2019年區塊鏈安全事件

1. 中國的區塊鏈現狀是什麼

2019年中國區塊鏈產業發展迅速，主要體現在以下幾點：
 
第一，國家高層戰略引導和支持，營造良好政策環境。據不完全統計，2019年上半年全國超過23個省市發布了超過112條涉及區塊鏈的政策信息。政府高層強調區塊鏈技術的應用在技術革新和產業變革中起到重要作用，支持加快推動區塊鏈技術和產業創新的發展。
 
此外關於區塊鏈的市場監管政策也逐漸完善，一方面，對於虛擬貨幣的交易和服務進行嚴格的警惕和檢測；另一方面，對區塊鏈應用的相關行業監管體系也在進一步建設完善，為產業區塊鏈項目深入服務實體經濟提供有力保障，市場趨於規范，產業環境逐漸清晰；此外，對於技術突破和人才鼓勵的扶持上，也通過設立區塊鏈產業園、區塊鏈專項投資基金等方式，對技術創新和人才引進的貼補，促進區塊鏈產業的發展。
 
第二，國內企業積極參與區塊鏈技術研發和應用，開展區塊鏈戰略布局。如阿里巴巴等電商巨頭，利用區塊鏈技術運用到產品溯源、跨境結算等領域，京東利用透明供應鏈體系打擊假冒偽劣產品，騰訊重點研發電子發票等金融領域的應用。

2. 2018是區塊鏈元年，那2019是區塊鏈什麼呢

2019年是區塊鏈打破金融壟斷的元年
從有線電視公司到零售企業，各行各業都在極力保住他們認為最珍貴的財產：壟斷。傳統的觀點認為：「如果你控制了入口和渠道，那麼消費者就幾乎沒有選擇餘地了。」
但是，我們看到像Netflix和Amazon這樣的公司打破了原來的格局，為我們的生活提供了更多選擇。同樣的，在數字貨幣和金融領域，一些最大的金融機構正面臨著嚴重的挑戰。
預計2019年去中心化業務和需求將會興起，我認為這將給已經成功的區塊鏈公司提供更多機會。同時，但這個機會也意味著風險。如果就像2018年一樣，區塊鏈公司創始人或者企業家承諾太多，而且項目存在誇大的嫌疑，那麼他們可能會信譽掃地且會喪失先發優勢。
亞洲先人一步
幾十年來，全球最大的金融機構控制全球經濟的絕大部分金融體系。
但是，區塊鏈公司已經開始通過接入銀行業務和實時支付，來獲得公平競爭的機會。在2019年，區塊鏈行業在金融支付之外，將進入證券、貸款和其他衍生金融產品的領域。像Securitize*， Dharma， Dydx， Compound Finance and The Ocean這樣的公司都是致力打造去中心化金融的公司。
在過去的幾年裡，RAP、Gojek和Paytm等移動應用公司已經在拓展業務，出現了支付、投資、匯款、貸款和保險等產品。隨著許多亞洲經濟體從現金轉向數字經濟，它們正迅速吸引新銀行的用戶。
亞洲監管機構對區塊鏈和數字貨幣項目提供了更明確的指導方針，其原因是他們認為區塊鏈是經濟增長的催化劑，有可能成為未來朝陽產業。
此外，80%以上的數字貨幣貨幣交易量來自亞洲，因此數字貨幣投資者非常希望建立靠譜的基礎設施。如果Grab、Gojek和Paytm能夠從數字貨幣投資者中獲益，那麼他們就會開始更給力支持區塊鏈，為支付、貸款和其他衍生金融產品提供更好的體驗。
回歸初心
在過去的幾年裡，數字貨幣行業偏離了最初的金融願景，而這一點在中本聰的比特幣白皮書中得到了很好的闡述。就像互聯網的繁榮和蕭條一樣，幾乎所有可以想像的現實案例，比如追蹤鮮花新鮮度這樣的物流鏈，都在用區塊鏈這個熱詞來吸引眼球。
然而，就像早期的互聯網一樣，真實落地案例必須與技術的發展階段相匹配。
例如，Netflix不可能在2000年成功播放流媒體電視節目，當時只有不到1%的人使用寬頻。在過去的幾年裡，越來越明顯的是，支付是區塊鏈現在大規模應用的真實案例。
在2019年，區塊鏈公司將在此基礎上，利用智能合約平台，在去中心化金融應用（如貸款和保險產品）迅速發展。
我總是發現最好的應用落地都是發生在具體的細分市場上，只要區塊鏈公司能夠專注於解決具體問題的產品上，那麼我們就會看到更多具備競爭力、創新性的區塊鏈公司。
而，這對整個行業來說是件好事。

3. 區塊鏈有哪些安全軟肋

區塊鏈有哪些安全軟肋

區塊鏈是比特幣中的核心技術，在無法建立信任關系的互聯網上，區塊鏈技術依靠密碼學和巧妙的分布式演算法，無需藉助任何第三方中心機構的介入，用數學的方法使參與者達成共識，保證交易記錄的存在性、合約的有效性以及身份的不可抵賴性。

區塊鏈技術常被人們提及的特性是去中心化、共識機制等，由區塊鏈引申出來的虛擬數字貨幣是目前全球最火爆的項目之一，正在成就出新的一批億萬級富豪。像幣安交易平台，成立短短幾個月，就被國際知名機構評級市值達400億美金，成為了最富有的一批數字貨幣創業先驅者。但是自從有數字貨幣交易所至今，交易所被攻擊、資金被盜事件層出不窮，且部分數字貨幣交易所被黑客攻擊損失慘重，甚至倒閉。

一、 令人震驚的數字貨幣交易所被攻擊事件

從最早的比特幣，到後來的萊特幣、以太幣，目前已有幾百種數字貨幣。隨著價格的攀升，各種數字貨幣系統被攻擊、數字貨幣被盜事件不斷增加，被盜金額也是一路飆升。讓我們來回顧一下令人震驚的數字貨幣被攻擊、被盜事件。

2014年2月24日，當時世界最大的比特幣交易所運營商Mt.Gox宣布其交易平台的85萬個比特幣已經被盜一空，承擔著超過80%的比特幣交易所的Mt.Gox由於無法彌補客戶損失而申請破產保護。

經分析，原因大致為Mt.Gox存在單點故障結構這種嚴重的錯誤，被黑客用於發起DDoS攻擊：

比特幣提現環節的簽名被黑客篡改並先於正常的請求進入比特幣網路，結果偽造的請求可以提現成功，而正常的提現請求在交易平台中出現異常並顯示為失敗，此時黑客實際上已經拿到提現的比特幣了，但是他繼續在Mt.Gox平台請求重復提現，Mt.Gox在沒有進行事務一致性校驗（對賬）的情況下，重復支付了等額的比特幣，導致交易平台的比特幣被竊取。

2016年8月4日，最大的美元比特幣交易平台Bitfinex發布公告稱，網站發現安全漏洞，導致近12萬枚比特幣被盜，總價值約為7500萬美元。

2018年1月26日，日本的一家大型數字貨幣交易平台Coincheck系統遭遇黑客攻擊，導致時價580億日元、約合5.3億美元的數字貨幣「新經幣」被盜，這是史上最大的數字貨幣盜竊案。

2018年3月7日，世界第二大數字貨幣交易所幣安（Binance）被黑客攻擊的消息讓幣圈徹夜難眠，黑客竟然玩起了經濟學，買空賣空「炒幣」割韭菜。根據幣安公告，黑客的攻擊過程包括：

1) 在長時間里，利用第三方釣魚網站偷盜用戶的賬號登錄信息。黑客通過使用Unicode字元冒充正規Binance網址域名里的部分字母對用戶實施網頁釣魚攻擊。

2) 黑客獲得賬號後，自動創建交易API，之後便靜默潛伏。

3) 3月7日黑客通過盜取的API Key，利用買空賣空的方式，將VIA幣值直接拉暴100多倍，比特幣大跌10%，以全球總計1700萬個比特幣計算，比特幣一夜丟了170億美元。

二、黑客攻擊為什麼能屢屢得手

基於區塊鏈的數字貨幣其火熱行情讓黑客們垂涎不已，被盜金額不斷刷新紀錄，盜竊事件的發生也引發了人們對數字貨幣安全的擔憂，人們不禁要問：區塊鏈技術安全嗎？

隨著人們對區塊鏈技術的研究與應用，區塊鏈系統除了其所屬信息系統會面臨病毒、木馬等惡意程序威脅及大規模DDoS攻擊外，還將由於其特性而面臨獨有的安全挑戰。

1. 演算法實現安全

由於區塊鏈大量應用了各種密碼學技術，屬於演算法高度密集工程，在實現上比較容易出現問題。歷史上有過此類先例，比如NSA對RSA演算法實現埋入缺陷，使其能夠輕松破解別人的加密信息。一旦爆發這種級別的漏洞，可以說構成區塊鏈整個大廈的地基將不再安全，後果極其可怕。之前就發生過由於比特幣隨機數產生器出現問題所導致的比特幣被盜事件，理論上，在簽名過程中兩次使用同一個隨機數，就能推導出私鑰。

2. 共識機制安全

當前的區塊鏈技術中已經出現了多種共識演算法機制，最常見的有PoW、PoS、DPos。但這些共識機制是否能實現並保障真正的安全，需要更嚴格的證明和時間的考驗。

3. 區塊鏈使用安全

區塊鏈技術一大特點就是不可逆、不可偽造，但前提是私鑰是安全的。私鑰是用戶生成並保管的，理論上沒有第三方參與。私鑰一旦丟失，便無法對賬戶的資產做任何操作。一旦被黑客拿到，就能轉移數字貨幣。

4. 系統設計安全

像Mt.Gox平台由於在業務設計上存在單點故障，所以其系統容易遭受DoS攻擊。目前區塊鏈是去中心化的，而交易所是中心化的。中心化的交易所，除了要防止技術盜竊外，還得管理好人，防止人為盜竊。

總體來說，從安全性分析的角度，區塊鏈面臨著演算法實現、共識機制、使用及設計上挑戰，同時黑客通過利用系統安全漏洞、業務設計缺陷也可達成攻擊目的。目前，黑客攻擊已經在對區塊鏈系統安全性造成越來越大的影響。

三、如何保證區塊鏈的安全

為了保證區塊鏈系統安全，建議參照NIST的網路安全框架，從戰略層面、一個企業或者組織的網路安全風險管理的整個生命周期的角度出發構建識別、保護、檢測、響應和恢復5個核心組成部分，來感知、阻斷區塊鏈風險和威脅。

除此之外，根據區塊鏈技術自身特點重點關注演算法、共識機制、使用及設計上的安全。

針對演算法實現安全性：一方面選擇採用新的、本身經得起考驗的密碼技術，如國密公鑰演算法SM2等。另一方面對核心演算法代碼進行嚴格、完整測試的同時進行源碼混淆，增加黑客逆向攻擊的難度和成本。

針對共識演算法安全性：PoW中使用防ASIC雜湊函數，使用更有效的共識演算法和策略。

針對使用安全性：對私鑰的生成、存儲進行保護，敏感數據加密存儲。

針對設計安全性：一方面要保證設計的功能盡量完善，如採用私鑰白盒簽名技術，防止病毒、木馬在系統運行過程中提取私鑰；設計私鑰泄露追蹤功能，盡可能減少私鑰泄露後的損失。另一方面，應對某些關鍵業務設計去中心化，防止單點故障攻擊。

4. 數字貨幣挖礦從17年「94」事件，到現在經歷了哪些政策調整

經歷的東西可多了，但都是往良性發展，不然今天的比特幣現在能到12萬一枚嗎？

2017年4月，央行等七部委將ICO定性為非法集資，叫停ICO並發布公告：ico是指融資主體通過代幣的違規發售、流通向投資者募集比特幣、以太坊等所謂的「虛擬貨幣」，其本質上是一種未經批准非法公開融資的行為，涉嫌非法發售代幣、票券、金融詐騙、傳銷違法犯罪活動。

一時間各大交易所平台紛紛清退資產關門歇業，交易所的幣種紛紛跳水，跌幅達到90%，這就是幣圈著名的「94」事件。

5. （OWASP）區塊鏈安全TOP10

近幾年，區塊鏈技術的發展非常迅猛，安全形勢也越來越嚴峻，僅安全事件導致的直接經濟損失就高達35億美元，很多公司甚至因此倒閉，給行業帶來了巨額的經濟損失和慘痛的教訓。基於此，OWASP中國成立專門研究小組， 收集、整理和分析了2011年至2019年間共160個典型區塊鏈安全事件，並在本文檔中給出了排列和描述，希望能幫助到廣大的區塊鏈從業者和關注區塊鏈安全的人們 。

在參考了 類似CVSS（Common Vulnerability Scoring System）等安全威脅評估方法之後 ，本文以每類威脅歷史安全事件所導致的 直接經濟損失總額為依據 ，通過客觀數據評估威脅大小。

直接經濟損失總額包含了威脅評估的兩個重要因素，

所以，直接經濟損失足以表示威脅的大小，且數據相對客觀，避免了主觀數據導致評估結果誤差較大問題，同時，該評估方式更具有良好的解釋性。

閱讀本文檔時需注意以下三點：
（1）安全事件導致的經濟損失以案件發生時的虛擬幣價格計算；
（2）統計分析過程中只計算了直接經濟損失，未計算間接經濟損失；
（3）24.3%的安全事件（39個）未公布經濟損失，因而未計入損失統計。

1）高級可持續威脅
2）失控的幣值通脹
3）失效的許可權控制
4）不安全的共識協議
5）考慮不充分的程序邏輯
6）不嚴謹的業務策略
7）校驗不嚴格的交易邏輯
8）脆弱的隨機數機制
9）存在缺陷的激勵機制
10）日誌記錄和監控不足

主編在研究區塊鏈安全的過程中，發現並沒有權威的指導性安全文檔，所以聯合了各區塊鏈安全公司和各一線企業的安全專家，一起給出了區塊鏈安全的Top10，由於作者們時間和水平有限，如有任何錯誤的地方，或者更好的方案，請立即聯系（項目組郵箱： [email protected] ），我們可以不斷改進和提升文檔的質量。

6. 區塊鏈錢包安全嗎

可以說非常的不安全，區塊鏈錢包相關的技術在國內已經失去了原本的技術意味。現在已經淪為圈錢的一種手段。所以對於這個方面的話，一定要非常的警惕，反正我個人來說不相信。

7. 百億美金漏洞後誰來保障區塊鏈平台安全

6月8日，360曝出的EOS高危漏洞，引起了網間眾多熱議。北京時間6月2日凌晨，EOS官方正式向360安全團隊公開致謝，並提供3萬美元賞金，強烈呼籲安全社區人員共同努力保證EOS軟體安全性的持續提高。

360曝光的EOS漏洞，如果被人利用，可以控制EOS網路裡面的每一個節點、每一個伺服器，不僅僅是接管網路裡面的虛擬貨幣、各種交易和應用，也可以接管節點裡面所有參與的伺服器。可以說，如果有人做一個惡意的智能合約，就能夠把裡面所有的數字貨幣直接拿走。

EOS漏洞的攻擊可以以秒級的速度在多個節點和超級節點之間傳播，從控制節點到生成新塊繼續傳播是連續的、鏈式的爆炸動作，很可能20秒就接管了所有的節點，完成了操作。

想像一下，當攻擊者已經拿到整個EOS網路里至高無上的許可權，就相當於滅霸把六顆宇宙原石都湊齊了，在宇宙中可以瞬息萬變，為所欲為。

來源：中國新聞網