以太坊被盗,回顾一下这几年发生的安全事件

时间:2022-05-04 22:34:15

由于以太坊被盗事件,引发大家对数字资产安全性担忧。事实上,类似的事件过去发生过,将来还可能会发生。

2017年7月19日,多重签名钱包Parity1.5及以上版本出现安全漏洞,15万个以太坊ETH被盗,共价值3000万美元。

2017年4月22日,韩国比特币交易平台yapizon成为了黑客攻击的最新受害者,该交易所的员工在社交媒体上发布通知,确认有3,831
BTC被盗,市场价约合500万美元。相当于该平台总资产的37.08%。用户将平摊所有损失

2016年8月4日全球最大的数字资产交易平台之一Bitfinex被盗了价值超过6000万美元的比特币。

2016年6月17日,区块链业界最大的众筹项目TheDAO(被攻击前
拥有1亿美元左右资产)遭到攻击,导致300多万以太币资产被分离出TheDAO 资产池。

2014年2月28日,曾经世界规模最大的比特币交易平台运营商宣布,其交易平台的85万个比特币已经被盗一空,包括用户交易账号中约75万个比特币,以及Mt.Gox自身账号中的约10万个比特币。根据2014年2月28日的交易行情,损失估计约4.67亿美元。直接导致Mt.Gox破产。

……

这些是数字资产领域这几年遭遇的影响比较大的被黑客攻击盗取数字资产事件,以太坊的这次被盗事件几乎可以说是在同一块石头上绊倒两次。

以太坊重蹈覆辙

Parity是目前以太坊使用最广泛的钱包之一,这次被盗事件与2016年6月份发生的the DAO事件相类似。The DAO事件也是由于智能合约代码的漏洞导致350万个以太币(当时价值5000万美元,如果以目前价格计算则为7亿多美元)被盗。

The DAO事件发生后,以太坊创始人Vitalik Buterin提议修改以太坊代码,对以太坊区块链实施硬分叉,将黑客盗取资金的交易记录回滚,得到了社区大部分矿工的支持,但也遭到了少数人的强烈反对。最终坚持不同意回滚的少数矿工们将他们挖出的区块链命名为Ethereum Classic(以太坊经典,简称ETC),导致了以太坊社区的分裂。

但本次Parity事件发生后,Vitalik Buterin迅速表示,因被盗取资金并非巨量,不考虑像上次那样实施硬分叉回滚交易。原因是:

  1. The Dao事件发生时,以太坊生态系统还没那么成熟;
  2. The Dao事件被盗的以太币数量要远超过这次被盗事件,因此更加危险;
  3. [最重要的是],本次攻击者可以立刻转移资金,(截至发稿,已经有报道称被盗的ETH被*9万美元)因此硬分叉是不可能的。

因而,以太币的价格在事件发生后并未大幅下跌,目前以太坊ETH的价格为213美元,以太坊经典ETC的价格为15美元。

如何提高安全性?

值得一提的是,签名钱包Parity出现的安全漏洞不是以太坊区块链本身的漏洞,而是智能合约代码的漏洞,所以我们不应对以太坊和区块链的安全性产生怀疑。此次事件也不会对区块链的应用带来严重的负面影响,类似的事件将来可能还会发生,这并不意味着区块链技术的末日。

区块链从业人员应吸取教训,平台也要加强安全管理,以尽可能减少类似的安全事故。在笔者看来,在区块链和智能合约的设计与编码实践中,需做到以下几点:

  1. 简化区块链脚本语言设计,牺牲一部分图灵完备性换取安全性。
  2. 严格执行智能合约代码审查。
  3. 强化对智能合约程序员的培训。
  4. 在应用实践中要谨慎渐行。

将逻辑抽象到共享库中的做法,虽然有助于提高代码可重用性并降低部署成本。但是,这次黑客攻击事件再次表明,我们需要在以太坊生态系统中制定一套严格的执行标准,以确保编码模式得到有效和安全的实施。否则,更多看上去不经意的错误都可能会带来灾难性的后果。

笔者认为,数字资产确实存在受黑客攻击被盗的风险,但我们不能因噎废食,BTC也好、ETH也好,都是非常优秀的经济实验,其价值不会因为遭受攻击而消失。这个领域依然充满着机会,所以选择在靠谱、安全的数字资产量化交易平台比如WeQuant微宽网做量化交易是不错的,避免非理性投资。

(本文所有观点不作为投资参考。币市波动较大,投资有风险,入市需谨慎。)