加密貨幣:最活躍公鏈遭黑客盜走8.5億美元，是時候談談加密貨幣的安全策略

編者按據媒體報道，北京時間10月7日，全球最活躍的公鏈之一的BNBChain被黑客攻擊，黑客利用跨鏈橋漏洞分兩次共獲取200萬枚BNB，價值約5.66億美元。據區塊鏈安全公司成都鏈安初步估算，由于還有涉及其它類型的虛擬資產，此次黑客攻擊事件涉及金額在8.5億美元左右。

“加密貨幣超級安全”的公眾印象再遭重創。加密貨幣為何能夠被盜？在監管缺失的現狀下，交易平臺應負什么責任？加密貨幣的持有者應采取什么安全策略？《互聯網法律評論》特約專家黃斌律師在本文中詳解上述三個疑惑。

加密貨幣是以數字形式存在的一種貨幣，是伴隨著區塊鏈底層技術發展為適應社會生產資料變化應運而生的，是建立在區塊鏈技術上的一種具體應用。當前，全球加密貨幣種類數量已突破兩萬，我國持有加密貨幣人數也已超過2000萬。

加密貨幣的粉絲以為區塊鏈的不可篡改性可以保障加密貨幣的安全性，交易記錄的分布式記賬使加密貨幣相比普通貨幣更值得信賴，進而認為加密貨幣是超級安全的。

然而真相卻是，加密貨幣是建立在區塊鏈網絡特別是公鏈上發行的一種數字資產，目前市場上有上千種區塊鏈，實則各有各的的漏洞，區塊鏈的透明度，實則能讓其主要漏洞容易被識別和攻擊。再加上目前幾乎沒有監管的現狀，導致加密貨幣被盜情形時有發生且越來越嚴重。

PART一加密貨幣被盜的原因分析

區塊鏈是一種由上萬個節點組成的去中心化分布式數據存儲賬本，具有去中心化、共識機制、加密算法、不可篡改、可追溯性等特征。

研究：三星在加密投資領域最活躍、谷歌母公司Alphabet單筆金額最大:9月19日消息，根據研究公司Blockdata對2021年9月至2022年6月中旬期間40家頂級公司對區塊鏈和加密初創公司的投資的分析，韓國電子巨頭三星是最活躍的，投資了13家公司。投資了7家公司的大華銀行緊隨其后，緊隨其后的是兩家美國金融服務巨頭花旗集團（6家）和高盛（5家）。

其中，谷歌的母公司Alphabet在參與最大融資輪次的頂級公司中排名第一，最高輪次參與了近15.1億美元的融資。（Bitcoin.com）[2022/9/19 7:06:11]

區塊鏈的哈希算法和非對稱算法為元宇宙提供底層數據的不可篡改、可追溯性和保密性，共識機制讓每個節點共享一致的記賬規則保證了具有真實性和不可篡改性的唯一結果之分布式賬本，智能合約保證了在預設條件滿足時在全網所有的節點上自動觸發并生成新的交易，采用塊狀數據結構并順位性形成一套完整的賬本實現去中心化，采用代幣或通證激勵機制保證有足夠的節點參與賬本的維護。

區塊鏈又可分為公鏈、聯盟鏈和私鏈，相比而言公鏈基于全民共識機制開展工作具有公信力且是真正去中心化，私鏈是中心化的且建立在某機構或企業內部，聯盟鏈也是中心化的且建立在聯盟機構或企業內部。

加密貨幣是主要建立在公鏈上發行的一種數字資產，公鏈是任何人可以讀取、發送交易并能依靠共識機制獲得有效確認的真正去中心化區塊鏈。

數據：3%最活躍NFT交易占總交易額97%:9月23日消息，據OpenSea數據顯示，過去90日內，3%交易最活躍的NFT占總交易額的97%。同期內，OpenSea出售了約190萬件NFT，其中73.1%再未交易過，19.4%又交易過一次，5.2%交易過兩次，僅2.4%交易過三次以上。在有過100筆以上交易的NFT中，42%的平均美元價格不升反降，39%的價格翻了一倍以上。（彭博社）[2021/9/23 17:00:06]

加密貨幣的安全威脅主要表現在：

1、控制超半數節點篡改分布式賬本。公鏈網絡是自由開放去中心化的，理論上控制超半數節點就能篡改分布式賬本；

2、智能合約不能修改。目前市場上有上千種區塊鏈各有各的的漏洞，一旦用于撮合交易等的智能合約的漏洞部署到了去中心化分布式網絡上即具有不可篡改性，而不像傳統軟件行業打個補丁修復一下即可；

3、跨鏈橋的漏洞。用于幫助實現不同區塊鏈之間的資產流動的跨鏈橋很多根本不在區塊鏈上，而是存儲在其他服務器上。另外，跨鏈橋通過協議連接兩個公鏈上的兩個智能合約來進行工作，協議有漏洞容易被攻擊，還有代碼、驗證方式和兩端智能合約的訪問權限管理等容易出現隱蔽漏洞，最后跨鏈橋多個區塊鏈上操作并擁有數億美元的托管資產增加了可能被攻擊的管道；

4、分叉帶來的漏洞。由現有加密賬本分叉而來的區塊鏈的每次分叉又給了黑客篡改數據的新機會；

5、使用者被釣魚。使用者誤入釣魚網站或被電子郵件竊取了數據，又或者下載了假的加密貨幣錢包，導致加密貨幣被盜；

報告：土耳其是中東加密交易最活躍的地區:Chainalysis報告顯示，中東是全球第二小的加密貨幣生態系統，土耳其的加密交易活動在Chainalysis研究的154個國家中排在第29位，是排名最高的中東國家。報告提到，由于長期威權統治和大量私人外幣債務，土耳其里拉大幅度貶值，因此加密貨幣在土耳其擁有較高的接受度。（Bitcoin.com）[2020/9/19]

6、私鑰、助記詞丟失。私鑰決定加密貨幣的真正主人，具有獨一無二的特性，保管好記錄私鑰的介質，同時離線備份自己的助記詞，不進行保存到網盤、郵箱傳輸等觸網操作；

7、熱錢包的漏洞。熱錢包是連接互聯網的加密貨幣錢包可隨時用來交易，大額的加密資產應當放在冷錢包中，熱錢包要采用多因素身份驗證提高安全系數，并防止熱錢包的安全漏洞；

8、交易平臺底層代碼的漏洞以及數據庫安全。交易平臺底層代碼的漏洞容易被利用造成網絡通信延遲，實現加密貨幣的重復消費。交易平臺技術上的錯誤配置漏洞等，容易導致用戶私鑰被黑客盜取。交易平臺數據庫容易成為攻擊的薄弱環節，交易平臺應當在申請提幣、出幣環節加強風控以確保資產的安全；

9、SIM卡交換詐騙。黑客將被攻擊目標的電話號碼轉移到了攻擊者所持有的SIM卡上，并利用重置受害者的密碼繞過雙重身份驗證和賬號恢復過程中的漏洞侵入加密貨幣賬戶；

10、惡意軟件綁架。惡意軟件將目標錢包地址替換為攻擊者錢包地址，在交易過程中竊取加密貨幣。

PART二加密貨幣交易平臺的安全責任

隨著區塊鏈技術的發展，加密貨幣推動了Web3.0金融生態的發展，進而在全球金融市場扮演著越來越重要的角色。

聲音 | 騰訊安全：2019年最活躍的挖礦木馬為WannaMiner、MyKings、DTLMiner:騰訊安全今日發布“2019年度挖礦木馬報告”。報告指出，2019年挖礦木馬最活躍的三個家族分別為WannaMiner、MyKings、DTLMiner（永恒之藍下載器木馬）。其中MyKings是老牌的僵尸網絡家族，而WannaMiner和DTLMiner分別在2018年初和年底出現。在2019年這幾個家族都有超過2萬用戶的感染量，他們的共同特點為利用“永恒之藍”漏洞進行蠕蟲式傳播，使用多種類的持久化攻擊技術，難以被徹底清除。2019年挖礦木馬主要入侵方式前三名分別是漏洞攻擊、弱口令爆破和借助僵尸網絡。由于挖礦木馬需要獲取更多的計算資源，所以利用普遍存在的漏洞和弱口令，或者是控制大量機器的僵尸網絡進行大規模傳播成為挖礦木馬的首選。[2020/2/17]

加密貨幣交易平臺是連接加密貨幣一級和二級市場的橋梁，是為個人和機構投資者提供購買和出售加密貨幣的實體平臺，使用者可以在該平臺將加密貨幣兌換法幣或其它資產。

加密貨幣交易平臺隨著比特幣、以太幣等加密貨幣的發展而誕生，在加密貨幣世界中起到至關重要的交易、流通加密貨幣的作用。

目前，世界各國正在陸續制定相應監管規則，但規則制定出發點僅僅是基于反洗錢與反恐融資風險的防御性目的，而非規范加密貨幣交易及投資者保護，更非加密貨幣行業的長期持續穩定發展；另外，對證券型代幣如臨大敵嚴格按照證券法的相關要求進行管理，而對實用代幣、支付代幣基本上是處于無監管狀態。

金色財經實時播報 到訪全球最活躍的匯款網絡之一Stellar恒星網絡:金色財經與The blockchainer、西垚咨詢聯合前往美國、加拿大考察。美國時間1月23日下午，金色財經到訪Stellar恒星網絡。Stellar是由瑞波網聯合創始人Jed Mccaleb發起的一個區塊鏈項目，用于搭建一個數字貨幣與法定貨幣之間傳輸的去中心化網關。它是全球最活躍的匯款網絡之一，接入全球多個國家的金融機構。Stellar是一個開源的支付底層協議網絡，Stellar的分布式賬本提供了一個具有完整資金追蹤能力的實時結算平臺。分布式交易所實現鏈上撮合交易，并支持路徑支付，實現自動化資產兌匯。Stellar的創始人不僅僅是瑞波網聯合創始人，還是前全球最大比特幣交易平臺Mt.Gox創始人和p2p下載軟件鼻祖電驢（eDonkey）創始人。[2018/1/25]

2022年9月16日，美國白宮發布了《關于負責任地開發數字資產的首個綜合框架》，這份報告中體現了聯邦機構對于加密貨幣領域消費者保護、環境和國家安全等各方面的擔憂。報告要求美國證監會和商品期貨交易委員會等監管機構繼續協調努力，進一步打擊整個加密貨幣行業的盜竊和犯罪行為；要求美國財政部必須在2023年2月底前完成對去中心化金融可能涉及的非法融資行為進行風險評估，并在2023年7月前完成對非同質化數字貨幣的評估；屆時，必須明確《銀行保密法》、反告密法規等法律是否修改并是否適用于加密貨幣交易所和NFT交易平臺。

香港、新加坡只針對證券型代幣進行監管，對其他應用型代幣、支付型代幣以及交易平臺則沒有明確監管政策，但香港特區政府于2022年建議在港運營的加密貨幣交易所必須獲得香港市場監管機構的許可，并且只能向專業投資者提供服務。

加拿大CSA指引表明，交易平臺上交易的加密貨幣即使不是證券型代幣，但是交易平臺在交易后沒有向投資人立即交付加密貨幣，同樣應當按照加拿大證券法進行規制。交易平臺僅僅在其賬簿上記錄客戶對其資產的所有權不構成交付，也即：需提出提幣請求的情形不構成“立即交付”，因為用戶提出提取要求后最終能否收到加密貨幣仍需持續依賴交易平臺。加拿大加密貨幣新法案從2020年6月生效，加密貨幣交易平臺和加密貨幣支付運營商被歸類為提供金融服務的機構。新法案要求所有進行加密貨幣交易的人或實體都需要提供地址、郵箱、出生日期、公民身份、實體注冊或成立日期等大量個人信息，交易地址、來源、是否完成等加密貨幣交易信息。

日本是第一個將數字貨幣交易納入法律法規體系的國家，《支付服務法案》修正案對加密資產交易服務商提出了更多的要求，要求服務商必須將客戶的加密貨幣保存在冷錢包或者類似地方，并且與自己的資產分離；加密資產交易服務提供商必須每年由會計師事務所進行審計；加密資產交易服務提供商必須采取措施發現和暫停不當交易等。

加密貨幣的所有權與傳統資產的所有權不同，其存儲在一個去中心化的區塊鏈上與地址及私鑰相關聯，而并非由第三方中心化機構所賦予。加密貨幣交易平臺包括中心化交易平臺和去中心化交易平臺，去中心化交易平臺通常沒有中央管理機構，是由用戶自行保管加密貨幣的平臺，匿名性更高，加密貨幣通過智能合約在用戶之間轉移，通常不受證券法規制；中心化交易平臺流動性更好，每筆交易需要收取一定百分比的傭金。

目前，中心化交易平臺占加密貨幣交易總量的99％，全球前十大交易平臺都是中心化交易平臺。大多數中心化交易平臺的現有經營模式都是由中心化交易平臺控制用戶的加密貨幣，加密貨幣通常不會轉入用戶控制的冷錢包，而是托管在交易平臺控制的私鑰的賬戶內，用戶需要向交易所發出提幣請求后才能獲得相關加密貨幣。因此，控制著用戶加密貨幣而不受監管的中心化加密貨幣交易平臺是高風險且高發平臺，近年來不停地爆發加密貨幣安全事故。

加密貨幣交易平臺在缺乏監管的情形下，應當從以下14個角度做好風險防范：

1、將股東與平臺的管理層和系統開發商分開，建立明確的組織結構，實行嚴格的內部監管制度；

2、將用戶的加密貨幣與自己的加密資產相分離，并保存在冷錢包或者類似地方；

3、采用熱錢包與冷錢包分離部署，熱錢包運營冷錢包存儲；

4、大額轉賬需要核實客戶身份，以防止洗錢；

5、禁止一些匿名性高的加密貨幣，防范非法活動或洗錢；

6、確保任何加密貨幣轉移都必須使用多種身份驗證方法；

7、使用自動化安全產品，清洗智能合約中的漏洞；

8、及時跟蹤被盜的加密貨幣，標記所有收到“贓款”的地址，通知其他加密貨幣交易平臺；

9、將黑客賬戶列入黑名單，并與其他加密貨幣交易平臺共享黑名單，防止他們將非法獲得的財產兌現；

10、按時開展由獨立審計師執行的代碼審計，對平臺和跨鏈橋底層代碼進行徹底審查和分析，及時發現代碼中可能對平臺和跨鏈橋安全性能產生負面影響的漏洞或弱點；

11、施行實時分析和監控措施來防止攻擊，通過嚴格測試代碼來加快漏洞識別，制定和實施完善的事件響應計劃并響應可疑活動，包括向用戶發出警報；

12、建立黑名單預警機制，對于已經公開的被盜地址、詐騙地址會有預警并直接凍結；

13、要牢牢把控加密貨幣存儲和私鑰的管理、充值、提幣環節做到，發現風險要第一時間關閉充、提幣通道等；

14、拿出部分比例的交易手續費作為投資者保護基金，并存放在獨立地址專款專用。

PART三加密貨幣持有者的安全策略

在我國，已經擁有2000萬用戶持有加密貨幣。

作為加密貨幣的持有者，應當盡到相應的謹慎義務保護自己的加密貨幣：

1、應當注意防止誤入釣魚網站，應當在錢包官網選擇下載具有多重簽名的錢包，可以將一部分加密貨幣放在多因素身份驗證的熱錢包中，大額的加密貨幣放在冷錢包中；

2、應當離線備份自己的私鑰和助記詞，助記詞一定得抄錄正確，私鑰和助記詞不要截圖，盡量不要觸網；

3、謹慎授權平臺訪問加密錢包并賦予一定權限，防止錢包中的加密貨幣被盜；

4、不要在郵件中隨意點擊陌生的附件，防止被釣魚；

5、在輸入加密貨幣錢包地址時，仔細檢查原始地址與粘貼地址是否一致；

6、在大額交易前，可以先發送一筆小金額的交易進行測試；

7、沒有交易所是絕對安全的，建議使用多個交易平臺進行交易以分散風險；

8、不要在公共電腦或者是公共WIFI去登陸自己的賬戶。

一旦發生加密貨幣被盜事件，加密貨幣持有者的處置策略是：

首先應當及時報案并提供有價值的線索；其次，及時通知加密貨幣交易平臺標記所有收到“贓款”的地址，并獲得相應賠償；再次，通過Blockcypher等區塊鏈瀏覽器追蹤鎖定你的加密貨幣，防止被洗錢；最后，依據與加密貨幣交易平臺之間的協議來確定糾紛解決的途徑、仲裁地點、準據法律等。

中國用戶應該了解的是，由于目前加密貨幣交易平臺均設立在境外，境內法院可能并沒有管轄權。

作者：黃斌

《互聯網法律評論》特約專家

北京德和衡律所數字經濟與人工智能業務中心副總監

此文僅代表作者個人觀點，與本平臺無關。本平臺對文中陳述、觀點判斷保持中立，不對所包含內容的準確性、完整性或可靠性提供任何明示或暗示的保證。

Tags：加密貨幣區塊鏈PAR加密貨幣是什么意思啊加密貨幣市場還有未來嗎知乎全球十大加密貨幣區塊鏈工程專業學什么區塊鏈存證怎么弄區塊鏈技術發展現狀和趨勢PAR幣PAR價格

XRP