重特大事故下，区块链安全的问题与解决方案

作者/胡涛

纵观过去一年区块链行业的安全形势，几乎每个月都会爆发重大安全事件。 价值超百亿的链上资产被不法分子以不同方式盗取。 主要类型包括公链底层代码。 缺陷、DApp合约代码缺陷、私钥被盗、卷款跑路等。

随着加密资产在全球金融体系中发挥越来越重要的作用，必然会引起更多黑客的关注，区块链项目面临的安全攻击和防御将变得更加频繁和困难，但这也是行业的机遇.

2019年对于区块链行业来说是有意义的一年。 许多政府和企业巨头开始将更多的关注和资源投入到区块链技术上，为未来区块链技术在更多场景的实际应用奠定基础。 创造一个相对友好的环境。

但是，区块链行业还有很多实际问题需要讨论和解决才能大规模应用，其中就包括安全问题。 作为一个旨在挑战现有金融行业的新兴行业，区块链行业的安全性是影响其自身前景的最重要因素之一。 行业短期崩盘。

纵观过去一年区块链行业的安全形势，几乎每个月都会爆发重大安全事件，价值数百亿美元的链上资产被黑客或不法分子以不同方式窃取。 主要类型包括：公链底层代码缺陷、DApp合约代码缺陷、私钥被盗、携款跑路等。

首先，去年1月5日，以太坊经典遭遇多次51%算力攻击，8.8万枚ETC被用于双花。 同一时期，由于合约代码安全性薄弱，EOS和TRON上的很多博彩类DApp游戏开始频繁遭到黑客攻击，如重放攻击、随机数攻击、阻塞攻击等。 比如TRON BTTBank游戏合约被盗1.8亿BTT，EOS Dice被盗数万个EOS，Poker EOS被盗2万多个EOS。 据成都联安统计量子计算机摧毁比特币，19年来区块链行业共发生智能合约漏洞事件100多起，被黑总损失超过1000万美元。

2019年3月，DragonEx、Bithumb、Biki等交易所资产被盗。 其中，DragonEx共损失价值超过600万美元的数字资产。 被盗原因是交易所客服获取并打开捆绑后门的An安装包，黑客通过该安装包获得内部权限进入内网，成功获取数字货币钱包私钥。 由于下岗员工的“手脚”，Bithumb窃取了价值超过1800万美元的EOS资产。

2019年5月，币安因安全漏洞被黑客利用钓鱼、病毒等攻击手段入侵，币安热钱包7000枚比特币被盗，总损失4100万美元。 2018 年，币安因 API 接口被黑客攻击而引发安全问题。 黑客利用币安用户的资产，大幅拉高SYS、VIA等小币种的价格，达到在其他交易所套利的目的。

此后的6-7月，Plustoken钱包、Polkadot钱包、MGC钱包等钱包项目相继出现资金外流。 此前，这些钱包利用高利率吸引投资者将大量资产存放在自己的地方。 后期投资人储存的资产几乎全部无法提取。 其中，Plustoken钱包涉及的金额据说高达数百亿。 虽然部分涉案人员已被警方抓获，但被盗的加密资产疑似无一可追回。

8月至9月，比特币钱包Electrum两次遭到黑客攻击。 根据各种统计，在伪造 Electrum 升级通知的钓鱼攻击中，至少有 1,450 个 BTC 被盗，当时价值 1,160 万美元。 去年 11 月，韩国知名交易所 Upbit 遭到黑客攻击，34.3 万枚 ETH 被盗，当时价值约 5000 万美元。

12月，多个公链项目遭遇资产被盗的尴尬。 一是唯链14日宣布遭到黑客攻击，价值640万美元的11亿VET代币被盗； 20日，NULS公链官方账号因公链底层代码缺陷导致200万枚NULS代币被盗，损失超过50万美元。 尴尬的是，两者之前都表示代码已经过第三方代码安全审计。

同月，公链IOTA主网出现共识分裂无法更新，TPS一度接近于0，Vertcoin遭受51%攻击。 攻击者成功用自己的553个区块替换了603个VTC主链区块，导致项目损失10万美元。

从以上总结不难看出，2019年区块链行业上演了各种安全事件，其中不乏知名交易所，暴露出众多区块链公司和项目在加密资产存储和安全方面的严重性。底层架构开发。 问题。

但好消息是，这些安全事件几乎都没有对区块链行业构成整体威胁，比特币、以太坊等主流区块链网络运行相对稳定。 可能只有一个事件可以称为重大威胁。 也就是谷歌在今年9月宣称实现了“量子霸权”。

分析认为，由于利用量子叠加原理，量子计算机将在增加信息容量、提高计算速度、保障信息安全等方面突破现有传统信息系统的局限。 其运算速度可达到传统计算机的“亿万倍”。 . 据介绍量子计算机摧毁比特币，谷歌的量子计算机Sycamore在3分20秒内完成一个特定的计算任务，目前世界上最快的超级计算机需要1万年。

因此，不少声音认为，支持区块链技术的椭圆曲线加密算法将很容易被量子计算破解，区块链的公私钥机制将无法再有效保护用户资产。 技术发展蓝图将被量子计算破坏。

但很快就有业内人士指出，谷歌的说法不可靠。 赵东表示，要让一台量子计算机破解比特币的椭圆曲线算法，运算超过10万个量子比特是可能的。 目前谷歌的量子计算机可以运算几十个，技术难度随着操作数2的功率级别上升，所以量子计算机距离破解比特币加密算法还有很长的路要走。

但不得不承认的是，量子计算就像区块链行业的“达摩克利斯之剑”一样，始终是悬在头顶的潜在威胁，这意味着区块链和具有“量子抗性”的加密算法将在区块链领域有着巨大的需求。未来，行业人士需要尽快取得突破。

与远程量子计算相比，更现实和紧迫的问题在于公链和交易所在合约、协议和节点层面的安全。 一方面，要更好地保护资产安全； DApp 服务的稳定性增强了公众对区块链技术安全性的信心。

面对这些安全事件，有两种解决方案。 一是事前预防。 各方面都需要总结经验，不断完善可能存在的漏洞。 使用经过学术界验证的算法或经过工程广泛验证的代码库； 推动制定加密资产存储行业标准，不符合条件的应与第三方资产托管服务商合作； 加强日常作业中敏感岗位人员电子监控设备安全管理，进一步规范资产入库流程。

同时，区块链项目也要充分利用外部力量，加强对底层代码的审计。 慢雾科技还指出，区块链项目应该针对安全漏洞发布赏金计划。 当黑客发现安全问题时，有一个反馈渠道。 如果没有这样的渠道，黑客将更倾向于利用漏洞攻击公链，而不是想办法联系项目方进行反馈。

另一类路径是事后修复，涉及行业多方冻结和追回资产，通过压缩黑客的变现空间来挤压黑客的攻击动机。 由于区块链链上资产的所有流通信息都是可追溯的，黑客窃取的资产地址被被盗方公开后，交易所等方面将很容易锁定数字资产，并对链上流向进行梳理分析. 转入资产后冻结。

例如，韩国Bithumb交易所在今年3月被盗价值约1800万美元的加密资产后，立即向合作伙伴和警方向交易所说明情况，并保持联系。 此后，火币网、KuCoin、ChangeNOW等交易所已将Bithumb被盗地址涉及的资产全部冻结，ChangeNOW进一步表示，已按照执法部门的指示将这些被盗资产存入安全冷钱包。 虽然Bithumb这次没有公布追回资产的价值，但在2018年6月的盗窃事件中，Bithumb宣布已追回价值3100万美元的被盗资产，追回1400万美元。

虽然其他被盗交易所很少披露此类信息，但从Bithumb的案例不难推断，大多数主流交易所在资产盗窃问题上已经达成合作共识和实质性联系，这将让被黑客窃取的资产得以套现。 out 通道管控相对严格，但如果黑客不将被盗资产转移到中心化交易所，外界在大多数情况下还是束手无策，而且随着 DiFi 行业的进一步发展，黑客还可能利用抵押、去中心化交易等，获得更多变现渠道。

可预见的解决方案在于硬分叉。 公链团队可以号召所有节点共同升级主网，实施硬分叉，让被盗资产“失效”。 资产被盗后，将通知所有节点升级硬分叉。 剩余未转移到交易所的资产将不再被新链确认，270万余元的损失将由其自行追回。 2016年初，由于The DAO项目资产被盗，以太坊也实施了硬分叉。

但是，还没有公链因为交易所资产被盗而硬分叉的先例。 今年，在币安被盗7000个BTC时，赵长鹏表示，币安将考虑区块重组/交易回滚等方式追回被盗金额，引起业内一片哗然和一致反对。 可见，区块链的分叉和回滚并不适用于资产盗窃场景。

总的来说，随着加密资产在全球金融体系中发挥越来越重要的作用，必然会引起更多黑客的关注，区块链项目面临的安全攻击和防御也将变得越来越频繁和困难，但这将影响也是业界在要求和投资更高的全球技术领域证明其可靠性和安全性的好机会。