腾讯发布《2018上半年区块链安全报告》 这些干货你不可错过

  【天极网网络频道】2018年，区块链成为互联网的新风口。借比特币东风，区块链从一种底层技术变成一股新热潮，引起创业者、资本市场、互联网公司和媒体的大肆追逐。从中关村的创业咖啡到街头巷尾、微信微博，一时间区块链无处不在，成为所有人热议的话题。

  但是，区块链兴起的同时，自身安全问题也被快速放大。无论是“勒索”，还是“盗窃”、“挖矿”，区块链安全已经成为自身发展的最大障碍。

  仅仅上半年，全球有约11亿美元的数字加密货币被盗，并且全球因区块链安全损失的金额还在不断攀升。

  近日，腾讯安全联合实验室联合知道创宇发布了《2018上半年区块链安全报告》，其中有些信息值得注意。

  一、全球有多少种数字加密货币？它们总市值为多少？ICO是什么？

  数字加密货币，是由某个人或某个组织发行，通过一定算法，找到一串符号，然后宣称其是“XX币”。比特币是世界首个数字加密货币，它由日本人中本聪发明。

  截至目前，全球出现过的数字加密种类已经超过1600种。但是这1600多种数字虚拟货币中，存在大量空气币，被认为是一文不值。简言之，就是数字加密货币中的“炮灰”。

 （图片来自《腾讯安全2018上半年区块链安全报告》）

  在高峰时期，这1600多种数字加密货币的市场高达6000亿美金。排名前十的数字加密货币，占总市场的90%，其中比特币、以太坊币分别占总市值的46.66%和20.12%。

  如果提到ICO，那么现在很多人会想到“诈骗”。当一种虚拟数字货币需要上市发行时，会寻求数字虚拟币交易所申请ICO。不过，ICO组织均为民间自发形成的组织或联盟，类似自由市场。部分ICO机构的实际表现，实际上更接近于跨国诈骗组织。

  另一方面，从2017年到2018年，区块链安全事件层出不穷。2018年初，日本数字交易所Coincheck遭受黑客攻击，26万客户损失4亿美元。

  3月7日，币安疑似遭遇黑客攻击，交易系统出现故障，被黑客一夜卷走7个亿。6月10日，韩国加密货币交易所Coinrail 称系统遭遇“网络入侵”，虽然这只是个小交易平台，但损失还是超过 4000 万美元。此事导致比特币连续三天下跌。

  目前为止，最大的一起数字加密货币安全事件发生于2014年。Mt.Gox是全球最大的比特币交易商，位于日本东京，承担着超过80%的比特币交易。但是，Mt.Gox被盗走85万枚比特币，价值120亿美元。此次事件，直接导致该交易所破产倒闭!

  二、区块链数字加密货币背后的三大安全问题

  据腾讯联合安全实验室和知道创宇公司认为：一是区块链自身机制安全，二是生态安全，三是使用者安全。其中因自身机制安全造成的经济损失为12.5亿美元，生态安全造成的经济损失为14.2亿美元，而使用者安全造成的经济损失为0.56亿美元。

 （图片来自《腾讯安全2018上半年区块链安全报告》）
 

  1. 区块链自身机制安全问题：

  (1) 智能合约

  (2) 理论上的51%攻击成为现实

  2. 区块链生态安全问题：

  (1) 交易所被盗

  (2) 交易所、矿池、网站被DDoS攻击

  (3) 钱包、矿池面临DNS劫持风险(劫持数字虚拟币交易钱包地址的病毒已层出不穷)

  (4) 交易所被钓鱼、内鬼、钱包被盗、各种信息泄露、账号被盗等

  3. 使用者安全问题：

  (1) 个人管理的账户和钱包被盗

  (2) 被欺诈、被钓鱼、私钥管理不善，遭遇病毒木马等

  以51%攻击为例，2018年5月，比特币黄金(BTG)遭遇51%双花攻击，损失1860万美元。

  与此同时，该报告还披露了区块链数字加密货币背后的三大网络安全威胁，一是勒索病毒，二是挖矿木马，三是攻击交易所。

  这里，尤其值得一提的是挖矿木马。该报告表示：由于挖矿病毒的控制者可以直接通过出售挖到的数字虚拟货币牟利，挖矿病毒的影响力空前高涨。

  当受害者电脑运行挖矿病毒时，计算机CPU、GPU资源占用会上升，电脑因此变得卡慢。如果是笔记本电脑，会更容易观察到异常，比如电脑发烫、风扇转速增加，电脑噪声增加，电脑运行速度也因此变慢。根据统计，2018上半年挖矿木马事件45起，比2017年整年曝出的挖矿木马事件都要多。

  今年上半年，挖矿木马瞄准游戏高配机，力图实现高效率挖矿;其次利用网页挂马，大范围传播。当然，还有入侵控制企业服务器，组建僵尸网络云上挖矿以及在正常网址插入挖矿代码。

  关于区块链数字加密货币的安全，该报告给出了几条建议：

  对普通网民而言，应防止电脑中毒成为被人控制的“矿工”，谨慎使用游戏外挂、破解软件、视频网站客户端破解工具，这些软件被人为植入恶意程序的概率较大。

 同时，安装正规杀毒软件并及时更新升级，当电脑卡顿、温度过热时，使用腾讯电脑管家进行检查，防止电脑被非法控制，造成不必要的损失;

  对企业网站、服务器资源的管理者来说，应部署企业级网络安全防护系统，防止企业服务器被入侵安装挖矿病毒，防止受到勒索病毒侵害。企业网站应防止被黑，及时修补服务器操作系统、应用系统的安全漏洞，避免企业服务器沦为黑客挖矿的工具，同时也避免因服务器被入侵而导致企业网站的访客电脑沦为“矿工”。

  想查看完整报告，请点击https://slab.qq.com/news/authority/1754.html

  参考资料：

  腾讯安全《2018上半年区块链安全报告》