買比特幣 買比特幣
Ctrl+D 買比特幣
ads
首頁 > 波場 > Info

PAR:最活躍公鏈遭黑客盜走8.5億美元,是時候談談加密貨幣的安全策略_加密貨幣

Author:

Time:1900/1/1 0:00:00

編者按據媒體報道,北京時間10月7日,全球最活躍的公鏈之一的BNBChain被黑客攻擊,黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB,價值約5.66億美元。據區塊鏈安全公司成都鏈安初步估算,由于還有涉及其它類型的虛擬資產,此次黑客攻擊事件涉及金額在8.5億美元左右。

“加密貨幣超級安全”的公眾印象再遭重創。加密貨幣為何能夠被盜?在監管缺失的現狀下,交易平臺應負什么責任?加密貨幣的持有者應采取什么安全策略?《互聯網法律評論》特約專家黃斌律師在本文中詳解上述三個疑惑。

加密貨幣是以數字形式存在的一種貨幣,是伴隨著區塊鏈底層技術發展為適應社會生產資料變化應運而生的,是建立在區塊鏈技術上的一種具體應用。當前,全球加密貨幣種類數量已突破兩萬,我國持有加密貨幣人數也已超過2000萬。

加密貨幣的粉絲以為區塊鏈的不可篡改性可以保障加密貨幣的安全性,交易記錄的分布式記賬使加密貨幣相比普通貨幣更值得信賴,進而認為加密貨幣是超級安全的。

然而真相卻是,加密貨幣是建立在區塊鏈網絡特別是公鏈上發行的一種數字資產,目前市場上有上千種區塊鏈,實則各有各的的漏洞,區塊鏈的透明度,實則能讓其主要漏洞容易被識別和攻擊。再加上目前幾乎沒有監管的現狀,導致加密貨幣被盜情形時有發生且越來越嚴重。

PART一加密貨幣被盜的原因分析

區塊鏈是一種由上萬個節點組成的去中心化分布式數據存儲賬本,具有去中心化、共識機制、加密算法、不可篡改、可追溯性等特征。

報告:以太坊和Cardano是2022年開發者最活躍的區塊鏈:1月23日消息,根據DappRadar的報告,以太坊和Cardano在2022年繼續成為擁有最活躍開發者的區塊鏈,全年平均每天分別有223個、151個開發者。2022年以太坊的活躍開發者減少幅度最小,為9.37%。Cardano的開發者人數相比前一年增加26.47%。

Polkadot和Kusama的活躍開發者分別增加16.06%和12.80%,平均每天吸引129名活躍開發者。Cosmos平均每日活躍開發者數量達117名。

根據Token Terminal的數據,2022年活躍開發者增長最顯著的區塊鏈是Solana和Internet Computer(ICP),相比2021年分別激增1320%和1050%。Solana鏈上平均每日活躍開發者數量在過去30天內減少31.4%,但2022年平均每日活躍開發者仍然有69人。[2023/1/23 11:26:49]

區塊鏈的哈希算法和非對稱算法為元宇宙提供底層數據的不可篡改、可追溯性和保密性,共識機制讓每個節點共享一致的記賬規則保證了具有真實性和不可篡改性的唯一結果之分布式賬本,智能合約保證了在預設條件滿足時在全網所有的節點上自動觸發并生成新的交易,采用塊狀數據結構并順位性形成一套完整的賬本實現去中心化,采用代幣或通證激勵機制保證有足夠的節點參與賬本的維護。

區塊鏈又可分為公鏈、聯盟鏈和私鏈,相比而言公鏈基于全民共識機制開展工作具有公信力且是真正去中心化,私鏈是中心化的且建立在某機構或企業內部,聯盟鏈也是中心化的且建立在聯盟機構或企業內部。

報告:阿根廷自由職業者是拉美地區最活躍的以加密貨幣領取部分工資的人群之一:2月27日消息,全球招聘公司Deel的一份題為“2021年全球招聘狀況”的報告顯示,自由職業者在阿根廷正經歷著蓬勃發展,且阿根廷人是拉美地區最積極使用加密貨幣來領取部分工資的工人之一。該報告進一步指出,接受加密貨幣工資的工人更喜歡傳統的加密貨幣,如以太坊和比特幣,兩者幾乎占到加密貨幣支付的90%。(News bitcoin)[2022/2/27 10:19:07]

加密貨幣是主要建立在公鏈上發行的一種數字資產,公鏈是任何人可以讀取、發送交易并能依靠共識機制獲得有效確認的真正去中心化區塊鏈。

加密貨幣的安全威脅主要表現在:

1、控制超半數節點篡改分布式賬本。公鏈網絡是自由開放去中心化的,理論上控制超半數節點就能篡改分布式賬本;

2、智能合約不能修改。目前市場上有上千種區塊鏈各有各的的漏洞,一旦用于撮合交易等的智能合約的漏洞部署到了去中心化分布式網絡上即具有不可篡改性,而不像傳統軟件行業打個補丁修復一下即可;

3、跨鏈橋的漏洞。用于幫助實現不同區塊鏈之間的資產流動的跨鏈橋很多根本不在區塊鏈上,而是存儲在其他服務器上。另外,跨鏈橋通過協議連接兩個公鏈上的兩個智能合約來進行工作,協議有漏洞容易被攻擊,還有代碼、驗證方式和兩端智能合約的訪問權限管理等容易出現隱蔽漏洞,最后跨鏈橋多個區塊鏈上操作并擁有數億美元的托管資產增加了可能被攻擊的管道;

4、分叉帶來的漏洞。由現有加密賬本分叉而來的區塊鏈的每次分叉又給了黑客篡改數據的新機會;

動態 | Cardano、以太坊及Kusama位列2019年Github開發最活躍區塊鏈項目前三:1月21日,CryptoDiffer發布2019年 Github上每日平均開發最活躍的區塊鏈項目排行。其中,近日剛剛上線測試網的Cardano排名榜首,Cardano團隊已于12月13日發布了雪梨測試網。以太坊緊隨其后位列第二,最近以太坊團隊也正忙著推動Ethereum 2.0的更新。Github上開發活躍排名第三名的是波卡的平行測試網絡 Kusama。[2020/1/21]

5、使用者被釣魚。使用者誤入釣魚網站或被電子郵件竊取了數據,又或者下載了假的加密貨幣錢包,導致加密貨幣被盜;

6、私鑰、助記詞丟失。私鑰決定加密貨幣的真正主人,具有獨一無二的特性,保管好記錄私鑰的介質,同時離線備份自己的助記詞,不進行保存到網盤、郵箱傳輸等觸網操作;

7、熱錢包的漏洞。熱錢包是連接互聯網的加密貨幣錢包可隨時用來交易,大額的加密資產應當放在冷錢包中,熱錢包要采用多因素身份驗證提高安全系數,并防止熱錢包的安全漏洞;

8、交易平臺底層代碼的漏洞以及數據庫安全。交易平臺底層代碼的漏洞容易被利用造成網絡通信延遲,實現加密貨幣的重復消費。交易平臺技術上的錯誤配置漏洞等,容易導致用戶私鑰被黑客盜取。交易平臺數據庫容易成為攻擊的薄弱環節,交易平臺應當在申請提幣、出幣環節加強風控以確保資產的安全;

9、SIM卡交換詐騙。黑客將被攻擊目標的電話號碼轉移到了攻擊者所持有的SIM卡上,并利用重置受害者的密碼繞過雙重身份驗證和賬號恢復過程中的漏洞侵入加密貨幣賬戶;

動態 | Cardano代碼變更提交數量居首位 是最活躍的加密貨幣之一:根據CoinCodeCap數據顯示,從代碼變更的頻率來看,Cardano是迄今為止最活躍的加密貨幣之一。在過去的12個月中,Cardano已經在其代碼庫中收到了大約4.6萬項提交;Augur次之,約有2.2萬份提交,0x、Ethereum和Lisk并列第三。[2019/1/5]

10、惡意軟件綁架。惡意軟件將目標錢包地址替換為攻擊者錢包地址,在交易過程中竊取加密貨幣。

PART二加密貨幣交易平臺的安全責任

隨著區塊鏈技術的發展,加密貨幣推動了Web3.0金融生態的發展,進而在全球金融市場扮演著越來越重要的角色。

加密貨幣交易平臺是連接加密貨幣一級和二級市場的橋梁,是為個人和機構投資者提供購買和出售加密貨幣的實體平臺,使用者可以在該平臺將加密貨幣兌換法幣或其它資產。

加密貨幣交易平臺隨著比特幣、以太幣等加密貨幣的發展而誕生,在加密貨幣世界中起到至關重要的交易、流通加密貨幣的作用。

目前,世界各國正在陸續制定相應監管規則,但規則制定出發點僅僅是基于反洗錢與反恐融資風險的防御性目的,而非規范加密貨幣交易及投資者保護,更非加密貨幣行業的長期持續穩定發展;另外,對證券型代幣如臨大敵嚴格按照證券法的相關要求進行管理,而對實用代幣、支付代幣基本上是處于無監管狀態。

十個最活躍的游戲類DApps CryptoKitties列第二:據DappRadar.com顯示,上周以太坊上最活躍的十個DApps分別是:EtherCraft(7天交易36390次)、CryptoKitties(7天交易23720次)、Etheroll(7天交易12582次)、Etheremon(7天交易6013次)、Ether Dungeon(7天交易3658次)、KryptoWar(7天交易3133次)、DWorld(7天交易2040次)、CryptoCountries(7天交易1758次)、EtherBots(7天交易1388次)、Edgeless(7天交易1290次)。[2018/2/10]

2022年9月16日,美國白宮發布了《關于負責任地開發數字資產的首個綜合框架》,這份報告中體現了聯邦機構對于加密貨幣領域消費者保護、環境和國家安全等各方面的擔憂。報告要求美國證監會和商品期貨交易委員會等監管機構繼續協調努力,進一步打擊整個加密貨幣行業的盜竊和犯罪行為;要求美國財政部必須在2023年2月底前完成對去中心化金融可能涉及的非法融資行為進行風險評估,并在2023年7月前完成對非同質化數字貨幣的評估;屆時,必須明確《銀行保密法》、反告密法規等法律是否修改并是否適用于加密貨幣交易所和NFT交易平臺。

香港、新加坡只針對證券型代幣進行監管,對其他應用型代幣、支付型代幣以及交易平臺則沒有明確監管政策,但香港特區政府于2022年建議在港運營的加密貨幣交易所必須獲得香港市場監管機構的許可,并且只能向專業投資者提供服務。

加拿大CSA指引表明,交易平臺上交易的加密貨幣即使不是證券型代幣,但是交易平臺在交易后沒有向投資人立即交付加密貨幣,同樣應當按照加拿大證券法進行規制。交易平臺僅僅在其賬簿上記錄客戶對其資產的所有權不構成交付,也即:需提出提幣請求的情形不構成“立即交付”,因為用戶提出提取要求后最終能否收到加密貨幣仍需持續依賴交易平臺。加拿大加密貨幣新法案從2020年6月生效,加密貨幣交易平臺和加密貨幣支付運營商被歸類為提供金融服務的機構。新法案要求所有進行加密貨幣交易的人或實體都需要提供地址、郵箱、出生日期、公民身份、實體注冊或成立日期等大量個人信息,交易地址、來源、是否完成等加密貨幣交易信息。

日本是第一個將數字貨幣交易納入法律法規體系的國家,《支付服務法案》修正案對加密資產交易服務商提出了更多的要求,要求服務商必須將客戶的加密貨幣保存在冷錢包或者類似地方,并且與自己的資產分離;加密資產交易服務提供商必須每年由會計師事務所進行審計;加密資產交易服務提供商必須采取措施發現和暫停不當交易等。

加密貨幣的所有權與傳統資產的所有權不同,其存儲在一個去中心化的區塊鏈上與地址及私鑰相關聯,而并非由第三方中心化機構所賦予。加密貨幣交易平臺包括中心化交易平臺和去中心化交易平臺,去中心化交易平臺通常沒有中央管理機構,是由用戶自行保管加密貨幣的平臺,匿名性更高,加密貨幣通過智能合約在用戶之間轉移,通常不受證券法規制;中心化交易平臺流動性更好,每筆交易需要收取一定百分比的傭金。

目前,中心化交易平臺占加密貨幣交易總量的99%,全球前十大交易平臺都是中心化交易平臺。大多數中心化交易平臺的現有經營模式都是由中心化交易平臺控制用戶的加密貨幣,加密貨幣通常不會轉入用戶控制的冷錢包,而是托管在交易平臺控制的私鑰的賬戶內,用戶需要向交易所發出提幣請求后才能獲得相關加密貨幣。因此,控制著用戶加密貨幣而不受監管的中心化加密貨幣交易平臺是高風險且高發平臺,近年來不停地爆發加密貨幣安全事故。

加密貨幣交易平臺在缺乏監管的情形下,應當從以下14個角度做好風險防范:

1、將股東與平臺的管理層和系統開發商分開,建立明確的組織結構,實行嚴格的內部監管制度;

2、將用戶的加密貨幣與自己的加密資產相分離,并保存在冷錢包或者類似地方;

3、采用熱錢包與冷錢包分離部署,熱錢包運營冷錢包存儲;

4、大額轉賬需要核實客戶身份,以防止洗錢;

5、禁止一些匿名性高的加密貨幣,防范非法活動或洗錢;

6、確保任何加密貨幣轉移都必須使用多種身份驗證方法;

7、使用自動化安全產品,清洗智能合約中的漏洞;

8、及時跟蹤被盜的加密貨幣,標記所有收到“贓款”的地址,通知其他加密貨幣交易平臺;

9、將黑客賬戶列入黑名單,并與其他加密貨幣交易平臺共享黑名單,防止他們將非法獲得的財產兌現;

10、按時開展由獨立審計師執行的代碼審計,對平臺和跨鏈橋底層代碼進行徹底審查和分析,及時發現代碼中可能對平臺和跨鏈橋安全性能產生負面影響的漏洞或弱點;

11、施行實時分析和監控措施來防止攻擊,通過嚴格測試代碼來加快漏洞識別,制定和實施完善的事件響應計劃并響應可疑活動,包括向用戶發出警報;

12、建立黑名單預警機制,對于已經公開的被盜地址、詐騙地址會有預警并直接凍結;

13、要牢牢把控加密貨幣存儲和私鑰的管理、充值、提幣環節做到,發現風險要第一時間關閉充、提幣通道等;

14、拿出部分比例的交易手續費作為投資者保護基金,并存放在獨立地址專款專用。

PART三加密貨幣持有者的安全策略

在我國,已經擁有2000萬用戶持有加密貨幣。

作為加密貨幣的持有者,應當盡到相應的謹慎義務保護自己的加密貨幣:

1、應當注意防止誤入釣魚網站,應當在錢包官網選擇下載具有多重簽名的錢包,可以將一部分加密貨幣放在多因素身份驗證的熱錢包中,大額的加密貨幣放在冷錢包中;

2、應當離線備份自己的私鑰和助記詞,助記詞一定得抄錄正確,私鑰和助記詞不要截圖,盡量不要觸網;

3、謹慎授權平臺訪問加密錢包并賦予一定權限,防止錢包中的加密貨幣被盜;

4、不要在郵件中隨意點擊陌生的附件,防止被釣魚;

5、在輸入加密貨幣錢包地址時,仔細檢查原始地址與粘貼地址是否一致;

6、在大額交易前,可以先發送一筆小金額的交易進行測試;

7、沒有交易所是絕對安全的,建議使用多個交易平臺進行交易以分散風險;

8、不要在公共電腦或者是公共WIFI去登陸自己的賬戶。

一旦發生加密貨幣被盜事件,加密貨幣持有者的處置策略是:

首先應當及時報案并提供有價值的線索;其次,及時通知加密貨幣交易平臺標記所有收到“贓款”的地址,并獲得相應賠償;再次,通過Blockcypher等區塊鏈瀏覽器追蹤鎖定你的加密貨幣,防止被洗錢;最后,依據與加密貨幣交易平臺之間的協議來確定糾紛解決的途徑、仲裁地點、準據法律等。

中國用戶應該了解的是,由于目前加密貨幣交易平臺均設立在境外,境內法院可能并沒有管轄權。

作者:黃斌

《互聯網法律評論》特約專家

北京德和衡律所數字經濟與人工智能業務中心副總監

此文僅代表作者個人觀點,與本平臺無關。本平臺對文中陳述、觀點判斷保持中立,不對所包含內容的準確性、完整性或可靠性提供任何明示或暗示的保證。

Tags:加密貨幣區塊鏈PAR加密貨幣是什么意思啊加密貨幣市場還有未來嗎知乎全球十大加密貨幣區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢PAR幣PAR價格

波場
:注冊會計師,如何識別認定層次重大錯報風險?原來是靠這幾點_

貨幣資金的流動性強且數額龐大,直接影響上市公司短期償債能力和資金活力,是投資者和債權人重點關注的指標,也是財務造假的重要領域,在上市公司審計工作中占據重要部分.

1900/1/1 0:00:00
馬斯克:SpaceX致信五角大樓,要求軍方承擔烏克蘭“星鏈”費用_馬斯克資產多少億美元

美國有線電視新聞網13日獨家報道,雖然“星鏈”衛星終端在烏克蘭與俄羅斯的沖突中發揮重要作用,但這一“慈善項目”可能即將結束,因為提供該服務的美國太空探索技術公司上月警告五角大樓.

1900/1/1 0:00:00
奧斯卡:影視專業去哪個國家留學比較好?_奧斯卡

2020年初,突如其來的全球疫情給國內的影視行業蒙上了一層陰影,但是隨著疫情的控制,近兩年中國影視行業發展勢頭迅猛.

1900/1/1 0:00:00
ETH:8.25今日以太坊價格走勢分析 行情休整等待主流幣種方向選擇_Etherael指什么寓意

日線級別,以太坊在上個交易日同步回調收取一根陰十字星,盤中最高點1693,最低點1605,收盤價1655,十字星形態暗示目前市場多空分歧較大.

1900/1/1 0:00:00
以太坊:什么是去中心化金融(DeFi)?_比特幣

DeFi是“去中心化金融”的縮寫,是加密貨幣或區塊鏈中的各種金融應用的總稱,旨在破壞金融中介機構.

1900/1/1 0:00:00
數字資產:納斯達克進軍加密貨幣業務,重點關注安全問題_數字資產是未來最大的資產

文/EmilyMason納斯達克推出了一款針對機構投資者的比特幣和以太幣托管產品,并重點關注安全問題,這意味著它邁出了進軍加密貨幣業務的第一步.

1900/1/1 0:00:00
ads