資產安全一直是數字世界中的重中之重，而賬戶被盜也一直是加密世界中老生常談。無論是個人用戶還是交易所都曾因為數字資產安全問題而煩惱。究竟發生了什么呢？以史為鑒，就讓我們來盤點一下區塊鏈歷史上曾出現的重大黑客攻擊事件。

價值溢出事件（2010年8月）

2010年8月15日，未知黑客對比特幣發動攻擊，利用大整數溢出漏洞，繞過了系統的平衡檢查，將比特幣的總量有限的設定打破，黑客憑空創造出了1844.67億個比特幣。

在這一局面中，中本聰為挽救比特幣，被迫發動了比特幣歷史上的第一次硬分叉。

Bitcoinica （2012年3月和5月）

Bitcoinica是一家老牌交易所，它曾在2012年遭遇兩次黑客攻擊。黑客利用其安全松懈的服務器，獲取了客戶數據（包括密鑰），共計盜走61000個BTC，最終導致Bitcoinica破產。

Bitfloor（2012年9月）

與Bitcoinica的被盜過程相似，黑客入侵了Bitfloor的服務器，盜走了24000個BTC。Bitfloor從此一蹶不振，并于次年4月關閉。

Poloniex（2014年3月）

2014年3月，剛成立兩個月的Poloniex交易所的服務器被入侵。一名黑客發現Poloniex的漏洞，即提現系統在同時收到多個請求的情況下允許出現負余額。提現系統注意到異常活動后，關閉了進入受影響賬戶的通道。

MtGox（2014年2月）

MtGox是當時規模最大的老牌交易所，也遭遇了最嚴重的黑客攻擊。由程序員Jed McCaleb創建。2010年7月，他讀到一篇關于比特幣的文章，于是修改了網站代碼，用于交易比特幣，并于2011年將該網站賣給了Mark Karpeles（法胖）。到了2014年，MtGox處理的比特幣交易占全球70%。

2014年2月7日，MtGox宣布暫停交易，理由是其安全軟件存在漏洞。兩周后，網站突然關閉，MtGox申請破產。此次損失共計85萬BTC，在當時價值4.7億美元。這個問題導致投資者信心受挫，比特幣直接暴跌36%。

許多人懷疑是法胖監守自盜，他于2015年因欺詐、挪用公款和操縱用戶余額等罪名被捕，但這并不能直接證明他與交易所被盜事件有關。2017年，美國當局在希臘逮捕了俄羅斯人Alexander Vinnik，他控制的錢包不僅有MtGox被盜的比特幣，還包括Bitcoinica、Bitfloor的。

Bitstamp （2015年1月）

安全事件不斷發生，交易所開始把幣存儲在兩個錢包上：冷錢包和熱錢包。冷錢包，即不聯網的服務器，又稱離線錢包。熱錢包則用來存儲足夠的錢以滿足用戶的每日交易需求。

2015年1月，Bitstamp熱錢包里的19000個比特幣被黑客通過釣魚手段竊取。幸運的是，Bitstamp 90%的幣都存儲在冷錢包里，并沒有受到影響。

The DAO （2016年6月）

基于以太坊網絡發行的加密貨幣運行方式跟比特幣不同，但同樣都是黑客攻擊的對象。以太坊區塊鏈環境有別于其他數值貨幣，可以通過智能合約進行交易的。

所謂智能合約即設置好要求，一旦滿足設定條件就會自動執行。以太坊全網有6000臺電腦，因此網絡難以被修改或被控制。以太坊架構支持去中心化自治組織DAO，把規則和決策通過代碼的形式寫進區塊鏈之中，允許智能合約在不受人為監控的條件下自動執行。

2016年4月，Genesis DAO創造了一個投資者可以給項目投票的社區，獲得20%以上支持的項目可獲得資金支持。DAO在以太坊上融到了2.5億美金。6月份，黑客發現了一個支持單一幣種多次提現的漏洞，而智能合約更新的速度比不上提現的速度。短短幾個小時內，DAO 合約里面30%的ETH都被轉移了。

盜竊事件被公開后，Genesis DAO 執行了硬分叉，創造出了一條新的區塊鏈。但是這次分叉受到了社區部分持幣者的反對，他們認為篡改時間戳就是在稀釋其他人手上以太坊的價值。之后，社區發起投票，89%的人支持硬分叉。反對者從社區分離出去，重組了原鏈，改名Ethereum Classic。

Bitfinex （2016年8月）

這是繼MtGox熱錢包被盜后發生的第二大交易所被盜事件。諷刺的是，Bitfinex進行軟件升級本是為了提高安全，卻沒想到軟件內含有漏洞。Bitfinex當初使用的是BitGo提供的多簽交易軟件。

時至今日，沒人清楚黑客是怎么避開多個簽名盜走幣的。現在最主流的解釋是Bitfinex服務器安裝了不合適的軟件。Bitfinex事件中，黑客盜走了12萬個比特幣， 當時價值7200萬美元。

隨后，為了補還客戶的損失，Bitfinex通過代幣進行股權融資，并使用營業額按月賠償客戶后逐步彌補虧空，艱難的熬了過來。

Parity（2017年7月和11月）

以太坊也受過多重簽名系統缺陷的影響。2017年7月17日，有人攻擊了多重簽名錢包服務商Parity，目標是三家最近剛完成ICO的公司。黑客一共竊取了152037個比特幣，價值3200萬美元。Parity將本次攻擊歸咎于Parity錢包版本中智能合約代碼存在漏洞，并于7月20日發布了補丁。

糟糕的是，該補丁解決了智能合約的問題，卻還存在另一個安全隱患。Parity在其智能合約代碼上新增了“kill” 功能，該功能允許用戶永久鎖定Parity錢包。Parity開發者沒有將這一代碼更新到所有的用戶錢包中，而是選擇跟一個中心化library（合約庫）進行函數調用。

11月6日，用戶名為“devops199”的編程新手意外鎖死了library，所有與library相連的錢包也被鎖死了。受影響的錢包共計587個，包含513，774個ETH，價值約1.5億美元。

這不是犯罪也不是惡意行為，卻給以太坊帶來一個大問題：是否再次進行硬分叉以恢復被鎖定的587個錢包？4月，Parity向以太坊社區發起投票，最終以55%反對票拒絕了硬分叉，丟失的幣也就永遠找不回來了！

NiceHash（2017年12月）

NiceHash是一家位于斯洛文尼亞的礦場。黑客利用釣魚成功竊取一名員工的證件，盜走4700個BTC，當時價值近8000萬美元。

Coincheck（2018年1月）

Coincheck是一家日本交易所，被盜取了5億個NEM。黑客取出NEM后迅速兌換成其他加密貨幣，以至于NEM基金會放棄了恢復工作。這次損失高達5.3億美元，超過了2014年MtGox的損失。由于Coincheck在被黑后隨即凍結提現，因此穩住了用戶，交易所最終才得以存活下來。

Coinrail和Bithumb（2018年6月）

2018年6月，韓國兩家交易所的熱錢包遭遇攻擊。其中Coinrail損失了5300個 BTC（價值接近4000萬美元），Bithumb損失了近3100萬美元。

事實上，區塊鏈應用存在一些中心化數據庫所沒有的安全問題。

區塊鏈在數據安全方面確實超過了傳統數據庫。如果區塊鏈想要實現在自己諾言——改變傳統數據的存儲和操作方式，那么它就必須去緩解和解決存在的這些安全問題！那到底有哪些安全漏洞？需要怎么去解決應對呢？

訪問區塊鏈需要公鑰和私鑰等一些密鑰。密鑰是足夠長度的加密字符串，想猜出來它，呵呵。要是沒有公鑰和私鑰的正確組合，你想訪問區塊鏈中的數據那是不實際的，這同時說明了區塊鏈技術的優勢和弱點。沒有正確的密鑰，黑客就無法訪問你的數據，這說明區塊鏈很安全。但另一方面，黑客的目的就是想拿到正確的密鑰來完成他不可告人的目的。在區塊鏈的世界中，擁有你的密鑰和擁有你的數據所有權完全是同義詞。這也就說明了區塊鏈的缺陷。確保你的密鑰安全，保證不要被黑客竊取。

黑客也知道猜密鑰沒用，所以他們花費大量的時間來竊取你的密鑰。獲得密鑰的最佳機會是攻擊整個區塊鏈系統中最脆弱的點——PC、手機等終端設備。Windows、安卓中的安全漏洞最容易成為區塊鏈黑客的目標，因為區塊鏈密鑰在任何時候都可以在這些設備上輸入、顯示和存儲。而黑客們就可以窺探并捕獲，如果我們沒有充分保護我們的設備，那你的財富就不翼而飛啦，而且老鐵你還找不回來！下面簡單幾步可以非常有效地防止黑客竊取你的區塊鏈密鑰：

給你的Windows、安卓設備裝上殺軟吧，并確保同時更新殺軟和操作系統！定期查殺惡意軟件！不要將密鑰存儲在記事本，word或其他文件中。如果確需，那就用可靠的加密軟件強加密！別以任何理由給任何人通過郵件發送密鑰。如果確需，那就用區塊鏈的電子錢包！各種密鑰分開放！

我們的信息只有通過區塊鏈輸入或者輸出，區塊鏈才會有價值。隨著分布式賬本的使用，提供第三方解決方案的市場將越來越大。可以預見，在區塊鏈平臺整合、錢包、支付、科技金融、智能合約等5個方面會有大量第三方的解決方案。兄弟，我想你也想到了，分布式賬本的強烈需求為區塊鏈的開發帶來春天！但是第三方的供應商也存在一些安全隱患，可能一些第三方自己也沒有意識到自己開發的系統的安全性有待提高，代碼可能有瑕疵，甚至在員工的層面存在漏洞，這都可能使其客戶的區塊鏈憑證和數據暴露給未經授權的人員。區塊鏈供應商中存在的安全隱患。

當第三方產品涉及到智能合約（如果對智能合約不了解或感興趣，請關注本號并查看之前的文章錯過比特幣？難道還要錯過區塊鏈的下一個應用風口——智能合約？）時，這種安全風險尤為嚴重。因為你的整個系統的所有行為或多或少的以智能合約的方式存儲在區塊鏈上，一個漏洞就可以造成災難性的后果！因此，如果你需要第三方的區塊鏈解決方案，你需要考察整個區塊鏈行業的生態系統，經驗和信譽應該作為參考的兩個關鍵的指標！

福布斯的報道是這么說的，區塊鏈中首要的安全問題就是缺乏標準和規定！其實，只要有規定或標準，區塊鏈純粹主義者就會高度警惕。好奇boy也許會問了：區塊鏈不是和治理、規定處在對立面嗎？那得看你怎么它！如果回顧咱們上面說的第二個風險，供應商風險。如果沒有標準，如果沒有規定，那上面提到的5個領域哪一個會從中獲益？顯然沒有！標準讓應用更安全。

缺乏標準協議意味著區塊鏈開發人員很難從其他人的錯誤中受益。此外，在某些情況下，可能需要整合鏈條，隨著多種技術的融合，缺乏標準化可能意味著新的安全風險。標準和規定問題比技術問題要復雜的多。和其他技術發展類似，隨著歷史進程的發展，這些問題終會得到解決，歷史也許會驚人的相似：

強制的標準和規定慢慢的便可可以說的通。（互聯網發展初期的標準和監管）在一些創新領域，大的企業聯合體內部實施自己的標準和監管。（如今大型互聯網公司在一些垂直領域的自由標準和監管）僅用于大型企業內部，進行自我管理的區塊鏈將沒有具體標準和監管。（如今大型互聯網公司會制定自己的私有協議）

雖然自比特幣出世已經有八年，但區塊鏈能否安全應用于數字貨幣還是處在實驗階段的。但是一些分布式賬本的開發者很急，想在區塊鏈上部署未曾驗證測試的代碼。一個臭名昭著的例子就是DAO攻擊。（關于DAO攻擊，希望不懂的看官自行百度，謝謝~）。DAO攻擊之后，DAO貶值了三分之一，這下可不得了，DAO攻擊一度登上區塊鏈領域文章的熱搜！要解決這種類型的安全風險至少有兩個很好的解決方案：

相互監督：在部署之前對代碼進行嚴格的同行審計。專業的人干專業的事：智能合約測試由獨立測試機構進行。

這兩個方案中的使用任何一個都會發現DAO中的缺陷，那么在未來也時同樣如此！

盡管歷史上的損失令人痛心，可喜的是針對安全問題的解決方案正在越來越完善。

正如互聯網殺毒時代至今的演變一樣，我們期待更完美的技術性能迎來區塊鏈的進一步普及引用，真正從內而外地形成一個可靠、透明、可追溯的分布式平臺，為金融交易創造安全空間、促進保障社會信任關系。