黑客攻擊以太坊

『壹』 幣圈怎麼第一時間知道黑客攻擊

自加密貨幣面世以來，就一直不斷的遭遇黑客的攻擊，這也就不斷的引起了投資者們的擔憂，就在今年2月，日本的數字貨幣交易所Coincheck被盜了價值五十億美元的加密貨幣;4月份，AMO區塊鏈在上線首日就被黑客攻擊，下面幣圈子就來支招：區塊鏈如何應對面對黑客攻擊?

區塊鏈如何應對面對黑客攻擊?

面對黑客接二連三的攻擊，有的交易所顯得驚慌失措，有的則是立即採取手段，回擊黑客的攻擊。最典型例子是以太坊選擇對區塊鏈進行硬分叉，以拿回所有以太幣，有效解決了這一問題。

當時，The DAO基於以太坊智能合約建立了一個眾籌平台，卻被黑客轉移了市值五千萬美元的以太幣。隨後，為挽回投資者資產，以太坊社區投票決定更改以太坊代碼。因此，以太坊在第1920000區塊進行硬分叉，回滾所有以太幣(包括被黑客佔有的)。

看到這兒，估計有人可能會問：硬分叉又是什麼?

我們先弄懂為什麼會出現分叉，主要是因為某一個新的區塊被挖出之後，區塊鏈系統會產生新的協議，而這個協議又與舊協議難以兼容。而硬分叉就是指，新協議將不再允許舊協議繼續工作。就像以太坊，為了拿回資金才更改了協議，所以發生了硬分叉。

有先例在前，以太坊(ETH)和以太經典(ETC)就是硬分叉的典型案例。可見區塊鏈能夠藉助硬分叉的方式，有效保證用戶數據安全和個人資產安全，對黑客的攻擊作出回擊。

另外，除了通過硬分叉來回擊黑客攻擊，有交易所也提出了其他解決方案，如區塊鏈可擴展性解決方案、多重簽名技術等等。

區塊鏈可擴展性解決方案

以太坊聯合創始人Vitalik Buterin提出了區塊鏈可擴展性解決方案，名為Plasma Cash，能夠幫助交易所抵禦黑客攻擊。同時他表示：用戶可以在交易過程中隨時通過Plasma退出程序，取出現金。

因此，哪怕黑客使用Plasma Cash進行交易，用戶資產也不會受到損失，甚至加密交易所可能會用此技術來抵禦黑客攻擊。

多重簽名技術

黑客曾披露，Coincheck在遭受攻擊時，甚至沒有做過一些基本安全措施。被盜的加密貨幣存放於一個連網的錢包里，而資金則保存在硬體中，不禁讓人擔心起錢包的問題，如何更安全地訪問自己的錢包呢?

有人提出了解決方案：可以結合multisig技術，實現多重簽名抵制，就好比需要多個鑰匙才能打開家門一樣，多重簽名即表示需要多個密鑰才能執行一個任務，能夠使黑客更難獲得資金。

上面就是關於區塊鏈如何應對面對黑客攻擊的相關內容，不過以上方案的安全性也還是需要完善的，這些都將隨著技術的更新而進一步得到解答，得到完善解決，我們拭目以待。

『貳』 DeFi安全嗎

越來越多的人希望通過攻擊智能合約來竊取資金，他們正在利用當智能合約組合在一起時出現的漏洞進行攻擊。

2020年，對DeFi的攻擊中，被套取或盜取的總金額已經達到了3600萬美元。但因為dForce的攻擊者退還了被盜的2500萬美元，所以實際金額大約有 1100 萬美元。

與以太坊早期相比，每次黑客攻擊的平均損失價值已經明顯下降。在2020年的10次攻擊中，有8次的攻擊金額低於100萬美元。

DeFi

在以太坊早期，大多數攻擊都是基於找到個別漏洞，讓攻擊者有能力凍結或耗盡智能合約。2016年臭名昭著的DAO黑客事件就是如此，1.6億美元的ETH被盜，以太坊最終因此分叉。同樣，2017年的Parity多簽襲擊讓黑客盜取了3000萬美元，Parity錢包中1.5億美元被凍結，都是這類漏洞造成的後果。

這類智能合約的漏洞仍不時被人利用。最近，一名攻擊者成功地從代幣合約中竊取了所有的VETH，僅通過耗盡VETH-ETH Uniswap池就獲利了90萬美元。但這是VETH造成的一個簡單失誤，因為VETH修改ERC20代幣標準的方式有邏輯上的錯誤。

總的來說，現在的安全性有所提高，特別是那些關注度比較高的項目。它們的安全性提升是由於用戶對審計的期望和圍繞測試的工具改進推動的。最近DeFi中最大的安全問題是dForce 2500萬美元的數字資產在借貸市場中被盜。然而，由於攻擊者的IP地址被發現並與新加坡警方共享，因此這些資金被退了回去。

鏈喬教育在線旗下學碩創新區塊鏈技術工作站是中國教育部學校規劃建設發展中心開展的「智慧學習工場2020-學碩創新工作站 」唯一獲準的「區塊鏈技術專業」試點工作站。專業站立足為學生提供多樣化成長路徑，推進專業學位研究生產學研結合培養模式改革，構建應用型、復合型人才培養體系。

『叄』 SAFEIS安全報告：加密史上十大被盜事件梳理及應對策略

2008年全球金融危機因為中心化世界的種種弊端而爆發並進而席捲全球，為了消除這些弊端，中本聰創立了比特幣網路，區塊鏈也因此誕生。

為了提高整個網路以及交易的安全性，區塊鏈採用分布式節點和密碼學，且所有鏈上的記錄是公開透明、不可篡改的。最近幾年，區塊鏈獲得長遠發展，形成了龐大的加密生態。

然而，區塊鏈自問世以來，加密貨幣騙局頻發並有愈演愈烈之勢，加密貨幣也無法為用戶的資金提供足夠的安全性。此外，加密貨幣可以匿名轉移，從而導致加密行業的重大攻擊盜竊事件頻發。

下文將梳理剖析加密史上十大加密貨幣盜竊事件，以及防範加密資產被盜的六大實用策略。

1.Mt. Gox 被盜事件

Mt. Gox 被盜事件仍然是 歷史 上最大的加密貨幣盜竊案，在 2011 年至 2014 年期間，有超過 85 萬比特幣被盜。

Mt. Gox 聲稱導致損失的主要原因是源於比特幣網路中的一個潛在漏洞——交易延展性，交易延展性是通過改變用於產生交易的數字簽名來改變交易的唯一標識符的過程。

2011 年 9 月，MtGox 的賬戶私鑰就已泄露，然而該公司並沒有使用任何審計技術來發現漏洞並預防安全事件的發生。此外，由於 MtGox 定期重復使用已泄露私鑰的比特幣地址，導致被盜資金損失不斷擴大，到 2013 年中，該交易所已被黑客盜取63萬枚比特幣。

許多交易所會同時使用冷錢包和熱錢包來進行資產的存儲和轉移，一旦交易所的伺服器被黑，黑客便可以盜取熱錢包裡面的加密資產。

2.Linode被盜事件

加密網路資產託管公司Linode主要業務就是託管比特幣交易所和巨鯨的加密資產，不幸的是，這些被託管的加密資產儲存在熱錢包中，更為不幸的是，Linode 於 2011 年 6 月遭到黑客攻擊。

這導致超過5萬枚比特幣被盜，Linode的客戶損失慘重，其中，Bitcoinia、Bitcoin.cx以及Gavin Andresen分別損失43000枚、3000枚和5000枚比特幣。

3.BitFloor被盜事件

2012 年 5 月，黑客攻擊 BitFloor 並盜竊了24000枚比特幣，這一切源於錢包密鑰備份未加密，才使攻擊者輕而易舉獲得了錢包密鑰，並進而盜取了巨額加密資產。

被盜事件發生後，BitFloor 的創建者 Roman Shtylman 決定關閉交易所。

4.Bitfinex被盜事件

使用多重簽名賬戶並不能完全杜絕安全事件的發生，Bitfinex接近12萬枚巨額比特幣資產被盜事件就證明了這一點。

2022年6月份，2000萬枚OP代幣就是以為不恰當使用多重簽名賬戶而被盜。

5.Coincheck被盜事件

總部位於日本的 Coincheck 在 2018 年 1 月被盜價值 5.3 億美元的 NEM ( XEM ) 代幣。

Coincheck事後透露，由於當時的人員疏忽，黑客能夠輕易訪問他們的系統，且由於資金保存在熱錢包中並且安全措施不足，黑客能夠成功盜取巨額加密資產。

6.KuCoin被盜事件

KuCoin 於 2020 年 9 月宣布，黑客盜取了大量的以太坊 ( ETH)、BTC、萊特幣 ( LTC )、Ripple ( XRP )、Stellar Lumens ( XLM )、Tron ( TRX ) 和 USDT等加密資產。

朝鮮黑客組織 Lazarus Group 被指控為KuCoin被盜事件的始作俑者，這次被盜事件造成了2.75 億美元的資金損失。幸運的是，該交易所收回了約2.7億美元的被盜資產。

7.Poly Network被盜事件

Poly Network被盜事件是有史以來最嚴重的加密貨幣盜竊案之一，2021 年 8 月，一位被稱為「白帽先生」的黑客利用了 DeFi 平台 Poly Network 網路中的一個漏洞，成功竊取了Poly Network上價值約 6 億美元的加密資產。

Poly Network被盜事件蹊蹺的是，自被盜事件發生後，「白帽先生」不僅與Poly Network官方保持公開對話，而且還於一周後歸還了所有被盜的加密資產。「白帽先生」因此獲得50萬美元的獎金，並獲得了成為 Poly Network 高級安全官的工作機會。

8.Cream Finance被盜事件

2021 年 10 月，Cream Finance發生安全事件，被黑客盜取價值1.3 億美元的加密資產。這是 Cream Finance 今年發生的第三起加密貨幣盜取事件，黑客在 2021 年 2 月盜取了 3700 萬美元的加密資產，在 2021年 8 月盜取了 1900 萬美元的加密資產。

本次被盜事件是通過閃電貸攻擊的方式完成的，攻擊者使用 MakerDAO 的 DAI 生成大量 yUSD 代幣，同時還利用 yUSD 價格預言機來完成閃電貸攻擊。

9.BadgerDAO被盜事件

2021 年 12 月，一名黑客成功從DeFi 項目 BadgerDAO 上的多個加密貨幣錢包中竊取資產。

該事件與通過Cloudflare將惡意腳本注入網站用戶界面時的網路釣魚有關。 黑客利用應用程序編程介面 (API) 密鑰竊取了 1.3 億美元的資金。API 密鑰是在 Badger 工程師不知情或未經許可的情況下創建的，用於定期將惡意代碼注入其一小部分客戶端。

然而，由於黑客未能及時從Badger提取資金，因此大約 900 萬美元加密資產得以追回。

10.Bitmart被盜事件

2021 年 12 月，Bitmart 的熱錢包遭到黑客攻擊，約 2 億美元加密資產被盜。研究發現，約1 億美元的加密資產是通過以太坊網路盜取轉移的，另外接近1億美元是通過幣安智能鏈網路盜取轉移的。

此次被盜事件涉及20多種代幣，包括比特幣等主流幣，和相當數量的山寨幣等。

保護加密資產的最佳方法是重視錢包的加密保護和安全的私鑰存放方式，以及對市場上的項目進行深入的研究和辨識，避免踏入攻擊者的陷阱。

由於區塊鏈的不可篡改和不可逆性，一旦錢包私鑰泄露，加密資產被盜便不可避免並無法追回。

防範加密資產被盜的六大實用策略：

1.使用冷錢包

與熱錢包不同，冷錢包不連接互聯網，因此不會受到網路攻擊。私鑰存儲在冷錢包中可有有效保護加密資產。

2.使用安全網路

在交易或進行加密交易時，僅使用安全的網路，避免使用公共 Wi-Fi 網路。

3. 資金分散到多個錢包中

雞蛋不要放到同一個籃子中，這句話在金融領域和加密領域都十分受用。

將加密資產分發到不同的多個錢包中，這樣可以在遭受攻擊時，將損失降到最低。

4. 提高個人設備安全性

確保個人設備安裝了最新的安全軟體，以防禦新發現的漏洞和網路攻擊，並且開啟防火牆來提高設備的安全性，以避免黑客通過設備系統安全漏洞來進行攻擊。

5.設置強密碼並定期更改

在談論安全性時，我們不能低估強密碼的重要性。很多人在多個設備、應用程序社交媒體帳戶和加密錢包上使用相同的密碼，這大幅增加了加密資產被盜的幾率。

防止被盜需要錢包賬戶建立一個安全等級較高的強密碼，這個強密碼需要具有獨特性，並養成定期更改的習慣。此外，選擇雙重身份驗證 (2FA) 或多重身份驗證 (MFA) 可以提高安全性。

6. 謹防釣魚攻擊

通過惡意廣告和電子郵件進行的網路釣魚詐騙在加密貨幣世界中十分猖獗。在進行加密交易時要格外小心，避免點擊任何可疑和未知鏈接。

應當始終檢查核實有關加密投資的相關信息和網站的URL，尤其是這些信息極具誘惑力且不合常理時，比如，項目方官方通過Didcord等渠道私聊信息，當然，項目方Didcord被攻擊的安全事件的頻繁發生，這時的惡意鏈接可能是在公共頻道中而不是私聊界面，這種情況下，多渠道檢查核實有關加密投資相關信息的真實性就顯得格外重要了！

SAFEIS是國際知名的創新型區塊鏈生態安全服務平台，基於 數據、 智能、網路安全、圖計算等多種核心技術打造，具有完備的數據處理和精準追溯能 ，服務對象涵蓋全球諸多知名公司和項目。

「讓區塊鏈更安全」是一個光榮使命，我們將踐行光榮使命、續航嶄新征程。

『肆』 以太坊我是a段投資有風險嗎

有風險。
因為虛擬財產在有的國家是受法律保護的。但大多數國家對於虛擬貨幣的監管力度還是不夠的，這也使得投資虛擬貨幣存在較大的風險，所以投資者需要謹慎對待。
投資以太坊是安全的，所謂的不安全，主要是因為類似以太坊的數字貨幣是網路安全犯罪的熱門目標，因為黑客能輕易地隱藏自己的蹤跡，並且不受中央銀行或政府的監管。由於加密貨幣沒有實物商品的支持，被黑客攻擊的投資者也就沒有任何法律或刑事追索權。
其中一個最大的問題是，罪犯很難被抓獲，因為他們藏匿於網路，並且搶劫也很猖獗。網路安全專家說，隨著首次代幣發行的數量增加，黑客黑入交易所，比如Coinbase或個人錢包等事件也反映了此類情況。全文導讀：根據區塊鏈數據顯示，BitMEX交易所目前資產為32億美元，共有14個交易對，幣種數量為8個，24小時成交額為20.97億美元，通過這些數據可以看出，BitMEX交易所還是比較受投資者歡迎的，不過對於部分投資者來說並不了解BitMEX。

『伍』 簡單解釋何為51%攻擊

你可能會下意識認為加密貨幣是安全可靠的。怎麼說呢，即使網路犯罪分子以不可思議的規律頻繁攻擊交易所和熱錢包，但底層的區塊鏈技術本身天然抗攻擊，不是嗎？

好吧，其實不然。區塊鏈容易遭受所謂的「51%攻擊」傷害。

當有一組礦工控制超過Token哈希算力（計算能力）的50％時，可能會發生51％的攻擊（也稱為「多數攻擊」）。 實際上，「51%」其實用詞不當; 一個成功的攻擊實際上僅需要50％+ 1的哈希算力。

如果一個群體可以達到如此高水平的控制，就可以通過以下方式輕易毀掉相關幣種。

不進行確認從而阻止產生新的區塊

撤消當前塊上已完成的事務

在網路上發起「雙花」

50％+ 1是確保攻擊成功所需的哈希算力。 但是，也有可能以較低的哈希算力成功進行攻擊。 安全團隊使用統計建模來表明當被控制的哈希算力達到約30％時，漏洞風險可能會開始增加。

比特幣以及其他幾個主流幣種使用工作量證明機制來驗證交易並將其廣播到區塊鏈上。

在白皮書中，比特幣的創始人中本聰簡明扼要地將這個過程概括為「一CPU，一票」：

「工作量證明「實質上是一CPU一票，最長的鏈條代表大多數判斷，因為該鏈條擁有最大量「工作量證明」投入。如果CPU算力的大多數由誠實的節點控制，誠實的鏈條將以超過其他與之競爭鏈條的速度快速生長。

您可能已經注意到上述引文中的大問題：「如果大部分CPU功率由誠實節點控制......」

當不誠實的節點數量超過誠實節點時，問題就出現了。 在這些情況下，他們可以「投票孤立」合法的礦工，確保他們自己控制最長的鏈條，從而控制整個加密貨幣。

中本聰假定，即使礦工可以控制超過50％的節點，他仍然可能「遵守規則」來保護自己的財富：

如果一個貪婪的攻擊者有能力比誠實礦工控制更多CPU算力，他將被迫進行選擇，是通過欺詐以偷回其支付的款項（譯者註：即雙重支付攻擊），還是通過（獲取）生成的新貨幣。他應當會發現，按照規則行事更加有利可圖，這樣的規則有利於他比其他聯合起來的每一個人獲取更多的新貨幣，亦優於破壞系統以及損害自己擁有財富的有效性。

不幸的是，網路犯罪分子並不完全遵循規則。 自中本聰的白皮書發布以來，已有無數的51％攻擊案例。

到目前為止，我們已經利用比特幣來說明51％的攻擊是如何發生的。

然而，雖然在技術層面上比特幣易受攻擊，但在更實際的層面上，由於三個原因，它不太可能成為這個受害者：

1、成本

比特幣網路規模巨大，想要獲得足夠用於攻擊的哈希算力，需要相當大量的資金投入。

​據Crypto51稱，對比特幣進行長達一小時的黑客攻擊需要花費237,941美元。 對以太坊進行攻擊的成本同樣令人望而卻步 ——將花費74,837美元。

2、礦池

如今，最大的加密貨幣的礦池分布廣泛。

情況並非總是如此；2014年，Ghash.io大概掌握量51％的比特幣哈希算力。比特幣當時顯然遠不如現在影響大，但仍然令人擔憂。

不得不說Ghash.io賊靠譜，他們幾乎立即放棄了10％算力，並要求社區自願將自己的算力限制在40％內，以保護區塊鏈的長期完整性。

現在最大的比特幣礦池的哈希算力徘徊在20％左右。

3、NiceHash

NiceHash是世界上最大的加密貨幣挖礦算力市場。

據Crypto51估計，NiceHash可以產生的總功率不到比特幣網路總功率的百分之一。 以太坊是5％，比特幣現金是2%。 所有主流幣的百分比都保持相似的低百分比。

因此，即使是武器化的NiceHash也沒有足夠的力量對主流幣進行51％的攻擊。

當你研究較小的幣種時，事情開始發生巨大變化。

就像市值排名前十的幣種，對其發動攻擊基本都是天價，而排名再往後就不好說了。其對應的NiceHash百分比也開始增加。 也有一些較大幣種的百分比令人擔憂。 以太坊經典為82％，門羅幣79％……

2018年5月比特幣黃金遭遇51％的攻擊時，小幣種的脆弱性成為焦點。

比特黃金 ——來自2017年比特幣的硬分叉 - 當時甚至出現不到六個月。

以至於該項目的發言人愛德華·伊斯克拉爾必須告知所有可以交易比特黃金的交易所，將確認數從5個增加到50個，並手動審查大額交易是否存在可疑活動。

​

「持續攻擊的成本很高。 由於成本很高，攻擊者只有從虛假存款中快速獲得高價值的東西才能獲利。 像交易所這樣的場所，可以自動接受大額存款，允許用戶快速交易另一個幣種，然後自動撤離。 在清算交易資金之前，我們一直建議設置上限以防止此類攻擊，並敦促人工審查BTG的大額存款。「

在很長是一段時間，我們幾乎可以肯定的是，51%攻擊的次數會不斷增加。

但是會有一線希望嗎？ 很難說目前存在的數千種山寨幣給最終用戶帶來了什麼實實在在的好處。 如果由此加密世界能圍繞一些較大的幣種進行鞏固，那麼對於該行業的長期健康來說，51%攻擊可能不是一件絕對的壞事。