区块链：黑客已经盯上你的数字货币了！

区块链：黑客已经盯上你的数字货币了！

比如：黑客花无涯我是如何因为安全研究而最终关注到 EOS 的...

2014年，当时全球最大的比特币交易所Mt.Gox宣布因遭受黑客攻击，其CEO马克·卡尔普称“平台上85万个比特币因公司系统漏洞被盗一空”而MT.Gox在日本旋即申请破产保护，而Mt.Gox是否监守自盗成为一桩未了公案。

三年后，“黑客”再次成为背锅侠，2017年12月19日韩国比特币交易所Youbit同样因黑客攻击丢失4000个比特币后破产，故事惊人的相似。

除了交易所攻击之外，黑客以及一般蟊贼在智能合约和数字钱包领域神出鬼没，同样影响深远。

EOS，号称是最强大的去中心化应用（DApp）基础架构。可以简单理解为：可以高效运行 DApp 的 OS:)

对的，是一种区块链形态。

Vulcan（伏尔甘）团队发现了区块链平台EOS的一系列高危安全漏洞。经验证，其中部分漏洞可以在EOS节点上远程执行任意代码，即可以通过远程攻击，直接控制和接管EOS上运行的所有节点。

在此次攻击中，攻击者会构造并发布包含恶意代码的智能合约，EOS超级节点将会执行这个恶意合约，并触发其中的安全漏洞。攻击者再利用超级节点将恶意合约打包进新的区块，进而导致网络中所有全节点（备选超级节点、交易所充值提现节点、数字货币钱包服务器节点等）被远程控制。

当年（其实就是去年4月份时），我在跟踪研究一起世界顶级黑客窃取事件：影子经纪人（Shadow Brokers）从美国 NSA 方程式组织那窃取了大量网络军火，当时我还写了两篇文章及几条预警消息，如：

方程式 eqgrp-auction-file.tar.xz.gpg 文件已解

勒索病毒当道的时代

WannaCry就是典型的区块链智能合约应用，黑客玩的很溜了

庆幸的是，合约发布方们已经意识问题严重性，开始执行严格的智能合约审计，为智能合约筑起区块链“马其顿防线”成为趋势。

数字货币往往相对更难追溯，一旦被骗就很难找回，目前比特币及代币的监管难度比较高；而不可篡改则意味着钱一旦被骗走，交易就不可能回退，基于这两点，数字钱包成为黑客眼中的“肥肉”。

从数字钱包从设计、发布、下载、安装、运行的途中但凡出现问题，均有可能中招。

比如，是否通过官方渠道下载钱包，如果从第三方软件平台下载，会不会下载到有恶意插件的？即便通过官方渠道，是否处于安全的wifi环境？即便网络环境没问题，官方渠道的下载地址会不会遭到攻击？就算这些雷一一避开，数字钱包本身是否可靠？厂商有没有为了使用便捷而忽略安全运维？厂商是否具备安全存储用户私钥的能力？作者：花无涯

中国黑客协会非常重视人才的吸收的培养，有兴趣、热爱、执着童鞋们欢迎你们的加入，别让自己荒废着，新手永远是多数,我们将致力于新手启蒙和进阶教育,引导其树立正确观念，为社会贡献出一份力，网络世界不安定因素过多

【黑客利刃砍出的ETH和ETC】

The DAO作为世界上最大的众筹项目，一度被寄予了厚望，所谓“成也萧何，败也萧何”，智能合约一度被捧上了天，但在这次The DAO事件当中，其递归调用（recursive calling）的漏洞却成为了黑客入侵的大门。此后出现“黑客”现身谈攻击合法性的戏幕，更是让人大跌眼镜，这第一次引出了智能合约代码监管的问题。

2016年6月17日发生了在区块链历史上留下沉重一笔的攻击事件。由于其编写的智能合约存在着重大缺陷,区块链业界最大的众筹项目TheDAO(被攻击前 拥有1亿美元左右资产)遭到攻击,导致300多万以太币资产被分离出TheDAO 资产池TheDAO编写的智能合约中有一个splitDAO函数,攻击者通过此函数中的漏 洞重复利用自己的DAO资产来不断从TheDAO项目的资产池中分离DAO资产给自己。

攻击者组合了2个漏洞攻击，攻击者利用的第一个漏洞是递归调用splitDAO函数，也就是说splitDAO函数被第一次合法调用后会非法的再次调用自己,然后不断重复这 个自己非法调用自己的过程。这样的递归调用可以使得攻击者的DAO资产在被清零之 前,数十次的从TheDAO的资产池里重复分离出来理应被清零的攻击者的DAO资产。 攻击者利用的第二个漏洞是DAO资产分离后避免从heDAO资产池中销毁。正常情况 下,攻击者的DAO资产被分离后,TheDAO资产池会销毁这部分DAO资产。但是攻击 者在递归调用结束前把自己的DAO资产转移到了其他账户,这样就可以避免这部分 DAO资产被销毁。在利用第一个漏洞进行攻击完后把安全转移走的DAO资产再转回原 账户。这样攻击者做到了只用2个同样的账户和同样DAO资产进行了200多次攻击。