加密貨幣的安全性比想象的高

比特幣之類加密貨幣比想象中安全，遭遇安全問題的是加密貨幣交易所。

加密貨幣一直被認爲其自己是毫無價值的，還被當成是龐氏騙局和泡沫根源。但或許加密貨幣的主要問題並不是其註定是投機型資產，而在於它是否足夠安全，能讓普通投資人將本身畢生積蓄投注其中。

影響加密貨幣交易所的幾起黑客事件均致使交易所損失了價值數千萬美圓的加密貨幣，並伴隨有媒體的大肆報道和比特幣及其餘加密貨幣價格的螺旋降低。

對加密貨幣安全性的誤解損害到了加密貨幣的價值。

除了誤解與狂熱，還有別的什麼讓加密貨幣從根本上就不安全嗎?

比特幣之類加密貨幣最初的吸引力來自於其底層的區塊鏈技術。該分佈式帳本具高度透明性，鏈中全部用戶都可實時查看鏈上所有交易，應能杜絕欺詐發生的可能性。

應該說，加密貨幣的兩大主要原則就是安全與匿名性;但伴隨着這早期的光輝歲月，也出現了一系列以破壞這兩大原則爲目標的公司。

這些公司尋求解密區塊鏈帳本上的交易以探知交易者身份及其支付歷史，且隨着時間進程竟組成了興盛繁榮的一個影子產業。

與此同時，還有黑客針對加密貨幣交易所開發各類算法以抽取大量金錢。

據估算，過去6個月中，暗網售賣的黑客工具已致使加密貨幣交易所被吸血11億美圓。

Carbon Black 最近發佈了一份題爲《暗網加密貨幣淘金潮》的報告，稱「加密貨幣相關惡意軟件的開發與售賣撐起了暗網市場中670萬美圓的非法經濟。」

雖然這些惡意軟件主要屬於偷偷佔用受害電腦資源挖掘加密貨幣的「加密貨幣劫持器」，好比GhostMiner和Loap，但也有惡意軟件的目的就是爲了黑掉加密貨幣交易所。

加密貨幣交易所被黑事件已發生過多起，但這難道是加密貨幣固有的風險嗎?加密貨幣與安全專家稱：「有些風險僅僅是源於加密貨幣的數字資產屬性。」

「與其餘任意數字資產相似，用戶可能意外刪除了該數字資產，也可能不當心扔掉了存放有重要word文檔的硬盤，或者乾脆忘記了重要帳號的口令。」

但有些攻擊利用的，確實是只有加密貨幣才具有而政府法訂貨幣所沒有的特性，好比加密貨幣編程錯誤。

早些年發生的一塊兒對比特幣的攻擊，就利用的是算法上的漏洞，讓發起攻擊的黑客能夠不停地重複同一筆交易，往本身帳戶上轉走鉅額金錢。

現在已被淘汰的DAO(創建在以太坊區塊鏈基礎上的智能合約)也遭遇過相似的黑客攻擊。這種針對加密貨幣算法自己的攻擊事件不多見，且涉事加密貨幣的協議立刻就獲得了更新。

絕大多數加密貨幣攻擊事件針對的並非貨幣自己所倚賴的技術，而是進行貨幣交易的加密貨幣交易所。

這些交易所甚至都稱不上是銀行，人們不過是在其網站上交易加密貨幣，某種程度上跟賭博網站相似。

現代社會裏，人們手中的金錢絕大多數狀況下是銀行帳戶裏的一個個數字，而再也不是自家牀墊下壓的一摞摞紙幣。既然都是數字資產，存銀行和投入加密貨幣交易難道不是冒着一樣的風險嗎?這還真不同。銀行業發展這麼多年，早已具有了至關先進的欺詐檢測技術，並一直努力跟進最新的加密標準及技術，其抵禦黑客攻擊的能力顯然比剛出現沒多久的加密貨幣交易所強得多。

加密貨幣交易所的殘酷真相是：太多交易所壓根兒沒有足夠的安全或基礎設施，有些交易所甚至是僅由兩三我的運營的初創公司。把錢投到交易所就是爲了可以相對便捷地進行加密貨幣間的兌換和買賣，好比點個按鈕就能買入比特幣，或者把比特幣換成以太幣。但正是加密貨幣交易所的這種便利本質，決定了它不會太安全。

因此，27%的加密貨幣攻擊都瞄準了交易所。並且，雖然比特幣因回報巨大而還是大多數攻擊的對象，但當下已有44%的攻擊轉向了交易費用更低且沒法追蹤的門羅幣。

如何安全交易加密貨幣

用離線的「冷」錢包，而不用接入互聯網的「熱」錢包。

加密貨幣交易所託管的帳戶就是熱錢包，隨時保持在線。

Trezor之類硬件錢包就是冷錢包，不接入互聯網。

可是，不管冷熱，只要想要交易加密貨幣，都必須接入互聯網。加密貨幣交易所並不是全無是處，畢竟託管在交易所網站上就能快速交易，沒準兒還能賺點兒小錢。

加密貨幣交易所在安全性和用戶友好度之間可能會作出取捨。好比說，如今大多數交易所都支持雙因子身份驗證，或許在將來還會出現要求3因子身份驗證的交易所。但驗證因子的增長可能會致使用戶的流失：原本就是圖好交易才把錢放這兒，太難用的話固然換家交易所放了。因此，交易所在安全性和易用性上一直在作取捨。

也所以，加密貨幣相關的大多數威脅均可以選擇不安全交易所爲突破口，而不是費大力氣去破解這些虛擬貨幣特有的漏洞。不過，針對加密貨幣自己的威脅確實在增長。

加密貨幣因其所依託的協議不一樣而各有差別，但就比特幣而言，其去中心化程度不像當初預計的那麼高，倒是已經被證實了的。

事實上，比特幣網絡的控制權已愈來愈集中到少數實體的手中。

這是由比特幣挖礦的本質決定的。挖礦者必須執行長時間的計算任務才能夠生成令牌得到回報，而隨着計算任務愈來愈難，挖礦者天然會聯合起來，結成比特幣挖礦池。

在這一點上，幾乎全部加密貨幣都跟比特幣差很少，基本上2-5個最大的挖礦池就能奪走控制權，能夠全權決定哪些交易被接受而哪些要被拒絕。這裏面就存在有不少隱患。例如審查制度——握有決定權的人能夠隨意拒絕一些交易的加入。甚至還會形成其餘更多種類的惡意攻擊。

那麼，比特幣交易者需不須要爲此焦慮呢?目前來說尚無大量證據代表已經有礦池這麼幹了。將來會不會出現此類惡意行爲咱們尚不肯定，但就這些系統的當前狀態來看，握有控制權的礦池或礦池聯合體是絕對能夠乾點兒什麼的。

不過，控制實體變壞咱們還沒等到，黑客卻是愈來愈會利用這不斷增長的算力集中化程度了。

其中一種攻擊被稱爲「51%」攻擊。該攻擊瞄準的是半數以上的交易驗證僅由一個團隊/礦池執行的加密貨幣。

這些貨幣由於沒有太多獨立的實體執行交易有效性驗證而從根本上就缺少可信度。

黑客只要能接管該實體的算力，就能阻止該加密貨幣網絡上的交易被驗證經過，從而將錢吸入本身的帳戶中。

「51%」攻擊的威脅真實存在，因此用戶只應投資散列力大的加密貨幣。散列力指的是用於驗證交易的計算機節點(服務器)的數量。驗證交易的服務器(挖礦機)越多，網絡的散列力就越大，交易有效性被篡改的可能性就越低——由於網絡上沒有哪一個實體能取得控制權。

原文來自：http://zhuanlan.51cto.com/art/201807/578127.htm

本文地址：https://www.linuxprobe.com/cryptographic-currency-security.html編輯：姜傳廣  審覈員：逄增寶