揭秘！51%攻擊成現(xiàn)實 區(qū)塊鏈安全超出你想象

2018上半年，伴隨著區(qū)塊鏈技術(shù)的不斷發(fā)展，經(jīng)濟價值的不斷升高，與之相關(guān)的安全問題也日益突出。騰訊安全聯(lián)合深耕區(qū)塊鏈安全領(lǐng)域的知道創(chuàng)宇發(fā)布《2018上半年區(qū)塊鏈安全報告》(以下簡稱《報告》)，對近期區(qū)塊鏈安全事件做了統(tǒng)計分析，深度揭秘區(qū)塊鏈行業(yè)安全事件發(fā)展趨勢。

《報告》指出，區(qū)塊鏈安全事件發(fā)生頻率持續(xù)走高，涉案案值增大已發(fā)展成一大趨勢。“雙花攻擊”與漏洞成行業(yè)重大隱患，木馬病毒劫持加密貨幣錢包，數(shù)字貨幣交易所頻頻被“黑”，區(qū)塊鏈數(shù)字加密貨幣正面臨多層次的安全風(fēng)險。

漏洞與雙花攻擊事件頻發(fā) 涉案案值過億屢見不鮮

基于區(qū)塊鏈的去中心化機制，數(shù)字加密貨幣區(qū)塊鏈存在一種較為獨特的“雙花”攻擊，即當(dāng)黑客控制某數(shù)字加密貨幣網(wǎng)絡(luò)51%算力之后，對數(shù)字加密貨幣區(qū)塊鏈進行攻擊，可實現(xiàn)對已經(jīng)交易完成的數(shù)據(jù)進行銷毀并重新支付，這樣就可獲得雙倍服務(wù)。

2018年5月，BTG(比特黃金)交易鏈被黑客攻擊，黑客向交易所充值后迅速提幣，并銷毀提幣記錄，共轉(zhuǎn)走了38.8萬枚BTG，獲利1.2億人民幣。這次攻擊事件證明了區(qū)塊鏈理論上存在的51%攻擊已成事實。

《報告》還指出，智能合約安全事件、交易延展性攻擊、垃圾交易攻擊等安全威脅也愈加嚴重。針對不同數(shù)字貨幣漏洞攻擊導(dǎo)致的盜竊案例時有發(fā)生，4月BEC智能合約中被爆出數(shù)據(jù)溢出漏洞，攻擊者共盜取579億枚BEC幣，隨后SMT幣也被爆出類似漏洞。相關(guān)安全專家表示，通過以太坊智能合約“發(fā)幣”容易，若不做好嚴格的代碼審計和安全防護，億級資金的損失只在一瞬間。

加密貨幣錢包成盜號木馬新目標(biāo) 數(shù)字貨幣交易可被劫持

與此同時，個人數(shù)字加密貨幣賬戶安全也遭遇了來自木馬病毒的威脅。2018年2月，騰訊電腦管家發(fā)現(xiàn)大量利用Office公式編輯器組件漏洞(CVE-2017-11882)的攻擊樣本，通過下載并運行波尼木馬，竊取用戶比特幣錢包文件等敏感信息。

無獨有偶，3月一款基于剪切板劫持的盜幣木馬在國內(nèi)出現(xiàn)，該木馬使用易語言編寫，通過激活工具、下載站到達用戶機器。該木馬會監(jiān)視用戶剪切板，一旦發(fā)現(xiàn)有比特幣等錢包地址，則替換為木馬的錢包地址。該木馬內(nèi)置多達30余錢包地址，且目前部分錢包已經(jīng)有盜取記錄。

騰訊御見威脅情報中心分析發(fā)現(xiàn)，越來越多的病毒嘗試劫持數(shù)字加密幣交易錢包地址，當(dāng)受害者在中毒電腦上操作數(shù)字加密貨幣轉(zhuǎn)帳交易時，病毒會迅速將收款錢包地址替換為病毒指定的地址，其行為正如同現(xiàn)實中的劫匪。

數(shù)字貨幣交易所遭攻擊 2018上半年損失7億美金

對于網(wǎng)絡(luò)黑客而言，加密貨幣交易平臺也是十分誘人的攻擊目標(biāo)。自1月日本最大的數(shù)字加密貨幣交易所Coincheck被爆出價值5.34億美元新經(jīng)幣被盜事件，幾乎每月都有交易平臺遭到不法黑客攻擊的消息傳出?！秷蟾妗凤@示，僅2018年上半年，因數(shù)字加密貨幣交易所被攻擊造成的損失就高達7億美元。

日本、印度、韓國等地區(qū)的數(shù)字加密貨幣交易所頻頻中招，因黑客入侵或疑似內(nèi)部員工堅守自盜造成的安全事件層出不窮。今年6月20，韓國排名第一的數(shù)字加密貨幣交易所Bithumb被攻擊，價值3000萬美元的數(shù)字加密貨幣被盜。在此之前，Bithumb已兩次遭遇黑客攻擊。

安全生產(chǎn)重在“事前防范” 騰訊智慧安全御點防御升級

回顧區(qū)塊鏈安全事件可知，損失過億案件屢見不鮮，對于大型企業(yè)與區(qū)塊鏈交易機構(gòu)而言，對抗網(wǎng)絡(luò)安全風(fēng)險的關(guān)鍵在于做好事前防范。騰訊安全專家建議企業(yè)網(wǎng)站、服務(wù)器資源的管理者，盡快部署企業(yè)級網(wǎng)絡(luò)安全防護系統(tǒng)，及時修補服務(wù)器操作系統(tǒng)、應(yīng)用系統(tǒng)的安全漏洞，防止服務(wù)器遭遇木馬病毒的侵害。

騰訊智慧安全御點終端安全管理系統(tǒng)，將百億量級云查殺病毒庫、引擎庫以及騰訊TAV殺毒引擎、系統(tǒng)修復(fù)引擎應(yīng)用到企業(yè)安全系統(tǒng)內(nèi)部，能有效防御企業(yè)內(nèi)網(wǎng)終端的病毒木馬攻擊，保護企業(yè)數(shù)據(jù)庫文檔不受勒索病毒的侵害。同時通過終端殺毒統(tǒng)一管控、修復(fù)漏洞統(tǒng)一管控，以及策略管控等全方位的安全管理功能，高效保障網(wǎng)絡(luò)系統(tǒng)安全。

《報告》同時也為個人防御區(qū)塊鏈安全風(fēng)險提供了實用建議。對于普通網(wǎng)民而言，應(yīng)充分了解可能存在的風(fēng)險，避免掉進網(wǎng)絡(luò)釣魚陷阱，避免數(shù)字虛擬幣錢包被盜事件發(fā)生。謹慎使用游戲外掛、破解軟件、視頻網(wǎng)站客戶端破解工具，建議安裝安全軟件加強防護，避免個人電腦被非法控制，造成不必要的財產(chǎn)損失。

生成海報

免責(zé)聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準(zhǔn)確性及可靠性，但不保證有關(guān)資料的準(zhǔn)確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責(zé)。本網(wǎng)站對有關(guān)資料所引致的錯誤、不確或遺漏，概不負任何法律責(zé)任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權(quán)或存在不實內(nèi)容時，應(yīng)及時向本網(wǎng)站提出書面權(quán)利通知或不實情況說明，并提供身份證明、權(quán)屬證明及詳細侵權(quán)或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關(guān)文章源頭核實，溝通刪除相關(guān)內(nèi)容或斷開相關(guān)鏈接。