盘点区块链历史上的重大黑客事件

资产安全一直是数字世界的重中之重，账户盗窃一直是加密世界的陈词滥调。无论是个人用户还是交易所，都一直受到数字资产安全问题的困扰。究竟发生了什么？以史为鉴，让我们来看看区块链历史上发生的重大黑客事件。

价值溢出事件（2010 年 8 月）

2010年8月15日，未知黑客对比特币发起攻击，利用大整数溢出漏洞，绕过系统的余额检查，打破比特币总量的限制设置，黑客凭空创造了184 4.67 亿比特币。

在这种情况下，为了拯救比特币，中本聪被迫发起了比特币历史上的第一次硬分叉。

Bitcoinica（2012 年 3 月和 5 月）

Bitcoinica 是一家老牌交易所，在 2012 年遭遇两次黑客攻击。黑客利用其松懈的服务器获取客户数据（包括密钥），总共窃取了 61,000 BTC，最终导致 Bitcoinica 破产。

Bitfloor（2012 年 9 月）

与 Bitcoinica 的盗窃类似，黑客入侵了 Bitfloor 的服务器并窃取了 24,000 BTC。Bitfloor 从未恢复过，并于次年 4 月关闭。

Poloniex（2014 年 3 月）

2014 年 3 月，成立两个月的 Poloniex 交易所的服务器遭到黑客攻击。一名黑客在 Poloniex 中发现了一个漏洞，如果同时收到多个请求，该漏洞允许提款系统出现负余额。提款系统在注意到异常活动后关闭了对受影响账户的访问。

MtGox（2014 年 2 月）

当时最大的成熟交易所 MtGox 也遭受了最严重的黑客攻击。由程序员 Jed McCaleb 创建。2010年7月，他读到一篇关于比特币的文章，于是修改网站代码进行比特币交易，并在2011年将网站卖给了Mark Karpeles。到2014年，MtGox处理了全球70%的比特币交易。

2014 年 2 月 7 日，MtGox 宣布暂停交易，理由是其安全软件存在漏洞。两周后，该网站突然关闭黑客攻击比特币，MtGox 申请破产。这笔损失总计 850,000 BTC，当时价值 4. 7 亿美元。这个问题让投资者信心受损，比特币直接暴跌 36%。

许多人怀疑是法轮，他于 2015 年因欺诈、挪用和操纵用户余额等罪名被捕，但这并不能直接证明他参与了盗窃交易所。2017 年，美国当局在希腊逮捕了俄罗斯人 Alexander Vinnik，他不仅控制了从 MtGox 窃取的比特币，还控制了 Bitcoinica 和 Bitfloor。

Bitstamp（2015 年 1 月）

安全事件不断发生，交易所开始将硬币存储在两个钱包中：冷钱包和热钱包。冷钱包是不联网的服务器，也称为离线钱包。热钱包用于存储足够的资金以满足用户的日常交易需求。

2015 年 1 月，Bitstamp 热钱包中的 19,000 个比特币被黑客通过网络钓鱼窃取。幸运的是黑客攻击比特币，Bitstamp 90% 的币都存放在冷钱包中，没有受到影响。

DAO（2016 年 6 月）

在以太坊网络上发行的加密货币的运作方式与比特币不同，但它们也是黑客攻击的目标。以太坊区块链环境不同于其他数字货币，可以通过智能合约进行交易。

所谓智能合约，就是设定了要求，一旦满足设定的条件，就会自动执行。以太坊网络上有 6000 台计算机，因此网络很难修改或控制。以太坊架构支持去中心化自治组织 DAO，它以代码的形式将规则和决策写入区块链，让智能合约无需人工监控即可自动执行。

2016 年 4 月，Genesis DAO 创建了一个社区，投资者可以为项目投票，支持率超过 20% 的项目可以获得资金支持。DAO 在以太坊上筹集了 2. 5 亿美元。6 月，黑客发现了一个漏洞，允许多次提取单一货币，并且智能合约的更新速度不如取款快。在短短几个小时内，DAO 合约中 30% 的 ETH 被转移。

盗窃案公开后，Genesis DAO 进行了一次硬分叉，创建了一个新的区块链。但这次分叉遭到社区部分代币持有者的反对，他们认为篡改时间戳正在稀释以太坊在他人手中的价值。之后，社区发起投票，89%的人支持硬分叉。反对者从社区中分离出来，重组了原来的链，并将其更名为以太坊经典。

Bitfinex（2016 年 8 月）

这是继 MtGox 热钱包被盗后的第二大交易所盗窃案。具有讽刺意味的是，Bitfinex 的软件升级旨在提高安全性，但没想到该软件包含漏洞。Bitfinex 最初使用的是 BitGo 提供的多重签名交易软件。

直到今天，没有人知道黑客如何避免多重签名并窃取硬币。现在最流行的解释是 Bitfinex 服务器安装了不合适的软件。在 Bitfinex 事件中，黑客窃取了 120,000 个比特币，当时价值 7200 万美元。

随后，为了弥补客户的流失，Bitfinex 使用代币进行股权融资，并利用周转量按月补偿客户，逐步弥补亏损，难以生存。

平价（2017 年 7 月和 11 月）

以太坊的多重签名系统也存在缺陷。2017 年 7 月 17 日，有人攻击了多签名钱包服务 Parity，目标是最近完成 ICO 的三家公司。黑客总共窃取了 152,037 个比特币，价值 3200 万美元。Parity 将此次攻击归咎于 Parity 钱包版本中智能合约代码的漏洞，并于 7 月 20 日发布了补丁。

不幸的是，该补丁解决了智能合约问题，但存在另一个安全风险。Parity 在其智能合约代码中添加了“杀死”功能，允许用户永久锁定 Parity 钱包。Parity 开发人员没有将此代码更新到所有用户钱包，而是选择使用集中式库（合约库）进行函数调用。

11月6日，一位名叫“devops199”的新手程序员不小心锁了库，所有连接到库的钱包也被锁了。共有 587 个钱包受到影响，其中包含 513,774 个 ETH，价值约 1. 5 亿美元。

这既不是犯罪也不是恶意行为，但它给以太坊提出了一个大问题：是否还有另一个硬分叉来恢复被锁定的 587 钱包？4月，Parity向以太坊社区发起投票，最终以55%的反对票否决了硬分叉，丢失的币将一去不复返！

NiceHash（2017 年 12 月）

NiceHash 是位于斯洛文尼亚的一个矿场。黑客成功利用网络钓鱼窃取了员工的凭证并窃取了 4,700 比特币，当时价值近 8,000 万美元。

Coincheck（2018 年 1 月）

日本交易所 Coincheck 被盗 5 亿 NEM。黑客取出 NEM 并将其换成其他加密货币的速度如此之快，以至于 NEM 基金会放弃了恢复工作。这次损失高达5.3亿美元，超过了2014年MtGox的损失。由于Coincheck在被黑后立即冻结了提款，稳定了用户，交易所最终幸免于难。

Coinrail 和 Bithumb（2018 年 6 月）

2018年6月，两家韩国交易所的热钱包遭到攻击。其中，Coinrail 损失了 5,300 BTC（价值近 4000 万美元），Bithumb 损失了近 3100 万美元。

事实上，区块链应用程序有一些中心化数据库没有的安全问题。

区块链在数据安全方面确实超越了传统数据库。如果区块链想要兑现它的承诺——改变传统数据的存储和操作方式，那么它必须缓解和解决这些安全问题！那么有哪些安全漏洞呢？如何处理？

访问区块链需要一些密钥，例如公钥和私钥。密钥是一个足够长的加密字符串，我想猜一下，呵呵。如果没有正确的公钥和私钥组合，您访问区块链中的数据是不切实际的，这说明了区块链技术的优点和缺点。如果没有正确的密钥，黑客就无法访问您的数据，这意味着区块链是安全的。但另一方面，黑客的目的是为了获得正确的密钥来完成他的别有用心。在区块链世界中，拥有您的密钥和拥有您的数据的所有权完全是同义词。这也说明了区块链的缺点。保护您的密钥免受黑客攻击。

黑客也知道猜测密钥是无用的，因此他们会花费大量时间试图窃取您的密钥。获得密钥的最佳机会是攻击整个区块链系统中最脆弱的点——PC、手机等终端设备。Windows、Android 中的安全漏洞是区块链黑客最容易攻击的目标，因为可以随时在这些设备上输入、显示和存储区块链密钥。而且黑客可以窥探和捕获，如果我们没有充分保护我们的设备，您的财富将会消失，您将无法取回！以下简单步骤可以非常有效地防止黑客窃取您的区块链密钥：

在您的 Windows 和 Android 设备上安装杀毒软件，并确保同时更新杀毒软件和操作系统！定期检查恶意软件！不要将密钥存储在记事本、word 或其他文件中。如果你真的需要它，那就用可靠的加密软件强加密吧！不要以任何理由将密钥通过电子邮件发送给任何人。如果您真的需要它，请使用区块链电子钱包！各种键分开！

只有当我们的信息通过区块链输入或输出时，区块链才有价值。随着分布式账本的使用，第三方解决方案的市场将会不断增长。可以预见，在区块链平台整合、钱包、支付、科技金融、智能合约五个方面，将会出现大量第三方解决方案。兄弟，我想你也想到了，分布式账本的强劲需求给区块链的发展带来了春天！但第三方供应商也存在一定的安全隐患，部分第三方自己可能没有意识到自己开发的系统的安全性有待提高，代码可能有缺陷，甚至存在层面漏洞员工，这可能会使他们的客户的区块链凭证和数据暴露给未经授权的人。区块链提供商的安全风险。

第三方产品涉及智能合约时（不了解或对智能合约感兴趣的，请关注本号，看之前的文章错过比特币？还想错过区块链的下一个应用风口——智能合同？）这种安全风险特别严重。因为您整个系统的所有操作或多或少都作为智能合约存储在区块链上，所以一个错误可能会造成灾难性的后果！因此，如果你需要第三方区块链解决方案，你需要审视整个区块链行业的生态系统。经验和信誉应该作为参考的两个关键指标！

据福布斯报道，区块链的第一大安全问题是缺乏标准和法规！事实上，只要有法规或标准，区块链纯粹主义者就会保持高度警惕。好奇的男孩可能会问：区块链不是治理和监管的对立面吗？它是如何工作的取决于你！如果我们回顾我们上面提到的第二个风险，供应商风险。如果没有标准，如果没有监管，上述5个领域中的哪一个会受益？显然不是！标准使应用程序更安全。

缺乏标准协议意味着区块链开发者很难从别人的错误中获益。此外，在某些情况下，可能需要集成链，并且随着多种技术的融合，缺乏标准化可能意味着新的安全风险。标准和监管问题比技术问题更复杂。与其他技术发展类似，这些问题最终会随着历史的发展而得到解决，而历史可能惊人地相似：

强制性标准和法规可以说是慢慢来。（互联网发展初期的标准和监管） 在一些创新领域，大型企业集团内部执行自己的标准和监管。（今天一些垂直领域的大型互联网公司的免费标准和规定）只在大型企业内部使用，自治区块链不会有具体的标准和规定。（如今大型互联网公司制作自己的私有协议）

虽然比特币诞生至今已有八年，但区块链能否安全地应用于数字货币仍处于试验阶段。但是一些分布式账本开发人员渴望在区块链上部署未经测试的代码。一个臭名昭著的例子是 DAO 攻击。（关于DAO攻击，望不懂的官方自行百度，谢谢~）。在 DAO 攻击之后，DAO 贬值了三分之一，这太不可思议了。DAO攻击曾一度成为区块链领域文章热搜！为了解决这种类型的安全风险，至少有两个好的解决方案：

相互监督：在部署之前对代码进行严格的同行审计。专业的人做专业的事：智能合约测试由独立的测试机构进行。

使用这两种方案中的任何一种都会发现 DAO 中的缺陷，未来也是如此！

尽管历史的损失令人遗憾，但好消息是安全问题的解决方案正在变得越来越好。

就像互联网杀毒时代的演进一样，我们期待更完美的技术性能迎来区块链的进一步普及，真正由内而外形成一个可靠、透明、可追溯的分布式平台，为金融交易创造安全空间，促进社会信任关系保护。