2019年1月3日是一個特別的日子,全球的區塊鏈從業者都在以“比特幣十年”的特殊儀式,紀念比特幣創世區塊誕生十週年。
十年風雨不由人,十年踪跡十年心。
如果說過去七年,這是條少有人走的路的話,過去三年尤其是剛剛過去的2018年,這條路街景開始變得亮麗且繁華。
我們都不再孤獨。在區塊鏈生態的各個環節包括公鏈、智能合約、交易所、錢包、礦池、DApp 等各個環節,都有了眾多心懷“信仰”的建設者。
安全公司就是其一。
在這個生來便被認為安全和效率不可兼得的行業,安全事件注定會伴隨生態發展始終,安全公司則成為記錄這“如歌青春”的最忠誠守護者。
根據區塊鏈安全公司PeckShield 和BCSEC 的數據顯示,2018全年區塊鏈安全事件數量高達138起,造成的經濟損失高達22.38億美元。
其中以太坊公鏈出現安全事件超54起,主要因為上半年智能合約和交易所安全事件的頻發,比如:BEC美鏈遭黑客攻擊一日便蒸發9億美元,讓大眾認識到安全對於區塊鏈的扼喉作用。
另外EOS 公鏈出現安全事故超49起,基本都是源於EOS DApp 生態爆發引起的隨機數攻擊、交易回滾等攻擊事件,不僅直接經濟損失高達747,209個EOS,更讓大眾形成了EOS公鏈會囿於菠菜類游戲的認知。
相較之下,過去一年BTC僅發生安全事件3起,危害相對較小,大的安全事件比如9月份的BTC 超發漏洞,漏洞在造成危害前就得以修復,虛驚一場。
PeckShield認為,目前整個區塊鏈安全現狀存在三大矛盾:
1、攻擊者強於建設者,表現在,大多智能合約在鏈上公開透明,處於“明處”且目前數字資產價值不菲,懲處機制還不完善,自然成了很多處於“暗處”的黑客首要攻擊對象;
2、圖利還是做事難分辨,表現在,處於生態早期的野蠻生長期,智能合約開發者魚龍混雜,存在一些空氣項目、傳銷項目乃至捲款跑路的項目,給生態帶來極大的信任破壞和透支,只有真正做事的項目安全防禦、應急響應、危機善後上才會有正確的態度和應對方式,進而不斷積累用戶,擴大市場份額。
3、區塊鏈技術門檻高卻亟需新鮮流量入場,表現在,當前整個區塊鏈行業流量池不夠大,普通小白用戶進場在下載錢包、保存私鑰、轉賬買賣等基礎操作層面尚且有很大障礙,因而各類賬號、操作層面的安全問題尚不能杜絕。
如果把目前的區塊鏈安全劃分為非常安全、安全、令人堪憂、極度危險四個等級的話,現階段區塊鏈安全是令人堪憂的。
PeckShield 認為,區塊鏈生態的主要威脅在於,智能合約和DApp 生態有個逐步崛起完善的過程,前仆後繼踴進了一大批參差不齊的從業者,他們可能會攜帶大量未知的問題入場,也加劇了安全對於區塊鏈生態的迫切性,需要安全公司的持續護航以及分佈在整個區塊鏈生態各個環節的合作夥伴協同努力。
事實證明,安全問題或許會伴隨區塊鏈生態壯大愈演愈烈,今年年初ETC(以太經典)遭遇的雙花攻擊事件、以及可致使EOS 公鏈癱瘓或“穩贏”所有競猜類DApp 的“交易阻塞攻擊"(CVE-2019-6199)等等。新年一系列重磅安全事件的來襲,在向我們敲響警鐘,新的一年,安全問題同樣不容忽視。
為了讓更多生態從業者認清當前行業安全現狀,提升安全意識,並加以必要的安全防禦舉措。
2019年01月25日,全球區塊鏈數據與安全服務商PeckShield(派盾)聯合多家媒體共同發布《2018年度區塊鏈十大安全事件》 。
PeckShield 綜合實際經濟損失、生態連帶性威脅、社會傳導性危害等各個層面的影響,從賬號安全、底層公鏈、交易所和錢包、智能合約、DApp 等多個重要生態環節整理了上百起安全事件。
先由媒體合作夥伴提名選出20個候選安全事件,然後再由PeckShield 安全人員聯合12位媒體評審夥伴,共同評選出2018年度十大安全事件:
以下安全事件,僅以時間線進行先後排序: