亿级盗币大案频发，4个月损失19亿美元！区块链真的安全吗？

日前，白帽汇安全研究院发布的《区块链产业安全分析报告》显示，2011年到2018年4月份，全球范围内因区块链安全事件造成的损失多达28.64亿美元。更值得关注的是，损失额度从2017年开始呈现出指数上升的趋势，仅2018年前四个月，损失金额就高达19亿美元。

业内人士表示，区块链的出现是人类历史上第一次使得资产离所有人如此之近，对于潜伏在地下的黑客来说，自然不会放过这个机会。究竟如何保护区块链安全将是未来研究的关键课题之一。此外，业内人士指出，炒币的泡沫将会在未来两年内破灭，区块链的价值将会回归技术本身。

自从2009年中本聪将比特币引入大众的视线起，区块链就一直仿佛神话般的存在。国家信息技术安全研究中心主任俞克群曾公开对外表示，区块链技术作为一种分布式数据存储、点对点传输、共识机制、加密算法等技术的集成创新技术，被认为是新一轮技术创新和产业变革。可以说，区块链技术发展可能会成为我国掌握全球科技竞争先机的重要一步。

其中，区块链的去中心化、自治性、不可篡改等特点，让很多人相信，它可以在不可信的网络中解决信任问题。

然而，事情却并没完全像人们所预料的一样发展。

“游戏才刚刚开始”，慢雾科技披露“以太坊生态缺陷导致的亿级代币盗窃大案”之后，慢雾科技联合创始人余弦在朋友圈写下了这段话。今年3月20日，慢雾科技披露以太坊黑色情人节盗币事件，曝光长达两年之久的自动化盗币行为，其造成的损失达4.6万多枚以太币及数量巨大的各类ERC20 Token。

4月22日，美链所发Token BEC美蜜合约出现重大漏洞，黑客通过合约的批量转账漏洞无限生成代币，大量BEC从两个地址转出，引发抛售潮。当日，BEC的价值几乎归零。一场区块链狂欢，从盛极一时到几乎归零仅用了不到60天。而紧接着4月25日，SmartMesh也出现类似BEC的重大安全漏洞，导致损失约1.4亿美元。

数据显示，仅2018年前4个月，区块链安全事故造成损失金额就达19亿美元。

一系列的区块链安全事件过后，将人们从对区块链的狂热中拉回现实，不少人开始质疑，区块链真的安全吗？

对此，余弦指出，任何一个新生的事物都有利有弊，一项新技术在诞生的初期难免会出现纰漏。区块链目前仍处于一个比较初级的阶段，还需要时间去慢慢完善，但这并不代表区块链本身是存在问题的，“大家可以有足够的信心去相信区块链技术在遭遇各种漏洞打击后能越来越健壮。”

 “绝对安全肯定不存在。我们应该把区块链安全问题，当作是一场真正的网络战争，你得有真枪实弹。”谈到如何应对区块链安全问题，余弦这样回答道。

具体而言，余弦认为，做好区块链安全首先要关注智能合约问题。“做好智能合约需参考及复用优秀框架、开源模块的写法，不必重复造轮子；发布到主网前进行严谨测试；请第三方职业安全团队进行安全审计。”

在BEPAL创始人胡园泉看来，目前区块链安全问题主要包含密码算法安全性、协议安全性、使用安全性、系统安全性四个方面。其中，系统安全性是目前区块链系统遭受攻击的“重灾区”。“不管是热钱包客户端缺陷造成的‘以太坊黑色情人节盗币事件’，还是智能合约漏洞造成的BEC的价值一夜归零以及SmartMesh的重大安全漏洞都属于区块链系统安全性范畴。”

而关系到使用安全性的数字资产钱包是区块链安全问题的另一要素。作为区块链世界的入口，数字资产钱包的安全保护层级，关系到用户的私钥安全存储的可靠程度。胡园泉告诉记者，私钥在生成、存储、使用这三个环节都有可能发生风险。生成环节常见的风险是用户使用不安全的环境生成私钥，或者私钥生成的随机数特征不符合安全要求，导致私钥一开始就处于风险中。存储环节常见的风险是用户将私钥存储在不安全、不稳定的介质上，致使私钥丢失或者被攻击者窃取。使用环节常见的风险是用户在不安全的环境中，使用私钥进行签名交易等操作，这种情况下容易受到交易数据篡改、私钥窃取等攻击。

“为什么一直要强调用户安全意识的培养？”胡园泉说，因为很多时候涉及到虚拟货币被盗的安全事件，责任并不在平台方出了技术纰漏，而在于用户本身中了犯罪分子的圈套，通过一系列错误的操作，将个人账户私钥拱手相送。不是敌人太狡猾，而是自己的安全意识水平太淡薄。“如今现实生活中如果接到电话需要提供银行卡密码给对方，大家都知道是诈骗，在虚拟货币交易世界里，私钥就等同于银行卡密码，一旦透漏给别人就可能造成资产丢失。”

相比区块链从业人员的温和态度，金融机构和学术机构对虚拟货币的态度更为谨慎乃至完全否定。早在2013年，南开大学虚拟经济研究所教授贺京在接受采访时就表示，“比特币的程序确实精妙，但我们做技术的都知道，再完美的程序都能够被破解，只是时间问题。一旦被破解，整个系统必然崩溃。”

事实证明，贺京所言非虚。

然而，一夜暴富的神话还是吸引了大量投资者涌入虚拟货币市场，有些人甚至都搞不清楚自己购买的产品是什么就匆匆入市，这也给了投机者钻空子的机会，一时之间市场上的各类“虚拟货币”难辨真伪。直至2017年9月4日，中国央行叫停各类代币发行融资活动，并且关闭了国内虚拟货币的人民币交易平台。

尽管如此，海外市场的热度仍在持续攀升，虚拟货币的交易始终活跃。对此，不少区块链从业人员建议投资者谨慎入市，“从目前的情况来看，普通投资者没有辨别‘虚拟货币’真伪的渠道，那么让专业机构先行试水是比较明智的选择。”

针对此类问题，金融机构的态度则显得尤为强硬。“虚拟货币本身就是一个骗局，它与几年前的打着全球最大稀有金属交易所旗号的‘泛亚’本质是一样的。”北京市互联网金融行业协会秘书长郭大刚表示，“只是虚拟货币包裹着区块链这一新技术的外衣则显得更具迷惑性。”

厦门银行独立董事许泽玮也认为，打着区块链旗号的虚拟货币是应被严厉禁止的，“这就如同某人自行印了货币让大家拿钱去买是一个道理，没有经过监管机构同意而自行发币就是违法行为。”

同时，许泽玮还表示，区块链这项技术本身是好的，希望企业将目光聚集于发展区块链技术本身，为区块链技术的发展和应用落地提供保障。事实上，腾讯总裁马化腾在两会期间就对外表示，腾讯专注探索落地场景应用，坚决不发币。蚂蚁金服也表示，今年将把发展区块链技术作为重要方向之一，在其自身业务领域主要以溯源作为落地方向。

业内人士分析，真正关注区块链技术的人不屑于炒币。他们的研究方向是如何将区块链技术应用到实际的生产生活中。所以，炒币的泡沫未来两年就会逐渐破灭，真正的价值还是在于场景落地。