2019年1月3日是一个特别的日子,全球的区块链从业者都在以“比特币十年”的特殊仪式,纪念比特币创世区块诞生十周年。
十年风雨不由人,十年踪迹十年心。
如果说过去七年,这是条少有人走的路的话,过去三年尤其是刚刚过去的2018年,这条路街景开始变得亮丽且繁华。
我们都不再孤独。在区块链生态的各个环节包括公链、智能合约、交易所、钱包、矿池、DApp 等各个环节,都有了众多心怀“信仰”的建设者。
安全公司就是其一。
在这个生来便被认为安全和效率不可兼得的行业,安全事件注定会伴随生态发展始终,安全公司则成为记录这“如歌青春”的最忠诚守护者。
根据区块链安全公司 PeckShield 和 BCSEC 的数据显示,2018全年区块链安全事故数量高达138起,造成的经济损失高达22.38亿美元。
其中以太坊公链出现安全事故超54起,主要因为上半年智能合约和交易所安全事件的频发,比如:BEC美链遭黑客攻击一日便蒸发9亿美元,让大众认识到安全对于区块链的扼喉作用。
另外 EOS 公链出现安全事故超49起,基本都是源于 EOS DApp 生态爆发引起的随机数攻击、交易回滚等攻击事件,不仅直接经济损失高达747,209个EOS,更让大众形成了EOS公链会囿于菠菜类游戏的认知。
相较之下,过去一年BTC仅发生安全事件3起,危害相对较小,大的安全事件比如9月份的 BTC 超发漏洞,漏洞在造成危害前就得以修复,虚惊一场。
PeckShield认为,目前整个区块链安全现状存在三大矛盾:
1、攻击者强于建设者,表现在,大多智能合约在链上公开透明,处于“明处”且目前数字资产价值不菲,惩处机制还不完善,自然成了很多处于“暗处”的黑客首要攻击对象;
2、图利还是做事难分辨,表现在,处于生态早期的野蛮生长期,智能合约开发者鱼龙混杂,存在一些空气项目、传销项目乃至卷款跑路的项目,给生态带来极大的信任破坏和透支,只有真正做事的项目安全防御、应急响应、危机善后上才会有正确的态度和应对方式,进而不断积累用户,扩大市场份额。
3、区块链技术门槛高却亟需新鲜流量入场,表现在,当前整个区块链行业流量池不够大,普通小白用户进场在下载钱包、保存私钥、转账买卖等基础操作层面尚且有很大障碍,因而各类账号、操作层面的安全问题尚不能杜绝。
如果把目前的区块链安全划分为非常安全、安全、令人堪忧、极度危险四个等级的话,现阶段区块链安全是令人堪忧的。
PeckShield 认为,区块链生态的主要威胁在于,智能合约和 DApp 生态有个逐步崛起完善的过程,前仆后继踊进了一大批参差不齐的从业者,他们可能会携带大量未知的问题入场,也加剧了安全对于区块链生态的迫切性,需要安全公司的持续护航以及分布在整个区块链生态各个环节的合作伙伴协同努力。
事实证明,安全问题或许会伴随区块链生态壮大愈演愈烈,今年年初ETC(以太经典)遭遇的双花攻击事件、以及可致使 EOS 公链瘫痪或“稳赢”所有竞猜类 DApp 的“交易阻塞攻击”(CVE-2019-6199)等等,新年一系列重磅安全事件的来袭,在向我们敲响警钟,新的一年,安全问题同样不容忽视。
为了让更多生态从业者认清当前行业安全现状,提升安全意识,并加以必要的安全防御举措。
2019年01月25日,全球区块链数据与安全服务商PeckShield(派盾)联合多家媒体共同发布《2018年度区块链十大安全事件》。
PeckShield 综合实际经济损失、生态连带性威胁、社会传导性危害等各个层面的影响,从账号安全、底层公链、交易所和钱包、智能合约、DApp 等多个重要生态环节整理了上百起安全事件。
先由媒体合作伙伴提名选出20个候选安全事件,然后再联合12位媒体评审伙伴,共同评选出十大安全事件:
本文素材来自互联网