騰訊安全上半年區塊鏈安全報告：區塊鏈因安全問題損失超過27億美元

　　8月2日，騰訊安全聯合知道創宇發布《2018上半年區塊鏈安全報告》(以下簡稱《報告》)，結合知道創宇、騰訊安全聯合實驗室、騰訊云、騰訊電腦管家等提供的海量大數據，深度揭秘區塊鏈安全三大根源性問題，并針對如何防御區塊鏈安全風險，共建網絡安全新生態提供了新思路。

　　區塊鏈安全三大根源問題：安全機制、生態安全、使用者安全

　　《報告》指出，2018上半年各種關于區塊鏈的行業資訊、投融資創業、技術和應用探索等集中爆發，成為創業與資本共同追逐的風口。然而伴隨著區塊鏈技術的不斷發展，區塊鏈領域本身的安全問題逐漸凸顯，與區塊鏈相關的社會化安全問題日益突出。

　　騰訊安全技術專家認為，目前區塊鏈加密數字貨幣引發的安全問題主要源于三個方面：其一，區塊鏈自身機制問題。以以太坊為代表的區塊鏈智能合約設計存在的漏洞問題，帶來的經濟損失極為嚴重。2016年6月，以太坊最大眾籌項目The DAO被攻擊，黑客獲得超過350萬個以太幣，最終導致以太坊分叉為ETH和ETC。同時，真實的區塊鏈網絡是自由開放的，理論上是無法阻止擁有足夠多計算機資源的節點做任何操作，若黑客控制節點中絕大多數計算機資源，就能重改共有賬本，最終實現51%“雙花攻擊”。

　　其二，區塊鏈生態安全問題。區塊鏈生態中包括PoW機制下的礦場和礦池、PoS機制下的權益節點、加密數字貨幣交易所、軟硬錢包、數據跟蹤瀏覽器、dApp應用，以及面向未來dApp應用的區塊鏈網關系統等。其中，圍繞交易所發生的安全事件最為顯著，交易所被盜遠超其他事件類型、交易所被釣魚、內鬼盜竊、錢包失竊、各種信息數據泄露和篡改、交易所賬號失竊等問題，同樣值得關注?！秷蟾妗凤@示，現階段涉及區塊鏈生態的安全問題，不論從發生數量、損失金額還是攻擊類型上在全部的安全事件中均占比最高也最為突出，是近期區塊鏈加密數字貨幣安全防范的重點。

　　其三，使用者安全問題。對于普通用戶而言，要理解或完全掌握數字虛擬幣錢包這些交易工具使用，具有較高的門檻，要求使用者對計算機、對加密原理、對網絡安全均有較高的認知。然而，許多數字虛擬幣交易參與者并不具有這些能力，極易出現安全問題。東莞曾有一名叫imToken的用戶發現自己賬戶的100多個ETH(以太坊幣)被盜，最終發現是身邊的熟人作案。

　　《報告》顯示，區塊鏈自身機制安全、生態安全和使用者安全三個方面造成的經濟損失分別為12.5億、14.2億和0.56億美元，共計高達27億美元。隨著近年來數字虛擬貨幣參與者的增加，各種原因導致的安全事件也顯著增加，其中區塊鏈自身機制及區塊鏈生態問題尤為明顯。

　　加速能力輸出護航區塊鏈 騰訊安全聯合知道創宇共建安全新生態

　　近年來，由數字加密貨幣引發的互聯網安全問題頻頻發生，從席卷全球的WannaCry勒索病毒到“tlMiner”挖礦木馬案件，再到近期層出不窮的數字貨幣被盜事件，不法分子看中數字加密貨幣的匿名性，使用非法手段獲取了大量不義之財?！秷蟾妗穼^塊鏈領域“勒索”、“非法挖礦”及“盜竊”三大安全威脅進行了詳細分析，并公開騰訊安全與相關黑產對抗的實踐案例，為加強區塊鏈安全防護提供了有益參考。

　　值得注意的是，傳統的挖礦方式，如比特幣一般采用顯卡GPU挖礦，黑客難以利用，更多的場景為勒索加密;而自從采用CryptoNight算法的如門羅幣等新幣種的出現，挖礦方式有所變化，不再依賴于GPU挖礦，CPU挖礦也成為了可能，于是黑客在入侵了個人PC和云主機之后更多會選擇消耗機器CPU資源挖礦來直接獲得利益。根據騰訊安全云鼎實驗室統計，存在通用安全漏洞如永恒之藍的機器成為主要的入侵目標，黑客通常采用批量掃描通用安全問題并入侵植入挖礦程序的方式進行惡意挖礦。一些傳統企業、政府機構等行業的機器被入侵挖礦現象尤為顯著，主要原因是這些行業的云主機由于部分維護人員缺乏安全意識，容易存在漏洞，甚至長期不登錄云主機，更是變向給黑客提供了長期礦機，這些存在安全問題的云主機也是云上挖礦等惡意行為肆意繁衍的溫床。

　　除本次騰訊安全聯合知道創宇共同發布《報告》以外，雙方在護航區塊鏈產業健康發展方面早有合作。今年6月21日“中國區塊鏈安全高峰論壇”上，騰訊安全聯合中國技術市場協會、知道創宇等政府指導單位、網絡安全企業、區塊鏈相關機構及媒體二十余家機構、單位聯合發起“中國區塊鏈安全聯盟”，共同發起建立區塊鏈生態良性發展長效機制。

　　從《報告》整體來看，當前國內外網絡安全形勢日益復雜，區塊鏈的安全也面臨著巨大的挑戰，假借區塊鏈名義的詐騙、傳銷等社會問題日益增多，已發展成為社會經濟的毒瘤。對此，騰訊安全攜手知道創宇等區塊鏈安全聯盟成員共同探討行業的解決方案，提升整體行業安全實力的同時，將聯合更多的政府部門、企業，共同打擊黑色產業鏈，共建網絡安全新生態。

特別提醒：本網內容轉載自其他媒體，目的在于傳遞更多信息，并不代表本網贊同其觀點。其原創性以及文中陳述文字和內容未經本站證實，對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾，并請自行核實相關內容。本站不承擔此類作品侵權行為的直接責任及連帶責任。如若本網有任何內容侵犯您的權益，請及時聯系我們，本站將會在24小時內處理完畢。