团队实现了一个硬分支,它创建了一个新的区块链。与比特币的价值溢出事件不同,DAO fork遭到了以太坊社区的一些成员的抵制,他们认为,篡改被盗以太的不可变性会损害其他人以太的价值。然后以太坊社区投票;89%的人同意接受这一硬性限制。持不同意见的人从社区中分离出来,继续认为最初的区块链是“以太经典”。

Genesis DAO的重要性有几个原因。这是一个合法的区块链黑客,而不是小偷从交易所或钱包偷东西。这也是最大的密码入侵之一,至今仍未解决。以今天的价格,这360被偷走的以太经典价值超过4000万美元,不过如果按照以太坊目前的估价赎回,它们的价值将超过10亿美元。

九、Bitfinex(2016年8月)

这是继MtGox之后的第二大交易所黑客攻击,具有讽刺意味的是,它利用了为提高安全性而实施的设计中的一个缺陷。Bitfinex建立了一个需要多个签名(multi-sig)的系统,通过一个名为BitGo的供应商提供的软件来授权一个交易。目前还不清楚黑客是如何如此容易地绕过多密钥的需要的,但最普遍接受的假设是,Bitfinex服务器上的系统安装不当。窃贼偷走了12个比特币,当时价值7200万美元。

十、Parity钱包(2017年7月和11月)

Ethereum也受到多签系统缺陷的影响。2017年7月17日,有人入侵了一个名为Parity的多签钱包提供商。目标是最近通过首次发行硬币(ICOs)筹集资金的三家公司。黑客获得了153037个比特币,价值3200万美元。只有白帽黑客的介入,将最近其他ICOS的钱包内容转移到安全地点,才阻止了此次黑客行动的损失上升。Parity把黑客攻击归咎于Parity校验钱包版本的智能合约代码的一个缺陷,并于7月20日发布了一个补丁。

不幸的是,该补丁解决了智能合约的漏洞,但有另一个缺陷。Parity在它的智能合约代码中加入了一个“终止”函数。kill功能允许用户永久锁定他们的平价钱包。奇偶校验的开发人员决定,包括“kill”在内的一些函数应该在中央库中进行函数调用,而不是将整个更新后的代码部署到每个钱包中。11月6日,一名名为“devops199”的新用户意外杀死了库,导致当时与库相连的所有钱包永久关闭。共有587只钱包,其中包括513,774枚ETH,价值约1.5亿美元。

这不是一种犯罪或恶意行为,但它给以太社区带来了一个问题。他们是否应该再次用硬分叉解决问题,以恢复被冻结的587只钱包?另一个区块链是答案吗?18年4月,以太坊社区以55%对45%的投票结果否决了硬分叉计划。受影响的513,774枚 ETH永久丢失。

十一、NiceHash(2017年12月)

斯洛文尼亚矿业公司NiceHash遭到一名黑客的攻击,该黑客用钓鱼攻击一名雇员的证件。该公司损失了4700个比特币,价值8000万美元。

十二、Coincheck(2018年1月)

新经币基金会创建的一种日本加密货币的5亿代币从日本货币交易所Coincheck被盗。黑客从钱包里取出代币,迅速将其兑换成其他货币,以致于NEM放弃了恢复努力。Coincheck冻结了NEM的存款,但仍能让投资者放心,并保持营业,不过日本当局指出,损失5.3亿美元,超过了2014年MtGox的损失。

十三、Coinrail和Bithumb(2018年6月)

今年6月,韩国两家交易所分别遭受攻击。Coinrail损失了大约5300比特币,约合4000万美元,显然是来自热钱包。几周后,全球十大密码交易所之一的Bithumb在另一场热钱包事故中损失了3100万美元。

十四、以太经典被51攻击(2019年1月)

近日,多家机构和交易所接连预警和确认,加密数字货币ETC(以太经典)接连遭遇51%攻击。1月7日凌晨,仅在Gate.io加密数字货币交易所,攻击者在4个小时内,用超过51%算力双花了至少4笔总计54200个ETC,价值27.1万美元。


最近区块链黑客状态

虽然黑客攻击并没有明显放缓,在2018年前6个月损失了11亿美元,但非加密金融机构将认识到,大多数入侵方式并非区块链世界独有。虽然区块链本身迄今为止基本上没有受到黑客攻击,一些人因此声称它“无法被黑客攻击”,但企业安全官员却不那么肯定。他们在承认区块链的威力的同时,列举了一些漏洞,包括修改智能合同、钱包等技术执行不当以及人为错误。到目前为止讨论的一个未被检测到的场景是51%攻击,即某人接管了区块链中至少51%的节点,从而比其他人更快地创建块,从而控制它。到目前为止,专注于加密的恶意僵尸网络主要被用来部署受感染的电脑进行比特币挖矿,因为创造一枚比特币变得越来越耗费资源。专家不排除勒索软件攻击或其他同样可怕的攻击。他们指出,SHA256加密算法具有挑战性,但并非不可能破解。也许围绕区块链黑客攻击的最大挑战是那些仍未被发现的挑战。McAfee的一位高管指出:“这个行业现在是如此的新,以至于我们甚至没有一个平台来发现和报告漏洞。”也许目前最好的建议是只参与具有大型社区和高透明度的区块链,使用双重认证和硬件钱包,最重要的是避免自满。

Sources:

  1. https://www.theguardian.com/technology/2014/mar/18/history-of-bitcoin-hacks-alternative-currency

  2. https://www.theguardian.com/technology/2018/jun/11/bitcoin-price-cryptocurrency-hacked-south-korea-coincheck

  3. Korean crypto exchange Bithumb says it lost over $30M following a hack

  4. https://www.mcafee.com/enterprise/en-us/assets/reports/rp-blockchain-security-risks.pdf

  5. https://www.csoonline.com/article/3241121/cyber-attacks-espionage/hacking-bitcoin-and-blockchain.html

  6. https://www.csoonline.com/article/3289328/blockchain/5-ways-to-hack-blockchain-in-the-enterprise.html

  7. https://www.fool.com/investing/2018/05/09/the-biggest-cryptocurrency-hacks-in-history.aspx

  8. www.washingtonpost.com/news/the-switch/wp/2018/06/20/why-bitcoin-exchanges-keep-getting-hacked-and-how-to-protect-yourself/ ?

  9. http://fortune.com/2017/08/22/bitcoin-coinbase-hack/

  10. https://www.wired.com/2016/06/50-million-hack-just-showed-dao-human

  11. https://arstechnica.com/information-technology/2016/06/bitcoin-rival-ethereum-fights-for-its-survival-after-50-million-heist

  12. https://thenextweb.com/blockchain/2018/07/30/smart-contract-hacks-auditing-bug-bounty

  13. https://www.wired.com/2014/03/bitcoin-exchange/ MtGox

  14. https://www.bloomberg.com/features/2017-the-ether-thief/ DAO

  15. Statement on Mt.Gox

  16. Top 5 Worst Bitcoin Hacking Incidents in History

  17. ‘The Biggest Theft in History’: What We Know So Far About the $530 Million Coincheck Hack

  18. https://blockgeeks.com/guides/cryptocurrency-hacks/

  19. https://medium.com/cryptopay/top-5-bitcoin-hacks-and-frauds-in-history-694113300034

  20. https://www.coinannouncer.com/the-hack-history-of-blockchain/

  21. https://medium.com/new-alchemy/a-short-history-of-smart-contract-hacks-on-ethereum-1a30020b5fd

  22. https://hackernoon.com/a-brief-history-in-the-evolution-of-blockchain-technology-platforms-1bb2bad8960a

  23. Biggest Bitcoin Hacking Incidents in History

  24. Blockchain Hack History: Biggest Cryptocurrency Heists Of Stolen Funds

  25. https://www.bitrates.com/guides/blockchain/why-cannot-blockchain-be-hacked

  26. https://mashable.com/2018/04/05/verge-crypto-hack/#AxK0xVFO_iq8

  27. https://www.csoonline.com/article/3241121/cyber-attacks-espionage/hacking-bitcoin-and-blockchain.html

  28. https://www.coindesk.com/9-biggest-screwups-bitcoin-history/

  29. Top 5 Biggest 2018 ICO Scams, Ponzi Schemes, Crypto Thefts & Hacks So Far

  30. https://en.bitcoin.it/wiki/List_of_Major_Bitcoin_Heists,_Thefts,_and_Losses

  31. https://www.coindesk.com/9-biggest-screwups-bitcoin-history/

  32. https://www.theguardian.com/technology/2014/mar/18/history-of-bitcoin-hacks-alternative-currencyy

  33. https://arstechnica.com/tech-policy/2012/08/bitcoinica-users-sue-for-460k-in-lost-bitcoins/

  34. https://arstechnica.com/tech-policy/2012/09/bitcoin-exchange-bitfloor-attempts-comeback-after-250000-heist/

  35. https://arstechnica.com/tech-policy/2012/09/hacker-steals-250k-in-bitcoins-from-online-exchange-bitfloor/

  36. https://arstechnica.com/tech-policy/2012/08/bitcoinica-users-sue-for-460k-in-lost-bitcoins/

  37. https://news.bitcoin.com/bitcoin-exchange-thefts-forgotten/

  38. https://hackernoon.com/an-explanation-of-cryptocurrency-forks-65d79efe214c

  39. https://www.techtimes.com/articles/73624/20150801/mt-gox-former-ceo-mark-karpeles-arrested-in-japan.htm

  40. https://www.cryptocompare.com/coins/guides/the-dao-the-hack-the-soft-fork-and-the-hard-fork/ Good DAO

  41. https://coincodex.com/article/50/the-dao-hack-what-happened-and-what-followed/

  42. The DAO Hacker Cashes Out

  43. https://medium.com/swlh/the-story-of-the-dao-its-history-and-consequences-71e6a8a551ee /

  44. https://medium.com/solidified/parity-hack-how-it-happened-and-its-aftermath-9bffb2105c0

  45. https://cointelegraph.com/news/world-bank-and-australias-largest-bank-issue-bond-exclusively-through-blockchain Parity

  46. The Final Parity Vote Results Are In, Four Million Eth Have Voted, 55% Against

  47. Blockchain Hack History: Biggest Cryptocurrency Heists Of Stolen Funds

  48. https://www.coinannouncer.com/the-hack-history-of-blockchain/

  49. https://www.bloomberg.com/news/articles/2018-01-26/cryptocurrencies-drop-after-japanese-exchange-halts-withdrawals

  50. Japan’s FSA Raids Coincheck Offices Following $500 Million Hack

赞(0)
分享到: 更多 (0)

评论 抢沙发

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址