区块链安全保卫战打响！ 如何保护您的硬币？

文|靠谱的阿星

360上市后似乎一直保持低调，直到5月29日凌晨才向EOS官方提供了安全漏洞。 去年5月，WannaCry勒索病毒肆虐全球。 安全产品负责人孙小军在媒体沟通会上表示，“这次黑客有点‘人性化’，他们会教你如何用比特币支付赎金。”

您不遵循这本书并非巧合。 比特币自去年 5 月以来一直在飙升。 5月30日，EOS对比特币价格走势小幅下跌0.37%（更多人认为安全漏洞的发现等同于提前“挖矿”）。 虽然周鸿祎公开表示自己不懂区块链，但懂不懂无所谓，只要手下的人懂就行。 他坚信“代码是人写的，肯定有漏洞”。 在区块链的数字世界中，漏洞也无处不在。

区块链趋势的重要因素在于，区块链在概念和结构上确实比一般互联网更注重“安全”，“分布式机制”保证了数据流的完整性和一致性以及它所具有的特性。不能被篡改。 举个例子更容易理解。 阿星近日获悉比特币怎么保存安全，国内一位智能锁的主人开始研发“区块链锁”，现有的移动互联网提供了“中心化”的云服务器，可同时被黑客开启。 家门口，在“去中心化”的网络中，安全系数无疑要高很多。

1. 为什么比特币“交易所”是黑客的头号目标？

作案者的目的很简单，就是盗钱，技术手段极其精良。 比特币和区块链的安全问题显然比传统的网络安全要复杂。

2017年12月，破获全国首起比特币盗窃案。 在破解正版钱包软件后，戴某植入爬虫文件获取用户账号和密码，并丢给聊天群中的吴某下载安装。 随后吴某邮箱的181个比特币被钱包软件清空。 戴先生让多人下载他的钱包软件的说辞极其简单：“比特币存放在交易所不安全”，这是前车之鉴。

交易所目前是所有数字加密币的存储中心和流通中心，自然是黑客的头号目标。 2014 年，当时全球最大的比特币交易所 Mt.Gox 宣布遭到黑客攻击。 其首席执行官马克·卡尔普表示，“由于公司的系统漏洞，该平台上的 85 万比特币被盗。” 已经申请破产保护，Mt.Gox是否已经成为悬而未决的公案。 三年后，“黑客”再次成为靠山。 2017年12月19日，韩国比特币交易所Youbit也因黑客攻击损失了4000个比特币后破产。 这个故事惊人地相似。

传统的网络攻击往往与木马病毒挂钩，或者伪正常访问的DDos攻击导致网站瘫痪； 现在的网络攻击都是在“挖矿”的时候挂恶意脚本，黑客攻击的目标确实是交易。 存储的加密货币，如果此时交易所缺乏职业道德，情况会很糟糕。 据资深币圈玩家小K向阿星爆料：“不怕交易所跑路，就怕交易所套路。定点平仓、回滚、拔网线、机器人交易，冻结账户会造成损失，维权难度太大，现在交易所服务器都在海外。”

赵长鹏从OKCoin跳槽到创立“币安”。 这个名字有很深的含义。 由于比特币交易还处于消息容易影响行情的阶段，黑客不仅可以直接盗币，还可以通过“做空”平次来获取暴利，成为极其隐秘的“庄家”。 今年 3 月，币安遭到黑客攻击。 币安及时暂停用户加密币的提币，没有出现被盗币的情况，但比特币却因此下跌了10%； ，购买大量VIA（Vircoin），从而将后者的价格提高了110倍......

2、智能合约和数字钱包是区块链安全事件频发的“重灾区”

目前，有数百个区块链交易所。 谁对黑客的防御指数高，抗风险能力强，运营规模和时间越长比特币怎么保存安全，谁收集的用户币就越多，相应的补偿能力也就越有保障。 ，所以交易所很容易“出头”，成为现阶段行业中心的原因。 除了交易所攻击，智能合约和数字钱包中出现黑客和一般小偷，也具有深远的影响。

1. 智能合约可能被黑客利用

2016 年 6 月 17 日，众筹超过 1.5 亿美元的 TheDAO 因安全漏洞遭到黑客攻击，导致价值超过 6000 万美元的 300 万个以太币被盗。 经过大量的讨论、投票、战斗、尝试和失败、再尝试，在以太坊区块链的官方提议下，以太坊进行了“硬分叉”，将数据回滚到全网受影响的部分由于安全攻击。 以太坊，最后 TheDAO 黯然退市。 由于以太坊网络中的所有矿工并未达成完全一致的回滚共识，以太坊网络最终分裂为目前的“以太坊”（ETH）和“以太坊经典”（ETC）格局。

区块链的技术特性决定了智能合约具有病毒传播的特性。 一旦出现漏洞被黑客利用，其影响将是传统网站的数百倍，而且短时间内难以修复。 某种程度上，去年的WannaCry勒索病毒就是典型的区块链“智能合约”应用场景之一。 黑客将勒索软件的智能合约发送至互联网，黑客无需任何其他操作，比特币自动转入账户。 解锁计算机自动化。

（WannaCry是一个典型的区块链智能合约应用，黑客很滑）

幸运的是，合约发布者已经意识到问题的严重性，并开始实施严格的智能合约审核。 为智能合约构建区块链“马其顿防线”已经成为趋势。

2. 数字钱包中的资产因各种原因消失

“数字钱包”是用于存储数字货币的软件载体。 其中，“冷钱包”存储的是不联网的私钥。 目前市面上的硬件钱包都是冷钱包； 而私钥托管在互联网上。 》，如电脑客户端钱包、手机APP钱包、网页钱包等。

数字钱包就像区块链世界里的“余额宝”，现在一些实体店已经开始支持比特币支付。 但有了余额宝和银联卡，钱是存在银行的，即使被盗、被骗也能查到。 毕竟银行账户是实名认证的，数字货币往往比较难追溯。 一旦被骗，就很难找回。 目前，比特币和代币的监管难度相对较大； 而不可篡改意味着一旦钱被骗走，交易就无法逆转。 基于这两点，数字钱包成为了黑客眼中的“肥肉”。

从数字钱包的设计、发布、下载、安装、运行，如果出现问题，都有可能中招。 比如你是通过官方渠道下载钱包吗？ 如果从第三方软件平台下载，会不会下载恶意插件？ 即使通过官方渠道，是否处于安全的wifi环境中？ 即使网络环境没问题，官方频道的下载地址会不会被攻击？ 就算这些雷一一避开，数字钱包本身靠谱吗？ 厂商是否为了使用方便而忽略了安全运维？ 供应商是否有能力安全地存储用户的私钥？

3. 如何保护你的数字货币？有哪些实用干货

安全是区块链的“根基”，但在区块链的江湖上，有最好的创业精英，也有最好的骗子。 地基确实没有白人想象的那么牢固。 提出有针对性的安全隐患解决方案，才算是令人满意。 在采访了多位老韭菜和老师后，阿星得到了很多箱底的干货建议，经过授权后发表。 值得普通投资者入手的小本本。 向下：

(1) 市面上的数字货币钱包大多是中心化钱包。 一旦发生意外，用户资产损失后难以追回； 对于投资者来说，如果持有大量数字资产，更适合选择“去中心化钱包”。 毕竟，拥有大量资产在自己手中，才是最让人安心的。 对于短线的中小投资者来说，中心化钱包的好处是使用体验更方便，但是分批存放在不同的钱包中更稳定。

（2）普通比特币持有账户可以使用“币托”服务实现权益转移。 当交易所遇到不可抗力，用户失去对账户的控制能力时，可以通过“币托”实现与利益相关者（家人、朋友等）的权益转移，共同管理账户，实现账户权利的继承。

(3) 不得泄露个人数字钱包的“私钥”。 “公钥”就是接收地址，就像你自己的门牌号，私钥/助记词/keystore就相当于你自己的“钥匙”。 不要随便向他人透露这三类中的任何一类。 最好离线保存或保存在加密的本地存储硬盘或U盘中。

(4) 数字货币投资者在转账时一定要反复确认转账对象和地址，因为钱包地址通常是一长串字符，最好直接复制并再次核对； 因此，交易是不可逆的，一旦发出，就是别人了。 注意不要因为一些“更低手续费”、“更多额度”等承诺而绕过平台担保，进行私密的点对点交易。 一旦发生，很难恢复。

（5）平时用户养成良好的使用习惯，多加注意，如选择主流交易平台，从官方渠道下载钱包客户端； 备份他们的钱包文件； 设置复杂的密码； 在不同平台使用不同的登录密码； 谨慎下载论坛和社区文件，不要点击不明链接，防止钓鱼软件； 钱包地址，尤其是私钥，绝对保密。 私人局域网和个人电脑或移动设备上网操作需要定期清理和更新杀毒软件。

阿星是怎么想的：

移动支付的火爆，是因为阿里和腾讯在安全方面投入了大量无形的技术支持，而区块链安全面临的挑战更大，情况更复杂。 目前，数字货币和代币是区块链最重要的应用场景之一，利益激励使得当前区块链成为新兴的利益分配领域。 如果没有“区块链安全”来维护交易所、智能合约、数字钱包，区块链美好的数字世界生态图景都将成为空中楼阁，区块链安全也是一项无法终止的工作。 这将是未来一场全新的“道魔较量”！