黑客“炒币”割韭菜 区块链交易安全太愁人

一个懂得经济学的黑客会怎样？当金融家与黑客联手又会反生怎样的化学反应？

北京时间3月7日晚，黑客以“币安Binance交易所”为目标发起的一波攻击，给整个数字货币圈上演了一场极为“漂亮”的“币圈买空卖空获利”经典教学！

看看人家黑客玩“炒币”，大手笔啊！！！

简单来说，就是黑客盗用“币安Binance交易所”里部分用户身份，大玩数字货币买空卖空，恶意拉爆，狠狠的割了一大波数字货币的韭菜。

从本次事件上能够看出来，黑客策划周密，前期准备十分充足，且做好了预案——直接套现或通过做空交易完成收割。

目前的公开信息里暴露出两个安全问题，第一就是API key“意外丢失”，导致部分用户账号被盗；第二则是部分用户的币安账户Google二步验证失效，使得异常操作未能被用户察觉并阻止。

梆梆安全专家分析发现，要想获得“币安Binance交易所”用户的账号信息有以下3种方式：

（1）直接入侵币安后台数据库；

（2）通过社工获得币安用户的部分信息，再通过撞库等方式获得完整的账号信息；

（3）借助加好“料”的数字货币交易机器人，广泛搜集各数字货币交易所用户账号密码等，从中选出币安用户信息。注意，如果黑客采用了这一方式，意味着被盗账号的用户将不仅仅会是币安一家。

数字货币背后的区块链技术强调“去中心化”，然而各类交易所却恰恰是典型的“中心化”产物。如何才能掌控好二者之间安全的平衡性？

区块链虽然是一个去中心化的数据基础设施，但是落地到企业级应用后还是存在中心化的核心系统，承担了诸如用户帐号管理、区块链“交易”等管理功能。在梆梆安全专家看来，区块链核心系统所面临的网络安全风险目前主要趋于传统范畴，包括但不限于：

1、Web攻击，例如跨站、注入等；

2、业务连续性，例如DDoS；

3、数据安全，例如撞库、中间人攻击。

区块链的所有应用，都需要一个客户端来实现用户侧功能，例如利用区块链追踪食品的生命周期时，在中间某些节点，物流企业需要通过客户端记录流转详情，并由客户端写入区块链网络存储起来，而每次记录操作由于需先证明其合法性，采用的方法是利用客户端持有的私钥对数据进行加密，由此可见针对私钥的保护非常重要。目前客户端正在面临如下风险：

1、针对客户端的反编译；

2、针对密钥的直接偷窃，例如内存读取；

3、侧信道攻击。

在区块链安全技术薄弱，监管法律法规尚不完善的当下，黑客能够从任意一点偷走你的数字货币。近两年来，数字货币被盗事件频繁发生，有的是黑客直接对数字钱包下手，有的则是通过攻击交易所进行“抢夺”。而本次黑客攻击事件更是叫绝，黑客的一系列攻击仅仅是敲门砖，后继的连锁操作则完美再现了《华尔街：金钱永不眠》里的诸多精彩操盘手段。

区块链技术上的显着优势，使得全球大型金融机构纷纷对其进行投资，希望能够获得更多发展良机。这意味着，未来将形成全新的基于区块链的金融系统，而黑客则能够利用区块链实施中的安全隐患（例如智能合同所暴露的安全问题）找寻到新的“生财之路”。

好消息是，全球各国政府、金融监管机构都在开始抓紧对数字货币交易的约束，一条条“安全紧箍咒”被陆续抛出。同时，梆梆安全的专家们也在针对区块链交易场景安全、区块链应用层面安全、区块链用户安全展开研究，如保障用户的电子钱包应用安全，让区块链的智能合约更为健壮等。

梆梆安全针对区块链安全隐患，坚持从保护的角度做安全，从以下方面引入区块链安全防护能力：

1、提供针对核心系统的保护。通过自适应安全防御平台RASP和SingleClick云防平台截断攻击路径，通过遍布全国的抗DDoS节点保障业务连续性，通过MSSP应用风险管理平台封住漏洞隐患。

2、提供针对区块链客户端的保护。通过移动应用加固技术针对冷热钱包提供立体防御，辅以威胁感知系统监测实时风险，针对硬件钱包提供TEE芯片级解决方案，彻底锁住私钥不外泄。

3、针对区块链上层的智能合约，彻底贯彻SDLC安全，针对其编程语言提供代码扫描和审计，提前发现逻辑漏洞，对编译后代码提供混淆防止逆向，同时利用航空领域的数学方法在逻辑上进行形式化验证。

“区块链终将改变世界，而我们不是一个旁观者，梆梆安全在让区块链更加安全！”

——梆梆安全创始人 阚志刚博士