关于区块链，有哪些不容忽视的安全问题？

8月2日，创宇北京研发中心总监潘少华做客Geek Live直播间，为大家分享了最新的区块链安全情况。 本文对分享的内容进行了梳理。 更多案例详情，请点击视频直播了解。

与金融领域一样，区块链行业竞争激烈，进入门槛高。 如果在技术和安全方面没有充分的准备就贸然进入这个行业，其中的风险远超大家的想象。 ——潘少华

建议在wifi环境下观看，土豪随意

区块链市场发展现状

区块链在几个方向都有很好的应用前景。

目前，区块链主要应用在加密数字货币领域，如比特币、以太坊等。 由于区块链去中心化、透明、不可篡改的特点，在数字身份和法律证据方面也有很大的想象空间。 国内一些公司已经开始在数字版权和数字保险方面进行尝试。 此外，在游戏、娱乐行业，以及数字交通、物联网设备等领域，区块链都有一定的技术应用空间。

区块链政策导向 区块链安全威胁

比特币于 2009 年正式发行，2011 年前后，全球一些新潮极客和金融专业人士意识到了区块链技术的重要性。 比特币发展到今天，经历了无数的风风雨雨，现在大家也不会认为它是一个纯粹的骗局。

2018年5月29日，根据国外网站coinmarketcap.com公布的数据，目前比特币市值为1200亿美元，其次是以太坊，约为500亿美元。 2013年比特币600元左右，现在涨到了8000元。 这是每个人都能直观感受到的。

突然增加的钱，肯定会被坏人盯上。 我们统计了全球区块链安全事件的趋势。 第一次比特币安全事件发生在2011年，当时损失了102万美元，2014年全球区块链资金损失约为4.6亿美元。 2018年上半年，这一数字达到了19亿美元。

以前黑客需要上下游配合，才能把被黑的网站变成现金收入，而现在很简单，只要黑一些网站，偷一些币以太坊存到什么钱包最安全，这些币的收入就够他洗白了。 而且最重要的是，黑客攻击之后，很难溯源。

我们分情况统计，损失最大的是数字货币交易平台，共计13.4亿美元。 二是智能合约，主要集中在以太坊上。 例如，因代码漏洞或私钥泄露造成的资金损失已达12.4亿美元。 再次是个人用户遭受的攻击，比如电脑中病毒，私钥被盗等，包括一些矿工的病毒事件等等。

根据以往区块链安全事件的梳理，我们发现，区块链代币引发的安全问题主要来自区块链自身机制引发的安全威胁、区块链生态引发的安全威胁、区块链用户引发的安全威胁。 . 安全威胁包括三个方面。

区块链自身机制

数据层。 区块链数据可能是链式结构，也可能是DAG。 它使用的时间戳和哈希函数，包括一些非对称加密算法，可能存在很多机制问题。 发现这些漏洞对黑客的技术要求非常高，需要黑客对区块链和合约的底层实现有很好的理解。

网络层。 我们遇到过一些知名的攻略，缺少自动节点发现功能。 比如它可能有20多个节点，其中有几个节点被DoS掉线，它的节点没有自动恢复在线的功能。 整个网络 黑客的健壮性被打翻了。

共识层。 共识机制也很重要。 比特币的共识算法 PoW 决定了谁计算出的利润最高，谁就先得到矿场。 如果你想攻击它，你需要投入算力来对抗。 目前PoS和DPoS越来越多。 PoS涉及一个非常严格的问题。 每个节点都需要投入大量的资产作为抵押品，从而产生相应的挖矿收益。 那么这个节点的分析就会不断的放大。 当在这个节点存入足够多的钱，黑客就可以使用更高科技的攻击手段，甚至可以使用军事级的技术能力。

合约层和业务层。 今年2月，我们发现了一个利用以太坊漏洞的攻击团伙，共盗取了47000个以太坊。 按照当时的价格，总计超过2000万美元，折合人民币1亿多元，约有3000人受害。

这起事件涉及的漏洞早在一年多前就在网上曝光。 它们是以太坊自身协议的漏洞，很难恢复。 那么这个漏洞公开之后，很多脚本黑客就会知道如何利用这个漏洞，不需要太深的技术水平。

区块链生态引发的安全威胁

从目前来看，区块链生态是一系列支持区块链运行并与现实世界相连接的支撑系统或应用。 区块链生态包括PoW机制下的矿池、PoS机制下的权益节点、代币交易所、软硬钱包、数据追踪浏览器、dApp应用、未来dApp应用系统的区块链网关等。

区块链生态带来的安全威胁包括：交易所、中心化、传统架构设计为黑客提供方便； 软硬钱包，软硬件钱包由于各种实现漏洞，大大降低了自身的安全性； 区块链节点的存在、DDoS、51%等攻击已经威胁到区块链数据的安全。

交易所被DDoS攻击案例

2017年5月，某区块链币币交易平台突然遭遇剧烈的UDP FLOOD攻击，攻击流量和数据包峰值瞬间飙升至84517Mbps和30953746pps。 突击突袭受挫后，攻击者转而采用麻雀战术，各种断断续续的小规模攻击持续了10天之久。

10 天后，攻击者聚集了 60,000 个 bot，CC 攻击流量急剧上升至 51023.30GB。

三个小时后，攻击者再次使用 51890 个机器人创建 CC 流量高达 12238.33GB。

目前，该平台每天仍遭受超过20万次的恶意扫描和超过38万次的危险攻击。

数字钱包的风险

数字钱包是用于生成和存储私钥的容器。 它用于管理密钥和地址、跟踪地址余额以及创建和签署交易。 在载体方面，数字代币钱包主要分为热钱包和冷钱包两种。

冷钱包在整体安全性上比热钱包更安全，但目前市面上的产品也存在一定的安全隐患。

某品牌冷钱包的实体是由智能手机改造而来，导致冷钱包的整体安全性受限于智能手机系统的底线。 同时，基于智能手机系统的冷钱包性能往往不可靠。

安全钱包虽然是由加密芯片制造的以太坊存到什么钱包最安全，但并不是由密码学领域的专业研发专家开发的。 由于加密芯片使用不当，导致加密芯片无法为钱包提供有效加密。

用户面临的安全威胁诈骗案例——钓鱼攻击

2018年3月7日，境外数字货币交易平台币安遭到黑客攻击。 这次袭击导致全球数字货币价格暴跌。

根据交易所的公告，有 31 个账户被黑客入侵。 黑客在掌握用户账户权限后，利用机器下单，进行程序化高频交易，给用户造成巨大损失。

2017年4月14日，约翰霍普金斯大学数学系学生郑旭东发表了一篇题为“Phishing with Unicode Domains”的论文，中文为“Using unicode URLs to fish”。

欺诈示例——不知道私钥的特征

2017年7月1日，188.31枚比特币在中原油田某小区被盗。 几个月后，油田警察抓获了上海小偷戴某，价值 280 万美元。

2017 年 10 月，东莞一位 imToken 用户发现 100 多枚 ETH（以太币）被盗，最终证实是身边的朋友盗走了他的数字加密货币。

更多案例详情，可点击视频回放了解更多。

TGO鲲鹏俱乐部近期推出年度共创合伙人计划，为科技领袖提供多种形式的优质内容，为其企业提供推广机会。

TGO鲲鹏会会员企业加入年度共创伙伴计划，可享受大幅优惠。

2018/2019年度共有10家共创伙伴，分别是：七牛云、知知创鱼、贝壳金服、大搜车、融云、云山、coding、腾讯云、kyligence、IPIP； 其中有7家是TGO鲲鹏俱乐部的会员公司，我知道创宇就是其中之一。