資產安全一直是數字世界中的重中之重，而丟幣也一直是加密世界中老生常談，無論是個人用戶還是交易所都曾因為數字資產被盜而麻煩上身。

尤其是數字貨幣交易所，在以往的事件中，黑客攻擊曾經幾度給區塊鏈項目和交易所帶來嚴重的打擊，以史為鑒，回過頭來，我們來盤點一下區塊鏈歷史上出現的重大黑客攻擊事件，作為借鑒，這些事件又給了我們那些啟發和教訓?

 

 

價值溢出事件(2010年8月)

2010年8月15日，未知黑客對比特幣發動攻擊，利用大整數溢出漏洞，繞過了系統的平衡檢查，將比特幣的總量有限的設定打破，黑客憑空創造出了1844.67億個比特幣。

在這一局面中，中本聰為挽救比特幣，被迫發動了比特幣歷史上的第一次硬分叉。

Allinvain事件

2011年6月，一名叫Allinvain的用戶成為有記錄以來首次大規模比特幣偷盜事件的受害者。Allinvain一覺醒來發現被黑客竊取了25000枚BTC，當時價值約為50萬美元。

Bitcoinica (2012年3月和5月)

Bitcoinica是一家老牌交易所，它曾在2012年遭遇兩次黑客攻擊。黑客利用其安全松懈的服務器，獲取了客戶數據(包括密鑰)，共計盜走61000個BTC，最終導致Bitcoinica破產。

Bitfloor(2012年9月)

與Bitcoinica的被盜過程相似，黑客入侵了Bitfloor的服務器，盜走了24000個BTC。Bitfloor從此一蹶不振，并于次年4月關閉。

Poloniex(2014年3月)

2014年3月，剛成立兩個月的Poloniex交易所的服務器被入侵。一名黑客發現Poloniex的漏洞，即提現系統在同時收到多個請求的情況下允許出現負余額。提現系統注意到異?；顒雍螅P閉了進入受影響賬戶的通道。

但在此之前，Poloniex加密貨幣總儲備的12.3%被盜。Poloniex暫時將每個賬戶的余額都扣除12.3%，后續再全部恢復。Poloniex最終幸存下來，并于2018年被收購。

MtGox(2014年2月)

MtGox是當時規模最大的老牌交易所，也遭遇了最嚴重的黑客攻擊。由程序員Jed McCaleb創建。2010年7月，他讀到一篇關于比特幣的文章，于是修改了網站代碼，用于交易比特幣，并于2011年將該網站賣給了Mark Karpeles(法胖)。到了2014年，MtGox處理的比特幣交易占全球70%。

2014年2月7日，MtGox宣布暫停交易，理由是其安全軟件存在漏洞。兩周后，網站突然關閉，MtGox申請破產。此次損失共計85萬BTC，在當時價值4.7億美元。這個問題導致投資者信心受挫，比特幣直接暴跌36%。

 

　　許多人懷疑是法胖監守自盜，他于2015年因欺詐、挪用公款和操縱用戶余額等罪名被捕，但這并不能直接證明他與交易所被盜事件有關。2017年，美國當局在希臘逮捕了俄羅斯人Alexander Vinnik，他控制的錢包不僅有MtGox被盜的比特幣，還包括Bitcoinica、Bitfloor的。

 

Bitstamp (2015年1月)

安全事件不斷發生，交易所開始把幣存儲在兩個錢包上：冷錢包和熱錢包。冷錢包，即不聯網的服務器，又稱離線錢包。熱錢包則用來存儲足夠的錢以滿足用戶的每日交易需求。

2015年1月，Bitstamp熱錢包里的19000個比特幣被黑客通過釣魚手段竊取。幸運的是，Bitstamp 90%的幣都存儲在冷錢包里，并沒有受到影響。

The DAO (2016年6月)

基于以太坊網絡發行的加密貨幣運行方式跟比特幣不同，但同樣都是黑客攻擊的對象。以太坊區塊鏈環境有別于其他數值貨幣。ETH是通過電腦代碼，即智能合約交易的。

所謂智能合約即設置好要求，一旦滿足設定條件就會自動執行。以太坊全網有6000臺電腦，因此網絡難以被修改或被控制。以太坊架構支持去中心化自治組織DAO，把規則和決策通過代碼的形式寫進區塊鏈之中，允許智能合約在不受人為監控的條件下自動執行。

 

　　2016年4月， Genesis DAO創造了一個投資者可以給項目投票的社區，獲得20%以上支持的項目可獲得資金支持。DAO在以太坊上融到了2.5億美金。6月份，黑客發現了一個支持單一幣種多次提現的漏洞，而智能合約更新的速度比不上提現的速度。短短幾個小時內，DAO 合約里面30%的ETH都被轉移了。

盜竊事件被公開后，Genesis DAO 執行了硬分叉，創造出了一條新的區塊鏈。但是這次分叉受到了社區部分持幣者的反對，他們認為篡改時間戳就是在稀釋其他人手上以太坊的價值。之后，社區發起投票，89%的人支持硬分叉。反對者從社區分離出去，重組了原鏈，改名Ethereum Classic。

Bitfinex (2016年8月)

這是繼MtGox熱錢包被盜后發生的第二大交易所被盜事件。諷刺的是，Bitfinex進行軟件升級本是為了提高安全，卻沒想到軟件內含有漏洞。Bitfinex當初使用的是BitGo提供的多簽交易軟件。

時至今日，沒人清楚黑客是怎么避開多個簽名盜走幣的。現在最主流的解釋是Bitfinex服務器安裝了不合適的軟件。Bitfinex事件中，黑客盜走了12萬個比特幣， 當時價值7200萬美元。

　　隨后，為了補還客戶的損失，Bitfinex通過代幣進行股權融資，并使用營業額按月賠償客戶后逐步彌補虧空，艱難的熬了過來。

Parity(2017年7月和11月)

以太坊也受過多重簽名系統缺陷的影響。2017年7月17日，有人攻擊了多重簽名錢包服務商Parity，目標是三家最近剛完成ICO的公司。黑客一共竊取了152037個比特幣，價值3200萬美元。Parity將本次攻擊歸咎于Parity錢包版本中智能合約代碼存在漏洞，并于7月20日發布了補丁。

糟糕的是，該補丁解決了智能合約的問題，卻還存在另一個安全隱患。Parity在其智能合約代碼上新增了“kill” 功能，該功能允許用戶永久鎖定Parity錢包。Parity開發者沒有將這一代碼更新到所有的用戶錢包中，而是選擇跟一個中心化library(合約庫)進行函數調用。

11月6日，用戶名為“devops199”的編程新手意外鎖死了library，所有與library相連的錢包也被鎖死了。受影響的錢包共計587個，包含513，774個ETH，價值約1.5億美元。

這不是犯罪也不是惡意行為，卻給以太坊帶來一個大問題：是否再次進行硬分叉以恢復被鎖定的587個錢包?4月，Parity向以太坊社區發起投票，最終以55%反對票拒絕了硬分叉，丟失的幣也就永遠找不回來了!

NiceHash(2017年12月)

NiceHash是一家位于斯洛文尼亞的礦場。黑客利用釣魚成功竊取一名員工的證件，盜走4700個BTC，當時價值近8000萬美元。

Coincheck(2018年1月)

Coincheck是一家日本交易所，被盜取了5億個NEM。黑客取出NEM后迅速兌換成其他加密貨幣，以至于NEM基金會放棄了恢復工作。這次損失高達5.3億美元，超過了2014年MtGox的損失。由于Coincheck在被黑后隨即凍結提現，因此穩住了用戶，交易所最終才得以存活下來。

Coinrail和Bithumb(2018年6月)

2018年6月，韓國兩家交易所的熱錢包遭遇攻擊。其中Coinrail損失了5300個 BTC(價值接近4000萬美元)，Bithumb損失了近3100萬美元。

區塊鏈的安全現狀

盜幣事件層出不窮，僅2018年上半年發生的事件累積損失就接近11億美元。但這些安全事件不是區塊鏈世界獨有的，雖然區塊鏈本身不容易受到攻擊，但黑客卻可以利用智能合約、錢包或人為失誤等漏洞找到可乘之機。

對于區塊鏈本身而言，威脅最大的是51%攻擊，它是指：一旦某個人或組織擁有全網51%以上的算力，從而能比其他節點更早獲得記賬權創建區塊，最終控制網絡，特點是攻擊成本比較高。

現在由于挖掘比特幣的成本越來越高，存在一些人通過電腦病毒部署僵尸網絡，用于惡意挖礦，另外還有就是利用勒索軟件對其它用戶發動攻擊。

雖然SHA256加密算法很復雜，但也并非不可攻破，或許最致命的攻擊我們尚未發現。McAfee集團的管理人員曾經說過：“這個行業太新了，我們現在都沒有一個專門發現并報道技術缺陷的平臺”。

資產安全比一切都要重要，通過上面的例子我們可以看出，無論是交易所、錢包軟件、礦場乃至區塊鏈項目都存在被黑客攻擊的威脅，而對于我們普通投資人或者用戶來說如何將風險降到最低就非常重要了，通常來說選擇透明度高、技術實力強的項目風險較低，短線選擇知名度較高、管理措施健全相對規范的交易所，長線盡量將數字貨幣保存到冷錢包，備份保存好私鑰助記詞并且避免觸網可以將風險降到最低。