编者按:本文来自 星传媒STARMEDIA(ID:Star_Media1),作者:雪穗,Odaily星球日报经授权发布。
比特币雄起之时,是黑客杀入之日。
2019年,据不完全统计,全球因黑客盗币事件损失的资产高达5000亿人民币。而自比特币诞生的11年来,这一场浩浩汤汤的黑客大迁移就不停地进行着。数字货币交易所是币圈最大的资金池,吸引黑客前赴后继前来盗币,币安、Coinbase交易所无一幸免,上百万人损失万亿美元。
黑白混乱,安能辨我是“雄雌”
“黑客”,往往意味着经济犯罪,他们常常凭借异于常人的技术手段,通过研究对方服务器漏洞发起攻击,盗取或个人信息,或商业秘密,或电子现金,亦或比特币。
在黑客阵容中一直以来存在着两大派系——黑帽黑客和白帽黑客。
黑帽黑客(black hat hacker),往往通过非法手段窃取别人财务或信息,他们是让众多机构组织和个人惶恐而又避之不及的人。
白帽黑客(white hat hacker),与黑帽黑客相反,他们在互联网的虚拟世界里,代表的是正义,他们的日常工作就是在不断查找系统安全漏洞,模仿黑帽黑客对服务器发起攻击,从而完善现有互联网安全体系,避免个人信息或财务惨遭黑帽黑客窃取。
在过去十几年里,黑客事件数不胜数,如果说互联网发生黑客事件,丢的是信心,而区块链黑客事件,有可能丢的是命。
每当发生数字资产失窃事件,区块链机构对外的说辞均指黑客所为。如果说,你的比特币被黑帽黑客非法攻击窃取,你可能会在痛骂黑客卑鄙的同时,声讨交易所等机构监管不力,但如果是被自家白帽黑客监守自盗,你又该如何是好?
神秘“黑手”伸向比特币
比特币从诞生之初价格仅有0.0025美元,到2017年12月涨到20000美元,上涨了803.56万倍,远远超越了郁金香泡沫、股票的财富泡沫,圈养并产生了一大批投机获利客。
可,不为人知的是,投机获利客却用他们投机倒把的钱圈养了大批黑客富豪。
从门头沟被盗开始到钱包频繁入侵和交易所失窃,黑客早已盯死了比特币,11年来,黑客大迁移行动浩浩汤汤地持续着。
2014年2月,区块链业内暴发了首个大型盗币案件,那就是震惊全球的门头沟事件。当时被喻为世界第一大交易所的Mt.Gox,发声明称因其服务器遭黑客攻击,交易所共损失客户75万个比特币和本公司拥有的10万个比特币,约折合市值4.73亿美元。
消息一出,业内讨伐声一片,受害者街头示威、人肉公司高管、向法庭状告......
最终,迫于社会舆论的压力,加之此前已负债65亿日元(约6400万美元),Mt.Gox于2014年2月28日正式向东京地区法院申请破产保护,这意味着,彼时日交易流水过亿的加密货币交易所宣告死亡了。
然而,这一惨淡的收尾,怒火中烧的比特币所属人并不买单。对他们而言,失窃的,不仅仅是比特币,更是信仰、身家性命。
消息一出,业内再次震动。
随后,Mt.Gox交易所CEO Mark Karpeles被日本东京地区法院正式起诉,因为,他被怀疑为盗取此次巨额比特币的真正幕后黑手。Mark Karpeles涉嫌非法操控账户和交易数据,非法侵占用户资产等多项罪名。
但Mark Karpeles对法官的这一系列指控予以否认,他表示从平台创始人Jed McCaleb手中接过Mt.Gox交易所时,便发现平台存在严重的代码漏洞,但此时损失已经造成,而作为后Ripple(瑞波)、Stellar(恒星)创始人的Jed McCaleb也未对此作出任何回应。
受此消息影响,大量的比特币投资者持币担惊受怕,纷纷抛售手中的比特币,比特币一时抛压严重,呈现持续下跌的趋势。由此,开启了比特币长达两年的熊市。
11年来,黑客盗币事件越来越严重,手段也越来越高明,已形成一条职业产业链。
2018年9月18日,日本交易所Zaif声称热钱包遭黑客攻击,共失窃6000枚比特币,以及部分比特币现金和MonaCoin,被盗虚拟货币资金价值总计70亿日元(约合4.3亿元人民币)。
2019年11月27日,韩国交易所Upbit公告声称,平台服务器被黑客攻击,34.2万ETH被转入未知地址,还包括少量的XLM、BTT和TRX,失窃币种价值保守估计约合5000万美元。
淡薄的安全意识,跟不上揽财的欲望
近年来,区块链行业持续走热,基本上只要和区块链搭上边,发个币,做个钱包,成立个交易所,就可以拿袋子搓钱了。而在整个比特币的炒作的链条中,最为暴利的非交易所莫属,他们一方面通过向项目方收取昂贵的上币手续费,另一边还收割投资者和项目方。镰刀挥下,财源滚滚,也自然成为黑帽黑客攻击的首选。
“人为刀俎,我为鱼肉,而淡薄的安全意识,常常让交易所成为黑客砧板上最常见的鱼肉。”某区块链安全公司CEO王磊(化名)苦笑道。
照理说交易所不缺钱,招聘到高端的安全技术人才也不是难事,可为什么还是频频失窃?
是“利益熏心”在作怪!
“拽什么拽!全公司都指着我们运营和商务吃饭呢。”王磊表示。
这种场景在传统互联网行业基本不存在,而在币圈交易所却司空见惯。
因为,一些交易所在成立之初就是奔着割韭菜来的,如何尽快吸引用户入场交易比特币,才是他们首要考虑的,相比短时内无法直接变现的技术团队,自然更受高层的青睐,市场人员也就“拽”了起来。
但这,并不是最可怕的,最可怕的是——自家的大门给别人配了一把钥匙。有交易所监守自盗,只要完成从白帽到黑帽的演变,瞬间就能变成名列前茅的首富大亨。
10分钟开交易所,白帽变身黑帽
不少投资机构看到比特币交易所如此暴利,也想从中分一杯羹,便砸钱进场。
但有些人比较心急,如果自己招聘技术团队开发交易平台,花费的时间恐怕要错过这一场捞钱的盛宴。此时,一种以ChainupCloud为代表的交易所服务提供商应运而生。
“10分钟就可以开一家交易所,想挣快钱,或者说不愿花时间去开发的人,通常成为这类消费者的首选。”王磊告诉星传媒,“对于想尽快入场的交易所而言,时间就是金钱,这种产品确实给他们节省了不少时间,得以抢先占领市场,但同时也留下了致命的安全隐患。”
如王磊所言,这种便捷型交易所产品,只要向平台缴纳一定的费用,就能简单注册,便能投入使用。
这样的交易所,从平台的开发到后期的运维,一条龙完全依托于第三方机构,他们从不关心平台的技术层面,也无法掌控技术,更无法进行二次开发。如果,所依赖的平台中负责运维的技术人员想要做黑帽黑客,只需要在前期产品开发或后期平台维护时,简单通过数据埋点监测平台数据,就可以轻松攻击交易所的服务器,就如同用钥匙打开自家大门那么简单。
这也是为什么那么多白帽黑客向黑帽黑客转变的原因,他们面对巨大的利润诱惑,当诱惑足够大时,道德便不值一提,他们的身份也悄然发生了改变。
从未真正去中心化
区块链的初衷是通过去中心化技术,改变现有的中心化控制局面,从而避免因中心机构监守自盗等问题造成个人信息、数据及财产的泄露与丢失。然而,以目前的区块链现状来看,传统的中心化运营模式并未改变,甚至安全性较传统中心化平台更差,即使是币安等头部交易所也难逃黑客的掠夺。
目前,用户存储比特币等虚拟货币的主要方式有两种——交易平台账户(官方热钱包)、硬件冷钱包,均属中心化的。
而99%的盗币事件发生在交易平台上。
举例来说,当小明在某虚拟货币平台购买了价值千万的比特币后,在该交易平台的个人账户内所看到资产信息,其实并不是真实的比特币,它就像银行卡里一串数字一样。实际上,在小明买入虚拟货币时,交易平台统一将比特币划转到官方热钱包地址,而热钱包从诞生之初就是联网的。这样一来,用户在享受实时交易的便利性的同时,也给黑客留下了可乘之机,这也是交易平台屡屡被盗取的主要原因。
而另一方面,也是最为人所诟病的一点,交易所钱包通常都是自主开发的。不但开发过程不受监管,运营过程也是中心化的,用户的数字资产并未像传统P2P金融产品那样实现第三方隔离托管。这就好比自己建池子养鱼,想什么时候杀,就什么时杀。这也是很多平台监守自盗许久,却仍不被发现的原因。