研報(bào)｜2018年區(qū)塊鏈安全問題已造成20億美元損失

作者丨鳩摩智

編輯｜熊吉

序言

比特幣自問世以來(lái)，被盜數(shù)量超過100萬(wàn)枚，價(jià)值約為70億美元；

比特幣的底層技術(shù)“區(qū)塊鏈”面臨著來(lái)自數(shù)據(jù)層、網(wǎng)絡(luò)層、共識(shí)層、激勵(lì)層、合約層、應(yīng)用層的安全風(fēng)險(xiǎn)，安全攻擊方式層出不窮，防不勝防；

2018年全球區(qū)塊鏈領(lǐng)域發(fā)生70多起安全事件，損失近20億美元；

區(qū)塊鏈安全問題成為制約行業(yè)發(fā)展的關(guān)鍵，安全服務(wù)供給嚴(yán)重不足，而黑色產(chǎn)業(yè)卻愈演愈烈，GlobeImposter，Crysis，GandCrab, Satan成為2018年最流行的勒索病毒四大家族。

本報(bào)告共分為四個(gè)部分：加密貨幣安全事件回顧；區(qū)塊鏈安全風(fēng)險(xiǎn)分類；區(qū)塊鏈安全現(xiàn)狀及態(tài)勢(shì)；總結(jié)與展望。

01 加密貨幣安全事件回顧

自加密貨幣出現(xiàn)以來(lái)，黑客攻擊交易所竊取數(shù)字資產(chǎn)事件層出不窮，防不勝防！其中，最早問世同時(shí)也是市值最大的比特幣被盜數(shù)量超過100萬(wàn)枚，價(jià)值約為70億美元（以2018年8月31日比特幣價(jià)格衡量）。而對(duì)于其他山寨幣，不法分子十分猖獗，單次盜取數(shù)字資產(chǎn)數(shù)量高達(dá)5.23億枚，價(jià)值約為5.34億美元。

圖1 加密貨幣安全事件回顧

02 區(qū)塊鏈安全風(fēng)險(xiǎn)分類

區(qū)塊鏈技術(shù)模型自下而上分為數(shù)據(jù)層、網(wǎng)絡(luò)層、共識(shí)層、激勵(lì)層、合約層、應(yīng)用層，各層各司其職，卻又相互配合，實(shí)現(xiàn)去中心化的信任機(jī)制。各層之間面臨著不同的安全風(fēng)險(xiǎn)：

1.數(shù)據(jù)層面臨的安全風(fēng)險(xiǎn)主要有信息攻擊與加密算法攻擊兩種；

2.網(wǎng)絡(luò)層存在節(jié)點(diǎn)傳播與驗(yàn)證機(jī)制的風(fēng)險(xiǎn)；

3.共識(shí)層根據(jù)共識(shí)機(jī)制的不同而存在著不同的安全風(fēng)險(xiǎn)，常見的攻擊方式包括：女巫攻擊、短距離攻擊、長(zhǎng)距離攻擊等；

4.激勵(lì)層現(xiàn)階段主要存在著分配機(jī)制的風(fēng)險(xiǎn)；

5.合約層造成的經(jīng)濟(jì)損失量最大，主要存在以下攻擊風(fēng)險(xiǎn)：Solidity語(yǔ)言漏洞、逃逸漏洞、時(shí)間戳依賴攻擊等；

6.應(yīng)用層安全風(fēng)險(xiǎn)主要集中在用戶節(jié)點(diǎn)、數(shù)字資產(chǎn)錢包以及交易平臺(tái)上。

圖2 區(qū)塊鏈安全風(fēng)險(xiǎn)分類

03 區(qū)塊鏈安全現(xiàn)狀及態(tài)勢(shì)

3.1    2018年區(qū)塊鏈安全事件暴增4倍，達(dá)到71起

2018年至今，區(qū)塊鏈領(lǐng)域安全事件發(fā)生71起，相較于2017年的15起，增長(zhǎng)了373%。區(qū)塊鏈領(lǐng)域安全問題日益凸顯，逐漸成為區(qū)塊鏈技術(shù)發(fā)展的核心關(guān)鍵。

3.2    2018年區(qū)塊鏈安全攻擊主要發(fā)生在應(yīng)用層

2018年區(qū)塊鏈領(lǐng)域發(fā)生的安全攻擊事件中，59%集中在應(yīng)用層，被成功攻擊次數(shù)近40。

3.3     智能合約是區(qū)塊鏈安全的重災(zāi)區(qū)

2018區(qū)塊鏈領(lǐng)域安全攻擊對(duì)象主要集中在智能合約上，被成功攻擊次數(shù)超過20次。

3.4     2018年區(qū)塊鏈安全事件造成經(jīng)濟(jì)損失近20億美元

2011年至今，全球區(qū)塊鏈因安全事件造成的經(jīng)濟(jì)損失達(dá)33.2億美元，其中2018年的損失高達(dá)19.7億美元，占比為59.49%，區(qū)塊鏈安全形勢(shì)愈演愈劇。

區(qū)塊鏈安全事件分布及其經(jīng)濟(jì)損失分布

3.5     2018年合約層造成的經(jīng)濟(jì)損失達(dá)11億美元

2018年區(qū)塊鏈領(lǐng)域安全事件造成的經(jīng)濟(jì)損失中，合約層占55%，損失約為11億美元。

3.6     區(qū)塊鏈領(lǐng)域智能合約問題突出

2018年區(qū)塊鏈領(lǐng)域被攻擊對(duì)象中，智能合約遭受攻擊造成的經(jīng)濟(jì)損失約為11億美元，占比為55%。

區(qū)塊鏈安全事件經(jīng)濟(jì)損失分布

3.7     區(qū)塊鏈安全面臨著巨大挑戰(zhàn)

3.7.1     區(qū)塊鏈安全服務(wù)供給嚴(yán)重不足

全球有10,000+的區(qū)塊鏈項(xiàng)目，而目前區(qū)塊鏈安全公司數(shù)量?jī)H有50家左右。

3.7.2     勒索病毒呈家族產(chǎn)業(yè)化趨勢(shì)

據(jù)360天擎團(tuán)隊(duì)披露數(shù)據(jù)顯示，Globelmposter、Crysis、GandCrab、Satan是2018年上半年最為活躍的四大勒索病毒家族，傳播量占上半年勒索病毒傳播總量的90%以上。

3.7.3     挖礦病毒呈高速增長(zhǎng)態(tài)勢(shì)

隨著“炒幣”熱潮的到來(lái)，2018年挖礦木馬迅速盛行起來(lái)。挖礦木馬事件成倍增長(zhǎng)，2018年上半年爆出的挖礦木馬事件有40多起，2017年有20多起挖礦木馬事件。

3.7.4     加密貨幣失竊難以預(yù)防

2018年上半年，Coincheck、Binance、Coinrail等多家加密貨幣交易所被黑客攻擊，損失約7億美元。用戶個(gè)人賬號(hào)遭黑客入侵，不法分子通過植入病毒竊取數(shù)字貨幣錢包信息，不法文字將資金轉(zhuǎn)入自己賬戶。

雙花攻擊風(fēng)險(xiǎn)依舊存在，加密貨幣網(wǎng)絡(luò)51%的算力被不法分子控制之后，不法分子可對(duì)數(shù)字加密貨幣區(qū)塊鏈進(jìn)行攻擊，可實(shí)現(xiàn)對(duì)已經(jīng)交易完成的數(shù)據(jù)進(jìn)行銷毀，并重新支付，這樣就可獲得雙倍服務(wù)。

04 總結(jié)與展望

2018年是區(qū)塊鏈發(fā)展的關(guān)鍵之年，但安全問題卻已成為制約其發(fā)展的核心關(guān)鍵：2018年以來(lái)共發(fā)生70多起安全事件，造成近20億美元的經(jīng)濟(jì)損失，勒索病毒家族漸成氣候，安全攻擊防不勝防！但隨著資源的不斷注入，可以預(yù)見：

1.區(qū)塊鏈安全解決方案呈高速螺旋式升級(jí)

黑色產(chǎn)業(yè)家族化倒逼區(qū)塊鏈安全服務(wù)商不斷創(chuàng)新安全技術(shù)與服務(wù)，構(gòu)建全新的安全防御體系，增強(qiáng)產(chǎn)業(yè)活力。

2.區(qū)塊鏈安全領(lǐng)域?qū)⒀杆俅呱鲆慌袠I(yè)“獨(dú)角獸”

安全事件頻發(fā)，經(jīng)濟(jì)損失近20億美元——2018年區(qū)塊鏈安全領(lǐng)域企業(yè)將經(jīng)歷一番慘烈的“大浪淘沙”，浪潮退去，巨頭初顯！

本文為財(cái)鏈社原創(chuàng)作品，文章轉(zhuǎn)載、內(nèi)容合作請(qǐng)聯(lián)系微信：sueyus。未經(jīng)授權(quán)轉(zhuǎn)載本平臺(tái)原創(chuàng)文章，依法必究。