位元幣之類加密貨幣比想象中安全,遭遇安全問題的是加密貨幣交易所。
加密貨幣一直被認為其本身是毫無價值的,還被當成是龐氏**和泡沫根源。但或許加密貨幣的主要問題並非其注定是投機型資產,而在於它是否足夠安全,能讓普通投資人將自己畢生積蓄投注其中。
影響加密貨幣交易所的幾起黑客事件均導致交易所損失了價值數千萬美元的加密貨幣,並伴隨有**的大肆報道和位元幣及其他加密貨幣**的螺旋下降。
對加密貨幣安全性的誤解損害到了加密貨幣的價值。
除了誤解與狂熱,還有別的什麼讓加密貨幣從根本上就不安全嗎?
位元幣之類加密貨幣最初的吸引力來自於其底層的區塊鏈技術。該分布式賬本具高度透明性,鏈中所有使用者均可實時檢視鏈上全部交易,應能杜絕欺詐發生的可能性。
應該說,加密貨幣的兩大主要原則就是安全與匿名性;但伴隨著這早期的光輝歲月,也出現了一系列以破壞這兩大原則為目標的公司。
這些公司尋求解密區塊鏈賬本上的交易以探知交易者身份及其支付歷史,且隨著時間程序竟組成了興盛繁榮的乙個影子產業。
與此同時,還有黑客針對加密貨幣交易所開發各種演算法以抽取大量金錢。
據估算,過去6個月中,暗網售賣的黑客工具已導致加密貨幣交易所被吸血11億美元。
carbon black 最近發布了乙份題為《暗網加密貨幣淘金潮》的報告,稱「加密貨幣相關惡意軟體的開發與售賣撐起了暗網市場中670萬美元的非法經濟。」
雖然這些惡意軟體主要屬於偷偷占用受害電腦資源挖掘加密貨幣的「加密貨幣劫持器」,比如ghostminer和loap,但也有惡意軟體的目的就是為了黑掉加密貨幣交易所。
加密貨幣交易所被黑事件已發生過多起,但這難道是加密貨幣固有的風險嗎?加密貨幣與安全專家稱:「有些風險僅僅是源於加密貨幣的數字資產屬性。」
「與其他任意數字資產類似,使用者可能意外刪除了該數字資產,也可能不小心扔掉了存放有重要word文件的硬碟,或者乾脆忘記了重要賬號的口令。」
但有些攻擊利用的,確實是只有加密貨幣才具備而**法定貨幣所沒有的特性,比如加密貨幣程式設計錯誤。
早些年發生的一起對位元幣的攻擊,就利用的是演算法上的漏洞,讓發起攻擊的黑客可以不停地重複同一筆交易,往自己賬戶上轉走鉅額金錢。
如今已被淘汰的dao(建立在以太坊區塊鏈基礎上的智慧型合約)也遭遇過類似的黑客攻擊。這種針對加密貨幣演算法本身的攻擊事件很少見,且涉事加密貨幣的協議馬上就得到了更新。
絕大多數加密貨幣攻擊事件針對的並不是貨幣本身所倚賴的技術,而是進行貨幣交易的加密貨幣交易所。
這些交易所甚至都稱不上是銀行,人們不過是在其**上交易加密貨幣,某種程度上跟賭博**類似。
現代社會裡,人們手中的金錢絕大多數情況下是銀行賬戶裡的乙個個數字,而不再是自家床墊下壓的一摞摞紙幣。既然都是數字資產,存銀行和投入加密貨幣交易難道不是冒著同樣的風險嗎?這還真不一樣。銀行業發展這麼多年,早已具備了相當先進的欺詐檢測技術,並一直努力跟進最新的加密標準及技術,其抵禦黑客攻擊的能力顯然比剛出現沒多久的加密貨幣交易所強得多。
加密貨幣交易所的殘酷真相是:太多交易所壓根兒沒有足夠的安全或基礎設施,有些交易所甚至是僅由兩三個人運營的初創公司。把錢投到交易所就是為了能夠相對便捷地進行加密貨幣間的兌換和買賣,比如點個按鈕就能**位元幣,或者把位元幣換成以太幣。但正是加密貨幣交易所的這種便利本質,決定了它不會太安全。
所以,27%的加密貨幣攻擊都瞄準了交易所。而且,雖然位元幣因回報巨大而仍是大多數攻擊的物件,但當下已有44%的攻擊轉向了交易費用更低且無法追蹤的門羅幣。
如何安全交易加密貨幣
用離線的「冷」錢包,而不用接入網際網路的「熱」錢包。
trezor之類硬體錢包就是冷錢包,不接入網際網路。
但是,無論冷熱,只要想要交易加密貨幣,都必須接入網際網路。加密貨幣交易所並非全無是處,畢竟託管在交易所**上就能快速交易,沒準兒還能賺點兒小錢。
加密貨幣交易所在安全性和使用者友好度之間可能會做出取捨。比如說,現在大多數交易所都支援雙因子身份驗證,或許在未來還會出現要求3因子身份驗證的交易所。但驗證因子的增加可能會導致使用者的流失:本來就是圖好交易才把錢放這兒,太難用的話當然換家交易所放了。所以,交易所在安全性和易用性上一直在做取捨。
也因此,加密貨幣相關的大多數威脅都可以選擇不安全交易所為突破口,而不是費大力氣去破解這些虛擬貨幣特有的漏洞。不過,針對加密貨幣本身的威脅確實在增加。
加密貨幣因其所依託的協議不同而各有差異,但就位元幣而言,其去中心化程度不像當初預計的那麼高,卻是已經被證明了的。
事實上,位元幣網路的控制權已越來越集中到少數實體的手中。
這是由位元幣挖礦的本質決定的。挖礦者必須首席執行官時間的計算任務才可以生成令牌獲得回報,而隨著計算任務越來越難,挖礦者自然會聯合起來,結成位元幣挖礦池。
在這一點上,幾乎所有加密貨幣都跟位元幣差不多,基本上2-5個最大的挖礦池就能奪走控制權,可以全權決定哪些交易被接受而哪些要被拒絕。這裡面就存在有很多隱患。例如審查制度——握有決定權的人可以隨意拒絕一些交易的加入。甚至還會造成其他更多種類的惡意攻擊。
那麼,位元幣交易者需不需要為此焦慮呢?目前來講尚無大量證據表明已經有礦池這麼幹了。未來會不會出現此類惡意行為我們尚不確定,但就這些系統的當前狀態來看,握有控制權的礦池或礦池聯合體是絕對可以幹點兒什麼的。
不過,控制實體變壞我們還沒等到,黑客倒是越來越會利用這不斷增加的算力集中化程度了。
其中一種攻擊被稱為「51%」攻擊。該攻擊瞄準的是半數以上的交易驗證僅由乙個團隊/礦池執行的加密貨幣。
這些貨幣因為沒有太多獨立的實體執行交易有效性驗證而從根本上就缺乏可信度。
黑客只要能接管該實體的算力,就能阻止該加密貨幣網路上的交易被驗證通過,從而將錢吸入自己的賬戶中。
「51%」攻擊的威脅真實存在,所以使用者只應投資雜湊力大的加密貨幣。雜湊力指的是用於驗證交易的計算機節點(伺服器)的數量。驗證交易的伺服器(挖礦機)越多,網路的雜湊力就越大,交易有效性被篡改的可能性就越低——因為網路上沒有哪個實體能取得控制權。
無線加密的安全性
wep wep是wired equivalent privacy的簡稱,wep 是1999年9月通過的 ieee 802.11 標準的一部分,使用 rc4 rivest cipher 串流加密技術達到機密性,並使用 crc 32 驗和達到資料正確性。有線等效保密 wep 協議是對在兩台裝置間無線傳輸...
加密演算法中私鑰的安全性
著名的digg 近期遭遇到了一次尷尬的事件,digg不得不對文章進行了審查,並刪除了乙個帖子。因為那個帖子裡包含有這樣的字串 09f911029d74e35bd84156c5635688c0。這個128位的字串代表了什麼含義呢?這串數字是hd 破解金鑰 hd processing key 可以使使用...
加密演算法的安全性和特點
常見演算法歸類 雜湊函式不屬於加密演算法 國內國外 分類演算法 簡述國內 對稱sm1 演算法未公開,只能採用硬體實現 國內對稱 sm4無線區域網標準的分組資料演算法 國內對稱 sm7採用硬體實現 國內對稱 zuc祖沖之演算法 國內非對稱 sm2橢圓雙曲線公鑰密碼演算法,基於ecc 國內非對稱 sm9...