作者丨鳩摩智

編輯｜熊吉

序言

比特幣自問世以來，被盜數量超過100萬枚，價值約為70億美元；

比特幣的底層技術“區(qū)塊鏈”面臨著來自數據層、網絡層、共識層、激勵層、合約層、應用層的安全風險，安全攻擊方式層出不窮，防不勝防；

2018年全球區(qū)塊鏈領域發(fā)生70多起安全事件，損失近20億美元；

區(qū)塊鏈安全問題成為制約行業(yè)發(fā)展的關鍵，安全服務供給嚴重不足，而黑色產業(yè)卻愈演愈烈，GlobeImposter，Crysis，GandCrab, Satan成為2018年最流行的勒索病毒四大家族。

本報告共分為四個部分：加密貨幣安全事件回顧；區(qū)塊鏈安全風險分類；區(qū)塊鏈安全現狀及態(tài)勢；總結與展望。

01 加密貨幣安全事件回顧

自加密貨幣出現以來，黑客攻擊交易所竊取數字資產事件層出不窮，防不勝防！其中，最早問世同時也是市值最大的比特幣被盜數量超過100萬枚，價值約為70億美元（以2018年8月31日比特幣價格衡量）。而對于其他山寨幣，不法分子十分猖獗，單次盜取數字資產數量高達5.23億枚，價值約為5.34億美元。

圖1 加密貨幣安全事件回顧

02 區(qū)塊鏈安全風險分類

區(qū)塊鏈技術模型自下而上分為數據層、網絡層、共識層、激勵層、合約層、應用層，各層各司其職，卻又相互配合，實現去中心化的信任機制。各層之間面臨著不同的安全風險：

1.數據層面臨的安全風險主要有信息攻擊與加密算法攻擊兩種；

2.網絡層存在節(jié)點傳播與驗證機制的風險；

3.共識層根據共識機制的不同而存在著不同的安全風險，常見的攻擊方式包括：女巫攻擊、短距離攻擊、長距離攻擊等；

4.激勵層現階段主要存在著分配機制的風險；

5.合約層造成的經濟損失量最大，主要存在以下攻擊風險：Solidity語言漏洞、逃逸漏洞、時間戳依賴攻擊等；

6.應用層安全風險主要集中在用戶節(jié)點、數字資產錢包以及交易平臺上。

圖2 區(qū)塊鏈安全風險分類

03 區(qū)塊鏈安全現狀及態(tài)勢

3.1    2018年區(qū)塊鏈安全事件暴增4倍，達到71起

2018年至今，區(qū)塊鏈領域安全事件發(fā)生71起，相較于2017年的15起，增長了373%。區(qū)塊鏈領域安全問題日益凸顯，逐漸成為區(qū)塊鏈技術發(fā)展的核心關鍵。

3.2    2018年區(qū)塊鏈安全攻擊主要發(fā)生在應用層

2018年區(qū)塊鏈領域發(fā)生的安全攻擊事件中，59%集中在應用層，被成功攻擊次數近40。

3.3     智能合約是區(qū)塊鏈安全的重災區(qū)

2018區(qū)塊鏈領域安全攻擊對象主要集中在智能合約上，被成功攻擊次數超過20次。

3.4     2018年區(qū)塊鏈安全事件造成經濟損失近20億美元

2011年至今，全球區(qū)塊鏈因安全事件造成的經濟損失達33.2億美元，其中2018年的損失高達19.7億美元，占比為59.49%，區(qū)塊鏈安全形勢愈演愈劇。

區(qū)塊鏈安全事件分布及其經濟損失分布

3.5     2018年合約層造成的經濟損失達11億美元

2018年區(qū)塊鏈領域安全事件造成的經濟損失中，合約層占55%，損失約為11億美元。

3.6     區(qū)塊鏈領域智能合約問題突出

2018年區(qū)塊鏈領域被攻擊對象中，智能合約遭受攻擊造成的經濟損失約為11億美元，占比為55%。

區(qū)塊鏈安全事件經濟損失分布

3.7     區(qū)塊鏈安全面臨著巨大挑戰(zhàn)

3.7.1     區(qū)塊鏈安全服務供給嚴重不足

全球有10,000+的區(qū)塊鏈項目，而目前區(qū)塊鏈安全公司數量僅有50家左右。

3.7.2     勒索病毒呈家族產業(yè)化趨勢

據360天擎團隊披露數據顯示，Globelmposter、Crysis、GandCrab、Satan是2018年上半年最為活躍的四大勒索病毒家族，傳播量占上半年勒索病毒傳播總量的90%以上。

3.7.3     挖礦病毒呈高速增長態(tài)勢

隨著“炒幣”熱潮的到來，2018年挖礦木馬迅速盛行起來。挖礦木馬事件成倍增長，2018年上半年爆出的挖礦木馬事件有40多起，2017年有20多起挖礦木馬事件。

3.7.4     加密貨幣失竊難以預防

2018年上半年，Coincheck、Binance、Coinrail等多家加密貨幣交易所被黑客攻擊，損失約7億美元。用戶個人賬號遭黑客入侵，不法分子通過植入病毒竊取數字貨幣錢包信息，不法文字將資金轉入自己賬戶。

雙花攻擊風險依舊存在，加密貨幣網絡51%的算力被不法分子控制之后，不法分子可對數字加密貨幣區(qū)塊鏈進行攻擊，可實現對已經交易完成的數據進行銷毀，并重新支付，這樣就可獲得雙倍服務。

04 總結與展望

2018年是區(qū)塊鏈發(fā)展的關鍵之年，但安全問題卻已成為制約其發(fā)展的核心關鍵：2018年以來共發(fā)生70多起安全事件，造成近20億美元的經濟損失，勒索病毒家族漸成氣候，安全攻擊防不勝防！但隨著資源的不斷注入，可以預見：

1.區(qū)塊鏈安全解決方案呈高速螺旋式升級

黑色產業(yè)家族化倒逼區(qū)塊鏈安全服務商不斷創(chuàng)新安全技術與服務，構建全新的安全防御體系，增強產業(yè)活力。

2.區(qū)塊鏈安全領域將迅速催生出一批行業(yè)“獨角獸”

安全事件頻發(fā)，經濟損失近20億美元——2018年區(qū)塊鏈安全領域企業(yè)將經歷一番慘烈的“大浪淘沙”，浪潮退去，巨頭初顯！

本文為財鏈社原創(chuàng)作品，文章轉載、內容合作請聯系微信：sueyus。未經授權轉載本平臺原創(chuàng)文章，依法必究。