和一个搞网络安全的人聊完数字货币，我喝了一口茶压抑住自己的震惊……

前几天去找360信息安全中心的Sherlock（网名），向他询问数字货币相关的网络安全情况，一上来就听到一个奇葩故事：

2017年7月的一天，老吴坐在派出所里供述，手心都是汗。

他做梦也没想到，他的数字钱包里的 186 个比特币会在他旅行后全部消失。

当时比特币只有12000枚，价值超过200万元人民币。 （现身价千万以上）

“是黑客干的吗？”

仔细一想，老吴觉得不对劲。

几个月前，他被朋友拉进了一个比特币投资微信群，认识了群主。

群主是个热心人，经常告诫大家注意投资风险，也提醒大家注意比特币的安全，告诉大家不要把所有的钱都放在交易所，去交易所最安全将他们所有的钱存入“比特币钱包”。

这一天，群主给老吴送了一个比特币钱包软件，告诉他数字钱包里比特币是最安全的。

老吴一看果然是某知名比特币钱包的安装包，便按照群主的指示一步步将自己的186个比特币转入其中。

（当时团长和老吴的聊天记录）

几天后，老吴的186个比特币全部打光了。

他马上找组长老戴质问，对方却出惊人之举：

他说自己只是好心推荐软件，比特币被盗可能是老吴自己泄露了钱包密码。

但，

毕竟老吴用的钱包软件是我推荐的，现在丢币我也有部分责任，赔老吴12万元也算倒霉。

说完，群主果然给老吴转了12万元。

（当时的聊天转账记录）

“一个素不相识的人，这么轻易就给我转了几十万？”

老吴断定，这件事多半和组长有关。

...

...

...

几个月后，民警闯入戴组长家中，搜出数十张银行卡和多台笔记本电脑。 在其中一台电脑中，发现了老吴使用的比特币钱包软件和盗号脚本。

原来是群主在钱包软件安装包中植入了黑客脚本。 186枚比特币通过这个后门进入了群主的口袋……

说完夏洛克告诉我，这是央视报道的真实案例。

他说：

“很多人认为区块链去中心化、不可篡改就可以绝对安全，根本不怕黑客。但实际上，区块链从底层代码到最终应用可能涉及很多方面，比如智能合约、钱包、交易所等等，这些地方都可能成为黑客的攻击面。”

这就好比有人把机械门锁换成了指纹锁，以为自己的财产安全了，但其实小偷还是有办法复制指纹的，甚至无视门锁，直接开门进入，或破墙而入，或跳窗。 进来吧……有很多种方法。

区块链会带来哪些新的安全态势？

我和夏洛克进行了详细的讨论。 他从底层代码安全、数字钱包安全、数字货币兑换安全、新型套利方案等方面梳理了自己对区块链的理解。 朋友们：

Sherlock 是奇虎 360 的信息安全研究员，2015 年开始接触数字货币，对区块链和数字货币安全有很多见解。

2016 年 6 月，加密货币和区块链社区发生了一场大地震。 全球最大最知名众筹项目The DAO被黑，价值6000万美元的以太坊被盗！

调查的原因是DAO编写的智能合约代码不够严谨，其中存在两个功能漏洞，使得攻击者可以不断从项目资产池中窃取资产。

为了解决TheDAO大量资金被盗的问题最早比特币是怎么保存的，以太坊官方还为TheDAO推出了软分叉版本Gethv1.4.8，增加了一些规则来锁定被黑客控制的以太坊。

不过看到绝大多数矿工都升级了这个版本的软件最早比特币是怎么保存的，软分叉也即将完成。 由于时间紧迫等原因，很多大咖所写的软分叉版本其实存在着明显的漏洞！ 这个漏洞允许黑客以零成本搞垮整个项目。

由于那件事，以太坊社区出现了巨大的分歧。 一部分人认为项目应该回滚到黑客攻击前的状态，另一部分人则认为回滚不符合区块链“去中心化、不可篡改”的核心。 精神，不同意回滚。

最终，两派通过投票彻底“决裂”，以太坊硬分叉为“以太坊经典”和“以太坊”，就像宇宙分裂成两个完全相同的平行世界，各自运行。

“但谁又能保证修复后的代码没有新的漏洞呢？只要代码是人写的，就可能存在漏洞。” Sherlock表示，很多人迷信认为区块链底层代码是安全的，这种想法本身就很危险！

对区块链有所了解的人大概都听说过51%攻击：只要控制了区块链上51%的算力，就可以篡改链上的任何交易数据。

过去，人们之所以认为区块链不可篡改，是因为他们坚信51%的攻击是不可能的，因为同时控制51%所需的资源成本太高。

“不过，只要理论上可行，我们就不得不提防！”

2.“李笑来”很危险！

网络安全行业有一个通用术语叫APT——Advanced Persistent Attack，意思是黑客长时间（数月甚至数年）盯着一个目标，寻找各种突破口，甚至布下一个巨大的骗局。

由于实施成本高，这种形式的攻击历来只发生在国家之间，或大型组织之间。

“数字货币出现后，APT组织很可能将目标转向“数字货币大玩家”，目标将从一系列大型设备转向个人电脑。”

原因很简单，因为他们的数字货币资产足够有价值，个人目标比有专业风控的大机构更容易攻破，数字货币被盗后很难追溯来源。

“过去，人们把钱存放在中心化的银行里，即使被盗或被骗，也更容易追查。毕竟银行账户是实名认证的，但数字货币一旦被骗，很难取回。

因为国家不认可数字货币的价值，所以有时候即使报警也会遇到一些困难。

数字货币最大的特点就是去中心化和不可篡改，而这两点恰恰让数字货币持有者成为黑客的最佳目标。 去中心化意味着难以监管发行，不可篡改意味着一旦钱被骗走，交易就无法退回。

为了窃取您的数字货币，黑客可能会以您的家庭或办公室 WiFi 网络为目标，侵入您的个人计算机，或定制网络钓鱼计划。

甚至，他们很可能会设下一个巨大的骗局，利用社交关系接近你，成为你的“朋友”，潜伏在你身边数月后再行动！ 文章开头就是这种情况。

我问：“李笑来曾经自称是比特币首富，他自称拥有六位数的比特币，价值超过十亿人民币，所以他可能成为APT的目标？”

“当然有可能。”

3、钱包不安全，钱还能安全吗？

“黑客想要窃取数字货币，而数字钱包是一个非常重要的攻击面。” 夏洛克说。

数字钱包是用于存储数字货币的软件载体。 将私钥完全存储在网络外的称为“冷钱包”，将私钥存储在互联网上的称为“热钱包”。

围绕数字钱包，黑客可以耍很多花样。

当你要使用数字钱包时，很可能要下载软件，而数字钱包从设计、发布到最后通过各种复杂的网络传输到你的电脑或手机上，跨越千山万水，经历了很多过程，如只要其中一个流程出现问题，你就有可能被录用。

例如：

您是通过正规官方渠道下载钱包软件的吗？ 从第三方软件平台下载时，会不会下载有黑客后门？

即使是从官网下载，如果你的WiFi网络环境被黑了，会不会被劫持到黑客的下载地址？

即使你的网络环境没问题，软件官网的下载地址会不会被黑客入侵，改成带有黑客后门的软件？

即使工艺没问题，数字钱包本身的产品设计靠谱吗？ 供应商是否为了易用性而牺牲安全性？ 供应商是否安全地存储用户的私钥？

...

...

...

仅凭一个数字钱包，黑客就有如此多的攻击面。 您仍然认为使用区块链安全吗？

“你也有数字货币资产吧？既然使用数字钱包这么危险？作为一个每天和黑客打交道的安全从业者，你是怎么做到的？” 我反问他。

他说：

“一方面确认钱包本身的安全性，比如下载软件后做哈希值校验，另一方面合理存放。我的资产不多，有的在交易所，有的在”

我又问他，数字货币自己钱包里不着急，放在交易所可以吗？

他笑着说，不一定。

4. 数字货币兑换可能不安全

Sherlock给我发了一组数据：

2014 年 2 月，当时全球最大的比特币交易所 Mt.Gox 的 850,000 个比特币被盗。 后来被爆出，Mt.Gox其实是从守卫那里偷的，实际被盗的比特币只有7000枚。

2016年8月，最大的美元比特币交易平台Bitfinex出现漏洞，12万枚比特币被盗，当时价值6500万美元。 如果换算成2017年12月的价格，价值近20亿美元。

2017年12月，韩国YouBit交易所遭到黑客攻击，损失4000个比特币，交易所宣告破产。

2017年12月21日，网传乌克兰Liqui交易所6万枚比特币被盗，比特币单价瞬间暴跌2000美元。

2018年3月7日，币安交易所大量用户账户被盗，被黑客控制的资产价值超过1亿美元。 甚至有传言称，黑客利用金融知识影响数字货币价格间接获利，导致众​​多数字货币价格暴跌。 （可以参考文章：《差点偷走十多亿美元，做空比特币赚几十亿？这次黑客做了什么？》）

他说：“类似的戏肯定还会再上演。”

“近年来数字货币交易市场发展势头太快，竞争激烈，在这样的情况下，安全技术和人力的投入速度可能跟不上自身需求的增长速度，这将不可避免地导致一些问题。

他表示，以近期币安交易所发生的安全事件为例，币安的风控措施相较于以往发生安全事件的其他交易所有所提升。

黑客在提币时，利用大数据风控，阻止提币操作。 在以往的黑客事件和基础交易所安全事件中，大部分黑客都是直接提币走人。

因此，他建议大家尽量使用知名度高、规模大的交易所，而不是把资产放在规模小、名不见经传的交易所，因为黑客也会挑软柿子。

“一般来说，大型交易所通常都有比较完善的安全风控措施，黑客不容易攻破，这时候黑客很可能会转而攻击小型交易所。”

甚至，他们还会专门挑选一些没有执照的非法交易所进行攻击，这样即使被发现，交易所也不受法律保护。

例如，黑客很可能会攻击孟加拉国等小国的交易所，一方面是因为数字货币在那里已经被认为是非法的。 另一方面，越界控制不便，也让黑客更加肆无忌惮。 “

5.利用星号效应的钓鱼攻击

如果说APT攻击和交易所安全离普通人太远，那么以下几种攻击方式就正在我们身边发生。

前段时间，有人专门将一些知名人士的社交账号下的头像和名字设置成与明星头像一模一样，并发布一些虚假信息，声称只要有一定数量的货币即可。转入某个数字货币地址，可获得10倍回馈。 （参见：“我，中本聪，赚钱”）

这就好比有人在街上对你说，“给我10块钱，我马上还给你100块钱”。 如此明显的诈骗信息，据统计，短短几天内可骗取价值数十万的数字货币。

为什么有些人会上当这种愚蠢的骗局？

Sherlock说：“这是骗子广泛撒网的策略，因为明星粉丝多，这种发假信息的方式能获得很多印象，难免有少数人刚刚醒来脑子不清醒的人。”

最终，很多明星因为此类诈骗信息太多而被迫更改网名：

（币安创始人赵鹏_无币版）

一位名叫“团长王”的人在微信群里向群友募集了一笔私募“韭菜基金”。

半夜，“团长”突然在群里发了一条消息：“明天募捐结束，请发币到地址XXXXXXX。”

结果一帮朋友给王组长说的地址发了22个以太币，当时价值20万左右。 随后，该网友发现群里突然冒出几个“团长”，真假难辨，自己的22个ETH直接进了骗子的腰包。

“这种方式在数字货币项目的私募阶段也很常见，因为有些项目回报率很高，参与者往往无法保持平常心，唯恐落后，这种贪婪的心态更容易上当受骗。”

而且，目前国内还没有正规的ICO渠道。 参与私募纯属个人行为，缺乏监管，过程无法保证安全。 “

这类诈骗其实一点都不新鲜，只是活跃的数字货币市场让他们重新焕发了生机。 夏洛克说。

6、传统非法产品也盯上了数字货币

哪里有钱可赚，哪里就有非法生产。

Sherlock告诉我，随着区块链和数字货币的兴起，也催生了一些新的套利方式……

最初，黑客控制着大量的“肉鸡”（黑客远程控制的机器），通常用于发起DDoS流​​量攻击。

数字货币走红后，不少“肉鸡”又增添了新的角色——黑客还将被黑的机器配置成矿机，利用自己的算力挖数字货币来赚钱。

一些黑客还会专门在访问量大的网站页面或博客上植入挖矿脚本。 一旦用户访问这样的网站，电脑处理器的性能就会瞬间被完全占用，成为一个挖矿节点，也就是黑客的矿池。 提供计算能力。

那些原本专注于各大公司促销活动，大量使用手机卡批量套利的羊毛党灰产，也开始将目光投向了数字货币ICO项目发行的奖励（俗称“糖果”）。 ”）。 糖果进了灰色的袋子里。

甚至，黑客还会专门侵入别人的数字货币矿场，将转账地址改成自己的。

总之，数字货币为黑产者提供了各种新的赚钱渠道和方式。 反过来，丰厚的回报又吸引了新一波的人冒险投身黑产业……

---

聊到最后，夏洛克叹了口气：

“其实说白了，无论时代环境如何变化，安全攻防归根结底是人与人之间的较量。

骗子和网友斗智斗勇，骗子不断升级脚本，网友不断增强安全意识和辨别能力；

黑客们不断发现新的攻击面和攻击方式，交易所、钱包等厂商也在不断引进新的防御技术和人才。

或许正如老周所说，一切都变了，人是安全的衡量标准！ “