前不久有大佬花了 3000 万跟巴菲特吃饭，也有币圈大佬因爆仓而去世。数字货币带来了一批财富新贵，一时间风光无限；同时也有无数人赔得血本无归，甚至家破人亡。

炒币千万条，安全第一条。数字货币市场这些年带来的财富效应，也发生了众多财富损失的事件，除了爆仓，其实在整个数字货币交易中还有很多的危险存在。

01 交易所事故

数字货币交易所是数字货币交易流通和价格确定的场所，是数字货币产业链中盈利能力最强的环节之一，也是最具话语权的环节。自交易所诞生以来，就不可避免的伴随着安全问题，交易所发生的安全事件的频率越来越高。

2013 年 10 月比特币交易所 GBL 突然关闭，负责人捐款跑路，用户损失 2000 万美元资产。

2014 年 2 月 Mt.Gox （门头沟） 85 万比特币监守自盗。

2016 年 4 月 7 日交易所 ShapeShift 的钱包被黑客盗窃，后证实该盗窃行为是监守自盗，黑客受一名离职员工的指使。

2018 年 1 月 26 日 Coincheck 证实共计 5 亿新经币被黑客盗去。根据市场价计算，这 5 亿新经币目前的价值大约为 4.2 亿美元。

……

交易所作为一个资产频繁转移和高速流动的场所，资产的流转过程绝非平静，而是充满风险，明抢暗夺的故事每天都在发生。从用户把资产存储在交易所开始，就面临各种各样的风险。包括假冒网站的钓鱼攻击，资产存提阶段的地址冒充和劫持、金额篡改，账户信息泄漏，交易所钱包被盗导致的连带风险等。可以说，从用户进入交易所到用户离开交易所，几乎每个环节都可能会遭遇黑客攻击，这使得交易所的整体安全风险急剧增加。

较之于，普通用户的钱包一般而言只有一个人掌握，这个秘密可以被很容易地保护。而交易所作为一个组织机构，涉及人数和部门众多。黑客对交易所发起攻击，他可以下手的对象可不仅仅是一个人，各部门负责人、系统运维工程师、交易所中高层管理人员，甚至普通技术人员，都可以成为他的渗透和攻击对象。只要让他在某个环节中发现一丝漏洞，就有可能变成一扇洞开的大门。

02 木马病毒盗窃

按照腾讯御见威胁情报中心的统计，2018 年以来，国内先后有多家安全厂商分别发现幽虫、独狼、双枪、紫狐、贪狼等多个病毒木马家族，这些木马利用盗版 Ghost 系统、激活破解工具、热门游戏外挂等渠道传播，在用户电脑上安装 Rootkit 后门，通过多种流行的黑色产业变现牟利：包括云端控制下载更多木马、强制安装互联网软件、篡改锁定用户浏览器、刷量、挖矿等等。

对于一般人而言，对于木马病毒并没有足够的警惕，甚至连不少公共网吧也频频遭受木马病毒的攻击。2018 年 7 月份，杭州就有两家网吧内的 150 台电脑疑似被人非法植入挖矿木马进行比特币“挖矿”操作。而全球每天都有几千万台电脑正遭受各种木马病毒的控制，并且造成巨大的损失。

除此之外，黑客还可利用病毒、木马、钓鱼等传统攻击手段窃取用户账号，进而利用合法用户账号登录系统进行一系列非法操作，或者通过非法手段拿到交易所系统的数据库，由于数据库存储着用户的注册信息，且这些数据没有加密，黑客拿到这些数据后可以在互联网上售卖或者对平台进行恶意操作。攻击者破解其他安全措施较弱的网站密码，通过撞库的方式获得登录口令，因此采用双因子认证等传统安全用户认证方式对于数字货币交易所和区块链应用系统来说非常必要。

03 热钱包失窃

2017 年 11 月 27 日，国外一款热钱包 Copay 爆出严重安全漏洞。黑客利用该恶意代码获得（合法）访问热门 Javaｓｃｒｉｐｔ 库，通过注射恶意代码从 BitPay 的 Copay 钱包应用中窃取比特币和比特币现金。

数字货币钱包是存储和使用数字货币的一种工具，按照其使用时的联网状态，可以分为冷钱包和热钱包。而 Copay 作为典型的热钱包，它在使用的过程中，必须保持联网状态，也就是说，当你使用这样的热钱包保存和交易数字货币时，外界可以通过互联网访问到你存储私钥的位置。

同样的事件发生在 2019 年 5 月 8 日，币安官网发布消息称发现大规模安全漏洞，币安热钱包 7000 枚比特币被盗，占其比特币总持有量的 2%。按照当时比特币单价为 5860 美元计算，失窃的 7000 枚比特币价值高达 4100 万美元。

04 数字货币钱包技术漏洞

利用移动数字货币钱包 App 管理数字货币资产，可以随时查询钱包历史，获得全球实时交易行情。数字货币钱包 App 涉及到数字货币资产，是网络黑产和黑客重点关注的对象，数字货币钱包 App 中保存的私钥是区块链节点和数字货币账户授权活动的直接手段，加密数字货币资产的安全性建立在加密数字钱包私钥本身的安全性上，私钥是唯一的数字资产凭证，敌手一旦拿到私钥，就可以拿到私钥所担保的任何钱包，因此黑客会想方设法窃取私钥。网络黑产可以从各种渠道找到 App 的 apk，将 apk 文件逆向破解后植入病毒、木马代码，最后二次打包投入公开市场，当不明真相的币友将带病毒、木马的 App 下载后，会带来巨大经济损失。

据统计，Google Play
商店中超过 2000 款移动数字货币钱包 App, 由于移动开发过程中缺乏对安全性的认识，前 30 款总安装量达到 10 万的数字货币钱包 App 中，有 94% 包含至少 3 个“中等风险”漏洞，77% 包含至少 2 个“高风险”问题。根据分析显示，最常见的漏洞是数据存储安全性不足、密码系统安全性不足，这些漏洞会导致私钥的窃取，个人隐私信息泄露等安全事件。

05 代码漏洞

智能合约是区块链 2.0 的一个特性，随着区块链 2.0 技术的不断推进，智能合约在以太坊、EOS、 Hyperledge
等平台上得到广泛应用。区块链的智能合约一般都用来控制资金流转，应用在贸易结算、数字，资产交易、票据交易等场景中，其漏洞的严重性远高于普通的软件程序。由于智能合约会部署在公链暴露于开放网络中，容易被黑客获得，成为黑客的金矿和攻击目标，一旦出现漏洞，将直接导致经济损失。从 TheDAO 到 BEC 和 SMT 的整数溢出漏洞、再到 EOS 缓冲区溢出越界写漏洞，智能合约的安全漏洞频发，“智能合约”已经成为区块链安全的重灾区。

以太坊 (
Ethereum) 是目前最热门的具有智能合约功能的开源公共区块链平台，区块链上的所有用户都可以看到基于区块链的智能合约。但是，这会导致包括安全漏洞在内的所有漏洞都可见。如果智能合约开发者疏忽或者测试不充分，而造成智能合约代码存在众多漏洞，就非常容易被黑客利用并攻击。并且功能越强大的智能合约，逻辑越复杂，也越容易出现逻辑上的漏洞。来自新加坡国立大学、耶鲁新加坡国立大学学院和伦敦大学学院的一组研究人员发布了一份报告，声称已经发现了 3.4 万多份以太坊智能合约可能存在容易被攻击的漏洞，其中大约 3000 个不安全的智能合约可能会造成 600 万美元的 ETH 被盗。

来源链接：mp.weixin.qq.com
来源：Dipperin