表示：失序的区块链行业里，时刻隐藏着风险，黑客就是其一。

就像武侠里的江洋大盗，他们随时出没在存储着大量数字货币的区块链钱包、交易所、DApp 里，伺机挖掘漏洞，窃取资产。

据 粗略统计，近一个月内，区块链领域涉百万以上黑客攻击事件近 5 起。

另一面，多数项目拿这些黑客并没有办法。尤其是币圈进入熊市大半年以来，不少公司都闹钱荒。区块链安全防护系统因资金匮乏，防护能力正在变弱。

代码安全无法守护，共识安全也岌岌可危。

熊市中，一部分矿工由于入不敷出关机蛰伏，直接导致了 PoW 网络算力下跌，闲置算力成为“散兵游勇”，威胁着公链的安全。

矿工是共识安全的守护者，他们的缺位给了攻击者可趁之机，本月初 ETC 遭遇 51% 攻击即是一例。

这张本该严密的安全防护网，随着熊市的持续，一个个牵引的防护点正在消失。

频繁的攻击

去年 12 月 27 日发生的钱包钓鱼事件可能是近来最大的黑客攻击事件。

据 Cointelegraph 消息，当日有用户在社交媒体上爆料，有团体正在对加密货币钱包 Electrum 进行恶意攻击，并窃取了近 250 个BTC (约 93.7 万美元)。

消息随后获得 Electrum 证实，据介绍，该攻击主要通过创建一个假版本的钱包，来骗取用户的密码信息。

2018年下半年，币圈进入了明显的熊市，不少项目开始减员收缩。但黑客永不眠，那些汇集资金的地方永远是黑客的目标。

今年 12 月以来，越来越多的攻击者将目光投向了 EOS DApp。

据统计，12 月份搜索到区块链领域发生的攻击事件共有 20 余起，对行业造成损失约 190 万美元，其中 90% 受攻击的对象是 EOS 上的 DApp。 

1 月 16 日凌晨 03:47-03:55 之间，DAppShield 监测到，有黑客向 EOS 竞猜类游戏“影骰”发起连续攻击，获利超 1 万个 EOS。黑客采用的交易阻塞攻击手段。一个月来，黑客已经凭借该手段发动了 4 次攻击。 

12 月 18 日晚间至 19 日凌晨，多个 EOS 头部 DAPP则遭遇回滚交易攻击。 

遭受攻击的几款游戏基本为 EOS 头部较活跃的竞猜类游戏：EOSMax、ToBet、BigGame 和BetDice。据 PeckShield 的数据，其中，BetDice 一周日均活跃用户数超 5000 人，交易额也在5000 万 EOS 以上。 

与此同时，黑客利用重放攻击漏洞攻破另一款竞猜类游戏 TRUSTBET。

这些集中攻击，让几款游戏共损失 303404.18 EOS。以 EOS 当时的单价 18 元来测算，黑客盗走的金额达 546 万元。

据分析这次攻击背后是同一个团伙或个人。另外，ECAF 追回盗取的 EOS 预计难度较大，目前已经牵涉到 1808 个账户，数量还在增长中。 

据指出，从早期针对以太坊的 The DAO，到最近的 BCE、SMT 代币等事件，以太坊生态已经经过了一场来自黑客的“血的洗礼“，生态环境逐渐趋于安全。而 DApp 生态的第二翘楚 EOS 目前正处于蛮荒生长阶段，于是黑客开始将魔爪伸向这里。

嚣张的攻击者

对于黑客而言，攻击这种从别人口袋里掏钱的生意，只有钱难不难掏，没有钱多钱少的分别。

我们知道，交易所是币圈最大的聚宝盆，亦是黑客攻击的高发地。即使在交易量大幅萎缩的境况下，交易所亦逃不过黑客的“摸排”。

据介绍，全球有约 1.5 万家交易所，在业内稍微能说的出名字的，基本上三天两头就要来一次攻防战。

去年 12 月 5 日，币安发布了一个去中心化交易所 DEX。消息出来的第二天，DVP 即观察到，社交软件中有个冒充 DEX 敛财钓鱼网站。

下图是该钓鱼网站的主页。从 UI 上看简直可以以假乱真。

该网站放着币安此前发布的 DEX 的宣传视频。并配文虚构了一个活动，称为庆祝 DEX 的推出，特向全球粉丝赠送 5000 BTC 作为回馈。参与活动的用户需要先验证地址，验证时需发送 0.1 - 10个 BTC 到指定地址，而后将获得贡献 BTC 数的 10 倍 BTC。

在转账页面，还伴有实时更新的奖池数量、该地址的转账交易记录以及参与用户的即时评价等，十分逼真。DVP 当即发现有人转账，那些币随即被提走。

DVP 向币安报告了该情报。但该钓鱼网站作为外部网站，币安也拿他没办法。 

DVP 还发现，这个第二天就能上线高仿网站的攻击者，之前还用同样的手段模仿过 OKEX，可谓在失序的世界中无法无天。即使熊市如此之凉，它也能抓住热点稳赚一笔。

脆弱的“防护网”

在这些安全事件背后，是黑客不分牛熊的攻击和熊市中防护网缺失的矛盾。 

有数据显示，目前全球有 10000+ 的区块链项目，区块链安全服务公司却只有不到 50 家。从红蓝对抗的角度讲，红队（攻击方）就要比蓝队（防守方）弱得多。再遇熊市，恐会让这一状况更加恶劣。

当前，各个项目方、服务商在寒冬中缩小成本，其在安全上的需求也继续弱化。这形成了一个恶性循环，在安全上投入越低便越容易遭到攻击，造成的损失又将给项目方带来致命的灾难。

按理说，每个项目都应投入 10% 的钱来保障 100% 的资金的安全，但很多团队在缩减开支中跳过了这一步。

其他的厂家，要么没有付费意愿，要么没有付费能力。 

生存

表示：进入安全行业的钱变少了。一面没了新的客户、新的投入，一面是存量客户已被瓜分殆尽。

来源：曲速未来安全区