3月7日深夜,币安的事件众所周知,引发了一系列连锁反应。区块链人并没有入睡,当时刷新闻,立刻从床上爬起,查看了自己的账户还好没事而。作为一名资深韭菜,警惕地又查看我在别的平台的账户,看了,火币,正常;OK家,也正常。松了一口气,说:大半夜给我搞什么事情!
但是,我突然发现,我们一直在说区块链、说项目、说赚不赚钱,像我这种才华集一身, 甚至研究了什么货币历史、密码学、区块链书籍看了十几本,二级市场实操作多年。但,我突然意识到,好像从没有写过一篇关于黑客、关于数字资产交易平台安全防护体系的文章。市面上也没有搜到一篇我觉得全面、客观的文章,看来,我该厚着脸皮出马了。
在2010年的Black Hat安全大会上, 一个叫做Barnaby Jack的白帽黑客展示了如何用一台笔记本电脑远程操纵ATM自动不停地吐钞票。
展开全文
重要的是,之后,Jack和ATM制造商合作对软件进行了安全升级。
百度曾遭遇“史上最严重”黑客攻击。2010年1月12日上午7时许,中国最大搜索引擎百度突然无法登陆,主页背景黑色,且有伊朗王军等字样。百度回应说,该事件源于其在美国域名注册商处被非法篡改,导致网站不能被正常访问,到当天上午约11点起,部分地区陆续恢复正常访问。据悉,这是百度建立以来,遭遇的持续时间最长、影响最严重的黑客攻击。
百度拥有世界上最先进的服务器和黑客防御系统,被攻击导致集体瘫痪的难度非常之大,
但是重要的仍然是,之后,黑客以劣根性又一次让“百度”在技术上突飞猛进、博弈、敦促自我。
黑客对黑客精神下过定义,总结起来大概是:
采用一切可能的手段达到目的。
我们先说下事实,
单说下历史上,被黑客攻击的数字资产交易平台:
2014年2月,著名的门头沟-MT.Gox在网站页面宣传停止交易并随后申请破产。网上流传一份文件,透露了其倒闭的直接原因:由于受到黑客攻击,总计744000个比特币失窃。
2017年8月4日,香港比特币交易所Bitfinex 遭遇黑客入侵,多达119756BTC被盗,总价值约为7500万美元。
2017年12月,韩国比特币交易所Youbit遭遇黑客攻击,导致用户资金被盗。在遭受黑客攻击之后,Youbit的母公司Yapian立即申请破产保护。
2018年1月,日本东京加密货币交易所Coincheck遭到黑客攻击,价值5亿美元的NEM数字货币不翼而飞,堪称史上最大劫案之一。
但是,也正因为黑客让技术大牛们,不断进步,这是一场没有硝烟的战争,只是一个在明一个在暗。在明处的,必然可以名正言顺聚集更多的技术、人才、资金、道德支持等等,对抗黑客。
讲这些事是想说,黑客并不是数字资产的产物,而是社会的产物,也不光是韭菜、交易平台的公敌,正常情况下,它是全人类的公敌。
除了场外的大单交易,交易平台是绝大部分数字货币爱好者买卖数字货币的地方。由于离钱比较近,且账户资金额度比较大,交易平台是整个数字货币系统中最容易受到黑客攻击的环节。常见的黑客攻击都配合做空操作以获得利益。在数字货币价格虚高时,黑客们借币做空,然后组织大规模DDoS攻击使交易平台瘫痪,引起恐慌,造成大规模抛盘,进而在低处接单买入。这种方式在买卖频繁、交易量较大的时候,很容易实现。但用多了以后,制造的恐慌效果就一般了。
另外有一种直接以盗取数字货币账户资金为目的的入侵也非常危险。除了这些外在攻击,交易所自身参与数字货币的买卖也是很多人担心的问题。可见,在进行数字货币交易时,选择一家诚信、可靠、稳定的交易所至关重要。
接下来我尽量通俗的来解释,黑客攻击的主要手段以及相关常识:
网络渗透攻击(Network Penetration)
黑客常用的一种攻击手段,也是一种综合的高级攻击技术,简单讲,就是黑客研究如何一步步攻击入侵某个大型网络主机服务器群组。
而正义的人们为了不被网络渗透,假装成黑客,模拟入侵攻击测试,这种行为叫做"渗透测试(Penetration Test)"。
也就是说网络渗透是攻击者的恶意行为,而渗透测试则是安全工作者模拟入侵攻击的测试行为,目的是找到最佳安全防护方案。
由于我的虚拟资产分散各大交易平台,这方面小有研究,我就挑我常用的“火币”交易平台举例。(主要是,一大半资产在火币,不研究它们的防护体系是不可能睡安稳觉的)
首先,火币的第一防护重点就放在了网站安全漏洞,业务上线前通过安全测试、内部渗透测试,这就是我刚才说的。另外还有一个概念就是
SQL注入攻击
为了不拽概念,你可以通俗理解,这是黑客对数据库进行攻击的常用手段之一,就是通过命令插入到表单提交或输入查询字符串,最终达到欺骗服务器执行恶意的SQL命令。再进一步解释就是,程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
这就是为什么火币,还有许多钱包都会告诉你,他们使用了参数化查询防SQL注入架构。那么,火币他们为什么用参数化查询解决这问题的?要理解,可以举个魔兽世界WOW的例子:
法师在生产了一个魔法泉水的时候,队员会有一个提示 “XXXX制造了魔法泉水”。
有一个货起名叫 “处女一抬腿”...
结果队友出现的提示内容就是 “处女一抬腿制造了魔法泉水” 是不是有一种很恶的感觉?
这就是 SQL 注入的基本原理。
那怎么解决呢?用变量啊,比如,提示信息改成 “ID:8888888制造了魔法泉水”,不就好了,管你叫什么名字呢。
你的参数化查询,其实就是创建了一个变量,并且单独为这个变量赋值。
所以下次你在用钱包、交易工具的时候,都可以看门道了,因为原理都一样。
防XSS攻击
这么说吧,黑客们非常乐衷使用 XSS 攻击(我深度怀疑这次币安是栽在这!)。
记住了,XSS攻击可以盗取用户账号、管理员账号等,也可以控制数据,篡改、添加、删除数据,最重要的是还可以非法转账!!!网站挂马、控制受害者机器并其它网站发起攻击…… 狠得不行。
当初2011年6月也是个晚上 XSS 攻击新浪微博事件估计还有人记得。目前,火币是用得过滤输入、转义输出,防XSS攻击。过滤输入、转义输出是啥?这是目前世界上应对XSS注入的主要方法,也就是对输入的数据进行过滤,确保输入数据符合我们的期望;第二个是,对输入的数据进行转变(有点加密的意思,类似哈,为了方便理解),在输出时再进行还原。
另外,还有什么基于refer的CSRF攻击检查;采用SSL加密并修复了最新的OPENSSL漏洞,你只需要知道,黑客会对网站的恶意进行利用,而且像CSRF攻击比XSS更具危险性。而SSL加密技术是可以保证敏感数据在传送过程中的安全的。
除了理解黑客常用的攻击手段,还需要了解,在交易、钱包等价值流转过程中的商业市场中,其实还有些企业在做专业的第三方安全监测机构。这个道理很简单,技术再牛的公司也会有盲区,火币的团队找了乌云众测、安全宝、安全联盟,这些独立的第三方会进行定期的监测,可以说算是多了一个屏障,当然了,越多越权威的第三方就是公信力,起码安心啊。我猜,目前交易平台世界大风口,做这些第三方监测的团队应该是盆满盈钵,再加上黑客虎视眈眈,更是少不了它们。
很多技术背景的大牛,平日里可以去找找漏洞啥的,像火币对能找出漏洞得人是会给大奖励的。你只需要发个邮件,此刻我其实羡慕死靠技术吃饭的人了。
另外,除此之外,许多大型的交易平台都会有第二重防护,也就是账户安全防护。就是多重确认与人工审核,可以防止账户被暴力破解,以及我们都知道的各种认证,短信验证,像如果要在火币一次性提取大额虚拟资产是需要人工审核的。每次我登陆火币的账户,明显感觉要通过很多关卡,当然我还是不嫌麻烦的,比起黑客,还是耐心点儿好。
第三重防护是关于钱包的,大家对交易平台资产存放的钱包,我发现很多人是知之甚少的,黑多被黑客入侵主要是因为使用高权限用户,这是个非常普遍、且远远没有得到重视的问题,如果你能够养成好习惯,不使用高权限用户(尤其是管理员)进行日常操作,就可以大大降低被黑的概率。
所谓的“用户权限”,通俗地说,就是某个用户的权力有多大。权力越大,能干的事情越多。如果你平时总是用管理员权限登录到系统并进行日常工作,那就意味着你所运行的每一个程序,同时也具有了管理员权限。要知道,管理员权限的权力是很大的,几乎可以干任何事情。假如你从网上弄了一个软件,且软件已经感染了病毒。那么,当你运行这个软件时,这个病毒就会被激活。要命的是,它也同样具有管理员权限。这时,病毒就获得了和杀毒软件平起平坐的地位。想想都可怕!
举个栗子
拿火币举例,它们有最小权限的防护原则。就是说:
·98%的平台数字资产存放在多重签名的冷钱包中
·冷钱包只允许出币到火币线上钱包
·负责转币的人无法修改出币地址,只做签名动作的执行者
·任何员工没有机会接触到任何一把完整的冷热钱包私钥
·对于钱包工作状态与出币情况设置了实时监控报警
最后,关于防黑客,剩下的就是一些运营相关以及设施相关的细节了,不要忽视,这些也应该考虑进去。因为人,才是世界上最靠不住的因素,系统安全性不该依赖于人,我是非常同意这一点的。火币目前让我放心就在于,他们的环境要求什么闭路监控、设置多重门禁、要求员工工作必须使用高强度密码、敏感文件必须存入加密盘、员工离开电脑必须锁屏等等,这些看似小的地方,万一随便一个员工离职,搞点事情,哭都来不及。无论是各行各业,包括投行、股市、交易所等等,风控也许才是根本,没有安全性,何谈利益?
BTC是一个由密码学和分布式系统构成的数字资产系统,其本身的流通和发行安全是可靠的。但是,由于比特币依赖信息系统作为载体,所以所有对于信息系统构成威胁的因素也会影响比特币的资产安全。我也在思考,黑客选择攻击谁,不攻击谁是否是有调研行为的?答案只有黑客知道。但是,起码我们的交易平台应该做到无懈可击,做这一行一定要秉持着“人性本恶”价值观,因为面对的是黑客。即使是中本聪的白皮书,之所以伟大,在我看来这种分布式的底层应用,每个节点的平等也都是为了防止作恶的小人,本质上就是这样一个价值观!胆战心惊、如履薄冰的面对每一个交易参与者,打败黑客、在其位谋其政!
黑客事件不可怕,可怕的是我们不反思,不学习。我也相信像火币、OK、币安这些大的平台,更希望做大品牌,着眼长远,并不会放松对黑客的警惕。在风险控制上,希望火币保持住目前采用的银行业标准建立严密安全防护体系,坚守住多维度、多层防护构建安全防护系统来减轻风险。当然,说了这么多技术层面的东西,我还想说一点,比如目前我的资产大多数不在钱包,而在交易平台,毕竟更方便交易,这个时候散户也要学会综合考察平台的综合实力,去年我也想过提走,但的确很不现实,市场波动这么大,随时需要操作的,所以我后来把这些资质和技术一起综合考量。比如像SBI集团(原“软银投资集团”)选择和火币合作,什么蔡凯龙、袁煜明、陈海腾等传统行业大佬加入火币,说明传统主流的金融机构、金融人士、IT人士还是有很高的综合认可。这些人都不是傻子,比普通投资者更会思考、起码堵上自己的职业生涯,这些细节也是可以分析的。
除此之外,
说完了数字资产交易平台的任重道远,作为散户、投资者、小白,我们总不能干看着吧,我们要为自己的资产负责,也该做点什么?
可能有人说老生常谈的,也就是密码问题、谷歌验证问题、认证问题等等,我找出了火币做的小贴士,还不错,值得看下。它倡导从今天开始取消第三方API授权!
说完了黑客、交易平台、投资人、散户,最后该说下媒体该做点什么吧!这点太重要了。
我想说,币安黑客事件出来之后,有些媒体那个兴奋劲儿啊,就光看标题,潜意识一翻译就是幸灾乐祸的意思。标题、网络上的各种内容以及留言,你去统计下,我看到的有骂、有埋怨、有嘲笑、有冷漠、有玩笑,就是一点没看到骂黑客的,相反,什么《3月7日这一夜,黑客耍了所有人》,《黑客不可怕,就怕黑客有文化》、《黑客的攻击,已经去中心化了》之类。这些还算好点的,有的微博大V直接说什么“3月7号这场黑客对币安的攻击太有意思了。”各种言语之中对黑客的佩服之情,就差写封情书了。
作为媒体以及网络传播者,我认为,应该倡导的是正确的价值观!
且不说交易所怎么样,就算你要看戏,也不该落井下石;
就算要落井下石,也该明确的表达对黑客的立场。
难道黑客的这种行为不该是人人得而诛之吗?
为什么要给他们喝彩?
为什么要给他们的所作所为赞叹?
就好比一个巧妙躲过了侦查机关重重抓捕的重刑罪犯,我们在赞叹罪犯多么的聪明,没留下任何证据一样。这样做,只会让这些犯罪分子兴奋、癫狂、变本加厉,还能有什么长远的好处吗?历史总是一个样子,ISIS 黑旗之所以能崛起,恐怕媒体、网络传播的每一个人都不无干系。
阳光能抵达的地方,肮脏终究裸露出肮脏,
任何人不该以任何形式去同意错误的价值观,
就算他所使用的技术何等高级!
我们应该做的是,
鄙夷龌龊、提升自我,
以避免合法的行为被非法的行为
用技术的手段,
将我们打败!
当然,我相信,在这个行业,大多数人都是善良的、执着的、富有使命感的,并且他们正日以继夜……
近日大跌,截至发稿前 btc价格:¥53569 BITTREX