Chainge技术沙龙（0414）-区块链技术的安全隐患

虚拟机设计

零钱整理

慢雾科技介绍

01| The Dao事件

以太坊第一个安全大事件

智能合约的取款

新建一个Bank，存入一部分钱，用Dao框架不停取钱。

取款-判断余额-取款操作框架-转空该账户下的所有钱。

简单的例子就是，你的银行卡有余额100万，你需要买一个10块钱的饮料，但是支付的过程有漏洞，所以你银行卡的所有钱都被转走。

一、外部调用

02| 以太坊黑色情人节

起源：第一转账时间是2.14

ETH节点统计

客户端、客户端版本、OS系统。整个系统的庞杂

蜜罐检测 （部署陷阱能检测出黑客的点来）

net_version

判断是主网还是测试网，只攻击主网

3000+主网节点完全暴露

eth_accounts

获取钱包账号，涉及钱包账号

eth_getBanlance

获取有多少钱，被盗46000+ETH

why?

unlockAccount 函数介绍

该函数将使用密码从本地的keystore 里提取private key 并存储在内存中,函数第三个参数duration 表示解密后private key 在内存中保存默认是300 秒; 如果设置为0,则表的时间，示永久存留在内存，直至Geth/Parity 退出。

详见:

节点存用户的keystore信息（严重危险）

eth_getBlockByNumber

墨子扫描引擎，扫描有问题的节点，慢雾的以太坊安全事件的披露

被盗ETH，市值，被盗钱包数

具体内容可以查看慢雾发布的 以太坊黑色情人节专题

生态相关

ETH：矿池、钱包、web3、smart contract、dapp

BTC:矿池、钱包、Lightning Network

BTC RPC

防御建议

管理数十万用户安全的接近百万的比特币

华人世界唯一被bitcoin.org网站展示的钱包

比特派多种区块链资产（BTC、ETH、Token、分叉）

冷热结合，确保安全

比特派-热钱包

比特护盾-冷钱包/硬件钱包

区块链安全事件

私钥决定了区块链资产的所有权，丢了私钥也就相当于丢了一切。私钥就是一个随机数，这个随机数的概率空间很大(256 位，即2^256)

钱包=生态入口

需要在安全的同时做到尽可能的开放

玩法的开放，技术的开放，通用的技术接口，生态的开放，把自己的资源进行导入。合作伙伴计划：技术咨询、区块链技术支持、开放平台、入口支持、生态支持、海外市场合作。帮助伙伴实现区块链转型或区块链项目孵化，安全、便捷实现真正落地的区块链应用场景。

联系方式 B@bitpie.com

用户风控系统，数百万的数字货币用户。

最大可能保持我们的数字资产

骗子故事：抢数字货币份额，钱没到账，冒充官方，交出助记词

恶意钱包地址库

诈骗钱包、黑客钱包、羊毛党钱包

恶意网站库

钓鱼网站、空投网站、交易所、众筹

风险合约库

重名币、空格币、风险合约

安全事件库

历史安全事件提醒

最新事件提醒

盗币风险监控

安全意识教育

可能出现被盗的情况

游戏即资产，稀缺资源，成为游戏运营者。最后大BOSS死于暴露了自己的密钥。

通过社工（社会工程学）【欺骗的艺术】黑客攻击手法，虚拟景象做出错误判断让自己陷入危机。

人始终是系统中最薄弱的环节，币安背锅的黑客事件。大客户泄露自己的账户，调用API接口，自动交易。虽然没丢币但是黑客在期货市场盈利。

关于安全钱包的帖子（来自小白愤怒控诉，实际没有理解整个机制）：

1、我没私钥和交易密码，东西都在你们那我不知道安全在哪里

2、密语算个毛，你告诉我拿着你们的密语能做什么。

汽车和自行车事件，出了问题之后，弱势的一方被原谅。负责的是更大的一方。平台替没有安全意识的用户背锅。

对于大部分用户来说，交易所的安全性比普通用户自己管理的安全性要高，用户的安全意识没有提高，交给交易所帮助、协助你来管理你的钱包提示很多风险操作。

为什么要随机生成256位的密钥，为什么不能用户自己去设置，如果自己设置会处于一个集中的区域，随机值不够，私钥生成时就处于危险的状态。

自己的安全认识不够，所以自己造成的损失，先怼交易所先怼钱包。先想到得是你们的问题和漏洞造成的，不是我的操作失误和密钥泄露造成的。

币派做的是大神和小白的交流之间的翻译，做画漫画，写段子的逗比。

币小宝防骗指南漫画，贡献题材和内容。

区块链入门（一）——大家一起来记账

小时候，我对许多新奇的事物都很好奇，充满渴望想去了解学习，那时自己的脑回路里经常会出现无数的惊叹号。随着年龄的增长与经历的丰富，这种体验越来越少，也对很多人云亦云的新东西见怪不惊。当“区块链”第一次出现时候，自己完全被吸引住了，之后像小时候一样，本能般地被驱动着去深入学习与了解，发现“区块链”就是一个新世界，是即将到来的未来。

第一次听到“区块链（Blockchain）”三个字，是在李笑来老师的《通往财富自由之路》的专栏上，之后多次在专栏文章里看到这个词汇的出现。出于好奇，关注并阅读了了老猫的公众账号《猫说》上的文章，逐渐对区块链有了从0到1的认识。block-块，chain-链，blockchain-把一个一个的块连成链，想象一下DNA在面前无限延伸的样子.....

这段是百度百科上面对区块链的一个解释，换个通俗点的说法，区块链是一种公开、去中心化、去信任的，共同维护的账务系统。

先来看看传统的中心化的银行商业模式。我们在做交易的时候，为什么需要银行、阿里巴巴、腾讯等第三方中心化公司？因为人与人之间是不信任的。A今天借给B100块，明天B不承认这笔借款，A怎么办？银行帮忙解决了这个问题，每个人在银行里创建一个实名认证的户头，借助这个中心化公司，A借给银行100元（存），B从银行拿出100元（取/借），那么银行负责对这笔交易进行记录，A的账户就会多100元，而B则少100元。这样的依靠第三方中心化公司记账的方式在我们生活中随处可见：网购我们需要阿里巴巴的淘宝城和京东；贷款我们需要找靠谱的小贷公司；发行新书要通过某个出版社……归根结底，是因为人与人之间不信任，或者说要维持信任的风险太大，成本太高，所以我们需要这样的中心化的强大的第三方公司来给交易进行信任背书，让它们来承担这些风险，当然，它们也赚足了我们的钱。可是倚靠第三方中心化的商业模式给我们带来的却是低效的服务、繁琐的程序以及价值的分流，例如银行排队办理业务，小贷公司的放贷流程，淘宝、京东对商家的收租，出版社对作家稿费的分羹等等。这就是目前我们所处的中心化的，第三方信任化的世界。

而区块链世界，则是一种新的世界，这里不需要第三方，所有的交易信息都是公开的，并且所有人都参与记账！比特币作为世界上第一个被实证可行的区块链应用，就是运用自动记账且账务公开，信息不可篡改，随时可查询的技术颠覆了传统金融模式，绕开了第三方中心化，买卖方直接进行交易。这样的交易模式一定是高效的，低成本的，并且公开化的。试想一下如果区块链技术未来普及，当你要转账一笔大数额的金钱给国外的朋友，略过冗长的环节，瞬间到账；如果你写了一本书发表，不用担心被人盗版，也不用被出版社赚取属于你的稿费；人与人之间直接搭建点对点的互助保险平台，保险公司将变成咨询公司等等。（事实上，比特币与Press.one正在实现这样的颠覆）

当下互联网蓬勃发展，外勤我们有滴滴打车或共享单车，叫餐我们选择饿了么，餐厅就餐有大众点评，到处都是微信、支付宝的便捷支付。我们在互联网上进行支付的时候，需要倚靠一个买卖双方都信任的第三方平台公司来替我们完成这笔交易。这些第三方公司拥有大量的交易数据以及交易双方的信息，那么，如果发生黑客入侵造成信息丢失，我们将为我们的“信任风险”承担后果；且不提在审核、清算交易数据带来的拖延不便，以及管理这样庞大的数据所要耗费的巨大成本。

那么区块链技术是怎么实现的呢？打个比方，假如有一支军队要去抢占敌方的堡垒，而每一个士兵都带有一个特殊的头盔，头盔有一个红色按钮，每占领一个堡垒，本军总部给予勋章奖励。首先，有一位士兵A率先占领了第一个堡垒1，他通过头盔对其他战友宣布自己已经占领堡垒1，这时候头盔就会把堡垒1的坐标信息记录下来，连同A的喊话一起传递给其他所有士兵，其他人通过头盔听到A的喊话并按下后按下红色按钮表示已经同步记录了这条信息。那么所有人都知道堡垒1已经被A占领，并且A获得勋章奖励。于是其他人就会立马去攻占其他的堡垒，并且按同样的方式广播自己的战功。这样，这场战役中不同堡垒被不同士兵攻占的信息就全部保存在每一个人的头盔中。在这里，头盔就是这个公共账本（严格来说是头盔的程序），所有人都参与记账；每个攻占信息都构成一个区块，所有的信息按照一定顺序排列就构成了一个区块链；参与者除了记账（按下红色按钮），还要争先恐后去抢夺新数据的打包权（攻占堡垒）。

那么来看看这种共同记账方式的优势。1，去中心化。账本是大家共同记录维护的，到底是谁首先记录无所谓，因为有激励（勋章），就会有人去做，不需要第三方介入（不需要将军或是作战部的指挥，减少军队开支与指挥者牺牲的风险）。2，数据不可篡改。已经记账的数据如果要修改，必须修改超过51%的节点信息才能成功。试想一下，这个军队如果有百万人（实际上区块链节点数量远远大于这个数），要修改超过一半军队的头盔，这是个几乎不可能完成的任务。3，信息公开透明。所有人都可以在自己的账本中查询到这条交易信息（所有堡垒攻占信息都已记录在所有人头盔里）。

这是我开始迈向写作的第一篇文章，上一次写这么多字应该是在高考场上了。第一篇文章写的是从来没接触过的新的领域，文字有点混乱平庸，也不知道自己做的类比正确与否，不过终究开始去做了。写作确实是人人都应该具备的技能，并且是可刻意练习而提高的技能，督促自己维持下去。

周杰伦价值320万猴子被盗，平台方是否需要为此担责？

周杰伦价值320万猴子被盗，平台方是否需要为此担责？主要是被钓鱼盗走的，当然平台肯定会协助找回的，不然他们的公信力在哪？

区块链行业所标榜的“安全性”就快被人们认清了。

所有的攻击动作，在区块链上都是“合法”（符合代码要求）的，区块链只能保证数据的完整性，而不能保证业务逻辑的完整性。

信奉“代码即法律”的赌徒们认为“荷官”（平台）会作弊，而选择把一切权力都交给了“不会作弊的机器荷官”（区块链），但却忽视了最大的恶意恰恰是来自于桌上的其他赌徒。机器荷官的功能一旦写入就不许修改，导致其无法拒绝符合其规则的作弊（攻击）者。

目前针对智能合约的攻击几乎无时不刻都在发生，而所有的攻击都没有破坏区块链上数据的完整性。通常是在遵守程序规则的情况下，针对其业务逻辑进行攻击（如闪电贷）；或者是利用社会工程对参与其中的人进行攻击（如钓鱼链接）。

我认为各行业特别是政府机构应当特别警惕区块链行业标榜的“安全、不可篡改”成为某些作恶者推卸责任、甚至固定和强化伤害的工具。比如如果未来一起新的“铁链女”事件的结婚登记被渎职官员“上链”，那“上链”是不是就会成为相关责任人推卸责任、甚至作为证据干扰判决的理由？

NFT平台就擅长打造各种传说，什么艺术家一个NFT作品卖几亿美元啦什么印度年轻人拍几百张自拍卖几百万美元，说到底都是为了吸引多一点的韭菜去接盘。就跟前阵子说外国投资家们大力看好A股一样，这么久过去了A股是什么操行大家心里没点数吗？说到底当这些有话语权的人说这些话的时候意思只有一个，我想跑路，我想套现，快带着你的真金白银来助我。

比特币———一个币值8万多元人民币

接触过数字货币的人对比特币都不陌生，它是数字货币的祖宗，如果你在2010年的时候用三美元买1万个比特币留到现在，那么现在你的身价是8亿多人民币，是不是不可思议

区块链技术被称为是继，蒸汽机，电，互联网，之后的一个划时代的标志，

比特币的底层技术是什么呢？

是区块链技术，那么区块链技术又是什么呢，举个通俗易懂的例子，你去招商银行存钱，存了100万，有一天招商银行的银行系统被黑客攻击了，并且把你的账户的钱转走了50万，你的存款单也丢了，这时候银行不想把你丢了的钱补给你，你是不是要抓狂。区块链就是有无数的存储系统，而且里面都存有相同的内容，没有人可以修改已经生产的账单，就像以前只有一个账本，但是用了区块链之后就有无数的记账账本，而且分布在各个地方。更专业一点说，区块链技术是由利用块链式数据结构来验证和存储数据，利用分布式节点共识算法来生成和更新数据，利用密码学的方式来保证数据传输和访问的安全，利用由自动化脚本代码组成的智能合约来编程和操作数据的一种全新的分布式基础架构与计算方式。

但是现在是数字货币泛滥的年代，各种新的数字货币发行进行洗钱跑路，最后一地鸡毛，对于目前国家提倡的区块链技术和企业链改如果落到实地，这样的数字货币还是可以持有的，我们知道只有大公司才能上市，但是所以公司都能上链

如果你对某个数字货币非常了解，并且知道它的运营情况，有没有落地到实地帮助公司进行链改，技术支撑等，不然尽量不要去买。

回到BTC，BTC公链被称为区块链的1.0时代，采用的是POW共识机制，也就是工作量证明，你获得多少货币，取决于你挖矿贡献的有效工作，电脑性能越好，分给你的矿就越多，POW机制解决了拜占庭将军问题，就是在互相不信任的情况下，只要多少人都信任，那么就能保证系统的正确运作，但是也有一定的缺陷，就是处理交易的速度太慢，矿工们需要不断的通过计算来碰撞哈希值，这是劳民伤财且效率低下的。TPS系统吞吐量（用户并发量）7笔/秒。ETH这条公链被称为区块链的2.0时代，ETH提出了新的共识机制POW+POS（权益证明）简单来说就是你持有的币越多，你的权益就越高，因为你持有的币越多，持有币的时间越久，你的计算难度就会降低，挖矿会容易一些，TPS为21笔/秒。EOS被成为3.0的公链，DPOS共识机制（拜占庭容错的委托权益证明）对于POS机制的加密货币，每个节点都可以创建区块，并按照个人的持股比例获得“利息”，出块时间3秒，TPS为5000笔/秒。

一、从比特币看区块链技术

（一）比特币（Bitcoin）是一种数字加密货币比特币是一种数字加密货币，由中本聪（SatoshiNakamoto）2009 年1 月25 日设计上线。比特币的产生、发行和交易机制与传统货币不同。传统货币的产生、发行和交易依托于中央银行、商业银行等中心化的二元模式；而比特币的发行不需要中心化的金融中介，比特币社区用户可通过比特币区块链网络发行和管理数字加密货币。比特币是以黄金模式发行，人们形象地将该过程称为“挖矿（Mining）”，并将所有提供计算力的节点称为“矿工（Miner）”。目前，比特币挖矿的发行方式使每位矿工都可以从中获取6.25 个比特币的收益。实际上，比特币的发行过程是求解多重哈希值解方程（Hash Function）的过程。节点挖矿获得比特币的过程，是通过计算机进行大量计算求出合理的哈希值来实现的。简而言之，这个过程的主要目标是求解交易双方的公钥。每次求出的解都会作为下次计算的初始条件，节点在此基础计算新结果。当一个节点解出一组之前未解出的哈希值时，系统向全网络发布，各节点查验本地数据库。如果各节点发现该解正确，并且数据库中没有此解记录，将确认并记录该解的合法性。当所有节点都确认并记录完毕时，求出该解的节点便被奖励一定数量的比特币。作为比特币最底层的核心技术，区块链技术来源于2014 年10 月大英图书馆的一次研讨会。比特币是区块链技术最成功的金融应用，它以公开账本的形式在全网记录所有交易信息。随着比特币的普及和应用，区块链技术日益受到金融 科技 界的关注。

（二）区块链是弱中心化的分布式账本协议区块链技术提供了一份公共的分布式安全账本，是一种开放式的价值传递协议。实际上，区块链是一个由使用密码学方法相关联产生的数据块构成的弱中心化的数据库，任何发生在此区块链网络上的交易，均会以约定的算法记录到区块链系统上。所有节点都保存一份完整的数据备份，包含自该区块链系统形成以来的所有交易记录。区块链由一个个区块组成。区块是区块链的基本存储单元，记录了10 分钟内各节点的全部交易信息。每一个数据区块中包含一次交易信息，用于验证信息的有效性，并为下一个区块的生成做准备。区块由三部分组成：本区块的地址、交易单和前一个区块的地址。当区块链上一个节点发起一笔交易时，该节点需要将信息向其他节点进行公告。该节点用私钥加密信息，从而可有效防止信息伪造。由于了解 历史 交易信息，收到信息的节点利用备份信息能够判断交易是否真实。各节点验证成功后，将最后一个区块的地址与交易信息结合，形成一个新区块，并打上时间戳（Timestamp）连接到区块链上，完成交易的全过程。由于每个区块都拥有前一个区块的地址，人们可以通过后一区块地址找到前一区块，直至初始区块。因此，区块链就是由根据时间顺序相连接的区块构成的完整交易信息链条。

（三）区块链的特点

区块链是一个全新的数据库系统，具有弱中心化、不可篡改、包容性等特点。其中，弱中心化、不可篡改是区块链技术区别于传统技术的核心特征。这两个特征使得由区块链技术构建的系统能够通过系统机制设置，实现“自信任”。

1. 弱中心化。区块链系统的每个节点都保存着一份完整数据备份，能够有效预防中央服务器发生故障而导致的网络瘫痪和数据丢失，以及黑客对单个节点的恶意攻击，从而保证数据的安全。除非有人能同时控制系统中超过51% 的节点，否则对于单个节点的攻击不能影响其他节点数据的内容。

2. 不可篡改。区块链系统是一个公共的总账本，系统全部数据都公开、透明地记录在该账本上。所有数据通过网络共识算法记录，每笔基于区块链交易的新信息都会向全网发布，经各个节点逐一确认、保存后，将收到的交易信息形成新区块，确保区块链系统信息不可篡改、无法作假、可以追溯。同时，区块链技术使用随机散列算法和时间戳技术，节点在验证时会盖上时间戳，提供交易时间证明，保证同笔交易的唯一性。如果要修改某个区块的交易信息，必须要完成该区块及之后区块的所有信息。由于修改后会造成哈希值与原来的哈希值不同，无法通过其他节点确认，将使得修改无效，大大提高了篡改信息的难度。因此，区块链技术可以为交易提供可靠的信用保证。其不可篡改的特性为解决合同冲突提供了有效方案，可以应用于存储并公证永久性记录和需要确保信息真实性的领域。如，财产所有权的公证。

3. 包容性。区块链技术以算法为基础，摒弃了不同国家文化和经济差异，使各国机构可以建立统一的信用体系。此外，区块链技术是对外开源和共享的：任何进入区块链的机构和个人，不仅能提交记录，还能得到完整的系统 历史 交易记录，并对信息所有者确权；同时，由于区块链系统运行于互联网，符合要求的任何机构和个人都能以节点的方式加入该系统。

4.溯源，公开透明。

因为区块链或者说是数字货币涉及的知识与比应用比较多，感兴趣的朋友可以点关注，我会整理和发布更多的区块链和数字货币的知识