近年來基于區(qū)塊鏈技術(shù)的數(shù)字貨幣交易平臺(tái)繁榮發(fā)展，各區(qū)塊鏈平臺(tái)都專注于核心業(yè)務(wù)，但在信息安全方面投入的精力十分有限導(dǎo)致安全事件才頻繁出現(xiàn)。近日最受歡迎的以太坊錢包遭到DNS劫持攻擊，許多安全意識(shí)較低的用戶，在登錄時(shí)無(wú)視“網(wǎng)站不安全”的提示強(qiáng)行訪問，攻擊者因此得到了受害者的在線錢包密碼、私鑰明文等，幾秒鐘之內(nèi)就把他們錢包里的ETH全部轉(zhuǎn)走。也有一些人看到安全提醒沒有繼續(xù)登錄，從而避免了遭受損失。2014年日本比特幣交易平臺(tái)遭到黑客攻擊，用戶丟失約75萬(wàn)枚比特幣，并最終導(dǎo)致該平臺(tái)破產(chǎn)。雖然有前車之鑒，但各家數(shù)字貨幣交易平臺(tái)在安全建設(shè)方面仍然力度不夠，遭受黑客攻擊的事件更是有增無(wú)減，給數(shù)字貨幣交易平臺(tái)及其用戶造成了極大損失。

保護(hù)私鑰泄漏導(dǎo)致了資金被盜責(zé)任不在技術(shù)本身

從近期各家比特幣交易所遭到攻擊可以看出，私鑰的安全性是不容忽視的。雖然目前攻擊細(xì)節(jié)還不清楚，但可以肯定的是黑客是以某種方式成功獲取了保護(hù)用戶賬戶的私鑰之后才盜走了比特幣。私鑰可以保證數(shù)字資產(chǎn)的所有權(quán)，跟密碼類似。為金融服務(wù)企業(yè)研發(fā)私鏈的技術(shù)公司必須重新考量數(shù)字貨幣交易所采用的多重簽名和冷存儲(chǔ)方式是否真的有效。雖然這些解決方案的安全性是比較高，但卻要付出低效率和高額管理費(fèi)用的代價(jià)。確實(shí)是因?yàn)楸Ｗo(hù)私鑰走捷徑才導(dǎo)致了資金被盜，責(zé)任并不在技術(shù)本身。

回滾代碼至攻擊前版本備受爭(zhēng)議

另一個(gè)值得考慮的問題就是遭受攻擊之后應(yīng)該怎么做？被盜的是數(shù)字資產(chǎn)，而這些資產(chǎn)是以計(jì)算機(jī)代碼的形式存在的。因此我們是否能通過回滾區(qū)塊鏈，將其代碼修改為至攻擊前的版本呢？如果這樣做的話，從區(qū)塊鏈本身來看，攻擊事件就像沒發(fā)生過一樣。但比特幣社區(qū)并沒有采取這種方法挽救損失，反而是以太坊區(qū)塊鏈在遭受攻擊之后通過這種方式進(jìn)行了交易回滾（即硬分叉）。硬分叉的順利進(jìn)行需要全網(wǎng)大量節(jié)點(diǎn)的共識(shí)，而此次以太坊的硬分叉始終備受爭(zhēng)議。因?yàn)椴豢筛氖菂^(qū)塊鏈的重要屬性，也就是說區(qū)塊鏈中記錄的每筆交易都不能更改或者取消。而現(xiàn)今的金融服務(wù)業(yè)是可以取消交易的：無(wú)論是證券交易所還是信用卡公司，或是任何涉及交易過程的軟件，他們都留有取消或者修改錯(cuò)誤交易的權(quán)利。鑒于金融服務(wù)業(yè)終將采用分布式賬簿技術(shù)，那就躲不過區(qū)塊鏈的這一特性。不可更改性對(duì)于他們來說究竟是不是一個(gè)bug？又或者該行業(yè)是否會(huì)創(chuàng)建特定的函數(shù)來記錄抵消交易，在不破壞歷史交易記錄的完整性（尊重區(qū)塊鏈的不可更改性）的前提下達(dá)到和撤銷交易一樣的目的？

DAO攻擊事件的證明了智能合約存在安全漏洞

DAO攻擊事件的成功證明了智能合約存在安全漏洞。智能合約是一種電腦程序，可以自動(dòng)執(zhí)行合約條款，并在多方之間實(shí)現(xiàn)價(jià)值轉(zhuǎn)移。而DAO就是基于以太坊區(qū)塊鏈的智能合約投資項(xiàng)目。然而智能合約代碼的不合理性給了黑客盜取資金的機(jī)會(huì)。智能合約是分布式賬簿技術(shù)解決方案中的重要一環(huán)，可以用于抵押品管理、衍生品的場(chǎng)外交易（OTC）等。智能合約的漏洞不止能引致攻擊，還能造成系統(tǒng)故障，發(fā)起錯(cuò)誤交易。類似事件曾多次在金融市場(chǎng)上發(fā)生，參與方更是付出了慘痛的經(jīng)濟(jì)代價(jià)。因此我們整個(gè)行業(yè)應(yīng)該共同努力研發(fā)最佳用例，為智能合約提供最好的保護(hù)及控制措施來防止上述事件再發(fā)。

其它原因?qū)е碌墓?/h2>

一是通過釣魚等手段進(jìn)行身份冒用。例如DNS劫持攻擊，在本質(zhì)上就是釣魚。另外黑客還經(jīng)常用郵件釣魚，或者電話、短信等方式的社工等方式。

二是利用區(qū)塊鏈交易平臺(tái)的網(wǎng)絡(luò)漏洞。除了網(wǎng)絡(luò)協(xié)議中的各種漏洞，也有賬號(hào)密碼中的弱口令、密碼復(fù)用等導(dǎo)致的漏洞。

三是內(nèi)部惡意人員。首先是公司管理員有可能利用自身權(quán)限監(jiān)守自盜;其次是靜態(tài)密碼、傳統(tǒng)令牌等方式“認(rèn)令不認(rèn)人”，存在內(nèi)部惡意人員盜用相關(guān)同事身份的風(fēng)險(xiǎn)，而且事發(fā)后也無(wú)法追溯;因?yàn)槿狈y(tǒng)一的用戶管理平臺(tái)，隨著員工角色的變動(dòng)，有些賬號(hào)不能及時(shí)增刪，有時(shí)離職員工仍然擁有賬號(hào)權(quán)限，導(dǎo)致信息泄漏。

千里之堤毀于蟻穴。由于區(qū)塊鏈生態(tài)中虛擬貨幣的屬性，哪怕出現(xiàn)一絲安全問題都有可能造成極大損失。分布式賬簿應(yīng)用于金融服務(wù)領(lǐng)域可以減少結(jié)算時(shí)間、消除摩擦、降低成本，還能合理化工作流程。在努力獲得這些優(yōu)勢(shì)之前，整個(gè)行業(yè)都必須關(guān)注安全問題。數(shù)字資產(chǎn)和分布式賬簿技術(shù)帶來了全新的交易方式，但同時(shí)我們也需要探索新的方法來保護(hù)區(qū)塊鏈的安全。保衛(wèi)區(qū)塊鏈生態(tài)安全任重道遠(yuǎn)，用戶的身份安全更是重中之重。所以相關(guān)區(qū)塊鏈平臺(tái)需要從各個(gè)環(huán)節(jié)、由內(nèi)而外地加強(qiáng)抵御能力。