1、與數(shù)字貨幣交易平臺相關(guān)的部分安全事件

近日，數(shù)字貨幣交易所安全事件頻發(fā)。2018年01月日本Coincheck交易所被黑客攻擊并被盜NEM新經(jīng)幣損失約5.34億美元；基于以太坊的2018年2月XMRG交易價格上漲787%后，代幣迅速暴跌至零，造成大量用戶經(jīng)濟損失，背后的原因是其智能合約代碼存在整數(shù)溢出漏洞，超額鑄幣拋售造成惡性通脹；2018年3月Binance在交易所，黑客利用竊取的用戶信息進行大量交易，操縱市場利潤超過1億美元?；谝蕴坏?018年4月BEC代幣和SMT由于智能合約的溢出漏洞，代幣轉(zhuǎn)出了大量代幣，導(dǎo)致恐慌性拋售，導(dǎo)致市值幾乎為零……這樣的案例數(shù)不勝數(shù)。

通過這些觀察，筆者發(fā)現(xiàn)了兩種現(xiàn)象：一是事件頻繁發(fā)生。我們應(yīng)該知道，這只是最近一些有影響力的事件的列表。如果擴大時間范圍，或者包括可能影響較小和被掩蓋的事件，數(shù)量將超過此；第二，平臺或用戶損失巨大，往往是數(shù)千萬甚至數(shù)億美元。

事實上，通過這些事件的記錄，你也可以得到更多的信息，然后進行分析。

2018年3月初，著名數(shù)字貨幣交易平臺幣安出現(xiàn)大量賬戶異常交易，影響了整個數(shù)字貨幣市場的交易。這個事件的操作方法很有意思，以后再提。這里要說的是，事件發(fā)生后，有人發(fā)文指責(zé)事件是幣安官方自導(dǎo)自演，幣安聯(lián)合創(chuàng)始人何毅隨后發(fā)文回應(yīng)，反駁此指責(zé)。作者不打算在這里討論事件的真相。這是我想引用何一回文中的一句話:“這種安全問題幾乎是不可避免的。任何類型的交易所每天都受到攻擊。一方面，政策空間狹窄，導(dǎo)致貨幣圈不太可能復(fù)制傳統(tǒng)的交易所系統(tǒng)。另一方面，虛擬貨幣交易所只推出了幾年，風(fēng)險控制和技術(shù)積累都需要一個增長過程。”

是否同意這一說法是一個不同的問題，作者主要關(guān)注它的想法。在這一聲明中，數(shù)字貨幣交易平臺與傳統(tǒng)金融交易平臺進行了比較，本文將使用相同的想法來解釋。

為什么黑客攻擊數(shù)字貨幣交易所？

從邏輯上講，任何主觀行為都是有目的的。黑客攻擊的目的不乏炫耀技術(shù)或表達政治需求，但最大比例是獲得經(jīng)濟回報。

在現(xiàn)實生活中，攻擊傳統(tǒng)金融機構(gòu)，如銀行或證券交易所系統(tǒng)，但這方面的記錄遠低于上述記錄。讓我們分析一下原因。

筆者認為，有兩個主要原因。一方面，傳統(tǒng)金融機構(gòu)所擁有的資產(chǎn)，無論是數(shù)字化（相對于實體化紙幣和硬幣）法定貨幣還是證券憑證，一般都是注冊的。其流通過程有痕跡可循，并接受監(jiān)管。要實現(xiàn)難以跟蹤的轉(zhuǎn)移效果，成本高，難度大。另一方面，傳統(tǒng)金融業(yè)的數(shù)字化歷史悠久。人才儲備、技術(shù)積累和制度規(guī)范都非常成熟，信息安全建設(shè)水平相對較高。從技術(shù)上成功入侵、盜竊資產(chǎn)、逃避追捕是非常困難的。

另一方面，數(shù)字貨幣交易所，一方面，數(shù)字貨幣的匿名性、不可篡改性和無監(jiān)管性，導(dǎo)致資產(chǎn)轉(zhuǎn)移方便，難以追溯和恢復(fù)。另一方面，當數(shù)字貨幣交易行業(yè)出現(xiàn)時間短、發(fā)展快、利潤高時，仍然忽視信息安全建設(shè)，存在許多隱藏的安全漏洞，相對容易攻擊。

三、數(shù)字貨幣交易所在技術(shù)上面臨的安全威脅

筆者分析了數(shù)字貨幣交易所在技術(shù)上面臨的安全威脅，主要分為兩部分。

1.傳統(tǒng)信息系統(tǒng)安全漏洞

在這方面，數(shù)字貨幣交易所與傳統(tǒng)金融機構(gòu)沒有太大區(qū)別。整個信息系統(tǒng)由Web由用戶通過瀏覽器、移動終端、服務(wù)器、后端數(shù)據(jù)庫等元素組成App以及交易所提供的API作為客戶端訪問服務(wù)器的多種方式。

結(jié)合本文第一部分的事件記錄，可以看出，這部分面臨的安全威脅主要包括服務(wù)器軟件漏洞，配置不當，DDoS攻擊，服務(wù)端Web程序漏洞(包括技術(shù)漏洞和業(yè)務(wù)邏輯缺陷)、辦公電腦安全問題、內(nèi)部人員攻擊等。

對于規(guī)模大、用戶多的交易所，也會面臨用戶被攻擊者利用假釣魚網(wǎng)站騙取認證信息的問題。上文中提到的幣安交易所的異常交易事件，據(jù)官方的說法，是攻擊者利用釣魚欺騙的方式騙取了部分用戶的認證憑證，繼而利用API發(fā)起大量交易，將用戶賬戶中的其他貨幣交易成比特幣，貨幣安全及時發(fā)現(xiàn)異常，凍結(jié)提幣功能。有趣的是，雖然攻擊者不能提取貨幣，但他們想到了另一種聰明的盈利方式，即利用他們控制的大量比特幣操縱市場，影響其他貨幣的價格，然后在其他數(shù)字貨幣期貨交易所做空，最終超過1億美元。在這一事件中，攻擊者利用貨幣安全平臺對市場的巨大影響。理論上，沒有人偷數(shù)字貨幣，只是“換了換幣種”，由于大量賣空訂單分散在數(shù)百家其他交易所，根本原因無法找到。

下圖是“去中心化漏洞平臺”DVP的漏洞統(tǒng)計。

2018年7月12日，該平臺收錄的最早漏洞信息在不到兩個月的時間里收錄了1800多個漏洞，每天仍以數(shù)十個速度增長。

上個月，一個安全團隊說他抓到了0day漏洞是數(shù)字貨幣交易所全站程序的邏輯漏洞。數(shù)百家中小型交易所正在使用該程序。雖然公眾普遍認為國內(nèi)外大型交易所不會購買和使用第三方開發(fā)的全站程序，但數(shù)字貨幣交易行業(yè)利潤高，發(fā)展迅速，很多人可能想在后期快速進入市場，搜索搜索引擎“開發(fā)數(shù)字貨幣交易平臺”關(guān)鍵詞可以發(fā)現(xiàn)這一塊的需求應(yīng)該還是很大的。

事實上，在第三方外包開發(fā)的早期使用并非不可能。在傳統(tǒng)銀行領(lǐng)域，大量中小型銀行的信息系統(tǒng)也將使用第三方公司的產(chǎn)品進行定制。由于政府層面的嚴格監(jiān)管和這類開發(fā)公司的長期技術(shù)積累，銀行使用的類似系統(tǒng)通常有足夠的安全性。然而，數(shù)字貨幣行業(yè)則不同。一些從事此類開發(fā)的個人和團隊對產(chǎn)品質(zhì)量的保證能力非常有限，導(dǎo)致通用漏洞頻發(fā)也就不足為奇了。

對于這一部分安全威脅的解決方法來說，通過滲透測試，代碼審計等安全服務(wù)，挖掘并修復(fù)系統(tǒng)存在的安全漏洞，可以參考傳統(tǒng)金融行業(yè)的安全規(guī)范和最佳實踐結(jié)合自身情況完善安全體系的建設(shè)。

2.智能合約安全漏洞

以太坊被稱為“區(qū)塊鏈2.0”支持智能合約運行的技術(shù)代表。可以理解，比特幣系統(tǒng)是在底層區(qū)塊鏈技術(shù)的基礎(chǔ)上定義獎勵分配規(guī)則的“合約”所構(gòu)成的。以太坊的出現(xiàn)以太坊的出現(xiàn)提供了現(xiàn)成的底層區(qū)塊鏈網(wǎng)絡(luò)Solidity開發(fā)和部署自己的智能合同，包括模擬類似比特幣的產(chǎn)品。因為Solidity它是一種完整的程序開發(fā)語言，理論上可以用來實現(xiàn)各種分布式應(yīng)用。

開發(fā)人員編寫智能合同代碼后，將代碼部署到以太坊節(jié)點的區(qū)塊鏈上EVM在虛擬機上執(zhí)行。代碼上鏈后，每個節(jié)點執(zhí)行相同的操作，同步數(shù)據(jù)狀態(tài)。

和傳統(tǒng)程序一樣，智能合約也不可避免地存在安全漏洞。不同之處在于，由于區(qū)塊鏈技術(shù)的不可篡改性，一旦合同部署好，就很難修復(fù)問題。代幣分發(fā)合同部署后，代幣存在整形溢出等漏洞，代幣在線交易所交易，然后觸發(fā)利用漏洞。大量代幣在短時間內(nèi)會影響市場價值，給交易所和用戶造成巨大的經(jīng)濟損失。

這部分安全威脅與傳統(tǒng)的信息安全漏洞大不相同。在傳統(tǒng)的金融市場上，也有類似的攻擊，比如20世紀末亞洲金融危機時索羅斯對港元的運作。不同的是，在傳統(tǒng)金融市場發(fā)動這樣的攻擊需要大量的資金支持。在數(shù)字貨幣領(lǐng)域，理論上有能力挖掘合同漏洞的人可能會實現(xiàn)這樣的攻擊。

下圖是基于以太坊的ERC-20智能合約標準開發(fā)的代幣合約漏洞信息:

實際威脅可能比這嚴重得多。我們之所以說智能合約是智能合約的原因“智能”，這是因為一旦部署到鏈中，它的執(zhí)行過程是透明可見的，不可篡改，不需要人工干預(yù)，自然解決了執(zhí)行過程中的信任問題，這也是區(qū)塊鏈技術(shù)出現(xiàn)時需要解決的根本問題。盡管解決了程序“運行”階段性問題，但如果合同代碼存在漏洞，開始實施后使用，偏離了原有的初衷，區(qū)塊鏈技術(shù)的這些優(yōu)秀特點將成為挽救損失的障礙。

為了應(yīng)對這部分安全威脅，交易所需要在推出新代幣之前，通過完善的合同代碼安全審計，以防止萌芽狀態(tài)，并盡量減少可能的攻擊威脅。

騰佑科技IDC提供全球海外服務(wù)器租賃托管，如香港服務(wù)器和美國服務(wù)器。是數(shù)字貨幣交易平臺、區(qū)域鏈、直銷、流媒體、外貿(mào)、游戲等服務(wù)器解決方案的首選品牌。騰友科技為多家數(shù)字交易所平臺提供服務(wù)器租賃托管解決方案！詳情請在線客服！