比特币最活跃的核心开发者之一皮特•威尔(Pieter Wuille)正式提出了一种名为Erlay的新比特币改进提议（BIP），该协议将帮助比特币网络进一步发展，并使其免受多种攻击。

根据巴比特此前报道，比特币代码维护者之一Pieter Wuille，比特币重要贡献者Gregory Maxwell，不列颠哥伦比亚大学学者Gleb Naumenko、Sasha Fedorova以及Ivan Beschastnikh，共同提出了Erlay协议。如今Pieter Wuille正式将其提交成为BIP，Erlay距离成为比特币的一部分更进一步。

 
Erlay解决了什么问题？为什么如此重要？
 

比特币的工作原理是分布式账本技术（DLT），这就是为什么网络的安全依赖于这些节点之间的连接性。到目前为止，有9277个活跃的比特币节点在运行，然而根据研究，整个网络的连通性却非常低。

    “ @tomatodread和我已经完成了比特币P2P协议中高效交易中继基元的BIP草案——Erlay，这是一个高效交易中继的完整方案，它可以看作是一组围绕使用这些附加功能的客户端策略——Pieter Wuille”


这位比特币核心开发者发布的这篇论文强调了比特币网络的两个主要问题，也是提出的这个BIP协议旨在解决的问题：

    比特币网络目前的连通性太低，无法实现最佳安全性。
    不断增加的连通性将大大增加交易传播协议所使用的带宽，使得运营比特币节点的成本高得令人望而却步。


简单来说，Erlay不仅能够让比特币网络变得更加安全，而且能够降低带宽消耗，让比特币节点运行成本更低。

比特币节点包含完整的区块链网络的交易历史，在保证网络去中心化和安全方面发挥着至关重要的作用。然而，运行一个节点并没有经济上的动机，而且人们只是出于对DLT的喜爱才运行它。事实上，运行一个比特币节点是一项相当复杂和昂贵的任务，这就是为什么许多人提出了改变，使运行比特币节点在资金成本上更加可行。

 
Erlay协议将使节点的带宽使用降低40%
 

Core开发人员注意到，目前，操作一个节点所需的总带宽的一半用于向网络广播交易。现有协议的带宽消耗呈线性增加，这意味着随着网络节点数量的增加，带宽消耗也随之增加。

Erlay协议承诺基于当前的连通性，将节点的带宽消耗降低40%，从而解决这个问题。它还将改善节点之间的连接，从而使带宽消耗保持不变。因此，Erlay协议不仅可以使比特币网络更加安全，连通性更好，而且可以确保在没有任何激励的情况下运行比特币节点时的复杂性更低和更具成本效益。


原文：https://eng.ambcrypto.com/bitcoin-core-developer-opens-draft-bip-protocol-erlay-for-review-promises-to-reduce-bandwidth-consumption/
作者：Prashant Jha
编译：Kyle 查看全部

总部位于美国的加密货币交易所Kraken首席安全官Nick Percoco宣布，双重身份验证（2FA）现已成为该交易所用户的强制性要求，该帖子发布于3月26日的公司官方博客上。

2FA是访问帐户所需的附加组件。通常2FA要求用户在输入其登录信息后还需输入通过SMS接收的一次性密码（OTP）。根据公告，Kraken将支持Google Authenticator和YubiKey作为2FA。

YubiKey是一个专门用于生成OTP的硬件设备，而Google Authenticator是一个智能手机APP，同样用于生成一次性密码。该帖子指出，自Kraken于2013年推出以来，2FA一直作为其用户的额外安全选项。

该公告还指出，该措施是其安全功能路线图中更改的一部分，该路线图覆盖至“2020年及以后”。虽然路线图本身不会公开，但Percoco声称随着未来的变化将会公布并且需要用户采取行动。

他还披露了Kraken安全实验室的成立，该实验室致力于提升公司产品和环境的安全性。此外，该团队还将针对第三方产品（如硬件和软件钱包及相关技术）进行漏洞研究。

Percoco还承诺，Kraken的网络安全团队将负责地披露已确定的问题，以提高加密生态系统的整体安全性。

正如先前报道的那样，主要的硬件钱包制造商Ledger公布了其直接竞争对手Trezor设备的漏洞。另一方面，Trezor声称所发现的问题都不严重。

欺诈性黑客正在崛起，最近的一份报告声称，日本与去年相比，被攻击的物联网设备和加密货币网络的数量在2018年几乎翻了一番。 


原文：Crypto Exchange Kraken Makes 2FA Mandatory and Forms New Security Lab
来源：Cointelegraph
作者：Adrian Zmudzinski
编译：Penny 查看全部

近期，CSDN发布了《2018-2019中国开发者调查报告》（以下简称「报告」），报告根据2018年的技术趋势和热点，以及市场上出现的新技术为出发，全面覆盖国内各类软件开发者人群、地域和行业。

在区块链领域中，该报告以公链、联盟链、开发工具、智能合约等主流领域的开发者为出发，绘制成了一副完整的「区块链开发者现状图」。此外，邀请了区块链通证经济专家孟岩作为点评，对每项调查结果进行评价。

作为区块链开发者，相信这份调查对于你对行业的理解和技术的把控，都有很大的裨益。


近半数开发者仅了解区块链的皮毛
 

作为新兴技术，区块链虽然是这几年最热门的技术话题之一，但在本次调研中，正在使用或准备使用区块链技术解决实际问题的开发者仅占27%。

虽然比2017年的10%有很大提高，但相比于44%的开发者对区块链仅了解一些概念，这一比例还是显得有点低。






有趣的是，在孟岩看来，即使是27%的开发者正在或是准备使用区块链，这个比例仍然太高了。他直言，这可能是「小样偏差」造成的。

 
数据分析人员对区块链更敏感
 

在所有技术岗位中，数据分析人员对区块链技术更为敏感。报告显示，有42%的数据分析人员已经使用或准备使用区块链技术解决问题；网络安全人员紧随其后，这一比例达到了40%。







4成开发者拥有加密数字资产

在调查者中，4成开发者表示拥有加密数字资产，2017年这一比例仅为27%。







在其他领域中，教育/培训/学术/科研/院校等行业的加密数字资产普及率较高，比例占到56%。互联网/移动互联网/电子商务、计算机软件、IT服务/系统集成等行业，拥有加密数字资产的开发者也达到了40%。







5成开发者从事公有链开发

报告显示，50%的开发者从事公有链（比特币、以太坊）的开发，27%的开发者从事区块链行业解决方案的开发，26%在从事联盟链（Hyperledger、R3 Corda）等开发。







但这一结果并不能显示区块链开发中的一些结合领域。比如用Hyperledger做行业解决方案的开发者，就介于选项二和选项三之间。

因此，孟岩认为，要想把区块链的优势发挥出来，通证是大杀器。

在所有区块链开发平台中，比特币和以太坊是目前用户最多的，在本次调研中，分别占44%和28%。







对此，孟岩认为，以太坊的优势在于文档和教学资源比较丰富，但是其他方面的颓势越来越显露出来。究其原因，无外乎其性能的瓶颈。如果这一问题不解决，EOS超越以太坊，指日可待。


Java和Python成为区块链主流开发语言

在调查张，智能合约的开发使用Java、Python和Go的比例最高。分别有32%、32%和31%的比重。







而DApp的开发中，Java的使用更是占了51%。

不过孟岩认为，这一结果只能反映Java和Python的开发者数量庞大。当前智能合约的开发还是以Solidity（以太坊）和C++（EOS）为主。

而公链基础设施，则不是C++就是Go，没Java和Python什么事。


5成开发者希望使用区块链技术

在调研中，开发者最希望了解的是如何使用区块链进行研发，比例占50%；其次是希望了解几个主流区块链平台的应用开发技术和区块链基础知识的普及，本别占45%和44%。







在众多应用场景中，「金融」依然是呼声最高的应用落地方向，占63%；此外，知识产权管理和商品防伪、智能硬件和物联网也被认为是主流应用方向，分别占42%和41%。







关于这一点，孟岩既赞同又不赞同。原因在于，金融作为重度监管的行业，既得利益者实力雄厚，而且早就跟权利结为一体，想要撼动谈何容易。

而另一方面，金融行业的既得利益者，也不是铁板一块，如果出来主导区块链化，也可能会有好的发展。

在区块链与其他技术领域结合中，大数据、物联网和云计算被普遍看好，分别占47%、43%、41%。

除此之外，79%的开发者表示，会考虑1年内进入区块链领域。 作者 | Aholiab 查看全部

马耳他金融服务管理局（MFSA）于2月8日在推特上表示，将发布一项关于网络安全的咨询文件，内容与区块链等新技术相关。

在一份名为“网络安全指导说明”的咨询文件中，MFSA建议该机构的网络安全系统应符合国际标准，包括欧洲银行管理局（EBA）的指导方针。

该方针还指出，标准应基于公认的网络安全政策列表，例如加密货币安全标准（CCSS），该标准于2014年推出，旨在为加密货币的安全管理提供指导。

该指导说明针对的是投资虚拟货币的专业基金、发行人以及虚拟金融资产法案（VFAA）的代理商和服务提供商，后者则作为客户与当局之间的中间人。

文件声称网络安全举措的兴起引发了更为复杂的网络攻击，MFSA概述了确保行业在风险管理、客户保护以及新的生态系统内的市场完整性方面，使用网络安全政策的必要性。

在继续采用指导说明之前，MFSA正在寻求业界反馈，咨询期将即日向公众开放，直至2019年3月8日。

马耳他对区块链和加密货币行业采取了支持性立场，由于其加密货币友好政治环境，马耳他甚至被称为“区块链岛”。然而，最近国际货币基金组织（IMF）声称，马耳他区块链的增长使岛上经济存在洗钱和恐怖主义融资风险。

此前，马耳他政治家和欧洲议会议员（MEP）Roberta Metsola声称，由区块链技术推动的去中心化“提高了安全性”，并且“增加了信任”，使人“更加安心”。 


原文：Maltese Financial Regulator Issues Cybersecurity Consultation for Blockchain Industry
来源：Cointelegraph
作者：Helen Partz
编译：Miracle Zhang 查看全部

在中国科技圈流行着这样一个段子：“不知妻美刘强东、悔创阿里杰克马、普通家庭马化腾、下周回国贾跃亭、名下无房潘石屹、顺便赚钱丁三石、顺丰不快王卫兄……”这个并不押韵、却字字诛心的顺口溜，在2018年又加了句“人生失败周鸿祎”。

2018年3月30日，360创始人周鸿祎在朋友圈发布了一句话：“我的人生竟然如此失败，没有任何意义。”一时间引爆网络舆论，很多人开始调侃：如何能够做到像周鸿祎一样失败，而“人生失败周鸿祎”这半句也就此加入了中国互联网大佬金句的豪华套餐。

那么，是什么让周鸿祎发出了如此哀叹，而他和360，又是如何利用区块链来摆脱困境的呢？

 
01  被剥离的主营业务


故事的开端，还要从2015年开始说起。众所周知，中国的互联网行业有一个怪现状：那就是作为最近几年经济发展的重要驱动力量，N多互联网企业由于政策原因，无法在中国的A股上市。所以，这些互联网公司在进行IPO时，几乎是集体出海。这样便形成一种现象：虽然这些在海外上市的互联网公司的主要收入来自于中国，其分红却基本留给了外国投资者。

面对这样的资本损失，证券管理部门自然是倍感焦虑。近几年，中国证监会开始计划将海外的中国互联网巨头都吸引回A股，而中概股也由此掀起了一阵回归A股的潮流，包括分众传媒、当当、学大教育在内的诸多知名互联网企业，纷纷以私有化方式从美国资本市场退市，并谋求登陆A股市场。

作为老牌互联网巨头的360，也加入了此大潮。2016年，以周鸿祎为首的投资者联盟收购了美股市场上的360股票，并从纽交所退市，成功完成私有化。2018年2月，360借壳回归A股，估值从退市时的100亿美元暴增至600多亿美元，一时间市场震动。

从私有化到借壳上市，再到高估值变现退出，360几乎打造了一个样板式的资本市场转移路线。当然，在回归A股时，它也付出了一些成本，其中最昂贵成本就是：出于安全保密等相关要求，360的“国家安全及社会安全服务”（主要为网络安全）等相关业务，需要从上市公司中剥离出去，转而“为中国的网络安全进行服务”。

这一刀下去，可是要了360的老命。众所周知，网络安全服务是360公司最具想象空间的王牌业务。剥离网安业务，相当于你要求京东剥离电商，百度剥离搜索，网易剥离游戏。

对于360而言，剥离网络安全服务后，只剩下包括智能硬件在内的业务。现如今，它的主要收入来源是互联网广告。数据显示，360互联网广告收入已占到该公司总收入的75%。





2017年360业务收入构成


除广告外，360其他两项流水业务电子游戏和智能硬件增长平平。周鸿祎是否因此而发出“我的人生如此失败”的感叹，我们就不得而知了。

现如今，在众星扎堆的区块链领域，360会采取什么战略进行布局，在这个新兴领域站稳脚跟呢？


02  互联网老鸟的“史诗级营销”


在2018年春节之后，突然兴起一场轰轰烈烈的“区块链焦虑大潮”，无数传统行业的名人以及企业，都想方设法地要挤上区块链这辆通往未来的列车。那如何才能在这个行业里刷出自己的存在感呢？

360就在2018年5月底，上演了一场让很多区块链媒体惊叹的“史诗级营销”战略。

2018年5月底，距离被称为“区块链3.0”融资规模高达40亿美元的EOS上线已剩下不到一周。我们不难发现：越是这种倒计时的时刻，人们的神经就变得越来越紧张，经常会做出一些动作走形的事。当时的EOS，也是一样。

在紧绷的神经之下，市场上的多头和空头们都多少有点儿失态。多头们狂呼“拿住多少个EOS便可实现财富自由”这样的惊人之语；而空头们则一边猛烈抨击EOS的中心化，称其必将一地鸡毛，一边忙着拷贝EOS的代码。

在这样的情况下，5月29日午间，360安全卫士官方微博发布消息称，360公司Vulcan（伏尔甘）团队发现了区块链平台EOS的一系列高危安全漏洞。其中一些漏洞，甚至可以通过在EOS节点上远程执行任意代码，直接控制和接管EOS上运行的所有节点，从而完全控制EOS网络的运行。譬如，窃取EOS超级节点的密钥，控制EOS网络的虚拟货币交易；获取EOS网络参与节点系统中的其他金融和隐私数据等。两小时后，周鸿祎发布微博称，这一区块漏洞的价值超过百亿美金，严重情况下，EOS乃至整个虚拟货币市场，都会遭遇滑铁卢。





360震动区块链行业的两条微博


360发布的官方微博消息，加上“红衣主教”颇为夸张的字眼，立刻在业内引发强烈地震，诸多从业者纷纷加入论战。

总体来看，人们感到意外的地方有两点：一是360这个网安巨头居然会关注区块链，而且其关注点并非联盟链，而是公有链中的某一个具体项目；二是被称为明星项目的EOS竟然存在如此大的安全漏洞，实在是令诸多拥趸大跌眼镜。而EOS社区大概也没料到：在主网上线之路上，会遭遇如此专业的狙击，多少有点儿狼狈。

360的淡定与区块链行业的混乱，形成了鲜明的对比。在年初BEC、SMT相继出现智能合约漏洞、区块链安全成为业内重要关注点的情况下，360迅速确立了自己在区块链行业的地位。

在披露EOS漏洞当天，360便陆续与币安和欧链（OCT）达成合作，在合约审计、区块链底层技术和应用等多方面提供解决方案。

据360方面事后宣称，其在2013年就已经开始布局区块链安全研究，而现在也已经成立了360安全平台，提供了包括钱包、矿池、交易所、智能合约和EOS超级节点在内的安全解决方案，几乎涵盖了区块链生态中的所有业务。





360区块链安全产品


那么，360有没有能力在区块链行业延续自己的网安传奇呢？就发展现状而言，360的胜算似乎很大，其在区块链行业所面临的对手主要是一些成立不久的初创型公司。换句话说，在企业层面，360在资源及人力方面具有显著优势。关键是，在行业层面上，为传统的中心化互联网公司提供解决方案的企业，能否解决去中心化互联网公司（即区块链公司）的问题？

对于该问题，业内目前并没有统一看法。一种说法是，从传统互联网安全领域出生的360与其他公司相比并不具备优势，因为区块链所专注的共识算法、分布式存储和非对称密码学研究都是全新方向，即便是传统互联网大公司也需要重新学习和积累。而另一种说法是，区块链的技术架构并没有想象中的那么神秘，即便是一些所谓的“先行者”，其也不具备明显的领先优势。更何况，现在区块链技术遭遇实体落地应用的发展瓶颈，行业整体处于停滞状态，此时若想迎头赶上，也并非难事。


03  逆向飞行的360


也许，对于360来说，代码安全性的审查可能是其切入区块链的最好方式。尽管网络安全在IT投资中所占比例一般为10%到15%，但幸运的是，相比于一穷二白的互联网创业者，区块链项目方一般在初始阶段就能募到很多钱，而区块链的安全问题相对来说又比较复杂，一般的团队无力招募相关的安全人才，所以一般都会把这一块业务外包出去。

从这点来看，360的区块链布局，可以说是非常成功。就在包括BATJ在内的互联网巨头争相入局区块链，绞尽脑汁想要与实体经济结合时，360却走了一条完全不同的路。正如坊间那句“挖金的不如卖水的”。360如果不下厂亲自挖矿，而是在后方为区块链生态中的参与者提供安全服务的话，不仅可以赚得盆满钵满，更可以保持一个相对超然的地位。

不难发现，360的区块链布局与其他互联网巨头的区块链布局有所差异。之前提到的那些巨头们的布局特点是：先在自己的边缘业务上试水，若达到预期，再与核心业务结合，即按照“边缘业务-核心业务”的发展轨迹。而360走的基本上是一条相反路线：先用核心业务来确立行业地位，然后再逐步将区块链与自己的边缘业务进行结合。






为什么会出现这种情况？

要回答这个问题，我们首先要了解一件事——由于大多数业内人士认为区块链能够改造世界，所以他们在分析互联网巨头的区块链布局时，会先入为主地把这些公司都想象成无条件拥抱区块链的立场。

但事实并非如此，这些大公司最看重的还是那些能够带来稳定现金流的主业以及其他需要补强的板块。所以，在剖析这些公司的区块链布局时，我们一定要明确：这些公司目前最渴求的是什么？

对于360而言，虽然它在区块链行业安全服务领域打了漂亮的一仗，但也许没有解决自身目前面临的最大痛点。

尽管360作为一个安全服务商，能够在区块链领域保持自己相对超然的行业地位与口碑，但目前暂时未看到资本市场给它带来的好处。

在这种情况下，360不得不更为审慎地布局，认真思考如何将自己打造为A股区块链领域的龙头？

——End——

『声明：本文为白话区块链特约作者「孙副社长」供稿，文章为作者独立观点，不代表白话区块链立场，亦不构成任何投资意见或建议。』 查看全部

11月10日，来自巴西的EOS RIO开发组织发出警告，Play商店出现了一个simplEOS钱包诈骗程序，该EOS钱包程序能窃取用户私钥，盗窃用户资金。






EOSRIO组织主要活跃于巴西，它也是EOS重要的超级节点之一。EOSRIO领导者是人工智能及区块链专家，是个帅哥。






虽然EOS RIO已经采用安全措施使恶意程序失效，但该组织提醒用户从Google Play下载钱包应用程序要注意风险。






目前，该恶意程序已从Play商店删除，尚不清楚有多少用户下载了恶意程序。


1 第三方软件安全问题频发


关于第三方EOS应用程序欺骗用户情况，这不是第一次。今年早些时间，YouTube热门人物Hodgetwins因从Apple App商店下载了EOS的恶意假钱包导致损失了8,000多美元。

值得注意的是，恶意的加密货币应用程序在Google Play商店中似乎很常见。

本月，安全研究员Lukas Stefanko发现，一款名为Easy Rates Converter的应用程序表面看是正常的数字货币交换。然而，安装该程序后，程序会非法监控用户设备，然后运行正常的程序，其中一个选项就是打开币安交易所Binance，然后偷偷记录登陆敏感信息以窃取资金。

再早些时候，同样是谷歌的Play商店出现了恶意的MetaMask程序，该程序成功地骗取了价值约为2700美元的以太坊用户资产。

谷歌在7月份曾禁止其Play商店使用加密货币挖矿程序。不过，有调查表明这些防范机制被绕开。


2 数字资产安全问题堪忧


从原理上讲，区块链技术通过HASH、非对称密码、数字签名等机制保证了较高的安全性和可信性，然而在工程实现、实际应用和使用管理方面，数字资产安全管理问题仍然存在。

数字资产的安全问题，除了精心构造的恶意第三方钱包和交易所软件外，还有很多不容忽视的安全问题。比如私钥的保管，比如钱包、交易所软件自身的漏洞，特别是API漏洞，以及智能合约溢出漏洞等。

在中心化的系统中，如果银行帐号或私钥丢失了，还可以通过身份证等凭证找回帐号。而如果在完全去中心化的区块链世界里，一旦丢失了私钥，其资产将石沉大海，你也只能欲哭无泪了。

从这一点看，数字资产的保管比传统中心化系统中还不安全。所以，对于普通用户来说，了解数字资产和区块链的安全痛点，谨慎保管和使用数字资产，才是最重要的。 查看全部

今年年初，一家日本数字货币交易所 CoinCheck 宣布遭遇黑客攻击，约 4 亿美元的新经币（NEM）被窃；

今年6月，韩国最大比特币交易平台、世界五大比特币交易所之一 Bithumb 被盗市值 3000 万美元的 token；

……

根据腾讯安全发布的《2018上半年区块链安全报告》显示，从 2013 年到 2018 年上半年，加密数字货币市场共发生过 54 起安全事件，其中 10 件重大安全事故由黑客攻击引起。仅今年上半年，黑客攻击导致 20 亿美元损失，区块链领域因安全问题损失超 27 亿美元。

为什么交易所被黑客频频得手？你的数字货币，是否安全？区块链生态系统中哪一环节更容易出问题？硅谷洞察研究院今日就试图分析、还原出一份属于区块链生态的安全图谱。


方式：传统攻击远多于新型攻击


在讨论生态安全之前，不妨先对区块链现有技术架构进行切割。硅谷洞察研究院参考业内现有的安全报告，对标准区块链架构进行简化、调整，大致可分为：底层硬件、基础层、中间层、应用层四个层次。





（区块链技术架构图，版权属于：硅谷洞察）


可以说，这众多环节里，只要稍有不慎，区块链就会受到安全的威胁、攻击。硅谷洞察研究院发现，尽管区块链属于新兴技术行业，但在遭到各类安全攻击当中，传统攻击仍居多。

荷兰应用科学研究组织与新加坡科技设计大学的研究人员曾建立了一个区块链安全事件数据库（Blckchain Insident Database），把导致资产损失的攻击事件定义为“安全事件”。那么，安全事件一共有多少起呢？从 2011 年到 2018 年，共有 86 起。造成的损失有多少呢？至少高达 35.5 亿美元。

硅谷洞察研究这 86 起攻击发现，主要是传统攻击、智能合约攻击和共识协议的攻击，三种攻击所占的比例大约为：66%、22%、12%。  

这些传统攻击包括什么呢？最典型的就是黑客攻击，常见还有用户电脑感染木马。

专注区块链生态安全的慢雾安全团队告诉密探，这是因为区块链技术并不是基于完全新的、以往没有出现过的技术打造的，而是组合了各种现有的基础设施，加入新的经济、治理模型，所以传统安全攻击会存在。比如像中心化的交易所、钱包，但背后承载形式其实是 Web 系统、移动 App。所以遭到传统攻击，是不可避免的。


攻击对象：交易所与智能合约是重点


从当前多起区块链安全事件的结果导向来看，这恰好符合业界人士对区块链世界安全问题的共识：“区块链 1.0 时代，重心是在密钥和交易所上，而区块链 2.0 时代的重心则是智能合约。”

先来说说交易所。

卡内基梅隆大学研究人员发现，从 2010 年至 2015 年间建立的 80 家交易所当中，有近一半（38家）已经关闭。其中 25 家交易所遭遇安全漏洞，其中 15 个随后关闭。对于交易所而言，在遭遇安全漏洞后同一季度关闭的可能性比没有遭遇安全漏洞的交易所，概率高出 13 倍。

如今对交易所的攻击方式有哪些呢？根据《区块链安全生存指南》中统计，主要有下面四种方式：服务器被攻击、主机安全问题、恶意程序感染、DDoS 攻击。

比如韩国交易所Youbit（原Yapizon）被盗事件，就是在交易所服务器上发现了恶意软件，这被认为是朝鲜黑客组织 Lazarus 发起的。

密探此前介绍过“比特币第一疑案”——门头沟交易所被盗事件。门头沟共发生了两次被盗，第一次在 2011 年，由于门头沟审计人员所使用的一台电脑权限被攻击导致；第二次是遭到恶意程序感染，共损失 75 万个比特币和门头沟自己的 10 万个比特币，当时这批比特币总价值约 4.5 亿美元，按今天币价来看，将近 50 亿美元！第二次攻击事件也直接导致了门头沟交易所的破产。

说完钱包和交易所，我们来看看智能合约。

新加坡国立大学研究人员 Loi Luu和研究团队曾对以太坊智能合约的潜在安全进行长期检测，他们用开源安全分析程序 Oyente 检测后发现，19366 个以太坊智能合约中，有 8833 个是有缺陷的。这意味着接近一半的智能合约是有潜在安全隐患的。

香港理工大学博士生李晓琦和研究团队曾就区块链安全发表了多篇论文，李晓琦告诉硅谷洞察研究院，“很多代币被黑客进行攻击，就是利用了合约漏洞，大都是代码层面的逻辑漏洞”，而智能合约在代码层面遭到攻击，人为因素在其中起到了重要作用。比如在写代码的过程中，一些智能合约的开发没有得到充分优化，从而导致浪费以太币、消耗过多的 Gas，甚至引起对用户节点造成 DDoS 攻击等风险。

也就是说，即使是针对智能合约或交易所发动的攻击，哪怕在中间层——智能合约代码层面的问题，也可能影响到底层节点。对再去中心化的区块链而言，安全也是“牵一发而动全身”。

慢雾安全团队认为，确实会频繁听到关于智能合约的攻击事件，但并不是说只有这些层才有漏洞，而是因为某些层的研究门槛较低，所以才会频繁听到关于这方面的攻击事件。区块链技术的每一层都有独特的攻击面，由于设计逻辑和承载形式不同，针对每一层的攻击都需要深入分析其底层或者说内部原理，挖掘设计或实现上的缺陷。





（图片来自网络，版权属于原作者）


硅谷洞察研究院根据区块链现有常见的安全漏洞，总结出了下表：





（区块链不同技术层常见攻击，版权属于：硅谷洞察）


现有解决方案：学界业界有共性


针对现有的安全问题，学界和业界提出了什么解决方案呢？

据香港理工大学博士生李晓琦介绍，计算机学术界对区块链行业的敏感度很高，因为数据存储、点对点传输、区块链共识机制、加密算法，乃至安全问题，都是计算机技术的集成应用。如今，不少高校研究团队，已针对现有安全问题，提出了相应解决方案：

比如新加坡国立大学研究人员 Loi Luu，在博士生期间提出两个开源项目。一个是针对区块链共识机制的 51% 算力威胁，提出去中心化挖矿协议——SmartPool ，另一个是前面提到的 Oyente——帮助开发者在主网部署合约之前检查智能合约漏洞的软件。Oyente 创始团队告诉密探，目前 Oyente 仍在多家区块链创业公司中使用。

荷兰与新加坡的研究人员则认为，要想减少智能合约的安全隐患，对智能合约的验证和测试则很重要，而且必须纳入智能合约的设计环节当中。因为，智能合约并不像传统的代码可以修补、迭代，相反，一旦部署到链上，是不可逆转的。当检测到漏洞时，必须部署新的智能合约来修复它。

该研究人员提出以下四种方式，作为验证和测试的工具：第一，完善测试文档，让安全测试流程标准化；第二，模糊（Fuzzing）智能合约的输入；第三，为智能合约开发变异工具；第四，搜索区块链已经部署智能合约的痕迹。

如今，市场上的创业公司针对智能合约安全问题，主要有三种方式检验，第一是测试，第二是审计，第三是形式化验证。简单说，测试依靠程序自动跑，审计靠专家的专业知识去审核，形式化验证靠的是数学方法。  

在慢雾安全团队看来，学界和业界具有众多共性，比如针对智能合约，形式化验证和自动化模糊测试，是目前业界不少团队在做的，而前面学界提出的解决方式之一，就有模糊测试。

无论是交易所，还是钱包，或者是Dapp，背后都站着广大的用户。去中心化通证交易平台 Kyber Network 则建议，从用户角度来看，特别是刚刚进入行业的非技术型用户，并不都具有阅读智能合约并判断 Dapp 真正目的的能力，所以应先从保管好自己的密钥/资产安全做起。

进行过数字货币交易的用户应该知道，数字钱包的密钥多半是一串没有任何规律的字母和数字组成，用户为了方便，通常把它保存在一个剪贴簿，当需要使用时再复制粘贴。但是，一旦自己电脑感染木马，则有可能被黑客追踪剪贴簿的地址，数字钱包就有可能被盗了。





（图片来自网络，版权属于原作者）


慢雾安全团队还建议，用户只参与通过专业安全审计机构把关的 DApp 或游戏，并且要求项目方将代码开源，杜绝后门或漏洞。


趋势：市场大，机会多，门槛高


按照腾讯安全发布的《2018上半年区块链安全报告》来看，区块链领域因安全问题损失超27亿美元，也就意味着，安全市场存在着巨大需求，因为它贯穿于区块链技术的每一个环节。

但硅谷洞察研究院发现，无论是 PitchBook 还是 CB Insight 的数据库，对区块链创业公司的类别划分中，安全并未单独成为一类，而把其跟身份认证、监管、数据储存等归位一类。慢雾安全团队认为，在任何行业发展过程中，安全一般是滞后的。在区块链行业不断发展的过程中，会伴随着安全事件的发生，给行业从业者带来警醒作用。





（截图自PitchBook 2018第三季度融资报告）


研究 PitchBook 2018年第三季度融资区块链公司发现，属于安全类别中的初创公司主要专注于交易安全，比如做比特币安全钱包的公司 Xapo 和硬件钱包公司 Ledger。Filament 和 Post-Quantum 则分别关注物联网与区块链的结合，以及区块链网络通讯安全。可见，对于区块链安全领域的创业，参与者并不多，市场很大，机会也很多。

分析 PitchBook 这几家公司可以发现，像 Xapo，成立于2012年，为用户提供在线比特币钱包、离线冷储存和基于比特币的借记卡三种服务。至今总融资额已高达4000万美元。投资人当中，就有领英创始人 Reid Hoffman、Max Levchin 等硅谷大佬。





（Greylock Partners 宣布投资Xapo）


同样做钱包的 Ledger，成立于2014年，如今总融资额高达 8500 万美元，最新一轮融资额高达7500万美元。

除了钱包公司屡获高额融资之外，交易所也瞄准了钱包。

就在 8 月，按交易量计算，全球最大加密货币交易所Binance（币安），对外第一笔收购就是移动钱包公司Trust Wallet。Trust Wallet 作为一款去中心化的加密钱包，目前主要专注于为基于以太坊区块链的数字代币提供安全存储服务，用户的私钥或其他隐私信息并不会保存在该公司的服务器上。

慢雾安全团队认为，这恰好意味着安全逐渐成为区块链的刚需，行业渴望数字资产的安全感。

但是，参与者少，融资额高，并不意味着参与者可以随时进入。总的来说，针对区块链安全生态的创业公司并不多，这是由区块链安全创业的高门槛决定的。慢雾安全团队认为，第一，是安全攻防实战经验的门槛，第二是要有区块链技术门槛。更重要的是，要守正出奇，需要创业者站在攻击者的视角去思考问题。

“你的对手是地下黑客，是亡灵军团，他们往往在暗处，他们毫不留情地收割。你得快，才能保护好用户。安全需要：唯快不破”。慢雾安全团队负责人告诉硅谷洞察研究院。

在安全事件频发的区块链领域，你持有的数字货币被盗过吗？大家又遭遇过什么安全事件？欢迎留言讨论。 查看全部

以太坊联合创始人Vitalik Buterin和伦敦大学学院的两名博士生Mustafa Al-Bassam和Alberto Sonnino发布了一篇关于欺诈证明（fraud proof）的论文，以便“轻客户端可以获得接近全节点等效的区块有效性保证”。


轻客户端就是智能手机上的以太坊钱包。它们非常轻，对矿工非常信任，自身也不验证协议规则。到目前为止，一切都很顺利，但是分片对安全性的要求更高，这一要求也会让轻型钱包更加安全。论文中说：

“我们的论文对于使用分片对区块链进行扩容的工作也能发挥重要作用，因为在分片系统中，网络中单个节点不会下载并验证所有分片的状态，因此必须使用欺诈证明来检测来自恶意分片的无效区块。”


这篇高度技术性但也能让人理解的论文描述了一种方法，通过该方法，节点可以验证区块，然后发布这种有效性的证明。然后，轻钱包或分片可以验证该证明，如果有任何错误，它们会拒绝该区块。但是有一个问题：

“恶意区块生产者可以通过扣留重新计算dataRooti所需的数据并仅将区块头释放到网络来阻止整个节点生成欺诈证明。区块生产者能在区块发布后很长时间后释放可能包含无效交易或状态转换的数据，使区块无效。这将导致未来区块分类账上的交易回滚。”


证明部分可以说是相对容易的，但这个数据扣留问题很难解决。 Buterin说：

“基本上，现在会使用抹除码和欺诈证明将'100％数据可用性'问题转换为'75％数据可用性'问题，转换后的问题可以通过随机抽样技术更容易地解决。”


Vitalik的论文更深入地描述了这个过程，本文也在某种程度上引用了论文中的相关内容，以便于让读者更容易理解：

“区块生产者编译由k个share组成的数据块，使用Reed-Solomon编码将数据扩展到2k个share，并在扩展数据（每个叶对应一个share）上计算Merkle root（dataRooti）。

当轻客户端使用dataRooti接收区块头时，它们会从dataRooti所代表哈希树中随机采样share，并且只有在收到所有请求的share后才接受区块。如果一个对抗性的区块生产者使超过50％的share无法使用，从而使完整数据无法恢复，则有50％的可能性客户将在第一次抽样中随机抽取不可用的share，两次抽样后有25％的概率，三次后为12.5％，依此类推。这是使用替换抽样时的情况，在完整的方案中，会在没有替换的情况下进行抽样，因此概率会更低。

请注意，要使此方案正常工作，网络中必须有足够的轻客户端采样足够的share，以便区块生产者需要释放超过50％的share才能通过所有轻客户端的抽样挑战，从而可以恢复整个区块。”


有了完整的区块以后，我们可以创建欺诈证明，轻节点可以检查它，而轻型节点实际上可以变成一个完整的节点。

这里假设至少有一个完整节点是诚实的，显然诚实的完整节点越多越好。在分片的情况下，则假设每个分片至少有一个诚实的节点，这意味着分片中的节点将是非常重要的，并且在某种程度上可以理解为为节点越多，容量越大。

前Blockstream CTO和现比特币核心开发人员Gregory Maxwell的反应是：

“错误编码的反扣留问题已被多次讨论过——而且我一直很沮丧，因为我无法激发人们对这个想法的兴趣。”


论文中也表示：

“网络上一直有关于如何设计欺诈证明系统的讨论，但是没有提出处理所有区块无效案例和数据可用性的完整设计。”


Vitalik的论文包含一个欺诈证明原型和一个数据可用性原型。由于欺诈证明一直被认为是公共区块链扩容的主要瓶颈，因此这似乎是一种技术上的突破。按照当前的方案，资源使用消耗量为每1MB区块14kb，验证时间大约为1秒。





欺诈证明的大小，2018年9月





欺诈证明的验证时间，2018年9月


轻客户端必须为每个区块执行上述操作，但它们不需要存储这些证明。 一旦它们检查发现该区块是有效的，它们就可以忽略14kb的资源使用消耗量，因此看起来似乎不会消耗存储空间。这意味着在这种设计中，轻节点可以自动拒绝无效区块，从而让矿工不能欺骗它们，因为在这种设计中，轻节点将像完整节点一样支持协议规则。

如果情况确实如此的话，那么完整节点存储和同步可能不再是问题，可扩展性问题有能得到解决。


原文：Vitalik Buterin et al Publish Paper on Fraud Proofs For Sharding and Light Clients
作者：Trustnodes
编译：Apatheticco 查看全部

2018 年非法网络挖矿攻击的次数，比去年增加了 459%。


2017 年四季度，越来越多利用程序非法挖矿的事件被曝出来。一个叫 “网络危机联盟（CTA）” 的组织集合了一些网络安全专家去监控这些违法行为，其中包括著名网络安全软件公司 McAfee 的专家。

几天前，他们发布了一份深度报道，公布了最近的研究发现，包括现在网络攻击的现状、对大众的影响，以及我们该如何去保护自己。下面，就和冲科技一起来看看，情况到底有多坏。
 

日趋严重的网络攻击


网络挖矿攻击，也叫加密劫持，是黑客利用你的电脑、浏览器、物联网（IoT）设备、移动设备和网络基础设施，窃取这些机器的处理能力来挖掘加密货币。这种攻击在之前是几乎没有的，2017 年底才渐渐多了起来，2018 年就开始井喷了。





2014-2018 年，发生加密劫持的数量


根据 CTA 几个成员呈现的数据，我们合起来看了一下，发现在 2018 年这种非法网络挖矿攻击的次数，比去年增加了 459%。而且从最近的数据显示，根本没有放缓的迹象。

网络罪犯都是加密货币非常早期的使用者，他们用比特币在暗网上交易。以前他们会使用勒索软件要求我们用比特币交赎金，现在开始偷偷利用我们的电脑来挖矿了。

很多这种加密劫持并不复杂，黑客利用简单的垃圾邮件或者钓鱼网站攻击，很多工具都是现成的，非常简单。黑客的成本并不大，而且可以快速地覆盖大量受害者，从每一个人那里得到少量的加密货币，积少成多。

网络安全设备供应商 Fortinet 有 13% 的客户公司在去年第 4 季度发现被加密劫持，到了今年 1 月份，这个数据迅速攀升到了 28%。在 McAfee 的半年报告中，今年 1 月份就发现了 290 万起加密挟持的记录。

这些网络罪犯已经不怎么用勒索软件和 DDoS 攻击了，都开始用加密劫持。比如 2018 年 2 月，有一个叫 BlackRuby 的组织就在他们的软件中加入了一个挖矿工具，去挖门罗币。还有 Mirai 僵尸网络，这个 2016 年著名的利用 DDoS 攻击去黑物联网设备的组织，现在也把目标转移到了物联网挖矿的僵尸网络。

这种加密劫持攻击不仅收益大，还不容易被抓到。不像勒索软件和 DDoS 攻击那么张扬，受害者根本注意不到，可以长时间进行，来换取稳定的收益。

总结下来，加密劫持案件越来越多，主要原因有几个：

加密货币价值增加；

本身通过电脑和网络就可以获取；

加密劫持操作非常简单；

企业和个人安全意识太差。



加密劫持的现状


这种攻击现在分为两种途径。一种是通过编辑好的可执行文档来攻击，这种叫“二进制挖矿”。还有一种是通过浏览器攻击，叫做“浏览器挖矿”。

二进制挖矿攻击是在传输数据的时候，通常是使用垃圾邮件或者工具包来攻击。有很多开源的工具可以用来挖矿，比如 XMRig 是用来挖门罗币的，这是个合法的工具，但总是被不法分子用在加密劫持攻击上。

2018 年 1 月，Palo Alto 网络公司就发现了超过 1500 万用户感染了这种二进制挖矿攻击。这次攻击是通过恶意广告来进行的，XMRig 被下载到受害者的系统里，并且受害者毫不知情。





那次二进制挖矿攻击，受害者的点击次数


常见的用在浏览器挖矿中的工具是 Coinhive。它本来是合法的，通过货币化系统资源来为广告收入提供替代方案，但问题在于，它在运行的时候是不通知用户的，用户根本不知道有挖矿的代码存在。

就像是最近 Facebook Messenger 和星巴克的 WiFi 被攻击的情况一样。今年 7 月 2 日，PublicWWW 就有 2.3 万个网站里面包含了 Coinhive 挖矿代码。





Coinhive 脚本的例子


当然除了通过网站攻击，黑客们还有其他稍微复杂一点的方式，比如利用名为 EternalBlue 的漏洞，并且黑客们也有新办法躲避追踪，比如一种叫 “离开地面生活” 的方法，不仅能躲开追踪，还能提高挖矿能力。


加密劫持的影响


不管从短期还是长期来看，这种攻击对我们都有影响：

潜在的安全问题，容易引来下一次攻击；

对机器也有损伤；

公司正常的经营会受到影响。


能够以未经授权的方式使用电脑，说明系统肯定存在漏洞，黑客们可以随意利用这些漏洞。

利用 CPU 挖矿同时也会耗能耗电。小型设备会因此面临电池寿命的问题，对于大型系统来说，故障率会增加，可能需要高额的维修费来支持多余的负载。


推荐的防御建议


好消息是，防御加密劫持的方法和其他的都差不多，都是增强安全性的一些建议。

时常监测电脑耗能和 CPU 的情况，及时发现不正常的情况；

在电脑上搜索一些文本文档，关键词是 Crypto、Coinhive、XMR、 Monero, 还有 cpuminer；

别跟矿池联系；

使用浏览器插件来阻止浏览器加密劫持。


他们发现，这种攻击的密集程度似乎和比特币价格呈正相关，只要比特币还有价值，黑客就不会停手。





2018 年 1 月开始，加密劫持的比例（灰）与比特币价格（黄）的关系


这份报告就是想提醒大家，知道加密劫持这种攻击的危险性。通过提高机器的安全性，被攻击的难度会加大。不过技术总是在更新，CTA 也会随时监测最新动向。


本文来自冲科技（ID：chongkeji），原文来源：Cyber Threat Association，编译：张问 查看全部

近日，日本加密货币交易所Zaif宣布，上周黑客攻击造成的实际损失比预想得高。这一事件对于原本处境艰难的日本加密交易所来说，无疑是雪上加霜。

Zaif母公司Tech Bureau发布声明表示，鉴于萌奈币（Monacoin）的损失高于预期，本次攻击的最终损失并非早前报道的5970万美元，而是6250万美元。

去年获得了日本金融厅（FSA）发布的运营许可证的Zaif，现在面临巨大的回应压力。上周，路透社报道称，FSA已经派出一支检查员团队前往Tech Bureau位于大阪的办公室，以核实该公司是否能够弥补客户损失，并确保其已采取措施加强安全网络。据悉，Zaif交易所在今年已收到来自FSA的两次业务整改通知。

许多持有FSA许可的日本交易所也一直竭力达到监管要求，但是在今年夏天仍收到了业务整改通知。其中，日本领先的加密货币交易所bitFlyer由于监管审查的加强，已搁置海外扩张和新业务拓展计划。

日本多家媒体报道称，在Zaif遭受攻击前，FSA执行委员会已经在考虑制定更严的加密货币交易规定。不过，由于客户的不满和媒体的压力，FSA可能被迫再次收紧检查制度和许可颁发政策。

9月23日，日本著名新闻媒体《读卖新闻》上发表的一篇社论建议，FSA应“重新严格检查其他加密货币交易商的资产管理条件”，并敦促：

由于黑客攻击技术变得非常复杂，建议考虑撤销未采取足够措施保护系统免受攻击的运营商的注册。


日本警察厅最近公布的一份报告显示，加密货币盗窃案在2018年增加了两倍。今年上半年，加密货币钱包失窃额总计605.03亿日元（5.4亿美元）。


原文：Fallout Continues in Wake of USD 63m Hack
作者：Tim Alper
编译：ElaineW 查看全部