這個(gè)夏天，也許混在安全圈的你不知不覺成了一名“菊外人”，但你肯定不會(huì)是一名“圈外人”。自 2009 年世界上第一個(gè)比特幣區(qū)塊鏈誕生以來，各種加密貨幣紛紛涌現(xiàn)，2017 年“炒幣”風(fēng)暴席卷全球，以比特幣為主的加密貨幣大火，引發(fā)了全網(wǎng)加密貨幣的熱潮。各路人馬紛紛涌入幣圈，加密貨幣江湖由此風(fēng)生水起，熱火朝天。圈子一大，難免成分復(fù)雜。加密貨幣這塊香餑餑，不僅招蜂引蝶，吸引行家的角逐，也引來了一窩又一窩蒼蠅蚊子，一旦盯到縫隙(漏洞)，就一擁而上……

不斷攀升的價(jià)格和日益減少的加密貨幣數(shù)量吸引了越來越多的人通過各種方式獲取加密貨幣。如果有礦機(jī)，他們就去挖;如果沒有，他們就通過各種手段去竊取;如果偷不到，他們還能通過傳播惡意軟件，入侵他人設(shè)備，利用別人設(shè)備的算力來為自己挖礦謀利。僅僅 2018 上半年，幣圈的攻擊、盜竊事件就層出不窮，世界各地幾乎每天都有某交易平臺(tái)被攻擊、貨幣被盜或者一系設(shè)備被惡意軟件入侵用于挖礦的新聞。如今，圍繞著虛擬貨幣的黑產(chǎn)已經(jīng)形成并逐漸發(fā)展成熟。

??

[[233690]]

一、2018 上半年幣圈漏洞與攻擊大事記

1. 直接偷

(1) 韓國加密貨幣交易所遭黑客攻擊，引發(fā)比特幣近三個(gè)月最大跌幅

6 月 10 日，韓國加密貨幣交易所 Coinrail 稱系統(tǒng)遭遇“網(wǎng)絡(luò)入侵”，雖然這只是個(gè)小交易平臺(tái)，但損失還是超過 4000 萬美元。此事導(dǎo)致比特幣連續(xù)三天下跌。Bitstamp 數(shù)據(jù)顯示，截至當(dāng)天下午 4 點(diǎn) ，紐約市場(chǎng)比特幣價(jià)格已跌至6840美元，創(chuàng)出自3月14日以來的最大跌幅，將比特幣今年的虧損幅度擴(kuò)大到52%。同屬加密貨幣的以太坊和瑞波幣的交易價(jià)格分別下跌10%和11%。

(2) 區(qū)塊鏈平臺(tái) EOS 智能合約漏洞

5 月底，360 發(fā)現(xiàn)即將上線主網(wǎng)的 EOS 區(qū)塊鏈中史詩級(jí)漏洞，部分漏洞可以通過遠(yuǎn)程攻擊，完全控制虛擬貨幣交易。這意味著，黑客可以獲得至高無上的權(quán)力——只要上傳一個(gè)具有惡意代碼的智能合約，就能獲得超級(jí)節(jié)點(diǎn)的控制權(quán)。而在解析智能合約、打包區(qū)塊的過程中，其他節(jié)點(diǎn)也會(huì)被一并感染。最終，所有21個(gè)超級(jí)節(jié)點(diǎn)，甚至所有備用節(jié)點(diǎn)，都會(huì)被黑客控制。

當(dāng)然，漏洞曝出后很快得到了修復(fù)，EOS 主網(wǎng)也如期上線。不過到本文截稿，EOS 主網(wǎng)上線期間還是遭遇攻擊，大量EOS私鑰被黑客偷走。60 多位英文區(qū)和韓文區(qū)用戶中招，中文區(qū)的還沒統(tǒng)計(jì)，而涉及的 EOS 總數(shù)超過百萬。

(3) BEC 合約出現(xiàn)重大漏洞被暫停交易

4 月22 日，OKex 發(fā)布最新公告稱，暫停BEC交易和提現(xiàn)。主要原因是黑客利用以太坊 ERC-20 智能合約中 BatchOverFlow 漏洞中數(shù)據(jù)溢出的漏洞攻擊與美圖合作的公司美鏈 BEC 的智能合約，成功地向兩個(gè)地址轉(zhuǎn)出了天量級(jí)別的 BEC 代幣，導(dǎo)致市場(chǎng)上海量 BEC 被拋售，該數(shù)字貨幣價(jià)值幾近歸零，給 BEC 市場(chǎng)交易帶來了毀滅性打擊。

除了 BEC Token 之外，還有超過 12 多個(gè)項(xiàng)目 Token 的智能合約中存在 BatchOverFlow 整數(shù)溢出漏洞，黑客可以利用這一漏洞轉(zhuǎn)賬生成“不存在”的虛擬貨幣并進(jìn)行交易獲利。

(4) 幣安遭入侵導(dǎo)致加密貨幣市場(chǎng)大動(dòng)蕩

3 月 7 日晚間，知名加密貨幣交易平臺(tái)幣安疑似遭遇黑客攻擊，交易系統(tǒng)出現(xiàn)故障，多名投資者山寨幣在不知情的情況下以市價(jià)被賣出換成比特幣，主要涉及超過 20 個(gè)幣種。黑客利用盜用用戶的賬號(hào)高價(jià)買入VIA，導(dǎo)致VIA最高點(diǎn)價(jià)格被爆拉至0.025美元，與24H內(nèi)最低點(diǎn)相比漲幅超過11000%。與此同時(shí)，包括幣安、火幣在內(nèi)的加密貨幣市場(chǎng)全盤暴跌，BTC、BCH、ETH等主流貨幣跌幅均超過5%。幣安的BTC/USDT交易也出現(xiàn)大量賣單，其中BTC跌破10000美元。

隨后，幣安發(fā)布全球通緝令，以 25 萬美元的等值賞金追緝黑客。

此事引發(fā)了廣泛探討，關(guān)于幣安炒作和“自導(dǎo)自演”的說法也浮出海面。

迄今為止，追緝令似乎沒了下文。這次故障的主要原因是部分 API 機(jī)器人遭到攻擊，與加密貨幣的智能合約關(guān)系不大。而具體內(nèi)幕，大概只有當(dāng)事人才能說的清了。

(5) CoinCheck 遭攻擊，損失 4 億美元

2018 年年初，日本數(shù)字交易所 Coincheck 遭受黑客攻擊，當(dāng)時(shí)市值排名第十的加密貨幣 NEM 幣被竊取，總價(jià)值高達(dá) 5.3 億美元。其中，26 萬客戶共損失 4 億美元。事件發(fā)生后，NEM 市值遭遇重創(chuàng)，24 小時(shí)內(nèi)下跌超過 16%。

??

[[233691]]

2. 間接搶

除了上述利用智能合約或其他漏洞發(fā)起攻擊，造成加密貨幣市場(chǎng)動(dòng)蕩的大事件之外，利用惡意軟件入侵設(shè)備進(jìn)而實(shí)施大規(guī)?；蛐∫?guī)模挖礦的攻擊也不少見。從 Chrome 商店的惡意擴(kuò)展程序到針對(duì) Mac 的“mshelper”的惡意挖礦軟件;從數(shù)萬臺(tái)亞馬遜 Fire TV 被迫“秘密挖礦”到針對(duì) WordPress 的大規(guī)模暴力攻擊。瘋狂掘幣者無所不用其極，利用舊的漏洞或新的工具，隨時(shí)在網(wǎng)上掃易被攻擊的設(shè)備，一旦發(fā)現(xiàn)目標(biāo)，就直接入侵。如今，很多知名僵尸網(wǎng)絡(luò)都被用于挖礦。盡管挖礦不如流量劫持、數(shù)據(jù)盜取和造成財(cái)產(chǎn)損失那樣嚴(yán)重，只會(huì)拖慢電腦、攝像頭、路由器，但對(duì)設(shè)備造成的物理損害還是很大的。在手機(jī)上很容易造成電池過熱甚至變形。

由于挖礦帶來的負(fù)面影響，很多部門以及廠商都出臺(tái)了應(yīng)對(duì)措施。近日，日本明確針對(duì)一起法劫持個(gè)人電腦進(jìn)行加密貨幣挖礦的案件進(jìn)行調(diào)查并追究刑事責(zé)任。菲律賓證券監(jiān)管機(jī)構(gòu)也發(fā)布警告，表示將根據(jù)現(xiàn)行的證券法規(guī)對(duì)國內(nèi)的加密貨幣挖礦開采進(jìn)行監(jiān)管。此外，F(xiàn)acebook、Google、Reddit、Twitter 等各大社交巨頭公司相繼禁止加密貨幣廣告。在前不久的 WWDC 大會(huì)上，蘋果更新了開發(fā)者指南，明確指出在 APP Store 增加有關(guān)加密貨幣程序的審核，指南表示“通過設(shè)計(jì)，使 App節(jié)省能耗。App不應(yīng)快速耗盡電池電能、產(chǎn)生過多的熱量或?qū)υO(shè)備資源造成不必的負(fù)擔(dān)。其中含括App內(nèi)顯示的任何第三方廣告，以及不得運(yùn)行如加密貨幣挖掘等不相關(guān)的后臺(tái)進(jìn)程?！蓖瑫r(shí)，還指出 APP 不得開發(fā)加密貨幣。

??

雖然從目前的技術(shù)來看，單獨(dú)在 iPhone 或者 iPad 上“挖掘”比特幣比較難以實(shí)現(xiàn)，因?yàn)樗懔_(dá)不到挖幣所需。但蘋果此舉至少表明了作為科技大廠的態(tài)度，也為阻止未來 iOS 被濫用于挖礦做好了準(zhǔn)備。

二、加密貨幣攻擊規(guī)模日益增大

由于加密貨幣的獲取和交易并沒有第三方的擔(dān)?；虮Ｗo(hù)，不論是有組織的犯罪集團(tuán)還是有一定技術(shù)的 IT 工程師，都有可能因?yàn)槔嬲T惑而實(shí)施惡意攻擊，進(jìn)行挖礦。根據(jù) Carbon Black 今年 6 月份發(fā)布的加密貨幣惡意攻擊調(diào)查報(bào)告，現(xiàn)如今，犯罪分子不斷利用暗網(wǎng)來輔助加密貨幣竊取，規(guī)模越來越大，造成的損失也越來越多。

??

加密貨幣市值排行

研究發(fā)現(xiàn)，2018 年 上半年，涉及加密貨幣的盜竊案金額高達(dá) 11.5 億美元左右，甚至達(dá)到 2016 年全年的損失(13 億美元左右)。

??

目前，約有 12000 個(gè)暗網(wǎng)市場(chǎng)銷售加密貨幣盜竊相關(guān)的惡意軟件或工具，數(shù)目高達(dá) 34000 個(gè)。這些惡意軟件的價(jià)格最低為1.04 美元，最高每次攻擊為 1000 美元，平均價(jià)格為 224 美元，相關(guān)的“蜜罐”定價(jià)約為 10 美元。在所有惡意軟件或工具中，加密貨幣竊取相關(guān)的惡意軟件是犯罪分子的首選。暗網(wǎng)中與加密貨幣相關(guān)的惡意軟件開發(fā)和銷售總共帶來將近 670 萬美元的非法經(jīng)濟(jì)收入。

調(diào)查表明，加密貨幣交易最容易成為攻擊目標(biāo)，暗網(wǎng)直接針對(duì)加密貨幣占所有攻擊的 27% 。除了加密貨幣交易所之外，將近 21% 的加密貨幣攻擊目標(biāo)是企業(yè)，14% 的目標(biāo)是用戶，7% 的目標(biāo)是政府。

??

在加密貨幣的地域分布中，美國、中國、英國、日本以及印度排名前五。

攻擊者偏愛門羅幣

值得注意的是，雖然目前比特幣依然是主要的目標(biāo)，但其他加密貨幣受到的攻擊也越來越多。目前，由于門羅幣(Monero)加密性好，更受歡迎，受到的攻擊也更多，門羅幣遭遇的攻擊占加密貨幣攻擊的 44%。Palo Alto Networks 針對(duì)惡意挖礦行為進(jìn)行了深入研究，分析 629126 個(gè)惡意挖礦軟件(主要是 2017 年 6 月份以來感染桌面和服務(wù)器的惡意挖礦程序)后發(fā)現(xiàn)，84% 的惡意程序樣本都是針對(duì)門羅幣的。而 5% 的門羅幣都是通過惡意程序挖出來的。

三、加密貨幣黑產(chǎn)已經(jīng)成熟

暗網(wǎng)加密貨幣黑色產(chǎn)業(yè)鏈：

• 第一階段：偵查;攻擊者無需再執(zhí)行偵察，因?yàn)槟壳翱梢怨舻哪繕?biāo)信息很輕易可以獲取，代價(jià)很低，甚至還有很多免費(fèi)的替代品;
• 第二階段：利用漏洞發(fā)起攻擊;攻擊者購買漏洞、工具或已經(jīng)成功實(shí)施過攻擊的武器化文檔/文件。這些工具通常包括可以自定義的文件名、格式和誘餌文件的內(nèi)容;
• 第三階段：傳播工具;用于傳播惡意程序的工具很容易買到，而且可以不斷調(diào)整以避免檢測(cè)并繞過防御機(jī)制。傳播途徑包括：惡意廣告網(wǎng)站(或者利用)、被入侵的可靠郵箱服務(wù)器。 傳播方式包括：通過惡意廣告網(wǎng)站傳播或利用合法廣告網(wǎng)站的漏洞傳播(廣泛定位)、發(fā)送給特定目標(biāo)(通過入侵的合法郵件服務(wù)器發(fā)送釣魚郵件)。
• 第四階段：利用;針對(duì)全公司、全行業(yè)乃至高流量網(wǎng)站，發(fā)動(dòng)大規(guī)模攻擊，這樣的攻擊范圍比單獨(dú)實(shí)施攻擊的范圍大得多;此外，低成本的武器和傳播方式也能確保成功率，比傳統(tǒng)方式更高;此外，可以直接在暗網(wǎng)中購買許多已經(jīng)被入侵且可以直接訪問的公司終端，直接繞過“入侵和安裝”階段;
• 第五階段：安裝;暗網(wǎng)上可以購買到很多商業(yè)化的遠(yuǎn)程管理工具和其他可長期使用的工具，導(dǎo)致溯源更加困難;
• 第六階段：命令與控制;可以租用 IaaS 服務(wù)命令和控制被入侵的目標(biāo);也可以通過 SaaS 的方式購買并由第三方運(yùn)行整個(gè)惡意軟件維護(hù)系統(tǒng);
• 第七階段：實(shí)施攻擊;通過前六階段的鋪墊，攻擊者可以獲取最高權(quán)限，訪問目標(biāo)網(wǎng)絡(luò)并執(zhí)行任意攻擊，實(shí)現(xiàn)財(cái)務(wù)竊取、數(shù)據(jù)和用戶信息竊取以及進(jìn)一步滲透網(wǎng)絡(luò)等目的。

通過分析惡意攻擊的策略、技術(shù)和過程，可以發(fā)現(xiàn)一些規(guī)律。其中，以竊取為目的的惡意軟件最為常見，用于 41% 的加密貨幣惡意攻擊;移動(dòng)惡意軟件排名第二，占到 22%。攻擊者偏愛終端目標(biāo)，通過網(wǎng)絡(luò)傳播的惡意軟件和惡意 APP 竊取加密貨幣。

??

[[233692]]

預(yù)計(jì)未來，隨著區(qū)塊鏈技術(shù)的廣泛應(yīng)用和加密貨幣的繼續(xù)流行，會(huì)有越來越多的國家考慮通過立法來保護(hù)加密貨幣。不過在立法之前，加密貨幣盜竊和非法挖礦仍然會(huì)愈演愈烈。

• 普通用戶可以參考以下建議，保護(hù)自己的加密貨幣安全：
• 使用帶有檢測(cè)和防護(hù)功能的終端安全解決方案，保護(hù)終端設(shè)備安全;
• 不要安裝不可信來源的應(yīng)用程序;
• 在所有用于上網(wǎng)的終端中使用廣告屏蔽設(shè)備，可以減少未經(jīng)同意就被迫挖礦的情況;
• 由于交易平臺(tái)最容易被入侵，所以要選擇可靠的交易平臺(tái)，并設(shè)置獨(dú)立密碼，避免信息泄露后導(dǎo)致的撞庫;
• 不要在連接公共 Wi-Fi 的時(shí)候打開加密貨幣錢包，也不要在安全性差的網(wǎng)站上進(jìn)行交易;
• 企業(yè)組織應(yīng)當(dāng)限制訪問權(quán)限，設(shè)置審計(jì)流程;
• 使用冷錢包存儲(chǔ)加密貨幣并設(shè)置備份;
• 不使用來歷不明的破解、激活工具，最好支持正版