區塊鏈技術的發展,數字貨幣出現了驚人的價格飆升,因為有利可圖,吸引了各路資本和一眾韭菜的目光,也開始被黑客盯上。我們一邊慶幸有有了專門挖數字加密貨幣的軟件和硬件系統,另一邊,黑客還有黑產鏈上各個環節的參與者也用實力證明了自己的存在。
可以說,區塊鏈在有著變革社會的力量的同時,又在滋養著瘋狂割韭菜的大佬,更是催生了黑產狂歡盛宴,成為黑產犯罪的新風口。
技術這把雙刃劍正在這區塊鏈這個領域更激情地披荊斬棘又反噬著自己。
猖獗的洗錢
“區塊鏈可以防止重複的交易數據,減少欺詐的風險,對每一個單獨客戶進行的所有檢查記錄,都可存儲在分佈式賬本上。
區塊鏈可以對線上交易中和交易後進行監管,使得交易前的身份驗證更加可行和有效。由於區塊鏈是恆久不變並且是可以審查的一段電子記錄,這將能夠確保交易記錄包含了以往的交易信息,金融機構可以藉此對區塊鏈上的交易行為進行回溯,從而使得犯罪行為原形畢露!”
然而這種說法未免過於樂觀和理想主義,區塊鏈構建的技術烏托邦在現實面前被摧毀得渣都不剩。反洗錢的應用沒見到落地,更弔詭的是,因為區塊鏈的匿名性等特徵,反而讓其成為洗錢的新工具。
近期,美國一專門研究區塊鏈反洗錢的公司 CipherTrace 發佈了一份數字加密貨幣反洗錢報告,數據顯示在過去兩年裡,黑客將從交易所盜走的超過12億美元贓款以及無法計數的線下贓款和贖金等數字加密貨幣通過交易所、洗錢服務提供商來洗白。
交易所、賭博網站、廉價的區塊鏈轉賬,讓贓款可以快速地從黑到白,也讓政府執法者難以追蹤資產來源。僅在2018年上半年中,加密貨幣犯罪就在2017年全年數量的基礎上增長了3倍,這一趨勢在未來還將繼續擴大。
國家外匯管理局副局長陸磊7月8日在第五屆金融科技外灘峰會上稱,應用區塊鏈技術,可以輕鬆繞開銀行,實現資金跨境流轉。與此同時,數字貨幣洗錢也是潛在威脅——用各種tocken、虛擬幣作為中介,先將匯款人所在地的法幣轉為代幣,再在收款端將代幣轉為收款人所在地的法定貨幣,在事實上完成跨境支付。
你凝視深淵,深淵也在凝視你,真實地在這個問題上上演。
暴力偷幣
黑客偷虛擬貨幣跟當年偷Q幣等網上交易貨幣的手法類似,最牛逼的黑客可以用最暴力的方式直接黑進你的虛擬貨幣錢包,然後把你錢包裡面的貨幣轉到他的賬戶。也可以悄悄地黑進你的礦機,把配置中收取獎勵的錢包地址直接改成自己的。
現在大部分礦機都抱團為礦池挖礦,礦池收到的比特幣獎勵會分享給參與挖礦的礦機們。在這種情況下,黑客會採取一種常見的“中間人攻擊”手法:控制礦機與礦池之間的數據溝通,直接篡改礦機接收礦池獎勵的地址為黑客自己的錢包地址。
還有一種攻擊方式是直接攻擊礦池。由於礦池本質上就是一個網站,所以黑客會想方設法獲取礦池網站的管理員權限,然後轉移礦池裡面的虛擬幣到自己的賬戶上。
......
區塊鏈是分佈式賬本,標榜的安全去哪裡了?實際上,礦池裡面的賬戶並沒有連到區塊鏈系統上,所以如果你在礦池的賬號上收到了比特幣獎勵,記得一定檢查一下這些幣有沒有同時也轉到你在公鏈上的錢包地址裡。
黑客看上你的數字資產,不考慮成本的話,就有一萬種方式拿到它。但是,這畢竟需要技術。現在的黑客攻擊,更多的是偷算力挖礦。
偷算力挖礦
2016 年底,上萬的攝像頭攻擊美國互聯網域名解析服務商導致全美大斷網的 Mirai 殭屍網絡攻擊。儘管這次 DDoS 攻擊造成了非常大的影響,但是 Mirai 背後的黑客其實在當時並沒有得到多大的收益。
隨後,黑客們不再專注於 DDoS 攻擊,而開始轉向偷設備上的算力挖虛擬幣。
悲劇的是,用戶並不會知道他們的設備正在被黑客用來挖礦。這些網絡設備一直正常地工作,所以從用戶的角度來說其實很難發現自己被黑了。唯一的異常就是這些設備的耗電量大大增加並且網絡流量會有異樣,但這些都不太容易被發現。
其中最臭名昭著的就是瀏覽器挖礦。
截止 7 月 9 日,全網有超過 3 萬家網站內置了挖礦代碼,只要用戶打開網站進行瀏覽、操作,網站就會調用電腦或手機的計算資源來進行挖礦。根據 Adguard 的數據統計,全球約有 5 億臺電腦曾被綁架挖礦。
操作方法是,在大流量網站裡面注入挖礦腳本。當用戶瀏覽感染的網頁時,腳本會自動在瀏覽器裡面跑起來,然後黑客就可以因此控制用戶電腦裡面的算力,從而進行挖礦。儘管被這類設備上的算力不能跟專業的比特幣礦機相比,但用來挖其他一些虛擬貨幣還是沒毛病的。
例如價格不低的門羅幣呀。門羅幣因為採用的是 Cryptonight 的挖礦算法,這種算法對於 CPU 很友好,非常適合在普通電腦上運行。因此瀏覽挖礦代碼挖的幾乎都是門羅幣。
今年高考成績公佈的那段時間,門羅幣挖礦木馬病毒植入了“高考錄取查詢系統”。打開幾所高校網站查詢錄取情況就觸發挖礦,查詢系統因此卡死,很行為藝術。
操縱幣價
前幾天,幣圈有傳言稱幣安再遭黑客攻擊,而攻擊方式是用戶 API (應用程序編程接口)被控制,由此來控制用戶賬戶,直接進行交易買賣。
這條消息雖被幣安方面否認,但是今年3月7日幣圈驚魂一夜還記在黑客們的赫赫戰功之上。因為,他們這一波操作不僅賺了上億美金,而且不暴力反而有點優雅。
3月7日晚,部分幣安用戶發現自己賬戶中的代幣被拋售,即時交易為比特幣。這導致一些不明就裡的散戶投資者加入到拋售大軍中,數字貨幣價格大面積下跌。隨後,黑客操縱盜取賬戶中的BTC大量購買一個名叫viocoin(VIA)的數字貨幣。幣安的 VIA/BTC 市場,瞬間湧入1萬多個比特幣。VIA 的價格,也因此被拉高了100多倍。
後經調查顯示,北京時間2018年03月07日22:58-22:59兩分鐘內,黑客通過盜取的API Key,操縱被盜用戶進行即時幣幣交易,在VIA價格拉昇後,在利用31個賬戶預先充值VIA幣的賬戶高價賣VIA,從而將BTC從這31個賬戶中體現。
在這種黑客攻擊中,黑客們只需要利用散戶們的信息不對稱,不需要盜取數字貨幣,也不需要攻擊交易所,通過高拋低吸或者安全事件來做多或者做空來操縱幣價,牟取暴利。
越來越高級了,而且效仿成本還很低。
區塊鏈=黑產鏈?
更有觀點認為,區塊鏈本身就是一條黑產鏈。
這條黑產鏈涵蓋了項目設計、大佬站臺、網紅IP打造、交易所交易、操縱幣值、培訓開課等全流程。而那些空氣幣、傳銷幣就是黑產鏈的產物。
國家審計署曾在今年上半年公開發文提到:“審計抽查60家平臺發現,實際全部不具備其宣稱的技術和任何貨幣功能,所謂的'幣值'均由平臺自行隨意操控,平臺吸引投資者加入後,通過操縱‘幣值’不斷向投資者‘吸血’,往往波及人數眾多,涉案金額巨大。”
又例如區塊鏈培訓市場,更是亂象叢生。有數據統計,專業區塊鏈技術人才佔到供需比僅為0.15%,嚴重供不應求導致了人才培訓的火爆,也因而有了某區塊鏈大學“三天產80個講師”的鬧劇。由於整個行業泡沫巨大,人員薪資普遍較高,因此培訓收費混亂不堪,普遍拍腦袋定價,教學內容呢,更是優劣難辨。還有某些幣圈大網紅,用課程培訓來割韭菜,更是喪心病狂。
區塊鏈目前本身就處於灰色地帶,針對區塊鏈和數字貨幣的犯罪可能成為黑客的目標而且受害者還沒法訴諸法律。更可怕的是區塊鏈技術乃至區塊鏈本身成為黑產的一環,那就無異於滅頂之災了。
閱讀更多 眾籌家 的文章
