比特币之类加密货币比想象中安全, 遭遇安全问题的是加密货币交易所.
加密货币一直被认为其本身是毫无价值的, 还被当成是庞氏骗局和泡沫根源. 但或许加密货币的主要问题并非其注定是投机型资产, 而在于它是否足够安全, 能让普通投资人将自己毕生积蓄投注其中.
影响加密货币交易所的几起黑客事件均导致交易所损失了价值数千万美元的加密货币, 并伴随有媒体的大肆报道和比特币及其他加密货币价格的螺旋下降.
对加密货币安全性的误解损害到了加密货币的价值.
除了误解与狂热, 还有别的什么让加密货币从根本上就不安全吗?
比特币之类加密货币最初的吸引力来自于其底层的区块链技术. 该分布式账本具高度透明性, 链中所有用户均可实时查看链上全部交易, 应能杜绝欺诈发生的可能性.
应该说, 加密货币的两大主要原则就是安全与匿名性; 但伴随着这早期的光辉岁月, 也出现了一系列以破坏这两大原则为目标的公司.
这些公司寻求解密区块链账本上的交易以探知交易者身份及其支付历史, 且随着时间进程竟组成了兴盛繁荣的一个影子产业.
与此同时, 还有黑客针对加密货币交易所开发各种算法以抽取大量金钱.
据估算, 过去 6 个月中, 暗网售卖的黑客工具已导致加密货币交易所被吸血 11 亿美元.
Carbon Black 最近发布了一份题为暗网加密货币淘金潮的报告, 称 "加密货币相关恶意软件的开发与售卖撑起了暗网市场中 670 万美元的非法经济."
虽然这些恶意软件主要属于偷偷占用受害电脑资源挖掘加密货币的 "加密货币劫持器", 比如 GhostMiner 和 Loap, 但也有恶意软件的目的就是为了黑掉加密货币交易所.
加密货币交易所被黑事件已发生过多起, 但这难道是加密货币固有的风险吗? 加密货币与安全专家称:"有些风险仅仅是源于加密货币的数字资产属性."
"与其他任意数字资产类似, 用户可能意外删除了该数字资产, 也可能不小心扔掉了存放有重要 word 文档的硬盘, 或者干脆忘记了重要账号的口令."
但有些攻击利用的, 确实是只有加密货币才具备而政府法定货币所没有的特性, 比如加密货币编程错误.
早些年发生的一起对比特币的攻击, 就利用的是算法上的漏洞, 让发起攻击的黑客可以不停地重复同一笔交易, 往自己账户上转走巨额金钱.
如今已被淘汰的 DAO(建立在以太坊区块链基础上的智能合约)也遭遇过类似的黑客攻击. 这种针对加密货币算法本身的攻击事件很少见, 且涉事加密货币的协议马上就得到了更新.
绝大多数加密货币攻击事件针对的并不是货币本身所倚赖的技术, 而是进行货币交易的加密货币交易所.
这些交易所甚至都称不上是银行, 人们不过是在其网站上交易加密货币, 某种程度上跟赌博网站类似.
现代社会里, 人们手中的金钱绝大多数情况下是银行账户里的一个个数字, 而不再是自家床垫下压的一摞摞纸币. 既然都是数字资产, 存银行和投入加密货币交易难道不是冒着同样的风险吗? 这还真不一样. 银行业发展这么多年, 早已具备了相当先进的欺诈检测技术, 并一直努力跟进最新的加密标准及技术, 其抵御黑客攻击的能力显然比刚出现没多久的加密货币交易所强得多.
加密货币交易所的残酷真相是: 太多交易所压根儿没有足够的安全或基础设施, 有些交易所甚至是仅由两三个人运营的初创公司. 把钱投到交易所就是为了能够相对便捷地进行加密货币间的兑换和买卖, 比如点个按钮就能买入比特币, 或者把比特币换成以太币. 但正是加密货币交易所的这种便利本质, 决定了它不会太安全.
所以, 27% 的加密货币攻击都瞄准了交易所. 而且, 虽然比特币因回报巨大而仍是大多数攻击的对象, 但当下已有 44% 的攻击转向了交易费用更低且无法追踪的门罗币.
如何安全交易加密货币
用离线的 "冷" 钱包, 而不用接入互联网的 "热" 钱包.
加密货币交易所托管的账户就是热钱包, 随时保持在线.
Trezor 之类硬件钱包就是冷钱包, 不接入互联网.
但是, 无论冷热, 只要想要交易加密货币, 都必须接入互联网. 加密货币交易所并非全无是处, 毕竟托管在交易所网站上就能快速交易, 没准儿还能赚点儿小钱.
加密货币交易所在安全性和用户友好度之间可能会做出取舍. 比如说, 现在大多数交易所都支持双因子身份验证, 或许在未来还会出现要求 3 因子身份验证的交易所. 但验证因子的增加可能会导致用户的流失: 本来就是图好交易才把钱放这儿, 太难用的话当然换家交易所放了. 所以, 交易所在安全性和易用性上一直在做取舍.
也因此, 加密货币相关的大多数威胁都可以选择不安全交易所为突破口, 而不是费大力气去破解这些虚拟货币特有的漏洞. 不过, 针对加密货币本身的威胁确实在增加.
加密货币因其所依托的协议不同而各有差异, 但就比特币而言, 其去中心化程度不像当初预计的那么高, 却是已经被证明了的.
事实上, 比特币网络的控制权已越来越集中到少数实体的手中.
这是由比特币挖矿的本质决定的. 挖矿者必须执行长时间的计算任务才可以生成令牌获得回报, 而随着计算任务越来越难, 挖矿者自然会联合起来, 结成比特币挖矿池.
在这一点上, 几乎所有加密货币都跟比特币差不多, 基本上 2-5 个最大的挖矿池就能夺走控制权, 可以全权决定哪些交易被接受而哪些要被拒绝. 这里面就存在有很多隐患. 例如审查制度 -- 握有决定权的人可以随意拒绝一些交易的加入. 甚至还会造成其他更多种类的恶意攻击.
那么, 比特币交易者需不需要为此焦虑呢? 目前来讲尚无大量证据表明已经有矿池这么干了. 未来会不会出现此类恶意行为我们尚不确定, 但就这些系统的当前状态来看, 握有控制权的矿池或矿池联合体是绝对可以干点儿什么的.
不过, 控制实体变坏我们还没等到, 黑客倒是越来越会利用这不断增加的算力集中化程度了.
其中一种攻击被称为 "51%" 攻击. 该攻击瞄准的是半数以上的交易验证仅由一个团队 / 矿池执行的加密货币.
这些货币因为没有太多独立的实体执行交易有效性验证而从根本上就缺乏可信度.
黑客只要能接管该实体的算力, 就能阻止该加密货币网络上的交易被验证通过, 从而将钱吸入自己的账户中.
"51%" 攻击的威胁真实存在, 所以用户只应投资散列力大的加密货币. 散列力指的是用于验证交易的计算机节点 (服务器) 的数量. 验证交易的服务器 (挖矿机) 越多, 网络的散列力就越大, 交易有效性被篡改的可能性就越低 -- 因为网络上没有哪个实体能取得控制权.
来源: http://zhuanlan.51cto.com/art/201807/578127.htm