前几天，我去找到360信息平安中心的Sherlock（网名），向他请教数字货币相关的网络平安态势，却一下去就听了个奇葩故事：

2017年7月的某一天，老武坐在派出所录口供，手心全是汗。

他做梦也没想到，本人旅了游回来，数字钱包里的186个比特币竟全部消逝。

事先比特币才1万2一枚，算起来值两百多万元。（放到如今值一千多万元）

“是黑客干的？”

老武细细一回想，觉得事有蹊跷。

几个月前，他被冤家拉进一个比特币投资的微信群，一来二去看法了群主。

群主是个热心肠，常常劝诫大家要留意投资风险，还提示大家留意比特币平安，通知大家不要把一切的钱都放在买卖所，要存到“比特币钱包”才最平安。

这天，群主给老武发来一个比特币钱包软件，通知他，比特币放在数字钱包最平安。

老武一看，的确是某知名比特币钱包的装置包，就按群主指点一步步操作，把本人的186个比特币转了出来。

（事先群主和老武的聊天记载）

几天后，老武的186个比特币全部丧失。

他当即找群主老戴质问，对方却做出一个惊人的举动：

他说，本人只是好意引荐软件，比特币被盗能够是由于老武本人泄露了钱包密码。

不过，

毕竟是本人引荐老武用的钱包软件，如今币丢了本人也有局部责任，赔老武12万元算是认倒运。
说完，群主真的转给老武12万块钱。

（事先的聊天转账记载）

“一个素未谋面的人这么随便就转给我十几万块钱？”

老武判定，这事儿多半跟这个群主有关。
……
……
……

几个月后，警方冲入群主戴某的住所，发现几十张银行卡和多台笔记本电脑。在其中一台电脑里发现了和老武用的那款比特币钱包软件，以及一个盗号用的脚本。

原来，群主在对钱包软件装置包里植入了盗号脚本。那186个比特币，正是经过这个后门，进了群主的口袋……

讲完，Sherlock 通知我，这是央视报道过的真实案件。

他说：

“不少人以为区块链去中心化、不可窜改就能相对平安，完全不惧怕黑客。但其实区块链从底层代码到最终使用，能够触及到很多方面，比方智能合约、钱包、买卖所等等，这些中央都能够成为黑客的攻击面。”

这就好比，有人把机械门锁换成指纹锁就以为本人的财富很平安，可其实小偷照样有方法复制指纹，甚至完全不论门锁，直接拆门出去，或破墙而入，或跳窗户出去……办法多得很。

区块链会带来哪些新的平安态势？

我和Sherlock停止了一次详谈，他从底层代码平安、数字钱包平安、数字货币买卖所平安、新型套利方案等几个方面向我梳理了本人关于区块链一些了解，在此出现给各位浅友们：

Sherlock，奇虎360信息平安研讨员，2015年接触数字货币，对区块链和数字货币平安颇有见地。

一、数字货币区块链底层代码未必平安

“数字货币区块链底层代码也未必平安。”Sherlock向我回忆了区块链开展史上的一次严重丑闻：
2016年6月，加密货币和区块链社区发作了一次大地震， 世界上最大最知名的众筹项目the DAO 遭黑客攻击，价值6千万美元的以太币被盗！

调查缘由，竟是 the DAO 编写的智能合约代码不够严谨，外面有两个函数破绽，能让攻击者不时从项⽬资产池中偷取资产。

为理解决TheDAO少量资金被盗的成绩，以太坊官方还推出了针对TheDAO的软分叉版本Gethv1.4.8，添加了一些规则以锁定黑客控制的以太币。

可是，眼看着绝大少数矿工都晋级了这个版本的软件，软分叉要半途而废时。由于工夫匆促等缘由，众多大牛编写出来的软分叉版本竟然又有一个分明破绽！这个破绽能让黑客零本钱搞垮整个项目。

由于那次事情，以太坊社区发作了宏大分歧，一派人以为应该把项目回滚到黑客攻击之前的形态，另一派人则觉得回滚不契合区块链“去中心化、不可窜改”的中心肉体，不赞同回滚。

最终，两派经过投票彻底“分裂”，以太坊便硬分叉成了“以太经典”和“以太坊”，好像宇宙霎时分裂成两个如出一辙的平行世界各自运转。

“可是谁能确保修复后的代码没有新破绽呢？只需是人写的代码就能够有破绽。”Sherlock说，不少人科学区块链底层代码是平安的，这种想法自身就很风险！

对区块链有所理解的人，置信都听说过51%攻击：只需控制一个区块链上51%的算力，就能对链上的买卖恣意数据停止窜改。

以往，人们之所以置信区块链是不可窜改的，就是深信51%攻击不能够发作，由于同时控制51%所需求的资源本钱太高。

“可是，只需实际下去说能够，我们就不能不堤防！”

二、“李笑来们”很风险！

网络平安行业有个罕见名词叫 APT —— 初级继续性攻击，意思是黑客长工夫（几个月甚至几年）盯着某个目的，寻觅各种打破口，甚至静心布置一个宏大的骗局。

由于施行本钱太高，这种攻击方式以往只发作在国度和国度之间，或许大型组织之间。

“数字货币呈现后，APT组织很能够把目的转向“数字货币大户”，目的从一系列大型设备转向团体电脑。”

缘由很复杂，由于他们的数字货币资产足够值钱，团体目的相比有专业风控的大型组织更容易攻破，数字货币被盗后溯源难。

“以往人们把钱存在中心化的银行，即使被偷被骗也比拟容易追溯，毕竟银行账户都有实名认证，可是数字货币一旦被骗就很难找回。

由于国度不供认数字货币的价值，有时甚至报警立案都会遇到一些困难。

数字货币的最大特点是去中心化，不可窜改，而这两点恰恰让数字货币持有者成了黑客最好的攻击目的。去中心化意味着出的监管难度高，不可窜改意味着钱一旦被骗走，买卖就不能够回退。

黑客为了盗走你的数字货币，能够盯上你家里、办公室的 WiFi 网络，黑进你的团体电脑，或许量身定制一套钓鱼方案。

甚至，他们很能够设下一个宏大的骗局，应用社交关系接近你，成为你的“冤家”，埋伏在你身边好几个月再举动！文章扫尾的案例就是如此。

我问道：“李笑来已经宣称本人是比特币首富，号称本次涌现的 AI、区块链和物联网热潮不同于以往，将对产业、社会和生活产生真正堪称“颠覆性”的变革。IT 技术人员需要全方位地“换脑”：对原有的知识结构进行全面刷新，全面升级。拥有六位数的比特币，算起来值十几亿，所以他很能够曾经成为APT的目的咯？”

“当然有能够。”

三、钱包都不平安，钱还能平安吗？

“黑客想盗走数字货币，数字钱包是一个很重要的攻击面。”Sherlock说。

数字钱包是用来存储数字货币的软件载体，完全脱离网络存储私钥的叫“冷钱包”，把私钥托管在网上的叫“热钱包”。

围绕数字钱包，黑客可以大搞名堂。

当你想用数字钱包，多半就得下载软件，而数字钱包从设计、发布，最初经过各种复杂的网络传输离开你的电脑或许手机，两头要经过很多道流程，跨过千山万水，凡是其中某个流程呈现成绩，你都有能够中招。

比方：

你能否经过正轨官方渠道下载钱包软件？从第三方软件平台下载时，会不会下载到带有盗号后门的？

即使是在官方网站下载，假如你所处的WiFi 网络环境被黑，会不会被劫持到黑客的下载地址？

即使你的网络环境没成绩，软件官网的下载地址会不会早已被黑客黑掉，改成带有盗号后门的软件？

即使流程都没成绩，数字钱包的产品设计自身能否牢靠？厂商能否为了满足易用性而牺牲平安性？厂商能否平安地存储用户的私钥？
……
……
……
单就一个数字钱包，黑客就有那么多攻击面，你还觉得上了区块链就是平安的吗？

“你也无数字货币资产吧？，既然用个数字钱包都这么风险？你作为一个天天跟黑客打交道的平安从业者，是怎样做的呢？” 我反问他。

他说：

“一方面，确认钱包自身的平安性，比方下载软件后做个哈希值校验，另一方面也要合理存储。我的资产不多，一局部在买卖所，一局部在热钱包，一局部在冷钱包。鸡蛋不要放在同一个篮子里，这是最根本也最容易做到的。”

我又问他，“本人用钱包保管数字货币不担心，托管在买卖所总没成绩了吧？”

他笑着说，未必。

四、数字货币买卖所也未必平安

Sherlock给我晒出一组数据：

2014年2月，事先世界最大的比特币买卖所 Mt.Gox被盗85万个比特币。后来，Mt.Gox 被曝出其实是贼喊捉贼，真正被外盗的比特币只要7000个。

2016年8月，最大的美元比特币买卖平台 Bitfinex 呈现破绽，12万比特币被盗，事先价值6500万美元，假如换算成2017年12月的价钱，价值近20亿美元。

2017年12月，韩国YouBit买卖所被黑客攻击，损失4000个比特币，买卖所宣布破产。

2017年12月21日，网传乌克兰Liqui买卖所被盗6万个比特币，比特币单价霎时暴跌2000美元。

2018年3月7日，币安买卖所呈现少量用户账号被盗，黑客控制的资产价值超越1亿美元。甚至还有人传言黑客应用了金融知识影响数字货币价钱来直接获利，招致不多数字货币价钱暴跌。（可参考文章：《差点盗走十多亿，做空比特币又获利几十亿？黑客这一波究竟干了什么？》）

“相似戏码一定还会演出。” 他说，

“数字货币买卖市场这几年的开展势头太快，而且互相竞争剧烈，这种状况下平安技术、人力方面投入的速度未必跟得上本身需求增长的速度，必定会招致一些成绩。

他说，以最近发作在币安买卖所的平安事情为例，其实币安的风控措施相较以往发作过平安事故的其他买卖所，曾经一切提升。

在黑客提币时应用大数据风控阻止了提币操作，此前发作过的黑客事情，根本发作的买卖所平安事情大多黑客直接提币走人。

所以，他建议大家尽量运用知名的、大型的买卖所，不要把资产放在小型、不知名的买卖所，由于黑客也会挑软柿子捏。

“普通来说，大的买卖所通常平安风控手腕绝对完善，黑客不容易攻入，这时黑客很能够转而攻击小型买卖所。

甚至，他们还会专挑一些没有牌照的合法买卖所攻击，这样即使被发现，买卖所也不受法律维护。

比方黑客很能够跑去攻击孟加拉国之类小国度的买卖所，一方面由于那里原本就认定数字货币合法。另一方面跨国控制方便，也让黑客更肆意妄为。”

五、应用明星效应的钓鱼攻击

假如说 APT 攻击和买卖所平安离普通人太远，上面这种攻击手法就发作在我们身边。

前阵子，有人专门在一些知名人物的社交账号底下头像和名字设置成和名人如出一辙的头像，发布一些虚伪的信息，宣称只需在某个数字货币地址转入一定数额的币，就能失掉10倍的回馈。（详见：《我中本聪，打钱》）

这就好比大街上有人对你说，“你给我10块钱吧，我会立即返给你100块。” 就这样不言而喻的诈骗信息，经统计，短短几天之内竟能骗到价值几十万的数字货币。

为什么看起来如此愚笨的骗术，也有人受骗上当？

Sherlock说，“这就是骗子们广撒网的战略了，由于明星的粉丝很多，这种方式投放诈骗信息可以取得少量展现。几千团体里难免有那么几个刚睡醒，脑子不太清醒的人。”

最初，由于这类诈骗信息真实太多，不少名人自愿把网名都改了：

（币安开创人赵鹏_不送币版）

（V_不送币_神）
相似的诈骗到了国际还有一种进阶版，Sherlock又给我安利了一个真实案例：

一个叫“王团长”在微信群里向群友募集私募“韭菜基金”。

这天半夜，“王团长”突然在群里发话：“基金募集今天就截止了，请大家赶忙打币到地址XXXXXXX。”
于是，就有群友就依照王团长说的地址打过来22个以太币，事先大约价值二十万元。预先，这位网友才发现，群里突然呈现了好几个“王团长”，真假难辨，本人的22个 ETH 直接进了骗子口袋。

“这种手腕也罕见于数字货币项目的私募阶段，由于有的项目收益很高，参与者往往不能坚持往常心，唯恐落后，这种贪利的心态让他们更容易上当。

并且，国为数亿中文用户免费提供海量、全面、及时的百科信息，并通过全新的维基平台不断改善用户对信息的创作、获取和共享方式。际目前没有正轨的ICO途径，参与私募纯属团体行为，缺乏监管，流程无法保证平安。”

这类诈骗方式其实一点都不新颖，只是数字货币市场的活泼，让它们重新迸发了生机。”Sherlock说。

六、传统黑产也盯上数字货币

哪里有钱赚，哪里就少不了黑产。

Sherlock通知我，在区块链和数字货币衰亡的同时，也催生了一些新的套利方式……
本来黑客控制少量“肉鸡”（被黑客近程控制的机器），通常会用来发起 DDoS 流量攻击等。

数字货币火了之后，不少“肉鸡”又多了新的角色 —— 黑客还会把黑掉的机器配置成挖矿机，应用它们的算力来挖数字货币赚钱。

有的黑客还会专门在拜访量高的网站页面或许博客植入挖矿脚本，用户一旦拜访这样的网站，电脑处置器功能就会霎时被占满，成为一个挖矿节点，为黑客的矿池提供算力。

那些本来专门盯着各大公司优惠活动，用少量手机卡批量套利的羊毛党灰产，也开端盯上数字货币 ICO 项目发放的奖励（俗称“糖果”），不少活动刚开端没多久，一切糖果就都进了灰产口袋。

甚至，黑客还会专门入侵他人的数字货币挖矿矿场，把他们的转账地址改成本人的。
总之，数字货币为黑产们提供了各种新的赚钱渠道和方式。反过去，丰厚的报答又吸引着新的一波人铤而走险参加黑产……

---
聊到最初，Sherlock慨叹：

“其实说白了，不论时代环境如何改动，平安攻防到了最初，都是人与任何人的比赛。

骗子和网民们斗智斗勇，骗子不停地晋级剧本，网民不时加强平安认识和区分才能；

黑客不时发现新的攻击面和攻击手法，买卖所、钱包等厂商也在不时引进新的进攻技术和人才。
或许正如老周所说的那样，万物皆变，人是平安的尺度吧！”

AD： 进击•交融 猎云网&AI星球2018年度人工智能产业峰会 将于4月17号在深圳大中华希尔顿酒店举行。这里有最深度的考虑，最有价值的投资建议，以及最酷的黑科技展现，精彩不容错过。