Gerald Cotten


人死债消，是黑道中的一句行话，指的是如果债务人死去，债务应该随风而逝，而不应该追究家人子女。在有关债务人死亡的法律问题上，配偶和继承人的承担的连带责任也是相对有限。

因此诈死常被债务人用来躲避赌债、仇家等，也常被用于诈骗、跑路等。因为债务人一旦成为死无对证的死档，很多关键的信息和证据，就都会随着他的离去而消失。

上周区块律动 BlockBeats 报道了《创始人意外死亡私钥丢失，交易所数亿资产何去何从？》，QuadrigaCX 交易所创始人 Cotten 意外死亡私钥丢失导致无法访问冷钱包，1.47 亿美元资金「死无对证」，无法取出。如今剧情再次出现离奇的反转：有爆料发现，QuadrigaCX 交易所冷钱包仍有继续转账的迹象，并且被疑根本没有私钥。

这件事情本身就充满了很多巧合，加拿大曾经最大的加密数字交易所，居然会把存有数亿美元加密币的冷钱包唯一私钥，只交给一个身患有克罗恩病（一种高复发率的致命疾病）的男人。

更蹊跷的是，这个男人还独自一人带着 1.47 亿美元的加密币资产死在异国他乡，出门前还立下了遗嘱，指定妻子为自己遗产的唯一执行人，并将一家合资公司的财产遗赠给了他的姻亲。他甚至给他的两只狗留下了 10 万加元，却偏偏没有交待控制 1.47 亿美元数字加密货币资产的私钥。


多方证据显示私钥并未丢失
 

QuadrigaCX 究竟有所少个冷钱包，存了多少数字加密币？据加拿大当地法院的证词，QuadrigaCX 持有约 26500 BTC(9230 万美元)，11000 BCH(130 万美元)，11000BCHSV(7.07 万美元)，35000BTG(3.52 万美元)，近 20 万 LTC(650 万美元)，及约 43 万 ETH(4600 万美元)，总计 1.47 亿美元。

首先是 LTC 钱包。2 月 3 日，一位名为「palhello」的网友在 Reddit 上发文，跟踪到了 QuadrigaCX 的四个 LTC 冷钱包地址，并发现该冷钱包目前仍有外向交易，且正在小额流失，由此可见密钥并未丢失或者地址钱包根本不是冷钱包。

然后是 BTC 钱包。2 月 4 日，加密币研究公司 ZeroNoncense 发布了一篇深度调查报告，基于对 QuadrigaCX 的 31 个比特币地址的评估，没有证据证明该公司存在冷钱包。

ZeroNoncense 指出 Quadrigacx 并未失去对其比特币私钥的访问权，且使用过多重签名，且 Quadrigacx 持有的 BTC 数量，明显少于加拿大法院的证词中所提到的 26500 BTC 数量。

ZeroNoncense 还发现，Quadrigacx 似乎没有可识别的冷钱包，过去一年来，Quadrigacx 似乎是在客户要求取款时，利用客户的存款向其他客户付款拆东墙补西墙。






Quadrigacx 比特币冷钱包目前仍有外向交易。

最后是 ETH 钱包。2 月 6 日，区块链分析公司 Elementus 分析，QuadrigaCX 很可能没有任何 ETH 冷钱包，在过去的三年中，大部分 ETH 资金都是直接转入热钱包地址并流入交易所，并没有存入过冷钱包。

Elementus 声称发送到交易所的总金额高于 QuadrigaCX 宣誓书所声称的冷钱包中的 43 万 ETH。Elementus 表示，「发送的部分 ETH 资金转进了一些存款账户，但大多数已发送到其它交易所，再也没有回来。」

2 月 13 日早上，安永发布对 QuadrigaCX 的初步调查报告，内容显示 QuadrigaCX 意外地将 100 多枚比特币（25 万美元）转移到了一个无法访问的冷钱包中，这笔钱原应该被安永接管并转移到安永自己的冷钱包中。


死无对证？伪造死亡？
 

Cotten 有没有诈死？根据媒体报道，QuadrigaCX 的创始人 Cotten 于 2018 年 12 月 9 日去世于印度斋浦尔，当地一家叫富通护卫队的医院诊断为「克罗恩病复发，导致脓毒性休克、穿孔、腹膜炎和肠梗阻，心脏骤停」。

《印度时报》(Times of India) 最近的一篇报道证实，Cotten 确实于 12 月 9 日去世。当地一家殡仪馆的下的「死亡声明」，声明称科顿死于印度斋浦尔，不过殡仪馆以客户的隐私为由，未提供额外信息。他的遗孀获得了死亡证明，警方也获准将他的遗体运回加拿大。

正所谓，活要见人死要见尸。如果没有 DNA 的确认，这份报告将无助于平息围绕这一传奇的怀疑。有评论认为，在印度伪造死亡证明非常容易，印度也曾有过发行假死亡证明的先例，也许创始人根本没有死，现在正持有巨款换了个名字逍遥法外。





Cotten 的死亡证书。图片来源： Twitter@ImMattJones


甚至人们还注意到死亡证书上的 Cotten 的姓名都还存在拼写错误。它被拼写为「Cottan」，而不是 Cotten，显然只凭这一张纸无法令人信服 Cotten 真的死亡。此外医院和殡仪馆也以隐私为由，拒绝透露更多细节信息，更让人生疑。


联合创始人曾是入狱的诈骗犯
 

从「门头沟事件」开始，交易所资产安全事件就层出不穷，失踪跑路、黑客攻击、监守自盗、市场做空，手段可以说无所不用其极。如今 QuadrigaCX 创始人死亡私钥丢失这一蹊跷事件，自然也有很多怀疑和推测。尽管这些推测看起来有事后诸葛亮的感觉，但很多细节翻出来依然十分值得玩味。

首先 Cotten 的死亡时间令人怀疑。Cotten 据称于 12 月 9 日去世，但他的死讯直到 1 月才被宣布。法院和媒体的公开消息，也是从 1 月之后才有的。如果是正常死亡，创始人离世这么重要的消息为什么不立马公布？从死亡到宣布死讯，这一个月的时间窗口，足以让一个伪造自己死亡的人彻底改头换面。

此外 Cotten 的遗嘱为何没有交待私钥也值得怀疑。Cotten 在去世前不到两周提交了一份遗嘱，任命了他的遗嘱执行人，甚至连他还给他的两条狗都留下了 10 万加元，但 1.6 亿美元的数字加密币资产却偏偏没有提及。

有媒体质疑创始人在签署遗嘱时，为何偏偏就没有交代这笔财产？一般而言，富豪们在远赴异国出差或旅行之前，为防万一都会重新制定遗嘱。万一不幸发生以后，也可以使家属正常访问其重要文件和私钥。

此外有证据显示，Quadriga CX 的联合创始人曾是罪行累累的诈骗犯。律师 Stephen Palley 此前曾在推特上表示，据他得到的可靠消息称，Quadriga CX 的联合创始人 Micheal Patryn 其实还有另一重身份——也就是罪行累累的诈骗犯 Omar Dhanani 的化名。根据可查阅到的犯罪记录，Omar Dhanani 在 2005 年的一个案件中还曾化名为 Omar Patryn。






据悉，Omar Dhanani 与其他 5 人曾因非法盗用他人网络身份及参与信用卡诈骗案被捕入狱。他们曾一同运营组织犯罪网站 Shadowcrew（影子同盟）。从技术的角度来看，Micheal Patryn 和 Cotten 伪造一个死亡证明，并转移交易所资产，也不是没有可能。

消息越多，疑点也就越多。不少人开始质疑这是一场精心谋划的骗局，创始人带着资产跑路后诈死，最后携款潜逃远走高飞，只留下曾经信任他的投资者在这里等待结果，而他们可能等不到结果。  查看全部

今日，负责QuadrigaCX案件监察工作的安永（EY）与加拿大新斯科舍省高等法院共同发布了第一份报告。安永在报告中提到，该交易所“无意间”将价值37.08万美元的比特币转到了其已过世的首席执行官Gerald Cotten的冷钱包里。

报告写道：

    2019年2月6日，QuadrigaCX无意间将价值468,675加元的103个比特币转到了该公司无法访问的冷钱包中。如果可能的话，监察者将会和管理人员一起从各个冷钱包中取回这一加密货币。


在过去的几个星期时间里，有关QuadrigaCX及其奇葩的资金丢失经历的报道有不少。

 
这对比特币持有者来说意味着什么？
 

如果因为首席执行官去世，该公司的冷钱包或离线钱包无法恢复，那么“无意间”转到冷钱包的37.08万美元比特币就无法取回。

目前该公司及其债权人只能访问其热钱包。但安永透露，QuadrigaCX的热钱包持有不足100万美元的资金，远远不够偿还其欠下的逾1.5亿美元债务。

    监察者被告知，截至申请日之前，QuadrigaCX的热钱包持有约如下：总计约90.2743万美元。


无论是热钱包还是冷钱包，为了确保资金被发往正确的地址，大型加密货币交易所都会采取额外的措施。

把价值近40万美元的比特币从热钱包转到一个明知道自己不能访问的冷钱包就相当于一家公司把几十万美元转到了一个错误的银行账户。而QuadrigaCX偏偏就做了这样的事。

据《华尔街日报》报道，由于独立研究人员无法找到足够的证据来证明该交易所拥有的“冷钱包”真正存在，人们对QuadrigaCX对1.9亿美元的资金损失已经产生怀疑。

安永在报告中表示其正在试图访问所有存在的冷钱包，这就说明其尚未找到冷钱包。

    申请者和监察者将继续尝试访问Cotten的设备，找到并访问所有与QuadrigaCX相关的冷钱包，找到所有属于QuadrigaCX的加密货币，并且向法院报告这类活动。


 
QuadrigaCX案件——一个令人难以置信的故事
 

QuadrigaCX案件刚刚公开的时候，Kraken首席执行官Jesse Powell就曾说，这家交易所的故事“匪夷所思，而且令人难以置信”。






即便在当时，由于和这家交易所有关的部分加密货币钱包的动态，分析人士开始怀疑QuadrigaCX丢失钱包的性质，认为该交易所的声明没有足够的证据支持。

在安永发布这份报告之后，分析师和行业专家还不能确定，这家交易所首席执行官持有的加密货币“冷钱包”是否存在。

经安永证实，有37.08万美元的比特币被转到了一个冷钱包里，这可能意味着其发现了至少一个该交易所无法访问的冷钱包。

在未来的几个星期时间里，安永将继续寻找这家公司丢失的加密货币钱包。


原文：https://www.ccn.com/quadrigacx-sent-400000-dead-ceo-bitcoin-wallet
作者：Joseph Young
编译：Wendy 查看全部

「创始人意外死亡私钥丢失导致无法访问冷钱包，法币账户被银行冻结导致用户无法即时提现，QuadrigaCX 交易所欠用户的资产高达 1.9 亿美元。」


这家成立于 2013 年，曾是加拿大最大的加密货币交易所，在过去一年的时间里，同时遭遇了加密币世界和传统商业世界的致命问题，以至于不得不向政府申请债权人保护。

这并不是 QuadrigaCX 有多倒霉和离奇，而是长期忽视「资产安全」的结果——无论是加密数字资产的安全，还是传统商业的法律合规，都没有得到足够重视。QuadrigaCX 的事件也给整个加密货币交易所行业再次敲响了「资产安全」的警钟。


创始人意外去世，私钥无法追回


早在数月前，QuadrigaCX 交易所创始人就已经意外离世，只有他自己掌握了交易所冷钱包私钥，其他人包括他妻子在内都不知道。如今 QuadrigaCX 尝试恢复私钥数月，但迄今为止的进度很有限。

为了防止黑客盗币等其它攻击行为，很多交易所都会选择将数额巨大的加密数字资产存在冷钱包。截至 2019 年 1 月 31 日，约有 11.5 万名用户在 QuadrigaCX 登记了余额，其中涉及的法币为 7000 万加元，加密货币资产则为 1.8 亿加元。

使用冷钱包的唯一原因就是为了数字资产的安全。因为冷钱包采用不连连网多重加密，可确保玩币者的数字资产的不会被盗取。如果我们要是需要进行交易的话，可以把需要交易的货币量转移到交易平台，这样安全与交易两不误。

因此 QuadrigaCX 目前「只有少量币存放在热钱包中，」绝大部分加密货币资产是被存放在冷钱包中。据外媒 CoinDesk 获得的一份法庭文件显示，陷入困境的加拿大加密货币交易所 QuadrigaCX 欠下客户 1.9 亿美元，并且大部分资金已无法访问。


QuadrigaCX 交易所欠下 1.9 亿美元


这欠下的 1.9 亿美元债务，除了冷钱包里面无法转出的加密数字资产，还有被银行冻结的法币资产。早在 2018 年 1 月，加拿大帝国商业银行冻结了某支付处理公司账户中的 3000 万美元的资金，而 QuadrigaCX 正是通过该公司处理部分法币交易业务。

这给 QuadrigaCX 带来最直接的后果就是流动性降低。从去年 4 月开始，QuadrigaCX 便开始出现投资者无法即时套现的情况。有时提现需要数周时间，从去年 10 月份开始用户就已经很难提现了，有用户数月都无法成功提现。QuadrigaCX
解释称是由于加拿大监管的收紧，银行冻结了部分法币账户。

1 月 29，加拿大最大加密货币交易所 QuadrigaCX 一直显示无法访问。该公司将故障归咎于系统升级，网站上的状态信息似乎是不固定的：开始有消息表示 QuadrigaCX 正在进行升级，我们应该很快就能上线；稍后的消息只是简单地说，该站点已停机进行维护。（CoinDesk）

1 月 31 日，QuadrigaCX 的官网显示，该公司宣布已申请债权人保护。据悉，为了偿还客户资金，QuadrigaCX 正考虑出售其平台。「多方」已与该交易所联系，询问有关收购操作平台的事宜，但目前并未公布买家信息。


私钥丢失问题其实有解


如果事件就停在创始人死亡后私钥丢失，那么故事确实有些离奇。但所有人都忘记了其实数字加密货币基本上都具备一种名为「多重签名」的功能，它可以有效地防止这种事情发生。

在本次事件曝光后，知名微博逗逼 @ 比特派钱包 发博文称大额资产丢失其实可以通过「多重签名」的功能来解决。

所谓多重签名，指的是在交易发生之前需要多个签名或批准。在实际的操作中，即便私钥被盗，因为多重签名功能存在，黑客或者窃贼是无法完成数字资产转移的。同时，如果是多方（两方以上），即使一方死亡或者无法操作，另一方或者多方仍具备资产的控制权。

如果 Quadrigacx 交易所创始人与妻子创建了多重签名，此时遗孀仍然可以处理这部分资产，这一功能可以防止一方遗忘私钥或者突然死亡而导致的资产彻底消失。

多重签名还可以三人签名，也可以设置资产转移时需要几人同时签名等，来实现对资产的个性化控制。

然而，Quadrigacx 创始人并没有这么做，绝大多数交易所的资产都在冷钱包中存储着，只有少部分在热钱包中。现在，这家交易所的用户们只能眼睁睁地看着自己的资产就在交易所里存着，但是，他们这辈子都可能拿不到属于自己的数字加密货币资产了。 查看全部

据美国科技媒体BGR报道，三星最新款的Galaxy S10手机近照被爆出，从图片可以看出，这款手机自带了一个加密货币钱包。

目前Galaxy S10尚未对外公布，但三星已经向配件制造商和零售商发出了手机样品。

 
Galaxy S10内置加密货币钱包
 

推特网友Gregory Blake公布了几张疑似Galaxy S10样机的照片。这个韩国手机制造商似乎在这款新机中加入了新的功能“Samsung Blockchain KeyStore”（三星区块链秘钥库），以帮助用户控制他们的私钥和加密货币资金。

一旦这个区块链秘钥库完成认证并成功启用，用户就可以通过其自带的加密货币钱包收发加密货币。






从Blake公布的图片可以看出，目前该设备仅支持以太坊，或许是因为这只是样机，未来用户拿到的新机应该可以支持包括比特币在内的多个币种。

为了证明图片中的手机就是Galaxy S10，BGR记者表示：

    这的确是Galaxy S10，因为摄像头在右上角。A8s的前置摄像头是在左边的。另外，其前置摄像头是单镜头，这也证明了这台手机的型号是Galaxy S10。曲面屏也进一步印证了这一说法。


去年12月就有媒体报道称三星计划在S10系列中添加一个加密货币冷存储功能。当时，三星社区SamMobile的Adnan Farooqui确认该公司正在研发一款冷存储加密货币钱包，并计划部署在Galaxy S10中。

 
内置加密货币钱包，三星在下什么棋？
 

去年7月，三星表示，由于TEE（可信执行环境）的存在，运行加密货币钱包最安全的方式就是在手机的环境中。

和笔记本电脑、台式机以及其他设备不同，智能手机配备了独立于内存的原生环境。因此，存储在TEE中的数据不可能被操作系统修改，完全不存在数据泄露风险。

在智能手机中的TEE运作加密货币钱包可以提供更高的安全性和效率。而从现阶段来看，钱包和交易所依然青睐笔记本和台式机。

高级IT顾问和Samsung Insights供稿者Joel Snyder表示：

    只要正确利用了智能手机TEE的优势，这里将是最安全的存币地点。


如果三星Galaxy S10官方机真的内置了原生的加密货币钱包，那么对HTC等支持加密货币的区块链手机制造商来说将是一个巨大的挑战。


原文：https://www.ccn.com/samsung-galaxy-s10-bitcoin-wallet-leaked-by-insider-is-it-official/
作者：JOSEPH YOUNG
编译：Wendy 查看全部

（图片来源：unsplash）


据外媒近日报道，位于美国加州帕洛阿尔托的区块链安全公司BitGo开发了一个平台，让交易员可以买卖加密货币，而不必将其从冷钱包中取出。

 
专注于安全性
 

在加密货币交易所Cryptopia遭到黑客攻击几天后，总部位于帕洛阿尔托的安全公司BitGo宣布，它开发了一个平台，允许交易员直接从BitGo的冷存储托管库中买卖数字资产。

BitGo在2018年10月完成了B轮融资，获得了5,850万美元，吸引了亿万富豪投资者，比特币投资者诺佛格拉茨(Novogratz)的数字货币基金Galaxy Digital Ventures和高盛(Goldman Sachs)等投资者。

BitGo将与受到美国证券交易委员会（SEC）和美国金融业监管局（FINRA）监管的OTC交易平台Genesis Global Trading合作，建立必要的基础设施、流动性和合规。

据BitGo平台的首席执行官迈克尔·莫罗(Michael Moro)说，从本质上讲，Genesis Trading将匹配BitGo客户的买卖订单。这些资产将永远不会离开BitGo的冷存储库，因为Genesis拥有一个BitGo冷钱包。

最初将通过新解决方案提供的加密货币包括比特币、比特币现金、以太坊、以太坊经典、莱特币、瑞波币和ZCash。

此举旨在满足吸引机构投资者的托管要求。

 
托管服务需求
 

机构级别的托管解决方案的必要性已不止一次得到了行业专家的强调。

诺沃格拉茨本人去年表示，这类解决方案可能会推动下一轮牛市。

他解释说:

    “我认为，下一步需要一个值得信赖的来源来托管加密货币。这将需要更多的监管透明度。如果没有这两件事，我认为比特币无法达到1万美元，因为这是吸引机构投资者的原因。但我们会做到的。”


这方面的一个重大进展就是Bakkt的仓储解决方案，前提是它获得监管机构的批准。除了提高实体安全措施，Bakkt还希望允许比特币期货的预付款购买和销售，从本质上消除违约风险。

与此同时，Bakkt的清算所还将拥有一个专门的担保基金，完全由Bakkt出资，以覆盖该平台的资产。


原文：https://bitcoinist.com/goldman-sachs-cold-storage-bitgo/
作者：GEORGI GEORGIEV
译者：夕雨  查看全部

今年年初，一家日本数字货币交易所 CoinCheck 宣布遭遇黑客攻击，约 4 亿美元的新经币（NEM）被窃；

今年6月，韩国最大比特币交易平台、世界五大比特币交易所之一 Bithumb 被盗市值 3000 万美元的 token；

……

根据腾讯安全发布的《2018上半年区块链安全报告》显示，从 2013 年到 2018 年上半年，加密数字货币市场共发生过 54 起安全事件，其中 10 件重大安全事故由黑客攻击引起。仅今年上半年，黑客攻击导致 20 亿美元损失，区块链领域因安全问题损失超 27 亿美元。

为什么交易所被黑客频频得手？你的数字货币，是否安全？区块链生态系统中哪一环节更容易出问题？硅谷洞察研究院今日就试图分析、还原出一份属于区块链生态的安全图谱。


方式：传统攻击远多于新型攻击


在讨论生态安全之前，不妨先对区块链现有技术架构进行切割。硅谷洞察研究院参考业内现有的安全报告，对标准区块链架构进行简化、调整，大致可分为：底层硬件、基础层、中间层、应用层四个层次。





（区块链技术架构图，版权属于：硅谷洞察）


可以说，这众多环节里，只要稍有不慎，区块链就会受到安全的威胁、攻击。硅谷洞察研究院发现，尽管区块链属于新兴技术行业，但在遭到各类安全攻击当中，传统攻击仍居多。

荷兰应用科学研究组织与新加坡科技设计大学的研究人员曾建立了一个区块链安全事件数据库（Blckchain Insident Database），把导致资产损失的攻击事件定义为“安全事件”。那么，安全事件一共有多少起呢？从 2011 年到 2018 年，共有 86 起。造成的损失有多少呢？至少高达 35.5 亿美元。

硅谷洞察研究这 86 起攻击发现，主要是传统攻击、智能合约攻击和共识协议的攻击，三种攻击所占的比例大约为：66%、22%、12%。  

这些传统攻击包括什么呢？最典型的就是黑客攻击，常见还有用户电脑感染木马。

专注区块链生态安全的慢雾安全团队告诉密探，这是因为区块链技术并不是基于完全新的、以往没有出现过的技术打造的，而是组合了各种现有的基础设施，加入新的经济、治理模型，所以传统安全攻击会存在。比如像中心化的交易所、钱包，但背后承载形式其实是 Web 系统、移动 App。所以遭到传统攻击，是不可避免的。


攻击对象：交易所与智能合约是重点


从当前多起区块链安全事件的结果导向来看，这恰好符合业界人士对区块链世界安全问题的共识：“区块链 1.0 时代，重心是在密钥和交易所上，而区块链 2.0 时代的重心则是智能合约。”

先来说说交易所。

卡内基梅隆大学研究人员发现，从 2010 年至 2015 年间建立的 80 家交易所当中，有近一半（38家）已经关闭。其中 25 家交易所遭遇安全漏洞，其中 15 个随后关闭。对于交易所而言，在遭遇安全漏洞后同一季度关闭的可能性比没有遭遇安全漏洞的交易所，概率高出 13 倍。

如今对交易所的攻击方式有哪些呢？根据《区块链安全生存指南》中统计，主要有下面四种方式：服务器被攻击、主机安全问题、恶意程序感染、DDoS 攻击。

比如韩国交易所Youbit（原Yapizon）被盗事件，就是在交易所服务器上发现了恶意软件，这被认为是朝鲜黑客组织 Lazarus 发起的。

密探此前介绍过“比特币第一疑案”——门头沟交易所被盗事件。门头沟共发生了两次被盗，第一次在 2011 年，由于门头沟审计人员所使用的一台电脑权限被攻击导致；第二次是遭到恶意程序感染，共损失 75 万个比特币和门头沟自己的 10 万个比特币，当时这批比特币总价值约 4.5 亿美元，按今天币价来看，将近 50 亿美元！第二次攻击事件也直接导致了门头沟交易所的破产。

说完钱包和交易所，我们来看看智能合约。

新加坡国立大学研究人员 Loi Luu和研究团队曾对以太坊智能合约的潜在安全进行长期检测，他们用开源安全分析程序 Oyente 检测后发现，19366 个以太坊智能合约中，有 8833 个是有缺陷的。这意味着接近一半的智能合约是有潜在安全隐患的。

香港理工大学博士生李晓琦和研究团队曾就区块链安全发表了多篇论文，李晓琦告诉硅谷洞察研究院，“很多代币被黑客进行攻击，就是利用了合约漏洞，大都是代码层面的逻辑漏洞”，而智能合约在代码层面遭到攻击，人为因素在其中起到了重要作用。比如在写代码的过程中，一些智能合约的开发没有得到充分优化，从而导致浪费以太币、消耗过多的 Gas，甚至引起对用户节点造成 DDoS 攻击等风险。

也就是说，即使是针对智能合约或交易所发动的攻击，哪怕在中间层——智能合约代码层面的问题，也可能影响到底层节点。对再去中心化的区块链而言，安全也是“牵一发而动全身”。

慢雾安全团队认为，确实会频繁听到关于智能合约的攻击事件，但并不是说只有这些层才有漏洞，而是因为某些层的研究门槛较低，所以才会频繁听到关于这方面的攻击事件。区块链技术的每一层都有独特的攻击面，由于设计逻辑和承载形式不同，针对每一层的攻击都需要深入分析其底层或者说内部原理，挖掘设计或实现上的缺陷。





（图片来自网络，版权属于原作者）


硅谷洞察研究院根据区块链现有常见的安全漏洞，总结出了下表：





（区块链不同技术层常见攻击，版权属于：硅谷洞察）


现有解决方案：学界业界有共性


针对现有的安全问题，学界和业界提出了什么解决方案呢？

据香港理工大学博士生李晓琦介绍，计算机学术界对区块链行业的敏感度很高，因为数据存储、点对点传输、区块链共识机制、加密算法，乃至安全问题，都是计算机技术的集成应用。如今，不少高校研究团队，已针对现有安全问题，提出了相应解决方案：

比如新加坡国立大学研究人员 Loi Luu，在博士生期间提出两个开源项目。一个是针对区块链共识机制的 51% 算力威胁，提出去中心化挖矿协议——SmartPool ，另一个是前面提到的 Oyente——帮助开发者在主网部署合约之前检查智能合约漏洞的软件。Oyente 创始团队告诉密探，目前 Oyente 仍在多家区块链创业公司中使用。

荷兰与新加坡的研究人员则认为，要想减少智能合约的安全隐患，对智能合约的验证和测试则很重要，而且必须纳入智能合约的设计环节当中。因为，智能合约并不像传统的代码可以修补、迭代，相反，一旦部署到链上，是不可逆转的。当检测到漏洞时，必须部署新的智能合约来修复它。

该研究人员提出以下四种方式，作为验证和测试的工具：第一，完善测试文档，让安全测试流程标准化；第二，模糊（Fuzzing）智能合约的输入；第三，为智能合约开发变异工具；第四，搜索区块链已经部署智能合约的痕迹。

如今，市场上的创业公司针对智能合约安全问题，主要有三种方式检验，第一是测试，第二是审计，第三是形式化验证。简单说，测试依靠程序自动跑，审计靠专家的专业知识去审核，形式化验证靠的是数学方法。  

在慢雾安全团队看来，学界和业界具有众多共性，比如针对智能合约，形式化验证和自动化模糊测试，是目前业界不少团队在做的，而前面学界提出的解决方式之一，就有模糊测试。

无论是交易所，还是钱包，或者是Dapp，背后都站着广大的用户。去中心化通证交易平台 Kyber Network 则建议，从用户角度来看，特别是刚刚进入行业的非技术型用户，并不都具有阅读智能合约并判断 Dapp 真正目的的能力，所以应先从保管好自己的密钥/资产安全做起。

进行过数字货币交易的用户应该知道，数字钱包的密钥多半是一串没有任何规律的字母和数字组成，用户为了方便，通常把它保存在一个剪贴簿，当需要使用时再复制粘贴。但是，一旦自己电脑感染木马，则有可能被黑客追踪剪贴簿的地址，数字钱包就有可能被盗了。





（图片来自网络，版权属于原作者）


慢雾安全团队还建议，用户只参与通过专业安全审计机构把关的 DApp 或游戏，并且要求项目方将代码开源，杜绝后门或漏洞。


趋势：市场大，机会多，门槛高


按照腾讯安全发布的《2018上半年区块链安全报告》来看，区块链领域因安全问题损失超27亿美元，也就意味着，安全市场存在着巨大需求，因为它贯穿于区块链技术的每一个环节。

但硅谷洞察研究院发现，无论是 PitchBook 还是 CB Insight 的数据库，对区块链创业公司的类别划分中，安全并未单独成为一类，而把其跟身份认证、监管、数据储存等归位一类。慢雾安全团队认为，在任何行业发展过程中，安全一般是滞后的。在区块链行业不断发展的过程中，会伴随着安全事件的发生，给行业从业者带来警醒作用。





（截图自PitchBook 2018第三季度融资报告）


研究 PitchBook 2018年第三季度融资区块链公司发现，属于安全类别中的初创公司主要专注于交易安全，比如做比特币安全钱包的公司 Xapo 和硬件钱包公司 Ledger。Filament 和 Post-Quantum 则分别关注物联网与区块链的结合，以及区块链网络通讯安全。可见，对于区块链安全领域的创业，参与者并不多，市场很大，机会也很多。

分析 PitchBook 这几家公司可以发现，像 Xapo，成立于2012年，为用户提供在线比特币钱包、离线冷储存和基于比特币的借记卡三种服务。至今总融资额已高达4000万美元。投资人当中，就有领英创始人 Reid Hoffman、Max Levchin 等硅谷大佬。





（Greylock Partners 宣布投资Xapo）


同样做钱包的 Ledger，成立于2014年，如今总融资额高达 8500 万美元，最新一轮融资额高达7500万美元。

除了钱包公司屡获高额融资之外，交易所也瞄准了钱包。

就在 8 月，按交易量计算，全球最大加密货币交易所Binance（币安），对外第一笔收购就是移动钱包公司Trust Wallet。Trust Wallet 作为一款去中心化的加密钱包，目前主要专注于为基于以太坊区块链的数字代币提供安全存储服务，用户的私钥或其他隐私信息并不会保存在该公司的服务器上。

慢雾安全团队认为，这恰好意味着安全逐渐成为区块链的刚需，行业渴望数字资产的安全感。

但是，参与者少，融资额高，并不意味着参与者可以随时进入。总的来说，针对区块链安全生态的创业公司并不多，这是由区块链安全创业的高门槛决定的。慢雾安全团队认为，第一，是安全攻防实战经验的门槛，第二是要有区块链技术门槛。更重要的是，要守正出奇，需要创业者站在攻击者的视角去思考问题。

“你的对手是地下黑客，是亡灵军团，他们往往在暗处，他们毫不留情地收割。你得快，才能保护好用户。安全需要：唯快不破”。慢雾安全团队负责人告诉硅谷洞察研究院。

在安全事件频发的区块链领域，你持有的数字货币被盗过吗？大家又遭遇过什么安全事件？欢迎留言讨论。 查看全部