揭秘|区块链巨坑大盘点:街头抢币、刷牙挖矿、4000多个漏洞……

硬币总有反正两面,在享受区块链带来便利的同时,人们注定要面对更高的风险。进入2018年以来,数字货币交易所被攻击,数字钱包泄露,区块链传销、诈骗、抢劫等区块链安全问题频发。

终于,业内人士坐不住了。6月下旬,腾讯安全、知道创宇、一本财经等企业宣布成立“中国区块链安全联盟”,着重打击空气币、传销币等一切假借区块链名义进行变相传销、诈骗等敛财行为。另外,国家互联网金融安全技术专家委员会秘书长吴震,也对如何解决区块链安全提出了自己的建议。

不过想解决区块链安全问题,得先盘点一下目前区块链的那些坑!

关于区块链开源软件漏洞:根基不稳何以立足?

国家互联网金融安全技术专家委员会曾发布过一则非常重要的报告——区块链开源软件源代码安全漏洞分析。委员会选取了 25 款具有代表性的区块链软件,包括Dogecoin、Ripple、Litecoin、Dash、Ethereum Wallet等,结合漏洞扫描工具和人工审计,进行了安全检测。

检测在代码层面发现高危安全漏洞和安全隐患共 746 个,中危漏洞 3497 个。下图展示了被测项目中检出的中高危安全漏洞情况,图中还用红色折线图展示了每千行包含漏洞数。从中可以看出,本次选取的区块链软件都存在不同程度的安全问题。

被测软件中,安全风险相对较为严重的是区块链支付网络 Ripple,包含高危漏洞 223 个。 而渣打、西太银行等一些大型银行已经宣布将加入其支付网络,荷兰合作银行(Rabobank Group)已经于2018年3月完成了Ripple的Interledger解决方案的测试工作,Interledger是Ripple公司推出的一个协议,旨在将银行账本和区块链技术整合在一起。

考虑到 Ripple协议直接处理金融资产,且拥有如此大规模的用户,一旦这些漏洞被黑客利用,后果不堪设想。同样,其它区块链开源软件也多与资产、货币交易相关,漏洞也可能导致财产损失的严重风险。

关于数字钱包泄露:每一步都需要小心翼翼

2018年6月11日,全球最大的以太坊钱包imToken披露其遭遇一次黑客攻击事件,所幸没有资产损失。但是imToken称,黑客有可能拿到了部分参与公测的用户邮箱地址,可能给用户发钓鱼邮件。

早在2017年11月,旧金山安全公司High-Tech Bridge就曾在一份报告中称“绝大多数的移动数字货币钱包APP的安全性都很糟糕”。

这份报告分析了谷歌Play商店中超过2000款移动数字货币钱包APP。在前30款总安装量达到10万的数字货币钱包APP中,93%包括至少3个“中等风险”漏洞,90%包含至少2个“高风险”问题。最常见的漏洞包括“数据存储安全性不足”以及“密码系统安全性不足”。

以知名数字钱包Bitcoin Wallet为例,Bitcoin Wallet助记词是以明文的方式存放在系统的/data/data/com.bitcoin.mwallet /files/profile 文件里面的,也就是说,Bitcoin Wallet已经完全将资产的安全性交给了系统来保护。

但是系统本身是非常复杂的,而且充满了各种安全漏洞,只要利用一个漏洞就可以瞬间获取到Bitcoin Wallet钱包的助记词和私钥。例如只要手机里面有任何APP利用漏洞拿到了系统的ROOT权限,那么这个APP就可以瞬间拿到钱包的助记词,导致数字资产可以随时被盗取,而上述动作是完全可以在后台发生的,用户完全不知道;即使没有应用有ROOT权限,只需将手机的充电端口连接到黑客控制的充电设备,也可以在几分钟时间内拿到钱包的助记词,导致数字资产可以随时被盗取。

如《三体》的“黑暗森林法则”,在数字货币的世界里穿行,每一步都需要小心翼翼。这些都是区块链的技术风险,而这并不是全部。区块链世界里的经济风险,你再小心翼翼都躲不开。

关于空气币:他们也知道我知道他们在击鼓传花

吴震秘书长在今年6月底的金融科技峰会上表示,区块链的经济风险第一是诈骗,诈骗手段分为空气币、传销币、蹭链。而“中国区块链安全联盟”主要发起人董海平也表示,发起联盟的第一个原因就是空气币泛滥,他透露目前市面上有两万多种数字货币,符合空气币特征的占 95% 以上。

但如何定义空气币?记者曾采访安徽马鞍山的大型矿场主王诚,王诚认为挖不出来的币就是空气币。识别币能否被挖出来,可以通过挖矿浏览器来确定。比特币、莱特币、以太坊都有各自的浏览器,浏览器上会显示每个区块出来后打入哪个账户,有多少个币。如果没浏览器,这个币就不是基于区块链技术产生的。

但王诚也提到,哪怕真的有浏览器,也可能是对方在局域网里刻意伪造的。所以目前分辨空气币很难。他只能根据多年挖矿经验来推断,目前有99%以上的币是空气币。

无论99%还是95%都是非常高的比例,抛开这个不谈,令人深思的是人们对空气币的态度。

虽然国家已经禁止了ICO,但私募又悄悄转向了社群。随便打开一个炒币群看都会发现,人们都知道是空气币,也经常遇到忽悠的骗子,但都抱着投机和侥幸的心理。一旦有新币私募,大量人抢着上去,希望自己能买到百倍币,割韭菜大赚一把。

“我知道他们在击鼓传花,他们也知道自己是击鼓传花,他们也知道我知道他们在击鼓传花,但鼓声仍不停,因为最后一棒如果不是我,那我就能赚钱。”

关于传销币:与空气币的区别是它们更加赤裸裸

据统计,传销币主要利用门户网站、微博、微信公众号、贴吧等渠道进行宣传、招商等活动,上线部分虚拟货币交易平台进行炒作和交易。它们一个特点是频繁更换域名。60%网站服务器部署在境外,大多在美国和中国香港。

吴震秘书长认为,传销币和空气币的区别是传销币更底层。说白了,就是传销币的敛财手段更加赤裸裸。而且,“大唐币”、“五行币”、“普洱币”、“恒星币”、“幸孕币”,传销币连名字都带着浓浓的莆田医院风。

从2018年3月28日到4月17日,西安的“大唐币”在短短半个月的时间就吸引8000多万的资金。“大唐币”的发起人称会员只要投入300万元,每天可生利8万元,一个月就可以获利200多万元。而“普洱币”案更是民警潜伏四个多月才破获,涉案金额高达3.07亿元。

其实传销币的骗人手段非常明显。以“恒星币”为例,方法是“当你花了100元,买了激活币,有了自己的推广链接之后,群主就使劲叫你去推广了,有推就有钱,有人买币,毎个币你就可以提成20元”,并宣称“花100万元买200台矿机生产‘恒星币’,一年后能获得365万美元的收益!”吸引了大量想空手套白狼的人。(本文转自防骗大数据:FPData)

传销币玩的最转的是俞凌雄,“幸孕币”、“车链”、“易货链”等都是他的成果,人称其“每月两个币、敛财几十亿”。自从区块链媒体“北纬31度”连发数篇曝光俞凌雄发布传销币的文章后,俞凌雄开始被外界质疑。

实际上,俞凌雄早在开展“发币大业”之前,就由于欠款1.25亿余元在2017年12月4日被广东省揭阳市中级人民法院列入失信人名单并限制出境。截止目前,剩余6713万余元尚未还清。去天眼查上查询俞凌雄的信息,提示个人风险高达81条。

但即使这样,俞凌雄目前仍有大量拥趸。所以一旦人们被传销币套住了,也只是在为自己的“贪嗔痴”缴税而已。

关于蹭链:刷牙能挖矿?没毛病

蹭链这个词可以用马云爸爸曾举的一个例子来解释。马云爸爸说他们公司一个程序员在相亲网站没人理,把资料改成“区块链程序员”后,很快就收到大量情书。

这个程序员可能真的是区块链程序员,但许多产品其实跟区块链并没有关系。蹭链是指为提高产品关注度而专门打出区块链的名头,像区块机、区块链大米、区块猪等。

今年3月,一家名叫BAIC社区推出多款具备挖矿功能的区块链智能牙刷,该挖矿智能牙刷会根据用户使用频次及口腔健康数据,将其数据价值以Token的形式返还给用户。同时,Token可提现,也可用其购买其他BAIC物联网价值链中的其他商品,从而形成流通,产生价值。

这款牙刷在淘宝上已经能买到,售价高达258元人民币。此外,记者在淘宝上还发现了售价9999元的区块链手表,自称“腕上算力之王”,且是为李笑来、老猫、易理华等大佬专门订制的。还有走路挖矿的区块链手环、区块链手机等。(本文转自防骗大数据:FPData)

此外,还有上市公司企图蹭链,甚至引来监管层关注。2018年3月19日,银江股份发布公告称收到深交所关注函,要求说明是否存在蹭区块链热点概念炒作股价的动机。

深交所这么做,是因为3月16日上午,银江股份在“银江股份”微信公众号上发表文章称,“参投企业数牛金服与浙江千麦司法鉴定中心达成战略合作,落地了全球首张区块链电子数据司法鉴定证书”,文章发布的当日早上10点19分,银江股份便盘中涨停,报12.19元。

仅2018年1月到3月期间,上交所与深交所就已经向20余家涉嫌“炒作”区块链概念的上市公司采取了问询、关注和停牌等举措。

相比空气币和传销币,目测蹭链的危害没有那么大,但它更加隐蔽,更加无处不在,所以它对区块链的公信力影响更大。

关于监守自盗:“山大王”何时会被招安?

“门头沟”是日本一家比特币交易所MT.Gox的中译名。2014年2月,MT.Gox在网站页面宣传停止交易并随后申请破产,称其由于受到黑客攻击,总计丢失744000个比特币。但许多人怀疑失窃是因为“门头沟”监守自盗。

在区块链行业,大型交易所由于不受国家监管,可谓自己天地里的国王,一旦代币丢失,别人根本无法判断是不是交易所自己做了手脚。

2017年11月,Tether官网发布公告表示,由于外部攻击者的恶意行为,$30,950,010USDT(泰达币)于2017年11月19日从Tether Treasury钱包中移除,并发送至未经授权的比特币地址。事情发生后,Tether公司被推上风口浪尖,同样被怀疑监守自盗。因为这件事发生前几个月,Tether公司就被传操纵币价。

在今年5月份的第四届贵阳数博会上,北大教授刘晓蕾建议国家建立数字货币交易所,一边对行业进行摸索,一边监管。这个建议得到许多业内人士的认可。

半个月前,重庆经信委曾发文称将建立数字货币交易所,但迅速又删除了这一政策,后来有人又在重庆市政府的官网上看到这一政策。重庆官方的躲躲闪闪,其实也透露出一个讯号:国家或许准备适时推出数字货币交易所,结束各个“山大王”独霸一方的局面。

关于“搅浑水”:媒体黑客之间有什么秘密?

今年1月,金色财经陷入“微博门”,金色财经官方微博发信息称“金色财经的老板就是骗子,所有的利空消息都是他一手策划的,目的就是要做空收割韭菜”。

事情引起轩然大波。虽然事后金色财经称是有人恶意中伤,但此事说明,头部区块链媒体对行业有重要影响力,如果媒体不能保持客观公正,所引起安全问题将超过黑客的破坏。

一本区块链创始人王奕从媒体人的角度透露了区块链行业“搅浑水”现象。王奕称由于安全问题爆发会影响币价,甚至引发连锁反应,于是一些区块链媒体或自媒体跟黑客团队进行合作,通过挖掘漏洞、策划舆论、操控币价、团伙性做多或做空,带来巨额利润。

客观公正是媒体的立身之本,但在区块链行业暴利的吸引下,有的媒体却成了割韭菜的帮凶。

关于矿机之难:被坑一个亿也无处说理

大部分人认为区块链的风险主要在ICO上,但区块链行业的“卖水人”矿机商同样面临高风险,他们的风险主要来自“先打款后发货”的销售方式。

与其它实体行业不同,采购矿机要提前订货,有时要提前两个月,而且一定要先打款。之所以这样,是因为矿机价格与币价成正比,币价瞬息万变,矿机价格同样如此。同样一台矿机,价高时达到三万多,低时五六千元。如果矿机商价高时进了货,采购人却不买了,货就套在矿机商手中了。

听起来有道理,但有时却变成了供货商强势的理由。今年2月份时,比特大陆就曾打出一条霸王条款:“无论是否发货,付款后均不能退款、退货”。

有人就真的遇到打了款收不到机器的情况。今年年初,安徽淮南有名矿机经销商收款后不发货,侵占下游矿机商上亿元货款,下游几十家矿机商遭受严重损失,直到现在警方还未抓到诈骗者。同样,去年深圳也曾发生过类似案件,涉案金额高达数千万。

“这行水太深了,我一脚一个坑。”有位矿机商如是说。

结语

区块链的风险还有很多,操作市场风险、转价跑路风险,尤其是币圈,有人称其是坑蒙拐骗黄赌毒的互联网化。另外,一些币圈人因为身家不菲,在生活中也有风险了。据外媒消息称2018年2月,PRIZM数字货币的创始人Yuri Mayorov 在莫斯科遭到绑架和抢劫,劫匪抢走了2万美元和300个比特币。真是一幅浮世绘啊。

区块链离钱太近,世界为之疯狂,人性如此,谁能管制?

据悉,新成立的“中国区块链安全联盟”准备做四件事情:空气币预警机制;建立行业安全漏洞的相应机制;建立专门的渠道接受用户投诉;建立评级标准引入评级机构,评判区块链的可靠性。这些措施能不能真正落地?也许只有靠国家监管的介入。

不过国家现在也没有好办法。据吴震秘书长的说法是,区块链行业尚处于早期,建议观察再做,但是严厉打击防范ICO诈骗肯定是要做的。他认为,技术上对区块链管理不是特别困难,但是存在着客观因素,包括公链全球性和各国法律不一致等。总体上他主张以链管链,以技术对技术。

不管怎么样,民间和官方都开始重视了。在业内没有摸索出好的监管措施时,我们能做的,只能是小心加自律。

来源:防骗大数据

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。

微信号已复制,请打开微信添加咨询详情!
-->