前幾天，我去找到360信息安全中心的Sherlock（網(wǎng)名），向他求教數(shù)字貨幣相關(guān)的網(wǎng)絡(luò)安全態(tài)勢(shì)，卻一上來就聽了個(gè)奇葩故事：

2017年7月的某一天，老武坐在派出所錄口供，手心全是汗。

他做夢(mèng)也沒想到，自己旅了游回來，數(shù)字錢包里的186個(gè)比特幣竟全部消失。

當(dāng)時(shí)比特幣才1萬2一枚，算起來值兩百多萬元。（放到現(xiàn)在值一千多萬元）

“是黑客干的？”

老武細(xì)細(xì)一回想，覺得事有蹊蹺。

幾個(gè)月前，他被朋友拉進(jìn)一個(gè)比特幣投資的微信群，一來二去認(rèn)識(shí)了群主。

群主是個(gè)熱心腸，經(jīng)常告誡大家要注意投資風(fēng)險(xiǎn)，還提醒大家注意比特幣安全，告訴大家不要把所有的錢都放在交易所，要存到“比特幣錢包”才最安全。

這天，群主給老武發(fā)來一個(gè)比特幣錢包軟件，告訴他，比特幣放在數(shù)字錢包最安全。

老武一看，確實(shí)是某知名比特幣錢包的安裝包，就按群主指導(dǎo)一步步操作，把自己的186個(gè)比特幣轉(zhuǎn)了進(jìn)去。

（當(dāng)時(shí)群主和老武的聊天記錄）

幾天后，老武的186個(gè)比特幣全部丟失。

他當(dāng)即找群主老戴質(zhì)問，對(duì)方卻做出一個(gè)驚人的舉動(dòng)：

他說，自己只是好心推薦軟件，比特幣被盜可能是因?yàn)槔衔渥约盒孤读隋X包密碼。

不過，

畢竟是自己推薦老武用的錢包軟件，現(xiàn)在幣丟了自己也有部分責(zé)任，賠老武12萬元算是認(rèn)倒霉。

說完，群主真的轉(zhuǎn)給老武12萬塊錢。

（當(dāng)時(shí)的聊天轉(zhuǎn)賬記錄）

“一個(gè)素未謀面的人這么輕易就轉(zhuǎn)給我十幾萬塊錢？”

老武斷定，這事兒多半跟這個(gè)群主有關(guān)。

……

……

……

幾個(gè)月后，警方?jīng)_入群主戴某的住所，發(fā)現(xiàn)幾十張銀行卡和多臺(tái)筆記本電腦。在其中一臺(tái)電腦里發(fā)現(xiàn)了和老武用的那款比特幣錢包軟件，以及一個(gè)盜號(hào)用的腳本。

原來，群主在對(duì)錢包軟件安裝包里植入了盜號(hào)腳本。那186個(gè)比特幣，正是通過這個(gè)后門，進(jìn)了群主的口袋……

講完，Sherlock 告訴我，這是央視報(bào)道過的真實(shí)案件。

他說：

“不少人以為區(qū)塊鏈去中心化、不可篡改就能絕對(duì)安全，完全不懼怕黑客。但其實(shí)區(qū)塊鏈從底層代碼到最終應(yīng)用，可能涉及到很多方面，比如智能合約、錢包、交易所等等，這些地方都可能成為黑客的攻擊面。”

這就好比，有人把機(jī)械門鎖換成指紋鎖就以為自己的財(cái)產(chǎn)很安全，可其實(shí)小偷照樣有辦法復(fù)制指紋，甚至完全不管門鎖，直接拆門進(jìn)來，或破墻而入，或跳窗戶進(jìn)來……方法多得很。

區(qū)塊鏈會(huì)帶來哪些新的安全態(tài)勢(shì)？

我和Sherlock進(jìn)行了一次詳談，他從底層代碼安全、數(shù)字錢包安全、數(shù)字貨幣交易所安全、新型套利方案等幾個(gè)方面向我梳理了自己對(duì)于區(qū)塊鏈一些理解，在此呈現(xiàn)給各位淺友們：

Sherlock，奇虎360信息安全研究員，2015年接觸數(shù)字貨幣，對(duì)區(qū)塊鏈和數(shù)字貨幣安全頗有見解。

一、數(shù)字貨幣區(qū)塊鏈底層代碼未必安全

“數(shù)字貨幣區(qū)塊鏈底層代碼也未必安全。”Sherlock向我回顧了區(qū)塊鏈發(fā)展史上的一次重大丑聞：

2016年6月，加密貨幣和區(qū)塊鏈社區(qū)發(fā)生了一次大地震， 世界上最大最知名的眾籌項(xiàng)目the DAO 遭黑客攻擊，價(jià)值6千萬美元的以太幣被盜！

調(diào)查原因，竟是 the DAO 編寫的智能合約代碼不夠嚴(yán)謹(jǐn)，里面有兩個(gè)函數(shù)漏洞，能讓攻擊者不斷從項(xiàng)?資產(chǎn)池中偷取資產(chǎn)。

為了解決TheDAO大量資金被盜的問題，以太坊官方還推出了針對(duì)TheDAO的軟分叉版本Gethv1.4.8，增加了一些規(guī)則以鎖定黑客控制的以太幣。

可是，眼看著絕大多數(shù)礦工都升級(jí)了這個(gè)版本的軟件，軟分叉要大功告成時(shí)。由于時(shí)間倉(cāng)促等原因，眾多大牛編寫出來的軟分叉版本居然又有一個(gè)明顯漏洞！這個(gè)漏洞能讓黑客零成本搞垮整個(gè)項(xiàng)目。

因?yàn)槟谴问录蕴簧鐓^(qū)發(fā)生了巨大分歧，一派人認(rèn)為應(yīng)該把項(xiàng)目回滾到黑客攻擊之前的狀態(tài)，另一派人則覺得回滾不符合區(qū)塊鏈“去中心化、不可篡改”的核心精神，不同意回滾。

最終，兩派通過投票徹底“決裂”，以太坊便硬分叉成了“以太經(jīng)典”和“以太坊”，如同宇宙瞬間分裂成兩個(gè)一模一樣的平行世界各自運(yùn)行。