要闻 宏观 金融 证券 产业 公益财经 地产 能源 健康 汽车 评论 人道慈善

https://uploads.chinatimes.net.cn/article/20180512011713exHQXGLXZ7.jpg

代币BEC一日蒸发64亿 区块链上演盗币者狂欢

冯樱子 金微 2018-5-12 01:24:22

■冯樱子 金微

从“3点钟”社群大佬们彻夜不眠的热议,到一季度新成立公司92%的获投率……过去半年,区块链话题牵动着创投圈的神经。其中,区块链具有去中心化、自治性、不可篡改等特点,让很多人相信,它可以在不可信的网络中解决信任问题。

4月22日,美链所发Token BEC美蜜合约出现重大漏洞,黑客通过合约的批量转账方法无限生成代币,大量BEC从两个地址转出,引发抛售潮,BEC价格大跳水,下跌94%,致使64亿元人民币一日蒸发。紧接着4月25日,SmartMesh也出现类似BEC的重大安全漏洞,导致损失约1.4亿美元。

这让人不禁怀疑,区块链真的安全吗?

4个月损失19亿美元

刚刚过去的4月数字货币安全漏洞频发。4月22日,美链所发Token BEC美蜜合约出现重大漏洞,黑客通过合约的批量转账方法无限生成代币,大量BEC从两个地址转出,引发抛售潮。

今年2月,美蜜BEC上线交易所,当天价格暴涨4352.87%,币价稳定在4USDT(泰达币)左右。根据美链白皮书介绍,美链发行70亿代币,因此美链总市值曾达280亿USDT(约合280亿美元),曾一度是美图市值的4倍。

然而4月22日的风波之后,BEC价格再遭遇大跳水,下跌94%,致使64亿元人民币一日蒸发。

一场区块链狂欢,从盛极一时到几乎归零仅用了不到60天。

随后,美图公司董事长兼执行董事蔡文胜表示,由于争论太大,且BEC自身出现重大技术漏洞,美图公司终止此前与美链的合作。

从事网络安全监测业务的白帽汇安全研究院负责人邓焕表示:“可以想象一下现实生活中的场景,哪一天大家都可以印钞了,那是否意味着人民币没有价值了。”在虚拟经济中出现类似安全事件,企业市值出现悬崖式下跌是可以理解的。

而紧接着4月25日,SmartMesh也出现类似BEC的重大安全漏洞,导致损失约1.4亿美元。

5月8日,白帽汇安全研究院发布的《区块链产业安全分析报告》中显示,2011年到2018年4月,全球范围内因区块链安全事件造成的损失为28.64亿美元。尤其值得注意的是,损失额度从 2017 年开始呈现出指数上升的趋势。

仅2018年前4个月,区块链安全事故造成损失金额就达19亿美元。

考虑到自身的攻击成本,在区块链的应用场景中不难发现,对数字货币场景的攻击相对容易变现,邓焕说,目前一系列发生攻击的背后都是与数字货币有关的场景。

在黑客圈里甚至有这样一句话:“我们从来不买币,我们只是币的搬运工。”实际上,很多新兴领域在发展初期,都可以业务先行安全后面补,但对于区块链而言却不能这样,玄武实验室负责人于旸认为,区块链安全问题的代价非常巨大。

具体而言,在目前金融领域,如果资金出现问题,首先整个过程可以追踪的,此外投资人可以到金融机构进行找回,于旸表述:“但对于区块链项目而言,当我们把权力交给代码时,至高无上的权威如果不存在了,一旦有了安全问题,掌握这个安全问题的人就是权威。”

“绝对安全肯定不存在。要应对区块链安全问题,可能需要在系统中引入一个权威的存在,当系统中有这个权威的时候,区块链与传统技术之间又有什么差别呢?”于旸表示。

虚拟货币怎么管

虚拟货币发行的混乱状况是近日安全事故频发的重要原因之一。尽管2017年9月4日,央行等七部委首次将代币发行(ICO)定性为非法集资并作出清退要求,并要求同年9月30日数字资产交易平台停止所有交易业务。但虚拟货币狂热者和投机者在海外找到了躲避监管的方式,在更加隐秘的市场操作环境下进行发币、交易。

同时,有技术人员表示:“我们从开发者的角度来看,目前数字货币只需要底层的技术,技术人员甚至在一天时间就能造出一个币种。”上交易所发行代币似乎变得越来越容易。

在虚拟货币乱象的背后,是区块链的匿名性、缺乏监管状态,及去中心化特性。

“虚拟货币交易无法对应交易人真实身份,也没有任何第三方对它进行监管或对其体系进行操纵。同时虚拟货币交易也不受法律保护,即使投资者在虚拟货币中受到损失,也没有地方寻求保护,”有业内人士提道,目前虚拟货币本身就是三不管地带。

“偷钱的人高兴得不得了,可以放心大胆地偷,因为没人追究。”上述业内人士表示。

北京华顺信安科技有限公司创始人赵武为华夏财富君分析,“所以我们研究发现一个很有意思的现象,比如有一个智能合约上线了,从上线那一刻起,全网所有节点都会使用相同的代码,假如代码中存在恶意代码,那所有节点都将受到攻击。”

在上述BEC案件中,BEC 团队与OKEx 交易所合作回滚到安全事件发生之前的数据,以保护投资者的权益。

对此,邓焕对华夏财富君表述,交易所的这种回滚行为本身就违背了区块链去中心化的核心理念。不是说你作为一个中心机构就能通过回滚的方式来改变交易,这本身就违背了区块链的一个核心思想。

赵武认为,区块链有个很典型的特性就是去中心化,达成一个交易的前提是所有人都知道这笔交易并认可这笔交易。

此外,目前超过75%的安全事件都是来自于上层的应用服务层以及合约层。上层更多是价值型业务场景,在底层挑战的更多是一系列机制和数学算法,而数学算法本身要攻破是相对比较困难的。

“但是随着目前大家对上层业务安全的关注,未来这种攻击者也会逐渐把他们的视角转向其他层面,比如更多人会去研究底层技术,或者挑战加密算法之类,而这些算法一旦遭到攻破,未来必将影响整个区块链生态的应用。”邓焕介绍。

责任编辑:吴丽华 主编:冉学东