token被盗取:区块链安全报告（2018年）

前言

2018 年被公认为区块链的大年。随着区块链技术的不断发展，区块链本身领域的安全问题逐渐凸显，与区块链相关的欺诈、传销等社会安全问题也日益突出。

在区块链技术安全领域，不仅存在“传统”互联网世界面临的网络拒绝服务攻击、代码漏洞等攻击威胁，还有区块链特有的风险点（如智能合约漏洞） . 随着区块链经济价值的不断提升，促使犯罪分子利用各种攻击手段获取更敏感的数据，如“盗窃”、“勒索”、“挖矿”等。通过区块链的概念和技术，区块链安全环境变得更加复杂。

1.安全状态：脆弱如新生儿

从 2008 年的构想到 2013 年，业界认识到区块链技术的重要潜在价值，并开始尝试将其应用于数字货币以外的场景（如众筹、资产交易、所有权管理、身份认证等），现在大家都在谈论区块链，区块链在短短几年内迅速成为最热门的技术、行业、行业，随之而来的安全问题也令人担忧。目前，针对区块链的攻击已经覆盖了整个行业的方方面面，包括应用层、智能合约层、底层结构层、基础设施层、安全意识和管理，攻防之战已经蔓延到整个行业。区块链行业。

目前市场上有数百家区块链相关公司，根据业务类型和模式，大致可分为数字货币和技术应用两大类。顾名思义，数字货币是符合数字经济时代的体现和传递交换价值的中间件。技术应用是在许多现实世界的场景中，利用区块链技术降低成本，提高效率。由于业务形式和模式的不同，两者的安全要求也不同。

应用层通常是攻击者的首选目标，这是最常见的交易平台。安全问题包括未经授权访问交换服务器、交换 DDoS 攻击、员工主机安全问题和恶意程序感染。智能合约层是整个安全防御的重中之重。举世闻名的 DAO 事件是由于重入攻击造成的数千万美元损失。涉及智能合约开发的代表性项目包括区块链钱包、众筹基金、区块链代币发行、区块链游戏等。未经授权的访问攻击和消除编程隐患都是合约层的常见问题。底层制度层和基础设施层的安全需要关注区块链实施层的安全风险、针对社区的 DoS 攻击、EVM 安全风险等。此外，安全意识和管理，包括如何识别和防范社会工程攻击、内部攻击、第三方风控失败、钓鱼攻击等也必不可少。显然，区块链新贵安全的复杂性在于，它不仅会产生新维度的问题，而且会产生贯穿始终的安全问题。第三方风控失败，钓鱼攻击也少不了。显然，区块链新贵安全的复杂性在于，它不仅会产生新维度的问题，而且会产生贯穿始终的安全问题。第三方风控失败，钓鱼攻击也少不了。显然token被盗取，区块链新贵安全的复杂性在于，它不仅会产生新维度的问题，而且会产生贯穿始终的安全问题。

与区块链行业不可阻挡的发展速度相比，公众对区块链安全的认识几乎为零，相应的规范和保障体系也像新生儿一样脆弱。自出现以来，遭受了大量的网络攻击，每一次成功的攻击都带来了数百万、数千万到数亿美元的实际损失，摧毁了人们对区块链行业的信心。

2、区块链安全事件频发，过亿案件屡见不鲜

1. 加密货币支撑着 6000 亿美元的市值

数字加密货币是按照一定的数学算法计算出来的一串符号。信徒认为，这串符号代表了一定的价值，可以像货币一样使用。因为它只存在于计算机中，所以通常被称为“数字加密货币”。

它不同于由政府发行、以政府信用为担保、用于商品流通和交换的媒介——法币。数字加密货币由某个人或组织发行，通过某种算法找到一串符号，然后声明为“XX币”。世界上第一个数字加密货币是由日本中本聪发现的，他称之为比特币。比特币成功取得黑市交易硬通货地位后，引发了数字加密货币发行狂潮。迄今为止，全球已经出现了1600多种数字加密货币token被盗取，是地球上国家总数的8倍多。

1600多种数字虚拟货币中，有大量的空气币，被认为一文不值。但这1600多种数字虚拟货币在高峰期支撑了6000亿美元的市值。前十大加密数字货币占总市值的90%，其中比特币和以太坊分别占总市值的46.66%和20.12%。

关于 ICO

上市公司发行股票时，需要向证券交易所提交IPO申请。当虚拟数字货币需要上市发行时，会寻求数字虚拟货币交易所申请ICO。与 IPO 机构不同，ICO 机构并非由各国政府机构合法设立。他们有强大的财政和政治实力保证。ICO组织是人们自发形成的组织或联盟，类似于自由市场。一些ICO机构的实际表现，其实更接近于跨国诈骗组织。空气币满天飞，英雄气概的ICO机构功不可没。

2、区块链安全事件爆发率逐年上升，案例价值提升

加密数字货币一旦诞生，安全性就是人们关注的焦点。不幸的是，各种重大安全事件层出不穷。就像这些惊人的案例一样：

2013年11月，据报道，当地一名18岁青年声称自己的比特币银行被盗，丢失了4100个比特币；

2014年3月，美国数字货币交易所被盗，损失12.3%的比特币；

2014 年 Mt.gox 盗窃案 - 850,000 枚硬币，价值 120 亿美元；

2015年1月，交易所盗窃案——19000比特币，当时价值510万美元；

2015年2月，黑客利用Bit从冷钱包中填充热钱包，盗取Biter交易平台冷钱包中的所有比特币，共计7170个比特币，价值1亿美元；

2016 年 1 月 1 日，价值 1.9 亿美元的 13,000 个比特币从交易平台被盗；

2016年8月1日，全球知名比特币交易平台被盗约12万枚币，价值18亿美元；

2017年3月1日，3831枚比特币从韩国比特币交易所被盗，相当于平台总资产的37%，价值5700万美元；

2017年6月1日，韩国数字资产交易平台被黑，受损账户损失数十亿韩元；

2017年7月1日，BTC-e交易所盗窃案——6.6万枚硬币，价值9.9亿美元；

2017 年 11 月 22 日宣布被黑，价值 3100 万美元的比特币被盗；

2017 年 11 月 23 日，30,000 比特币的挤兑立即被撤回；

据美国财经网站 CNBC 报道，网络安全公司 Black 的调查数据显示，2018 年上半年，价值约 11 亿美元的数字加密货币被盗。

3. 区块链安全威胁分类

一、区块链数字加密的三大安全问题

为什么与加密货币相关的安全事件如此严重？安全风险的原因是什么？整体而言，基于区块链的加密数字货币带来的安全问题来自三个方面：区块链自身的机制安全、生态安全和用户安全。总的趋势是，随着数字虚拟货币参与者的增加，各种原因引发的安全事件也明显增多。

2. 区块链数字加密货币安全事件详解

2.1 比特币自身机制引发的安全事件

2018 年 5 月，比特币黄金 (BTG) 遭受了 51% 的双花攻击，损失了 1860 万美元。

2017 年 10 月，比特币网络遭受垃圾邮件交易攻击，导致超过 10% 的比特币节点下线。

51% 双花攻击是最典型的。所谓51%攻击，是指某人掌握了全网51%以上的算力后，可以像赛跑一样抢先完成更长的伪造交易链。比特币只识别最长的链。因此，假交易也会被所有节点识别，假的会变成真的；“双花”（ ）字面意思是一笔钱被花两次。以BTG事件为例，黑客在暂时控制区块链后，不断在交易所发起和撤销交易，并在多个钱包地址之间来回移动一定数量的BTG。花了很多“钱”。其次，黑客的地址因此可以获得额外的比特币。

2.2 区块链生态引发的安全事件

例如，交易所面临的风险和 DDoS 攻击经常发生。也有交易所账户被黑客控制，攻击者控制交易市场，套取场外利润。

2018年3月，号称全球第二大交易所的“币安”被黑，大量用户发现账户被盗。黑客将被盗账户中持有的比特币全部变卖，高价买入威盛（），导致比特币暴跌，威盛暴涨110倍。

2.3 区块链用户面临的风险

数字虚拟货币钱包了解或完全掌握这些交易工具的使用门槛很高，要求用户对计算机、加密原理、网络安全有较高的了解。但是，很多数字虚拟货币交易参与者不具备这些能力，很容易出现安全问题。

2017年7月1日，中原油田某社区居民188.31比特币被盗。几个月后，油田警察逮捕了常驻上海的小偷戴，价值 280 万美元；

2017年10月，东莞某用户发现100多枚ETH（以太币）被盗，最终证实身边朋友盗取了自己的数字加密货币。

4. 区块链安全建议

区块链技术仍然是许多互联网公司甚至国有银行系统的重点研究领域。区块链的应用并不等同于数字虚拟货币。安全专家不鼓励人们炒币，所以我不会在这里详细介绍炒币的行为。

对于区块链安全，从系统架构的角度，建议相关企业与专业的区块链安全研究机构合作，及时发现并修复系统漏洞，避免资金被严重大规模盗窃；

对于参与数字虚拟货币交易的网民，应充分了解可能存在的风险，在电脑端和移动端使用安全软件，避免落入钓鱼陷阱，避免数字虚拟货币钱包被盗；

对于普通网友来说，要防止电脑中毒成为别人控制的“矿工”，谨慎使用游戏外挂、破解软件、视频网站客户端破解工具等。这些软件极有可能被人为植入恶意程序。同时，定期安装杀毒软件并及时更新。当电脑死机或过热时，使用权威安全检查，防止电脑被非法控制，造成不必要的损失；

企业网站和服务器资源管理者应部署企业级网络安全防护体系，防止企业服务器被入侵和安装挖矿病毒和勒索软件。防止企业网站被黑，及时修复服务器操作系统和应用系统的安全漏洞，防止企业服务器成为黑客的挖矿工具，同时避免企业网站的访客电脑因服务器被入侵而成为“矿工”。

10月26日，以“区块链新经济数字化转型”为主题的第七届万向区块链全球峰会在上海召开。微众银行副总裁兼首席信息官马志涛在峰会上分享了个人信息可移植性的国际实践和中国路径，并提出了基于区块链技术的解决方案——分布式数据传输协议（简称Data）。滴滴涕）。

将于11月1日正式实施的《个人信息保护法》首次规定了“个人信息的迁移权”。将他们的个人信息转移到另一个实体。马志涛认为，个人信息携带权的确立体现了个人信息权归还个人的立法理念，赋予个人在企业间主动转移个人信息的权利。如何利用创新技术探索个人信息可携性的新模式是下一步的关键。

马志涛指出，中国的新模式应该赋予用户选择存储方式的权利。同时，还需要解决个人信息验证、个人权益保护和信任机制以及个人信息跨行业、多场景协同等问题。针对这些问题，分布式数据传输协议（DDTP）应运而生。

“DDTP模式可以完全由个人主导，遵循分布式概念。它不需要参与机构之间的事先约定，也不需要依赖单一的中央机构的推动。可实现跨机构、跨场景、跨格式数据。层面合作。”马志涛说。

据了解，DDTP由微众银行牵头的金链联盟、馆韬中茂律师事务所、 Micro 等联合提出。DDTP是基于区块链技术设计的。通过区块链的全程溯源、防篡改、信任传递等特性，以及权威机构的参与，促进个人信息承载应用更加安全、可信、协作。

2020年，微众银行粤澳健康码跨境互认项目采用了类似DDTP核心机制的场景化解决方案。该项目让用户成为个人信息数据传输的核心，自主携带和申报个人健康信息，并将可验证的数字证书上传到链上，实现数据验证和健康码互认交换。截至今年6月，粤澳健康码跨境互认项目已支持超过9500万人次通关。

粤澳健康码跨境互认项目验证了DDTP在个人健康信息领域的可行性。下一步，DDTP将践行“公共联盟链”的理念，应用跨链技术，实现跨领域互联互通的分布式数据传输、验证与协作的新生态。

马志涛表示tp钱包里怎么跨链转币，“个人信息保护法的立法tp钱包里怎么跨链转币，加上前沿技术的不断发展，有机会推动更多类似于DDTP的标准协议的诞生，构建更多符合形式的应用。公链，对于数据时代的建设是非常必要的，不可或缺的新型数字基础设施。”

文/北京青年报记者 程洁

编辑/范宏伟