8月7日,腾讯近日联合网络安全公司「知道创宇」发布《2018上半年区块链安全报告》。报告显示,2018年上半年区块链安全共造成27亿美元损失。问题主要集中在3方面,分别是生态安全、区块链项目自身的机制安全以及使用者安全。其中生态安全和机制安全是最主要的两大安全问题,分别造成14.2亿、12.5亿美元的损失。
除此之外,报告还指出,截至今年上半年,全球出现过的数字加密货币已经超过1600种,但其中存在大量完全没有实体项目支撑的“空气币”,几乎一文不值。
以下为腾讯《2018上半年区块链安全报告》全文:
序言
一、区块链安全事件频发,案值过亿屡见不鲜
1.数字加密货币撑起6000亿美元的市值
2.区块链安全事件爆发率逐年增加,案值增大
二、区块链安全威胁分类
1.引发区块链数字加密货币三大安全问题
2.区块链数字加密货币安全事件详解
2.1因比特币自身机制而出现的安全事件
2.2因区块链生态系统原因导致的安全事件
2.3区块链使用者面临的风险
三、区块链数字货币“热”背后的三大网络安全威胁
1.数字货币勒索事件频发,基础设施成勒索病毒攻击重点目标
1.1上半年勒索病毒攻击特征与三大勒索病毒家族
1.2下半年勒索病毒的传播趋势
2.挖矿木马“异军突起”,成币圈价值“风向标”
2.1上半年挖矿木马样本分析与传播特征
2.2下半年挖矿木马的传播趋势
3.数字劫匪“铤而走险”攻击交易所,半年获利约7亿美元
3.1数字加密货币交易平台被攻击
3.2个人账号遭入侵
3.3“双花攻击”
3.4漏洞攻击
四、安全建议
序言
2018年,是公认的区块链大年。与区块链有关的讨论不仅遍存在于中关村的创业咖啡,更是存在于街头巷尾、地铁公交、微博微信,几乎无处不在。然而,伴随着区块链技术的不断发展,区块链领域本身的安全问题逐渐凸显,与区块链相关的诈骗、传销等社会化安全问题日益突出。
随着区块链的经济价值不断升高,促使不法分子利用各种攻击手段获取更多敏感数据,“盗窃”、“勒索”、“挖矿”等,借着区块链概念和技术,使区块链安全形势变得更加复杂。据网络安全公司Carbon Black的调查数据显示,2018年上半年,有价值约11亿美元的数字加密货币被盗,且在全球范围内因区块链安全事件损失金额还在不断攀升。
为了护航区块链产业健康发展,6月21日“中国区块链安全高峰论坛”上,中国技术市场协会、腾讯安全、知道创宇、中国区块链应用研究中心等政府指导单位、网络安全企业、区块链相关机构及媒体等二十余家机构、单位联合发起“中国区块链安全联盟”,联盟成立后着手建立区块链生态良性发展长效机制,着重打击一切假借区块链名义进行变相传销、诈骗等敛财行为。
区块链安全正受到越来越多的关注,除了广大用户特别关心的会不会踩雷“空气币”,腾讯安全联合实验室的关注点还在于围绕区块链,存在哪些安全风险,以及面对风险怎样才能避免出现重大损失。基于此,腾讯安全联合实验室联合知道创宇,梳理了2018年上半年围绕区块链爆发的典型安全事件,并给出防御措施,希望尽可能帮助用户避开区块链的“雷区”。
一、区块链安全事件频发,案值过亿屡见不鲜
1.数字加密货币撑起6000亿美元的市值
数字加密货币,是按照一定的数学算法,计算出来的一串符号。信仰者认为这串符号,代表一定的价值,可以像货币一样使用。因为其仅存在于计算机中,人们常称之为“数字加密货币”。
不同于由政府发行、并以政府信用做担保,用于商品流通交换的媒介——法币。数字加密货币,是由某个人或某个组织发行,通过一定算法,找到一串符号,然后宣称其是“XX币”。世界上首个数字加密货币由日本人中本聪发现,被他称作比特币。在比特币成功取得黑市交易硬通货的地位之后,引发了数字加密货币发行狂潮。至今,全球出现过的数字加密货币已超过1600种,是地球上国家总数的8倍多。
这1600多种数字虚拟币中,存在大量空气币,被认为一文不值。但这1600多种数字虚拟币,在高峰时期,却撑起了6000亿美元的市值。排名前十的加密数字货币,占总市场的90%,其中比特币、以太坊币分别占总市值的46.66%和20.12%。
关于ICO
一家上市公司发行股票,需要向证券交易场所提交IPO申请,当一种虚拟数字货币需要上市发行时,会寻求数字虚拟币交易所申请ICO。ICO机构并不像IPO机构那样由各国政府机构依法建立,有强大的财经、政治实力做保障,ICO组织均为民间自发形成的组织或联盟,类似自由市场。部分ICO机构的实际表现,实际上更接近于跨国诈骗组织。空气币在全球范围内满天飞,群雄四起的ICO机构功不可没。
2.区块链安全事件爆发率逐年增加,案值增大
加密数字货币一经诞生,安全性就是人们关注的焦点,遗憾的是各类重大安全事件层出不穷。就比如下面这些惊人的案例:
2013年11月,澳大利亚广播公司报道,当地一位18岁的青年称,自己运营的比特币银行被盗,损失4100个比特币;
2014年3月,美国数字货币交易所Poloniex被盗,损失12.3%的比特币;
2014年Mt.gox盗币案——85万枚,价值120亿美元;
2015年1月,Bitstamp交易所盗币案——1.9万枚比特币,当时价值510万美元;
2015年2月,黑客利用比特儿从冷钱包填充热钱包的瞬间,将比特儿交易平台冷钱包中的所有比特币盗走,总额为7170个比特币,价值1亿美元;
2016年1月1日,Cryptsy交易平台失窃1.3万比特币,价值1.9亿美元;
2016年8月1日,全球知名比特币交易平台Bitfinex盗币案——约12万枚,价值18亿美元;
2017年3月1日,韩国比特币交易所yapizon被盗3831枚比特币,相当于该平台总资产的37%,价值5700万美元;
2017年6月1日,韩国数字资产交易平台Bithumb被黑客入侵,受损账户损失数十亿韩元;
2017年7月1日,BTC-e交易所盗币案——6.6万枚,价值9.9亿美元;
2017年11月22日Tether宣布被黑客入侵,价值3100万美元的比特币被盗;
2017年11月23日,Bitfinex发生挤兑3万比特币瞬间被提走;
据美国财经网站CNBC报道,网络安全公司Carbon Black的调查数据显示,2018年上半年,有价值约11亿美元的数字加密货币被盗。
二、区块链安全威胁分类
1.引发区块链数字加密货币三大安全问题
与数字加密货币有关的安全事件为何影响如此严重呢?产生安全风险的原因在哪儿?腾讯联合安全实验室和知道创宇公司认为:基于区块链加密数字货币引发的安全问题来源于区块链自身机制安全、生态安全和使用者安全三个方面。
上述三方面原因造成的经济损失分别是12.5亿、14.2亿和0.56亿美元。
总的趋势是,随着数字虚拟货币参与者的增加,各种原因导致的安全事件也显著增加。
细分来观察:
区块链自身机制安全问题
—— 智能合约的问题
——理论上存在的51%攻击已成现实
区块链生态安全问题
—— 交易所被盗(如前所述、触目惊心)
——交易所、矿池、网站被DDoS
——钱包、矿池面临DNS劫持风险(劫持数字虚拟币交易钱包地址的病毒已层出不穷)
——交易所被钓鱼、内鬼、钱包被盗、各种信息泄露、账号被盗等
使用者安全问题
——个人管理的账号和钱包被盗
——被欺诈、被钓鱼、私钥管理不善,遭遇病毒木马等。
2.区块链数字加密货币安全事件详解 2.1因比特币自身机制而出现的安全事件
2018年5月,比特币黄金(BTG)遭遇51%双花攻击,损失1860万美元。
2017年10月,比特币网络遭遇垃圾交易攻击,导致10%以上的比特币节点下线。
51%双花攻击最为典型,所谓51%攻击就是有人掌握了全网51%以上的算力之后,就可以像赛跑一样,抢先完成一个更长的、伪造交易的链。比特币只认最长的链。所以伪造的交易也会得到所有节点的认可,假的也随之变成真的了;“双花”(Double Spending)从字面上看,就是一笔钱被花出去了两次。以BTG事件为例,就是黑客临时控制了区块链之后,不断地在交易所发起交易和撤销交易,将一定数量的BTG在多个钱包地址间来回转,一笔“钱”被花了多次,黑客的地址因此能得到额外的比特币。
2.2因区块链生态系统原因导致的安全事件
比如交易所面临的风险,被DDoS攻击的事件常有发生。还有交易所账户被黑客控制,攻击者控制交易行情,场外套利。
2018年3月,号称世界第二大交易所的“币安”被黑客攻击,大量用户发现自己账户被盗。黑客将被盗账户中所持有的比特币全部卖出,高价买入VIA(维尔币),致比特币大跌,VIA暴涨110倍。
2.3区块链使用者面临的风险
数字虚拟币钱包,要理解或完全掌握这些交易工具的使用有较高的门槛,要求使用者对计算机、对