过去十年，区块链获得了更多的关注。与此同时，随着加密货币的价值增长，不法分子也盯上了这一行业。黑客事件层出不穷，保障用户的资产安全成为一个行业痛点。

当然，这些黑客事件并不是针对区块链技术本身的，而是利用加密货币服务商，如钱包、交易所的安全漏洞来窃取资金。下面让我们来总结下区块链历史上交易所和钱包的被盗事件吧！

区块链历史上的被盗事件

AllinVain盗窃事件 (2011年6月)

2011年6月，一个化名叫AllinVain的黑客获取了一家矿场的硬盘，转走了25000个比特币到外部钱包。这笔钱至今下落不明。这种操作手法就好比黑客从电脑里把银行账户里的资金全部转走。这是第一次有媒体报道加密货币被盗事件，在当时引起了重大反响。

Bitcoinica (2012年3月) 

作为一家老牌交易所，Bitcoinica在2012年被攻击了两次，分别是在3月份和5月份。由于交易所网络服务器安全措施不到位，黑客获取了用户数据和密钥，盗窃走了61000个比特币，最终导致Bitcoinica破产。

Bitfloor (2012年9月)

跟Bitoinica的被盗过程相似, 黑客攻击了Bitfloor交易所的服务器，窃取了24000个比特币。Bitfloor一直没能恢复这笔损失，并在2013年4月份关闭了交易所。

Poloniex (2014年3月)

2014年3月份，黑客攻破了Poloniex的服务器。那时，这家交易所才营业2个月。Poloniex的创始人Tristan D’Agosta解释道黑客发现他们的提现系统在遇到多个同步请求后，就可以允许“透支”行为。交易所在发现了这一异常操作后，关闭了进入受影响账户的通道。但是 12.3%的总资产已经被盗了。Poloniex的处理方式是：暂时把每个用户余额里的资产都扣除12.3%，后续再恢复他们的账户余额。Poloniex最终活了下来，并在2018年被收购。

MtGox (2014年2月)

MtGOX是加密货币史上，最早、且是当时最大的交易所。2014年2月，这家交易所遭受了最严重的黑客攻击。MtGOX最初是万智牌玩家（Magic: The Gathering Online）用来交换卡牌的网站，于2010年转型为交易所。2010年7月份该网站的开发者在Slashdot上看到加密货币的介绍后，重写了网站代码，并把该网站卖给了居住在日本的开发者Mark Karpeles。 到了2014年，一家独大的MtGox占据了全球70%的比特币交易量。

2014年2月7日，MtGox声称其安全软件中存在漏洞，紧急暂停了所有交易。两周后，交易所申请破产，网站突然消失。用户共损失了85万比特币，当时价值高达4.7亿美金。这一事件导致投资者信心受挫，比特币价格暴跌36%。

很多人都质疑Mark Karpeles监守自盗。2015年，Mark在日本因诈骗，挪用公款和操纵用户余额等罪名被捕。但是这并不能证明他跟交易所被盗有直接联系。2017年希腊一家交易所的经营人因洗钱罪被捕，其涉及资产竟包括在MtGox事件中丢失的币。

有分析师曾表示，MtGox交易所是比特币世界的一颗定时炸弹，用户在其平台上交易无益于自杀式行为。

Bitstamp (2015年1月)

安全事件不断发生，交易所开始把币存储在两个钱包上：冷钱包和热钱包。冷钱包，即不联网的服务器，又称离线钱包。热钱包则用来存储足够的钱以满足用户的每日交易需求。2015年1月，Bitstamp热钱包里的19000个比特币被黑客通过钓鱼手段窃取。幸运的是，Bitstamp 90%的币都存储在冷钱包里，并没有受到影响。

DAO (2016年6月)

基于以太坊网络发行的加密货币运行方式跟比特币不同，但同样都是黑客攻击的对象。以太坊区块链环境有别于其他数值货币。ETH是通过电脑代码，即智能合约交易的。所谓智能合约即设置好要求，一旦满足设定条件就会自动执行。以太坊全网有6000台电脑，因此网络难以被修改或被控制。以太坊架构支持去中心化自治组织DAO，把规则和决策通过代码的形式写进区块链之中，允许智能合约在不受人为监控的条件下自动执行。

2016年4月, Genesis DAO创造了一个投资者可以给项目投票的社区，获得20%以上支持的项目可获得资金支持。DAO在以太坊上融到了2.5亿美金。6月份，黑客发现了一个支持单一币种多次提现的漏洞，而智能合约更新的速度比不上提现的速度。短短几个小时内，DAO 里面30%的ETH都被转移了。盗窃事件被公开后，Genesis DAO 执行了硬分叉，创造出了一条新的区块链。但是这次分叉受到了社区部分持币者的反对，他们认为篡改时间戳就是在稀释其他人手上以太坊的价值。之后，社区发起投票，89%的人支持硬分叉。反对者从社区分离出去，重组了原链，改名Ethereum Classic。

Bitfinex (2016年8月)

这是继MtGox热钱包被盗后发生的第二大交易所被盗事件。讽刺的是，Bitfinex进行软件升级本是为了提高安全，却没想到软件内含有漏洞。Bitfinex当初使用的是BitGo提供的多签交易软件。时至今日，没人清楚黑客是怎么避开多个签名盗走币的。现在最主流的解释是Bitfinex服务器安装了不合适的软件。Bitfinex事件中，黑客盗走了12万个比特币, 当时价值7200万美元。

Parity (2017年7月和11月)

Ethereum也曾因多签系统存在问题而被攻击。2017年7月17日，有黑客攻击了Parity多签钱包。这次攻击是针对三家刚刚完成ICO的区块链公司。黑客共窃取了153037个比特币, 当时价值3200万美金。随后，白帽子黑客将其他ICO项目中的资金转移到了安全地址，才得以止损。Parity解释称这次被盗是因为Parity钱包版本的智能合约代码存在漏洞，并于7月20日发布了补丁。

糟糕的是，这个补丁解决了智能合约的问题，但也存在其他缺陷。Parity在其智能合约代码里新增了一个“kill”功能。该功能允许用户永久锁定Parity钱包。Parity开发者没有将这一代码更新到所有的用户钱包中，而是选择跟一个中心化library（合约库）进行函数调用。11月6号，一位名叫 “devops199” 的用户意外锁死了library，并永久锁死了所有跟library相连的钱包。当时受影响的587个钱包里共包含513774个以太坊（1.5亿美元）。

以太坊社区再次面临抉择。这次又要通过硬分叉的方式来恢复被锁定的587个钱包吗？4月份，Parity发起投票，55%的人反对硬分叉。丢失的币也就丢失了。

NiceHash (2017年12月)

NiceHash是一家位于斯洛文尼亚（Slovenian）的矿场。黑客通过钓鱼成功窃取了矿场员工的身份，盗走了4700个比特币（8000万美金）。

Coincheck (2018年1月)

Coincheck是一家日本交易所。2018年1月份，这家交易所被盗了5亿个NEM币。黑客把币从钱包转移出来后立即把NEM换成了其他币。这次损失高达5.3亿美金，超过MtGox在2014年的损失。

（通证丢失后对公众道歉的Coinoincheck原CEO）

Coinrail和Bithumb (2018年6月)

2018年6月，韩国的两家交易所被攻击。Coinrail热钱包被盗5300个比特币（4千万美金）。几周后，Bithumb热钱包丢失了价值3100万美金的加密货币。

区块链的安全现状

被盗事件此起彼伏，仅2018年上半年就丢失了价值11亿美金的加密货币。尽管区块链不容易受到攻击，但其实智能合约，钱包和人为失误都有可能成为被盗的导火线。

还有一种被称之为“51%攻击”的破坏行为，即一个人掌握了51%以上的全网算力，创造区块的速度远远高于其他节点，最终控制整个网络。

专家指出SHA256加密算法复杂，但也并不是无法攻破。或许最致命的攻击尚未被我们发现。McAfee集团的管理人员曾经说过：

“这个行业太新了，我们现在都没有一个专门发现并报道技术缺陷的平台”。

或许目前的权宜之计是只参与人数众多，透明度高的区块链项目，使用二次验证和硬钱包来保障资产安全。记住，资产安全无小事！

本文作者：Sirius Network

编译：行走的翻译C

Medium：@siriusnetwork