腾讯安全上半年区块链安全报告:因安全问题损失超27亿美元
8月2日,腾讯安全联合知道创宇发布《2018上半年区块链安全报告》(以下简称《报告》),结合知道创宇、腾讯安全联合实验室、腾讯电脑管家、腾讯云等提供的海量大数据,深度揭秘区块链安全三大根源性问题,并针对如何防御区块链安全风险,共建网络安全新生态提供了新思路。
区块链安全三大根源问题: 安全机制、生态安全、使用者安全
《报告》指出,2018上半年各种关于区块链的行业资讯、投融资创业、技术和应用探索等集中爆发,成为创业与资本共同追逐的风口。然而伴随着区块链技术的不断发展,区块链领域本身的安全问题逐渐凸显,与区块链相关的社会化安全问题日益突出。
腾讯安全技术专家认为,目前区块链加密数字货币引发的安全问题主要源于三个方面:其一,区块链自身机制问题。以以太坊为代表的区块链智能合约设计存在的漏洞问题,带来的经济损失极为严重。2016年6月,以太坊最大众筹项目The DAO被攻击,黑客获得超过350万个以太币,最终导致以太坊分叉为ETH和ETC。同时,真实的区块链网络是自由开放的,理论上是无法阻止拥有足够多计算机资源的节点做任何操作,若黑客控制节点中绝大多数计算机资源,就能重改共有账本,最终实现51%“双花攻击”。
其二,区块链生态安全问题。区块链生态中包括PoW机制下的矿场和矿池、PoS机制下的权益节点、加密数字货币交易所、软硬钱包、数据跟踪浏览器、dApp应用,以及面向未来dApp应用的区块链网关系统等。其中,围绕交易所发生的安全事件最为显著,交易所被盗远超其他事件类型、交易所被钓鱼、内鬼盗窃、钱包失窃、各种信息数据泄露和篡改、交易所账号失窃等问题,同样值得关注。《报告》显示,现阶段涉及区块链生态的安全问题,不论从发生数量、损失金额还是攻击类型上在全部的安全事件中均占比最高也最为突出,是近期区块链加密数字货币安全防范的重点。
其三,使用者安全问题。对于普通用户而言,要理解或完全掌握数字虚拟币钱包这些交易工具使用,具有较高的门槛,要求使用者对计算机、对加密原理、对网络安全均有较高的认知。然而,许多数字虚拟币交易参与者并不具有这些能力,极易出现安全问题。东莞曾有一名叫imToken的用户发现自己账户的100多个ETH(以太坊币)被盗,最终发现是身边的熟人作案。
《报告》显示,区块链自身机制安全、生态安全和使用者安全三个方面造成的经济损失分别为12.5亿、14.2亿和0.56亿美元,共计高达27亿美元。随着近年来数字虚拟货币参与者的增加,各种原因导致的安全事件也显著增加,其中区块链自身机制及区块链生态问题尤为明显。
加速能力输出护航区块链 腾讯安全联合知道创宇共建安全新生态
近年来,由数字加密货币引发的互联网安全问题频频发生,从席卷全球的WannaCry勒索病毒到“tlMiner”挖矿木马案件,再到近期层出不穷的数字货币被盗事件,不法分子看中数字加密货币的匿名性,使用非法手段获取了大量不义之财,“勒索”、“非法挖矿”及“盗窃”已发展成为区块链数字加密货币三大安全威胁。
《报告》对区块链领域的三大安全威胁进行了详细分析,并公开腾讯安全与相关黑产对抗的实践案例,为加强区块链安全防护提供了有益参考。在涉案案值高达1500万元、影响用户达389万的“tlMiner”挖矿木马案件中,腾讯安全第一时间将监测到的相关样本、分布情况、样本来源、攻击者的IP地址、控制服务器的IP地址、域名、病毒下载链接、受害电脑的IP地址等信息整理成完整的安全威胁情报。这份“线索”协助警方成功破获该案,抓捕犯罪嫌疑人20名,捣毁2家涉案网络科技公司,有效打击了网络黑产势力。
除本次腾讯安全联合知道创宇共同发布《报告》以外,双方在护航区块链产业健康发展方面早有合作。今年6月21日“中国区块链安全高峰论坛”上,腾讯安全联合中国技术市场协会、知道创宇等政府指导单位、网络安全企业、区块链相关机构及媒体二十余家机构、单位联合发起“中国区块链安全联盟”,共同发起建立区块链生态良性发展长效机制。
从《报告》整体来看,当前国内外网络安全形势日益复杂,区块链的安全也面临着巨大的挑战,假借区块链名义的诈骗、传销等社会问题日益增多,已发展成为社会经济的毒瘤。对此,腾讯安全携手知道创宇等区块链安全联盟成员共同探讨行业的解决方案,提升整体行业安全实力的同时,将联合更多的政府部门、企业,共同打击黑色产业链,共建网络安全新生态。