|
|
8 K) J- }) b6 f/ P2018年,出现了太多的黑天鹅和灰犀牛事件。比特币与区块链概念在经过热炒后迅速火爆,但伴随政策的严管,一系列加密货币价格跌入低谷。比特币从接近2万美元的巅峰,一路跌至4000美金时,币圈一夜暴富的神话也彻底破灭。9 _, c/ Z M/ \0 S& R
8 p. l3 P$ n7 ], N# S. j. x
% `! h& k& V2 W4 j2 f& X+ t
当然,币圈和链圈有的是能人。各种类似“三点钟”群的群推,各种蹭名人热点的线下峰会,交易即挖矿概念炒作、风风火火的超级节点竞选,都在试图挽回区块链和比特币当年的辉煌。但与各种炒作相比,2018年区块链的更多新闻,指向了安全问题。
/ Z* c. ~1 H! i+ f6 q6 a5 ?' e% R4 u/ U; {- [+ p" q
, B. M1 D6 u0 e
: i! `3 M+ L+ Y5 V
2 f) V9 T X$ u2 \& q# N
1 D1 ?5 `1 m+ P. `7 P【币圈安全问题频现,黑客将黑手伸向交易所】
+ c3 q2 d; X* i
5 ^1 `0 k5 j3 K& C7 X0 A1 n. p: g0 P) n( F7 i* Z
2018年5月,360公司宣布发现EOS的「史诗级漏洞」,可完全控制虚拟货币的交易。随后,EOS官方紧急处理,并迅速修复漏洞。而这仅仅是个开始,2019年伊始伴随币圈市场回暖,主流币普涨,数字货币交易所被盗案件却频频发生。
$ z( J# z2 u' l; [- r# `$ [! c, k/ f5 U+ g; |4 p+ Y" ^
0 z! m* v3 W0 _) P
3月24日凌晨,新加坡数字货币交易平台DragonEx遭受黑客入侵,导致用户和平台的数字资产被盗,初步估计平台受损资产总额超4000万人民币。一周后的3月30日,韩国交易所Bithumb EOS冷钱包疑似被黑,转出三百多万EOS,价值数千万人民币。
* d6 _; B+ }* U: | P# F) n7 b& a; z0 J% F4 I- u: C+ e. ~* ^: l
* s( T& F% V1 ~/ X9 {
- j& i. m, M! k7 l(DragonEx交易所发布官方公告)
- g9 F. n z* g
' Y% O n* W8 f, E& U1 Z
1 l, d- V0 j3 t- @7 p# O
经过360安全大脑的深度追踪溯源,发现近期火爆的OKEX平台也遭到了同一国家级黑客组织的入侵。短短一周内,分布在全球的数家交易所惨遭黑客毒手,为币圈的安全蒙上了一层灰雾。
5 [0 y2 g5 t1 W4 B0 `6 P/ s; \% W. C, j% V7 i7 Z# z) h2 }
- t- K( ~) V3 {, W
据了解,此次DragonEx交易所上BTC、ETH、EOS等总共20余种主流数字货币资产均被盗取,平台不得不暂停交易充提等所有基础服务。这是DragonEx交易所自成立以来,发生的第一起被盗事件,也是继BiKi、Cryptopia、Etbox等交易所后,又一起交易所被盗事件。
3 p, z/ v+ s7 R, ~+ |$ F9 G5 J/ V# z6 A
9 `5 P, l' m) F, W5 r% H
360方面发现,黑客组织针对交易所的攻击早已蓄谋已久。- V5 L4 y a6 W) Q* h7 E
. S7 O4 W+ R3 B/ @" |4 i) m: X0 o+ Y1 f
8 w& u9 z* W* O; I7 `6 F. y- O黑客早在2018年10月就提前申请了域名,并伪装成正规的数字货币自动交易软件的官方网站,进行了长达半年的运营。而最终的收网攻击,发生于2019年1月和3月。该组织通过向大量的交易所官方人员推荐该软件进行钓鱼攻击,最终导致相关人员中招,实施了进一步的数字货币盗取。
, I) r- p) m, A- q" t* j) Q
: s( H) R+ \# X# r: o7 e: X
2 {3 c7 S; Z( u# h2 X' q4 w+ Q- ]经过360安全大脑进一步的追踪溯源,发现这是一起由国家级黑客组织APT-C-26(Lazarus音译”拉撒路”)针对OKEX等多家知名数字货币交易所发起的攻击行动。该组织曾在2014年攻击过索尼,此外,还被怀疑参与2016年从孟加拉国银行盗取8100万美元。% l1 C7 o v' i# X7 s- q
/ {$ n/ Y; J8 M
2 K {% ^/ b1 }
在360的追踪下人们发现罪魁祸首是个“惯犯”,还是跨国大盗。
* y% H- a2 w4 x- o) H7 P w4 r( s9 a7 }- G& @! ^& Z
$ p, R, y4 ?3 Y
【金融即安全,被盗已成加密货币交易所无法承担之痛】
. ~0 g$ c: t; ` ^' B, a/ d9 e9 W& ~8 h; z8 Y
3 B' r/ f3 J3 A+ f) @通过360安全大脑追踪,不难看出交易所攻击案件的特征:
5 G, I; Y4 z; U( P4 b2 y. Z5 Z- m
5 Y2 Y6 S- Z/ r- f. z u, g/ s$ Z3 Q
一个是安全攻击的金额巨大,少则几千万,动辄上亿。比特币历史上最大疑案Mt.GOX(门头沟)交易所失窃,导致85万比特币不翼而飞,现值高达233亿人民币。
( f. t; x1 `5 W- u& Q, X) X
. D6 j: g! k f- i% s% \8 n/ y+ l. c, y1 t6 c
3 R5 W6 F: Z% a, o& q
( A) F* l7 Y1 u: @! ^+ H# F9 \' {7 ]6 E% R0 |# v0 h) t
第二受害者为直接的用户。虚拟货币本质是一串串代码,打劫银行受损失的是银行体系,但攻击虚拟交易所,受伤的是虚拟货币的持有人。
- n Z) E6 [7 ?* l; Y# Z# R: Y
1 Q. _# J! _; z$ L# Z
% i, `3 _- r. F% @第三策划时间长,难以发现。为了策划一次攻击,要提前半年做准备,把自己伪装成合法的网站,然后时机成熟时收网,一次性盗取大量虚拟财富,可谓用心良苦。
' j2 Y. w& B$ w8 m+ J+ S0 Z, Z- P* U; C0 X, T2 d
* s: v$ U L, ^1 k: k1 r为什么黑客屡屡把目标瞄准到数字货币?应该是去中心化货币的匿名属性也吸引了黑客的注意。
- o3 z( [0 [( s) {
4 H( k. ]" f$ G1 `9 a5 D& c1 ]6 F! |/ K2 e2 U9 N
人们购买加密货币,除了炒买炒卖,更多是看中了其保值和跨国交易功能。而比特币使用分布式核算和存储,体系不存在中心化的硬件或管理机构;加之,比特币明确了发行节奏,总量可控甚至写入白皮书中,也有效规避法币的通货膨胀问题。
* x) z6 b: W$ f$ A' Q
! } {5 L! n+ A% j9 t) S) r
0 E+ I& C1 f2 p M2017年5月12日,一种名为“想哭”的勒索病毒袭击全球150多个国家和地区,影响政府、医疗、公交、邮政、乃至汽车制造业。黑客使用钓鱼邮件,诱使用户点击安装病毒后,电脑所有文件都被加密锁死。之后,黑客指定感染用户使用比特币支付赎金。: X1 w7 a2 c% R( F3 o$ h/ }
2 {( u: Y, X) t+ s6 T1 ?; B
p% Y, X8 v8 M- p! [0 ]& l% r/ K
不得不承认比特币确实隐私便捷,但被黑客看中的原因在于隐秘性。作为一种加密货币,比特币可以跨境转账,独立主流的金融机构之外,可以轻松躲避公安司法机关的追捕和调查,具有匿名性和隐秘性。黑客组织屡屡将黑手伸向加密货币交易所,同样也是为了方便摆脱追查。9 t+ X- `! y" r6 C3 Z
4 C) I# c1 d/ z, O1 f x
) ?9 P! Y4 m# ^8 @
比特币一款金融产品,在设计之初就应考虑到安全层面诉求,要考虑到不同场景下的安全需求。但币圈和链圈的人们,把太多精力用于炒作,却忽视了最基础的安全能力积累。无论是EOS的漏洞,还是交易所频频遭遇攻击和盗取,都说明加密货币的安全体系亟待完善。( D+ h" v5 v: H- f- ]5 w
0 }: W* i) a2 h- f3 z0 ~2 M2 Z
( [6 X% P- k$ } C
360也为数字货币交易所给出了相应的安全建议:比如加大安全投入,增加安全风控;及时关注服务器异常、端口异常开放、配置被修改等情况;密切掌握交易所收益异常、零钱归集异常、冷、温、热钱包地址被篡改等信息等。* E% n( R0 t" g3 \2 R! C
1 Q; R( s" k4 a2 n$ X
6 M- I5 T" x% n. \" v- I【安全即智能,360安全大脑本质是智能立体安全】 / O+ Q2 T- ?3 x
- [7 j3 n8 B( Z) A" E
+ G3 k' b9 b, q% N9 v最近的多家虚拟货币交易所的系列安全问题,数字货币被盗事故,最终被360安全大脑追踪溯源,甚至锁定到具体的黑客组织。在我看来,并不是偶然为之,而是360在安全行业多年积累的多维度大数据、人工智能和安全专家等的自然展示。- e" B O4 i0 R" ]' a, m- V2 ?
5 ]+ _6 X3 ]7 g/ A4 Y6 O* M
A& }% A* o6 |回顾过去几年的重要安全事件,360从来没有缺席。
$ C- B k2 b, D- Z; Z: p
; n0 x& V* D: F7 f- @0 `% n3 D5 l, L; H$ k7 H0 f1 o0 y3 L1 S
在2017年Wannacry勒索病毒全球爆发,360安全大脑一时间发现、迅速处置、快速应对,并率先推出针对该勒索病毒的解密工具;2018年,EOS的「史诗级漏洞」,由360安全大脑率先发现,并协助EOS官方修复;2019年,数字货币交易所又一次遭遇密集攻击时,360安全大脑的追踪溯源,成功定位攻击来自于国家级APT组织Lazarus,让人们对攻击过程有了全景了解。! {) D6 t. A8 D& F# @' o
# S* ?) y# N* z: ~- f0 P6 R
% P! O5 H% y, |1 K) h
作为一名曾经的360员工,我深知360在安全领域的进化路径。8 K, V' V# _! A x" r4 H
( N- O/ k+ A' A% Y
+ Z( i- R/ ^5 ]; ~$ V8 ?0 O在传统PC时代,360是一款工具软件,体积不大却解决了人们最痛苦的病毒入侵、卡顿、打补丁升级、系统漏洞等问题;在互联网时代,360有海量的样本数据、漏洞攻击感知数据、网络行为数据等多维度大数据,保护用户和企业的安全,是名副其实的云安全公司。
$ c) h+ w6 T2 b; r% S1 z( C8 y
9 [; H+ k1 W& g: }2 q& e% C
而在人工智能时代,360安全大脑综合利用IMABCDE技术(即:IoT、移动通讯、人工智能、区块链、云计算、大数据和边缘计算),成为目前世界上最大的分布式智能安全系统,是结合海量大数据和终端、人工智能、安全攻防专家系统和实网攻防演练平台等核心能力的立体式大脑。6 t5 n* k. g8 \& E: `# h
! R2 z, \$ J! N% H& B( }$ X
; h' X+ s$ X" {* T9 Q* |% O
安全行业无小事,新技术领域往往是安全事故多发区。传统安全依靠单维度的思路和解决方案,已经不能适应复杂的环境和创新领域。只有将大数据、云计算、人工智能、IoT和区块链等新视角和多维度思路融入安全领域,才能真正解决互联网金融、数字化货币、国家金融基础设施等安全领域面临的最新安全问题。
9 J3 a( t6 |8 t6 ~* U: T2 ^, b+ S$ C z( v% j* y8 J0 W9 A
; e4 S, {' E. ^) c1 c
互联网从PC进化到移动时代和人工智能时代,每一次技术革命都是互联网行业的技术升级,而安全行业,同样需要自我进化、自我升级和自我完善。360安全大脑,说白了就是360安全体系为了适应新技术革命的一次全面升级。. g4 j5 ~3 _9 _5 D- Z3 b6 W" b3 `! J
: C% f5 W5 w4 y: e
P) A3 U! v4 j* u) a$ w* u, D' a1 [
4 A& K/ r. G* {4 R* b, ?
1 n: h5 v5 E1 W3 }5 {7 \
【结束语】
4 m- j4 f. \3 J5 |* M, c( M6 U( P$ |0 s M. O o1 _5 Q$ o* m- o
+ K, g. u0 l4 |, D3 O7 j8 d' r在马斯洛的需求模型中,安全是仅次于生存的底层需求,而归属感、尊重和自我实现的需求,位于需求金字塔的顶端。人们希望财产升值而实现自我价值,是更顶层的需求,但如果脱离了安全,用户的需求金字塔将会瞬间坍塌。0 w% b+ ]' m$ U/ b8 t+ p
9 e, t# w1 Y& q
$ }1 B/ o' R" Y2 }安全与金融就如同1和0,一个人拥有再多的财富也只是1后面跟的0,如果没有安全保障,所有的财富都会如同交易所的虚拟货币,在黑客的精心攻击之下,瞬间化为烟消云散,即便是上亿的财富,也无法幸免。1 `0 ~2 |2 [: |/ A
( H% \& v" _/ }7 y" R: `% R
! F A4 X: d8 y4 Z7 y人工智能已经是无法阻挡的趋势。在人工智能时代,安全形式日益复杂,智能是安全的必选项,安全更需要多维度全方位的立体保护。在安全行业,360安全大脑可以看成是人工智能赋能安全行业的典型案例。
- q2 ]0 k9 Z) i3 N) [
4 F1 y* X, R: K
{: v+ z' ^. e% ~ { y& J* @- c360安全体系与十年前不可同日而语。昔日的安全工具,现在已经进化成综合IoT、移动通讯、人工智能、区块链、云计算、大数据和边缘计算的安全大脑。这一次,360对交易所攻击的精准溯源,只是360安全大脑的一次牛刀小试。相信大安全时代,360安全大脑会针对数字货币交易安全,给出全面的解决方案。
1 M8 v3 B) c3 ^0 W, `3 Q# t6 k, ^4 y7 q
1 g6 w' t1 _ ^2 S8 H( I) k4 T/ e" b王冠雄,著名观察家,中国十大自媒体(见各大权威榜单)。主持和参与4次IPO,传统企业“互联网+”转型教练。每日一篇深度文章,发布于微信、微博、搜索引擎,各大门户、科技博客等近30个主流平台,覆盖400万中国核心商业、科技人群。为金融时报、福布斯等世界级媒体撰稿人,观点被媒体广泛转载引用,影响力极大,详情可百度搜狗360。
+ ?, i4 P; b: F* M
7 B9 N1 `( `( }# `& o4 X2 K6 J/ ~" K y3 X
6 X! Z# d3 j* D1 Z2 u9 d' M本文系网易新闻·网易号“各有态度”特色内容 3 Q5 O; B4 ] i& |. V
' T" x$ D( Y6 I) N; X& a+ O
& v8 G8 Y* k( @# E1 ]我们的10万+和爆款文章
- ~; r+ Q0 w% k6 T4 J6 m- v1 r! h( M- G& ]* M% O4 I% _
红包赢了,我们输了|互联网红利在消退|中国互联网20年|硅谷发展史和KK|重启技术理想主义|再见双十一,你好O2O|小米被华为超越真相|李彦宏本命年危局|马云的生态系统|马化腾的连接器+IP|头条要和微博开撕?|美团少年王兴|滴滴程维为何战胜Uber?|危险敌人刘强东|你不懂周鸿祎|好人张朝阳|被低估的曹国伟|丁磊的阴阳师|最有故事的王峰|APUS船长李涛|少数人的唯品会|红烧肉和王石落幕|忍辱负重杨元庆|致创业爱好者们|罗辑思维分手幕后|互联网必读10本书|大佬联袂推荐重创新
, p- }: x/ {: c
; o8 ]# {! S+ \5 V
* t8 J6 c) s1 x- n扫码关注。预告:AI主播的超能力 ; u2 [( C7 K+ F E U5 y# A
6 t( X ]1 v3 B! J6 B2 {9 b( U2 N# V- ?) ?3 \+ ?$ ^
 2 z' V/ V8 J4 g% f' E: X- X
 点“原文”有图有真相
9 Q& ^, Z9 o2 J% z- ?3 D
$ g5 Y7 f; k8 I# O1 {来源:http://mp.weixin.qq.com/s?src=11×tamp=1554213606&ver=1522&signature=rVwTgcH3t040LNvCI4TevHQz*1y8qnEDyhkXIwO*xey8PWemSBFD1uTq7UeUttAsNNv9U6suvUqwTtRqlU0OdCn4*diHHl21w4sNLiDPY6PBMH1Dmb2m2AbiLFjldmfY&new=1
+ A/ G3 @; t$ [% X- e+ x: Y免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作! |
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
×
|
/6 
|手机版|小黑屋|梦想之都-俊月星空
( 粤ICP备18056059号 )|网站地图
发表于 2019-4-2 22:21:02
