以太坊漏洞攻击_以太坊黑客入侵事件
目录:
以太坊钱包被盗怎么回事
由于智能合约的复杂性,越是功能强大就越容易出现逻辑上的漏洞。
以太坊是一个开源的智能合约公共区块链开发平台,所有用户都能够看到基于该平台开发的智能合约代码,当然也包括其中的安全漏洞。如果因智能合约开发者疏忽或者测试不充分,而导致代码有漏洞的话,就非常容易被黑客利用并对其发起攻击。
作为一个开源平台,任何人都可以对其中的代码进行修改。在之前发生的以太坊资产被冻结的事件,就是因为一位用户无意中删除了一段代码而造成的。
黑客侵入虚拟币交易所了吗?
日前福布斯首个数字货币领域富豪榜(加密货币净资产)排名第三的赵长鹏,创办的虚拟货币交易所币安(Binance)遇到了黑客攻击,在大部分虚拟币价格暴跌的同时只有一个币种突然被异常拉升。对此币安表示对异常账户进行了冻结,目前没有产生损失。
3月7日深夜,有币安的用户反映,自己的账户被盗,账户中的各类数字货币被按照市价交易成了比特币,各类虚拟币出现普跌,与此同时,币安网站上一个叫做VIA(维尔币)被异常拉升到原价的100倍。
从币安网站提供的VIA的K线图来看,VIA在24小时内的最低价仅为0.00021美元,但是在7日夜间极短的时间内直接拉升到0.025美元。
而其他数字货币普遍出现了大跌,比如下图。
根据币安网站数据,24小时内VIA的成交量在所有数字货币中最高,相当于13948个比特币,按照比特币1万美元的价格计算,交易量约为1.4亿美元。
根据Coinmarketcap统计,币安24小时各类数字货币美元交易量在全球排名第二,截止到发稿前为近21亿美元。
针对此种异常,3月8日晨间,币安发布公告称,面临本次大规模的攻击,Binance风控系统及时监控到异常,并锁定了提现需求,阻止盗币行为,反向锁定31个账户,攻击者在本次尝试中被Binance冻结了大量资产。
数小时后,币安又出具了一份更加详细的说明。
该说明显示,3月7日22:58-22:59两分钟内,VIA对比特币出现了交易异动,触发风控,自动停止了提币。币安称:“这是一次大规模通过钓鱼获取用户账号并试图盗币事件。”
该说明称,黑客在长时间里,利用第三方钓鱼网站偷盗用户的账号登录信息。最早被钓鱼的账号可追逆到1月初,但大多数账号是在2月22日左右。黑客获得账号后,自动创建交易API(应用程序编程接口),之后便无动作,直至3月7日。
据澎湃新闻了解,简单来讲,不需要登入交易网站,只要使用账户API秘钥,就能操作账户的买卖,做到程序化交易。
而在3月7日夜间,在两分钟内,黑客在VIA/BTC(比特币)交易市场,程序化下市价买单,和31个预先充值VIA币的账号高价卖VIA,目的为把比特币输入到31个预先准备的账号,然后迅速想将这31个账号里的比特币提走。但因异常交易触发了自动风控,导致提币暂停,这些币并未被提出。反而,这31个账号预先存入的VIA币也被冻结。黑客非但没有提走币,反而自己的币被扣留。
币安称,这次事件中的黑客有组织有纪律,在成功钓鱼用户的账号信息后,并不急于获利,而是耐心等到最佳时机,选择了流动性较低的VIA币,来最大化自己的获利。
对于本次有没有产生相应损失,币安表示,所有资金安全,无任何资金逃离。而且已经恢复提现。
虽然币安已经作此解释,但是币圈有人并不这么看。有业界公众号文章表示,当前不少交易所上线了做空交易,黑客的真正目的是通过在开通做空交易的市场上挂空单,等到币值下降的时候,直接收割一波离场,“这样操作,根本不需要冒着风险从币安提币,在市场下跌的那一刻,就直接完成了利益收割”。
但尚无证据显示该猜测属实。
但截止到发稿前,受到币安交易所的此次风险事件影响,交易较热的虚拟货币都遭遇了普跌。根据Coinmarketcap统计,截止到发稿前,比特币价格为9990美元,跌5.82%;以太坊跌4.22%;莱特币跌3.81%。
这已经不是今年发生的第一次黑客针对数字加密货币交易网站攻击了。1月28日,日本数字货币交易平台Coincheck上5亿枚NEM(价值约5.33亿美元)遭黑客窃取,涉及用户26万人。
据路透社3月7日报道,熟知内情的消息人士透露,日本金融厅(FSA)将于本周向多个加密数字货币交易所发出行政处罚通知,并计划强制命令某些交易所暂停业务。
DeFi安全吗?
越来越多的人希望通过攻击智能合约来窃取资金,他们正在利用当智能合约组合在一起时出现的漏洞进行攻击。
2020年,对DeFi的攻击中,被套取或盗取的总金额已经达到了3600万美元。但因为dForce的攻击者退还了被盗的2500万美元,所以实际金额大约有 1100 万美元。
与以太坊早期相比,每次黑客攻击的平均损失价值已经明显下降。在2020年的10次攻击中,有8次的攻击金额低于100万美元。
DeFi
在以太坊早期,大多数攻击都是基于找到个别漏洞,让攻击者有能力冻结或耗尽智能合约。2016年臭名昭著的DAO黑客事件就是如此,1.6亿美元的ETH被盗,以太坊最终因此分叉。同样,2017年的Parity多签袭击让黑客盗取了3000万美元,Parity钱包中1.5亿美元被冻结,都是这类漏洞造成的后果。
这类智能合约的漏洞仍不时被人利用。最近,一名攻击者成功地从代币合约中窃取了所有的VETH,仅通过耗尽VETH-ETH Uniswap池就获利了90万美元。但这是VETH造成的一个简单失误,因为VETH修改ERC20代币标准的方式有逻辑上的错误。
总的来说,现在的安全性有所提高,特别是那些关注度比较高的项目。它们的安全性提升是由于用户对审计的期望和围绕测试的工具改进推动的。最近DeFi中最大的安全问题是dForce 2500万美元的数字资产在借贷市场中被盗。然而,由于攻击者的IP地址被发现并与新加坡警方共享,因此这些资金被退了回去。
链乔教育在线旗下学硕创新区块链技术工作站是中国教育部学校规划建设发展中心开展的“智慧学习工场2020-学硕创新工作站 ”唯一获准的“区块链技术专业”试点工作站。专业站立足为学生提供多样化成长路径,推进专业学位研究生产学研结合培养模式改革,构建应用型、复合型人才培养体系。
西安破获网络黑客盗窃虚拟货币案具体经过如何?
8月17日16时许,随着载有犯罪嫌疑人周某的车辆开进陕西省西安市公安局经开分局大院,历时近半年的“3·30”特大网络黑客盗窃虚拟货币案正式告破。这个由高智商、专业化网络技术人员组成的黑产不法团伙的3名犯罪嫌疑人全部落网。西安市反诈骗中心初步侦查发现该团伙所涉案件的案值高达6亿元。据悉,这也是迄今为止国内同类案件的最高案值。
今年3月30日,西安市公安局经开分局接到受害人张某报警,称其个人电脑疑似被非法入侵,大量比特币、以太坊等虚拟货币一夜之间被洗劫一空,市值达上亿元。因案情重大,且此类新型案件在陕西尚属首例,陕西省公安厅将此案作为2018年全省严打电信网络诈骗专项行动挂牌督办案件。在陕西省公安厅的指导下,西安市公安局组织刑侦局、经开分局及市局相关部门成立专案组,全力展开侦破工作。
专案组经过初步调查确定,此案属新型网络技术黑产案件,犯罪嫌疑人通过高超的网络黑客技术,在受害人没有任何操作的情况下,远程控制盗取安全性较高的虚拟货币账户,而且几乎没有留下任何作案痕迹,在全国也属罕见案例。
专案组面临的可谓是一道前所未有的“难题”:国内几乎没有已经破获的同类案件可以效仿;虚拟货币极其复杂,技术尖端且交易平台都在国外;嫌疑人手段高超,留下的线索和可以搜索的途径几乎为零。
专案组通过国内外各种渠道进行了广泛的协调沟通,终于通过虚拟货币的流向,发现不法分子将涉案资金不断拆分、层层转移。专案组先后共调取3万余条线索信息,从中不断进行筛选和研判。专案组派出大量警力,奔赴全国多个省市,行程达两万余公里。最终,在国内多家知名互联网公司的大力协助下,经过3个月的不懈努力,嫌疑人周某浮出水面。
为摸清作案过程及团伙成员,掌握并最终固定嫌疑人的涉案证据,专案组围绕周某开展了两个月的艰苦工作,最终锁定了此团伙其余两名成员,分别在北京、吉林长春活动的成员崔某和张某。
3名嫌疑人活动在全国不同省市,相隔千里,且为高智商团伙,反侦查意识极强。专案组为确保收网行动成功,多次召开专案会议,反复推敲抓捕方案。8月初,专案组兵分三路赶赴湖南、吉林、北京开展抓捕工作。
8月15日,抓捕时机成熟。在湖南、吉林、北京警方的大力配合下,3个抓捕组同时展开行动,将3名嫌疑人全部抓获。在大量证据面前,犯罪嫌疑人供述了作案经过。
经讯问,3名嫌疑人均为高级黑客,曾供职于国内知名网络科技公司。该团伙通过多次非法入侵、控制公司企业和个人网络系统,获取大量违法收益,初步侦查的涉案金额已达6亿元。嫌疑人在作案得手后,通过分批抛售部分虚拟货币后提现,并将这些钱财用于购买高档别墅、高端汽车以及理财产品等。
目前,该案仍在进一步调查中。
以太坊带来了那些争议和质疑呢?
以太坊和比特币是有着本质区别的,区别在哪里呢?比特币定义的是一套货币体系,而以太坊侧重的是打造一条主链(可以理解为一条公路),可以让大量的区块链应用跑在这条公路上。
从这一点来看,以太坊的应用场景更广泛,这也是为什么我们说以太坊标志着区块链
1.0时代一个单纯的货币体系,向区块链2.0时代实现其他行业以及应用场景的转变。
但是,世界上没有十全十美的事物,以太坊虽然拓展了区块链在各行各业的应用范围,还提升了处理交易的速度,但是它也存在着一定的争议与质疑。
一、以太坊的扩展性不足的解决之道:分片技术和雷电网络
以太坊的底层设计,最大的问题是以太坊只有一条链,没有侧链,这就意味着,所有程序都要对等地跑在这条链上,消耗资源的同时,还会引发系统拥堵。正如去年非常火爆的以太坊游戏“加密猫”,这个游戏火爆的时候,一度引发以太坊网络瘫痪。
对于提升处理能力这个问题,以太坊提出两种方式:一个是分片技术(shard),一个是雷电网络,下面我们分别介绍一下这两种技术。
(一)分片技术
以太坊创始人 V 神(Vitalik Buterin)认为,诸如比特币这种主流的区块链网络,之所以处理交易的速度很慢,是因为每一个矿工要处理全网的每一笔交易,这样的效率其实是非常低下的。分片技术的构想是:一笔交易不必发动全网所有节点都去处理,只要让网络中的一部分节点(矿工)处理就好了。于是,以太坊网络被划分成很多片,同一时间,每一分片都可以处理不同的交易,这样一来,会大大提升网络性能。
但是,分片技术也是有一定争议的。我们知道,区块链技术的重要思想是去中心化,全网都去见证(处理)同一交易,这才具有最高的权威性。而以太坊分片技术,并不是所有节点共同见证,而是类似于分小组见证,这样一来,它便失去了绝对的“去中心化”属性,只能通过牺牲掉一定的去中心化特性来达到高性能的目的。
(二)雷电网络
雷电网络使用的是链下交易的方式。这是什么意思呢?它的意思是:使用雷电网络的参与者在互相转账时,不需要通过以太坊主链交易确认,而是通过参与者之间创建支付通道,在链下完成。
不过,雷电网络并不是脱离主链的,在建立支付通道之前,需要先用主链上的资产做抵押,生成余额证明(Balance Proof),拥有余额证明才能表明你能做出相应余额的转账。在交易双方都持有余额证明的情况下,双方可通过支付通道在链下进行无限制次数的转账。
只有在完成链下交易,需要将资产转回链上时,才会在以太坊主链上登记主链账户的余额变化信息,而这期间不管发生多少次交易在主链上是不会有记录的。
雷电网络还有一个实实在在的好处,就是可以为你省下矿工费用。目前我们在以太坊主链上进行交易,需要消耗 Gas,需要支付矿工费用,那么一旦将交易搬到链下,就可以节省这一部分的成本。
当然,雷电网络并不是十全十美的。在使用雷电网络时需要用主链上的资产作抵押;而这部分资产作为抵押物,在使用者完成链下交易之前是不能使用的。这也就决定了,雷电交易只适合小额交易。
上面就是以太坊扩展性不足的问题,以及目前提出的两个主要解决方案:分片技术和雷电网络。
二、以太坊的智能合约存在漏洞与臭名昭著的 The Dao 事件
以太坊的智能合约很强大,但是,凡是代码都会存在漏洞的,以太坊智能合约最大的争议就在于所谓的漏洞,也就是安全性问题。据相关研究表明,在基于以太坊的近100万个智能合约上,发现有34200(约3%)个含有安全漏洞,将允许黑客窃取ETH、冻结资产或删除合约,比如说,臭名昭著的The Dao 事件。
(一)Dao是什么意思?
介绍 The Dao 事件之前, 我们先见到介绍一下 DAO 是什么。DAO 是 Decentralized
Autonomous Organization 的简称,可以理解为:去中心化自治组织。从以太坊的角度来理解,DAO 是区块链上的某一类合约,或者一个合约组合,用来代替政府的审查以及复杂等中间程序,从而实现高效的、去中心化的信任的系统。所以,DAO 不是特定的某个组织,也就说呢,可以有很多的DAO,各种各样的DAO。
(二)臭名昭著的The Dao事件
但是,我们现在提到DAO,基本上所指的都是The DAO事件,也就是我们刚刚说的那个臭名昭著的黑客攻击事件。我们知道,英文中的 The是特指的意思,The DAO事件呢就
是特指的那个DAO事件,因为我们刚刚说了DAO不是特定的某个组织,可以有很多的DAO,各种各样的DAO。
2016 年的时候,德国一家专注“智能锁”的公司 Slock.it,为了实现去中心化的实物交换(比如说:公寓啊,船只啊),在以太坊上发布了 DAO项目。并且于2016年4月
30日开始,融资窗口开放了28天。
没想到,这个DAO项目的人气非常高,短短半个月就筹得了超过一亿美元,而到整个融资期结束,一共筹集到1.5亿美元,由此呢,它成为历史上最大的众筹项目。然而好景不长,到了6月份,黑客利用智能合约里面的漏洞,成功转移了超过360万个以太币,并投入到一个DAO子组织中,这个组织和The DAO有着同样的结构。以至于当时以太币价格从20多美元直接跌破13美元。
这个事件说明智能合约的确是有漏洞的,而且一旦漏洞被黑客利用,那么后果是非常严重的。这就是现在很多人批评以太坊,说它的智能合约不智能。
对于这个问题,目前国外有很多公司为了解决智能合约的漏洞问题 ,开始提供代码审计服务。而从技术的角度来说,目前一些团队正在对智能合约进行检验,这些团队多数由哈佛、斯坦福和耶鲁的教授带队,部分团队已经获得了头部机构的投资。
除了目前以太坊存在的扩展性不足、智能合约漏洞问题,对于以太坊的争议还在于它所追求的POS共识机制,也就是权益证明机制,在权益证明机制下,如果说谁持币的数量越大、持币时间越久,获得的“权益”(利息)就越多,还有机会得到记账权力,记账又可以获得奖励,那么这样一来,容易造成“强者越强”的寡头优势。
还有一个问题就是ICO乱象的问题。ICO是区块链项目筹措资金的常用方式,咱们可以理解为预售。以太坊上ICO项目的爆发,滋生了打着ICO旗号进行资金盘、诈骗圈钱等不法行为,对社会和金融稳定造成安全隐患。
评论列表
发表评论
