這個夏天，也許混在安全圈的你不知不覺成了一名“菊外人”，但你肯定不會是一名“圈外人”。自 2009 年世界上第一個比特幣區(qū)塊鏈誕生以來，各種加密貨幣紛紛涌現(xiàn)，2017 年“炒幣”風暴席卷全球，以比特幣為主的加密貨幣大火，引發(fā)了全網(wǎng)加密貨幣的熱潮。各路人馬紛紛涌入幣圈，加密貨幣江湖由此風生水起，熱火朝天。圈子一大，難免成分復雜。加密貨幣這塊香餑餑，不僅招蜂引蝶，吸引行家的角逐，也引來了一窩又一窩蒼蠅蚊子，一旦盯到縫隙(漏洞)，就一擁而上……

不斷攀升的價格和日益減少的加密貨幣數(shù)量吸引了越來越多的人通過各種方式獲取加密貨幣。如果有礦機，他們就去挖;如果沒有，他們就通過各種手段去竊取;如果偷不到，他們還能通過傳播惡意軟件，入侵他人設備，利用別人設備的算力來為自己挖礦謀利。僅僅 2018 上半年，幣圈的攻擊、盜竊事件就層出不窮，世界各地幾乎每天都有某交易平臺被攻擊、貨幣被盜或者一系設備被惡意軟件入侵用于挖礦的新聞。如今，圍繞著虛擬貨幣的黑產(chǎn)已經(jīng)形成并逐漸發(fā)展成熟。

??

[[233690]]

一、2018 上半年幣圈漏洞與攻擊大事記

1. 直接偷

(1) 韓國加密貨幣交易所遭黑客攻擊，引發(fā)比特幣近三個月最大跌幅

6 月 10 日，韓國加密貨幣交易所 Coinrail 稱系統(tǒng)遭遇“網(wǎng)絡入侵”，雖然這只是個小交易平臺，但損失還是超過 4000 萬美元。此事導致比特幣連續(xù)三天下跌。Bitstamp 數(shù)據(jù)顯示，截至當天下午 4 點 ，紐約市場比特幣價格已跌至6840美元，創(chuàng)出自3月14日以來的最大跌幅，將比特幣今年的虧損幅度擴大到52%。同屬加密貨幣的以太坊和瑞波幣的交易價格分別下跌10%和11%。

(2) 區(qū)塊鏈平臺 EOS 智能合約漏洞

5 月底，360 發(fā)現(xiàn)即將上線主網(wǎng)的 EOS 區(qū)塊鏈中史詩級漏洞，部分漏洞可以通過遠程攻擊，完全控制虛擬貨幣交易。這意味著，黑客可以獲得至高無上的權力——只要上傳一個具有惡意代碼的智能合約，就能獲得超級節(jié)點的控制權。而在解析智能合約、打包區(qū)塊的過程中，其他節(jié)點也會被一并感染。最終，所有21個超級節(jié)點，甚至所有備用節(jié)點，都會被黑客控制。

當然，漏洞曝出后很快得到了修復，EOS 主網(wǎng)也如期上線。不過到本文截稿，EOS 主網(wǎng)上線期間還是遭遇攻擊，大量EOS私鑰被黑客偷走。60 多位英文區(qū)和韓文區(qū)用戶中招，中文區(qū)的還沒統(tǒng)計，而涉及的 EOS 總數(shù)超過百萬。

(3) BEC 合約出現(xiàn)重大漏洞被暫停交易

4 月22 日，OKex 發(fā)布最新公告稱，暫停BEC交易和提現(xiàn)。主要原因是黑客利用以太坊 ERC-20 智能合約中 BatchOverFlow 漏洞中數(shù)據(jù)溢出的漏洞攻擊與美圖合作的公司美鏈 BEC 的智能合約，成功地向兩個地址轉出了天量級別的 BEC 代幣，導致市場上海量 BEC 被拋售，該數(shù)字貨幣價值幾近歸零，給 BEC 市場交易帶來了毀滅性打擊。

除了 BEC Token 之外，還有超過 12 多個項目 Token 的智能合約中存在 BatchOverFlow 整數(shù)溢出漏洞，黑客可以利用這一漏洞轉賬生成“不存在”的虛擬貨幣并進行交易獲利。

(4) 幣安遭入侵導致加密貨幣市場大動蕩

3 月 7 日晚間，知名加密貨幣交易平臺幣安疑似遭遇黑客攻擊，交易系統(tǒng)出現(xiàn)故障，多名投資者山寨幣在不知情的情況下以市價被賣出換成比特幣，主要涉及超過 20 個幣種。黑客利用盜用用戶的賬號高價買入VIA，導致VIA最高點價格被爆拉至0.025美元，與24H內最低點相比漲幅超過11000%。與此同時，包括幣安、火幣在內的加密貨幣市場全盤暴跌，BTC、BCH、ETH等主流貨幣跌幅均超過5%。幣安的BTC/USDT交易也出現(xiàn)大量賣單，其中BTC跌破10000美元。

隨后，幣安發(fā)布全球通緝令，以 25 萬美元的等值賞金追緝黑客。

此事引發(fā)了廣泛探討，關于幣安炒作和“自導自演”的說法也浮出海面。

迄今為止，追緝令似乎沒了下文。這次故障的主要原因是部分 API 機器人遭到攻擊，與加密貨幣的智能合約關系不大。而具體內幕，大概只有當事人才能說的清了。

(5) CoinCheck 遭攻擊，損失 4 億美元

2018 年年初，日本數(shù)字交易所 Coincheck 遭受黑客攻擊，當時市值排名第十的加密貨幣 NEM 幣被竊取，總價值高達 5.3 億美元。其中，26 萬客戶共損失 4 億美元。事件發(fā)生后，NEM 市值遭遇重創(chuàng)，24 小時內下跌超過 16%。

??

[[233691]]

2. 間接搶

除了上述利用智能合約或其他漏洞發(fā)起攻擊，造成加密貨幣市場動蕩的大事件之外，利用惡意軟件入侵設備進而實施大規(guī)?；蛐∫?guī)模挖礦的攻擊也不少見。從 Chrome 商店的惡意擴展程序到針對 Mac 的“mshelper”的惡意挖礦軟件;從數(shù)萬臺亞馬遜 Fire TV 被迫“秘密挖礦”到針對 WordPress 的大規(guī)模暴力攻擊。瘋狂掘幣者無所不用其極，利用舊的漏洞或新的工具，隨時在網(wǎng)上掃易被攻擊的設備，一旦發(fā)現(xiàn)目標，就直接入侵。如今，很多知名僵尸網(wǎng)絡都被用于挖礦。盡管挖礦不如流量劫持、數(shù)據(jù)盜取和造成財產(chǎn)損失那樣嚴重，只會拖慢電腦、攝像頭、路由器，但對設備造成的物理損害還是很大的。在手機上很容易造成電池過熱甚至變形。

由于挖礦帶來的負面影響，很多部門以及廠商都出臺了應對措施。近日，日本明確針對一起法劫持個人電腦進行加密貨幣挖礦的案件進行調查并追究刑事責任。菲律賓證券監(jiān)管機構也發(fā)布警告，表示將根據(jù)現(xiàn)行的證券法規(guī)對國內的加密貨幣挖礦開采進行監(jiān)管。此外，F(xiàn)acebook、Google、Reddit、Twitter 等各大社交巨頭公司相繼禁止加密貨幣廣告。在前不久的 WWDC 大會上，蘋果更新了開發(fā)者指南，明確指出在 APP Store 增加有關加密貨幣程序的審核，指南表示“通過設計，使 App節(jié)省能耗。App不應快速耗盡電池電能、產(chǎn)生過多的熱量或對設備資源造成不必的負擔。其中含括App內顯示的任何第三方廣告，以及不得運行如加密貨幣挖掘等不相關的后臺進程?！蓖瑫r，還指出 APP 不得開發(fā)加密貨幣。

??

雖然從目前的技術來看，單獨在 iPhone 或者 iPad 上“挖掘”比特幣比較難以實現(xiàn)，因為算力達不到挖幣所需。但蘋果此舉至少表明了作為科技大廠的態(tài)度，也為阻止未來 iOS 被濫用于挖礦做好了準備。

二、加密貨幣攻擊規(guī)模日益增大

由于加密貨幣的獲取和交易并沒有第三方的擔保或保護，不論是有組織的犯罪集團還是有一定技術的 IT 工程師，都有可能因為利益誘惑而實施惡意攻擊，進行挖礦。根據(jù) Carbon Black 今年 6 月份發(fā)布的加密貨幣惡意攻擊調查報告，現(xiàn)如今，犯罪分子不斷利用暗網(wǎng)來輔助加密貨幣竊取，規(guī)模越來越大，造成的損失也越來越多。

??

加密貨幣市值排行

研究發(fā)現(xiàn)，2018 年 上半年，涉及加密貨幣的盜竊案金額高達 11.5 億美元左右，甚至達到 2016 年全年的損失(13 億美元左右)。

??

目前，約有 12000 個暗網(wǎng)市場銷售加密貨幣盜竊相關的惡意軟件或工具，數(shù)目高達 34000 個。這些惡意軟件的價格最低為1.04 美元，最高每次攻擊為 1000 美元，平均價格為 224 美元，相關的“蜜罐”定價約為 10 美元。在所有惡意軟件或工具中，加密貨幣竊取相關的惡意軟件是犯罪分子的首選。暗網(wǎng)中與加密貨幣相關的惡意軟件開發(fā)和銷售總共帶來將近 670 萬美元的非法經(jīng)濟收入。

調查表明，加密貨幣交易最容易成為攻擊目標，暗網(wǎng)直接針對加密貨幣占所有攻擊的 27% 。除了加密貨幣交易所之外，將近 21% 的加密貨幣攻擊目標是企業(yè)，14% 的目標是用戶，7% 的目標是政府。

??

在加密貨幣的地域分布中，美國、中國、英國、日本以及印度排名前五。

攻擊者偏愛門羅幣

值得注意的是，雖然目前比特幣依然是主要的目標，但其他加密貨幣受到的攻擊也越來越多。目前，由于門羅幣(Monero)加密性好，更受歡迎，受到的攻擊也更多，門羅幣遭遇的攻擊占加密貨幣攻擊的 44%。Palo Alto Networks 針對惡意挖礦行為進行了深入研究，分析 629126 個惡意挖礦軟件(主要是 2017 年 6 月份以來感染桌面和服務器的惡意挖礦程序)后發(fā)現(xiàn)，84% 的惡意程序樣本都是針對門羅幣的。而 5% 的門羅幣都是通過惡意程序挖出來的。

三、加密貨幣黑產(chǎn)已經(jīng)成熟

暗網(wǎng)加密貨幣黑色產(chǎn)業(yè)鏈：

• 第一階段：偵查;攻擊者無需再執(zhí)行偵察，因為目前可以攻擊的目標信息很輕易可以獲取，代價很低，甚至還有很多免費的替代品;
• 第二階段：利用漏洞發(fā)起攻擊;攻擊者購買漏洞、工具或已經(jīng)成功實施過攻擊的武器化文檔/文件。這些工具通常包括可以自定義的文件名、格式和誘餌文件的內容;
• 第三階段：傳播工具;用于傳播惡意程序的工具很容易買到，而且可以不斷調整以避免檢測并繞過防御機制。傳播途徑包括：惡意廣告網(wǎng)站(或者利用)、被入侵的可靠郵箱服務器。 傳播方式包括：通過惡意廣告網(wǎng)站傳播或利用合法廣告網(wǎng)站的漏洞傳播(廣泛定位)、發(fā)送給特定目標(通過入侵的合法郵件服務器發(fā)送釣魚郵件)。
• 第四階段：利用;針對全公司、全行業(yè)乃至高流量網(wǎng)站，發(fā)動大規(guī)模攻擊，這樣的攻擊范圍比單獨實施攻擊的范圍大得多;此外，低成本的武器和傳播方式也能確保成功率，比傳統(tǒng)方式更高;此外，可以直接在暗網(wǎng)中購買許多已經(jīng)被入侵且可以直接訪問的公司終端，直接繞過“入侵和安裝”階段;
• 第五階段：安裝;暗網(wǎng)上可以購買到很多商業(yè)化的遠程管理工具和其他可長期使用的工具，導致溯源更加困難;
• 第六階段：命令與控制;可以租用 IaaS 服務命令和控制被入侵的目標;也可以通過 SaaS 的方式購買并由第三方運行整個惡意軟件維護系統(tǒng);
• 第七階段：實施攻擊;通過前六階段的鋪墊，攻擊者可以獲取最高權限，訪問目標網(wǎng)絡并執(zhí)行任意攻擊，實現(xiàn)財務竊取、數(shù)據(jù)和用戶信息竊取以及進一步滲透網(wǎng)絡等目的。

通過分析惡意攻擊的策略、技術和過程，可以發(fā)現(xiàn)一些規(guī)律。其中，以竊取為目的的惡意軟件最為常見，用于 41% 的加密貨幣惡意攻擊;移動惡意軟件排名第二，占到 22%。攻擊者偏愛終端目標，通過網(wǎng)絡傳播的惡意軟件和惡意 APP 竊取加密貨幣。

??

[[233692]]

預計未來，隨著區(qū)塊鏈技術的廣泛應用和加密貨幣的繼續(xù)流行，會有越來越多的國家考慮通過立法來保護加密貨幣。不過在立法之前，加密貨幣盜竊和非法挖礦仍然會愈演愈烈。

• 普通用戶可以參考以下建議，保護自己的加密貨幣安全：
• 使用帶有檢測和防護功能的終端安全解決方案，保護終端設備安全;
• 不要安裝不可信來源的應用程序;
• 在所有用于上網(wǎng)的終端中使用廣告屏蔽設備，可以減少未經(jīng)同意就被迫挖礦的情況;
• 由于交易平臺最容易被入侵，所以要選擇可靠的交易平臺，并設置獨立密碼，避免信息泄露后導致的撞庫;
• 不要在連接公共 Wi-Fi 的時候打開加密貨幣錢包，也不要在安全性差的網(wǎng)站上進行交易;
• 企業(yè)組織應當限制訪問權限，設置審計流程;
• 使用冷錢包存儲加密貨幣并設置備份;
• 不使用來歷不明的破解、激活工具，最好支持正版