中經金融:follow me!
慢霧科技披露“以太坊生態缺陷導致的億級代幣盜竊大案”;美鏈所發Token BEC美蜜合約出現重大漏洞,致使64億元人民幣一日蒸發;SmartMesh也出現類似BEC的重大安全漏洞,導致損失約1.4億美元……
日前,白帽匯安全研究院發佈的《區塊鏈產業安全分析報告》顯示,2011年到2018年4月份,全球範圍內因區塊鏈安全事件造成的損失多達28.64億美元。更值得關注的是,損失額度從2017年開始呈現出指數上升的趨勢,僅2018年前四個月,損失金額就高達19億美元。
業內人士表示,區塊鏈的出現是人類歷史上第一次使得資產離所有人如此之近,對於潛伏在地下的黑客來說,自然不會放過這個機會。究竟如何保護區塊鏈安全將是未來研究的關鍵課題之一。此外,業內人士指出,炒幣的泡沫將會在未來兩年內破滅,區塊鏈的價值將會迴歸技術本身。
億級盜幣大案會否重演
自從2009年中本聰將比特幣引入大眾的視線起,區塊鏈就一直彷彿神話般的存在。國家信息技術安全研究中心主任俞克群曾公開對外表示,區塊鏈技術作為一種分佈式數據存儲、點對點傳輸、共識機制、加密算法等技術的集成創新技術,被認為是新一輪技術創新和產業變革。可以說,區塊鏈技術發展可能會成為我國掌握全球科技競爭先機的重要一步。
其中,區塊鏈的去中心化、自治性、不可篡改等特點,讓很多人相信,它可以在不可信的網絡中解決信任問題。
然而,事情卻並沒完全像人們所預料的一樣發展。
“遊戲才剛剛開始”,慢霧科技披露“以太坊生態缺陷導致的億級代幣盜竊大案”之後,慢霧科技聯合創始人餘弦在朋友圈寫下了這段話。今年3月20日,慢霧科技披露以太坊黑色情人節盜幣事件,曝光長達兩年之久的自動化盜幣行為,其造成的損失達4.6萬多枚以太幣及數量巨大的各類ERC20 Token。
4月22日,美鏈所發Token BEC美蜜合約出現重大漏洞,黑客通過合約的批量轉賬漏洞無限生成代幣,大量BEC從兩個地址轉出,引發拋售潮。當日,BEC的價值幾乎歸零。一場區塊鏈狂歡,從盛極一時到幾乎歸零僅用了不到60天。而緊接著4月25日,SmartMesh也出現類似BEC的重大安全漏洞,導致損失約1.4億美元。
數據顯示,僅2018年前4個月,區塊鏈安全事故造成損失金額就達19億美元。
一系列的區塊鏈安全事件過後,將人們從對區塊鏈的狂熱中拉回現實,不少人開始質疑,區塊鏈真的安全嗎?
對此,餘弦指出,任何一個新生的事物都有利有弊,一項新技術在誕生的初期難免會出現紕漏。區塊鏈目前仍處於一個比較初級的階段,還需要時間去慢慢完善,但這並不代表區塊鏈本身是存在問題的,“大家可以有足夠的信心去相信區塊鏈技術在遭遇各種漏洞打擊後能越來越健壯。”
區塊鏈安全刻不容緩
“絕對安全肯定不存在。我們應該把區塊鏈安全問題,當作是一場真正的網絡戰爭,你得有真槍實彈。”談到如何應對區塊鏈安全問題,餘弦這樣回答道。
具體而言,餘弦認為,做好區塊鏈安全首先要關注智能合約問題。“做好智能合約需參考及複用優秀框架、開源模塊的寫法,不必重複造輪子;發佈到主網前進行嚴謹測試;請第三方職業安全團隊進行安全審計。”
在BEPAL創始人胡園泉看來,目前區塊鏈安全問題主要包含密碼算法安全性、協議安全性、使用安全性、系統安全性四個方面。其中,系統安全性是目前區塊鏈系統遭受攻擊的“重災區”。“不管是熱錢包客戶端缺陷造成的‘以太坊黑色情人節盜幣事件’,還是智能合約漏洞造成的BEC的價值一夜歸零以及SmartMesh的重大安全漏洞都屬於區塊鏈系統安全性範疇。”
而關係到使用安全性的數字資產錢包是區塊鏈安全問題的另一要素。作為區塊鏈世界的入口,數字資產錢包的安全保護層級,關係到用戶的私鑰安全存儲的可靠程度。胡園泉告訴記者,私鑰在生成、存儲、使用這三個環節都有可能發生風險。生成環節常見的風險是用戶使用不安全的環境生成私鑰,或者私鑰生成的隨機數特徵不符合安全要求,導致私鑰一開始就處於風險中。存儲環節常見的風險是用戶將私鑰存儲在不安全、不穩定的介質上,致使私鑰丟失或者被攻擊者竊取。使用環節常見的風險是用戶在不安全的環境中,使用私鑰進行簽名交易等操作,這種情況下容易受到交易數據篡改、私鑰竊取等攻擊。
“為什麼一直要強調用戶安全意識的培養?”胡園泉說,因為很多時候涉及到虛擬貨幣被盜的安全事件,責任並不在平臺方出了技術紕漏,而在於用戶本身中了犯罪分子的圈套,通過一系列錯誤的操作,將個人賬戶私鑰拱手相送。不是敵人太狡猾,而是自己的安全意識水平太淡薄。“如今現實生活中如果接到電話需要提供銀行卡密碼給對方,大家都知道是詐騙,在虛擬貨幣交易世界裡,私鑰就等同於銀行卡密碼,一旦透漏給別人就可能造成資產丟失。”
“比特幣”泡沫洶湧
相比區塊鏈從業人員的溫和態度,金融機構和學術機構對虛擬貨幣的態度更為謹慎乃至完全否定。早在2013年,南開大學虛擬經濟研究所教授賀京在接受採訪時就表示,“比特幣的程序確實精妙,但我們做技術的都知道,再完美的程序都能夠被破解,只是時間問題。一旦被破解,整個系統必然崩潰。”
事實證明,賀京所言非虛。
然而,一夜暴富的神話還是吸引了大量投資者湧入虛擬貨幣市場,有些人甚至都搞不清楚自己購買的產品是什麼就匆匆入市,這也給了投機者鑽空子的機會,一時之間市場上的各類“虛擬貨幣”難辨真偽。直至2017年9月4日,中國央行叫停各類代幣發行融資活動,並且關閉了國內虛擬貨幣的人民幣交易平臺。
儘管如此,海外市場的熱度仍在持續攀升,虛擬貨幣的交易始終活躍。對此,不少區塊鏈從業人員建議投資者謹慎入市,“從目前的情況來看,普通投資者沒有辨別‘虛擬貨幣’真偽的渠道,那麼讓專業機構先行試水是比較明智的選擇。”
針對此類問題,金融機構的態度則顯得尤為強硬。“虛擬貨幣本身就是一個騙局,它與幾年前的打著全球最大稀有金屬交易所旗號的‘泛亞’本質是一樣的。”北京市互聯網金融行業協會秘書長郭大剛表示,“只是虛擬貨幣包裹著區塊鏈這一新技術的外衣則顯得更具迷惑性。”
廈門銀行獨立董事許澤瑋也認為,打著區塊鏈旗號的虛擬貨幣是應被嚴厲禁止的,“這就如同某人自行印了貨幣讓大家拿錢去買是一個道理,沒有經過監管機構同意而自行發幣就是違法行為。”
同時,許澤瑋還表示,區塊鏈這項技術本身是好的,希望企業將目光聚集於發展區塊鏈技術本身,為區塊鏈技術的發展和應用落地提供保障。事實上,騰訊總裁馬化騰在兩會期間就對外表示,騰訊專注探索落地場景應用,堅決不發幣。螞蟻金服也表示,今年將把發展區塊鏈技術作為重要方向之一,在其自身業務領域主要以溯源作為落地方向。
業內人士分析,真正關注區塊鏈技術的人不屑於炒幣。他們的研究方向是如何將區塊鏈技術應用到實際的生產生活中。所以,炒幣的泡沫未來兩年就會逐漸破滅,真正的價值還是在於場景落地。
中經金融是《中國經營報》旗下專注財經領域新聞的公眾號,內容覆蓋銀行、保險、券商、基金、交易所等多個金融行業,每天多條原創,旨在為讀者提供有價值的內容服務。
閱讀更多 中經金融 的文章
