前幾天，我去找到360信息安全中心的Sherlock（網名），向他求教數(shù)字貨幣相關的網絡安全態(tài)勢，卻一上來就聽了個奇葩故事：

2017年7月的某一天，老武坐在派出所錄口供，手心全是汗。

他做夢也沒想到，自己旅了游回來，數(shù)字錢包里的186個比特幣竟全部消失。

當時比特幣才1萬2一枚，算起來值兩百多萬元。（放到現(xiàn)在值一千多萬元）

“是黑客干的？”

老武細細一回想，覺得事有蹊蹺。

幾個月前，他被朋友拉進一個比特幣投資的微信群，一來二去認識了群主。

群主是個熱心腸，經常告誡大家要注意投資風險，還提醒大家注意比特幣安全，告訴大家不要把所有的錢都放在交易所，要存到“比特幣錢包”才最安全。

這天，群主給老武發(fā)來一個比特幣錢包軟件，告訴他，比特幣放在數(shù)字錢包最安全。

老武一看，確實是某知名比特幣錢包的安裝包，就按群主指導一步步操作，把自己的186個比特幣轉了進去。

（當時群主和老武的聊天記錄）

幾天后，老武的186個比特幣全部丟失。

他當即找群主老戴質問，對方卻做出一個驚人的舉動：

他說，自己只是好心推薦軟件，比特幣被盜可能是因為老武自己泄露了錢包密碼。

不過，

畢竟是自己推薦老武用的錢包軟件，現(xiàn)在幣丟了自己也有部分責任，賠老武12萬元算是認倒霉。

說完，群主真的轉給老武12萬塊錢。

（當時的聊天轉賬記錄）

“一個素未謀面的人這么輕易就轉給我十幾萬塊錢？”

老武斷定，這事兒多半跟這個群主有關。

……

……

……

幾個月后，警方沖入群主戴某的住所，發(fā)現(xiàn)幾十張銀行卡和多臺筆記本電腦。在其中一臺電腦里發(fā)現(xiàn)了和老武用的那款比特幣錢包軟件，以及一個盜號用的腳本。

原來，群主在對錢包軟件安裝包里植入了盜號腳本。那186個比特幣，正是通過這個后門，進了群主的口袋……

講完，Sherlock 告訴我，這是央視報道過的真實案件。

他說：

“不少人以為區(qū)塊鏈去中心化、不可篡改就能絕對安全，完全不懼怕黑客。但其實區(qū)塊鏈從底層代碼到最終應用，可能涉及到很多方面，比如智能合約、錢包、交易所等等，這些地方都可能成為黑客的攻擊面。”

這就好比，有人把機械門鎖換成指紋鎖就以為自己的財產很安全，可其實小偷照樣有辦法復制指紋，甚至完全不管門鎖，直接拆門進來，或破墻而入，或跳窗戶進來……方法多得很。

區(qū)塊鏈會帶來哪些新的安全態(tài)勢？

我和Sherlock進行了一次詳談，他從底層代碼安全、數(shù)字錢包安全、數(shù)字貨幣交易所安全、新型套利方案等幾個方面向我梳理了自己對于區(qū)塊鏈一些理解，在此呈現(xiàn)給各位淺友們：

Sherlock，奇虎360信息安全研究員，2015年接觸數(shù)字貨幣，對區(qū)塊鏈和數(shù)字貨幣安全頗有見解。

一、數(shù)字貨幣區(qū)塊鏈底層代碼未必安全

“數(shù)字貨幣區(qū)塊鏈底層代碼也未必安全。”Sherlock向我回顧了區(qū)塊鏈發(fā)展史上的一次重大丑聞：

2016年6月，加密貨幣和區(qū)塊鏈社區(qū)發(fā)生了一次大地震， 世界上最大最知名的眾籌項目the DAO 遭黑客攻擊，價值6千萬美元的以太幣被盜！

調查原因，竟是 the DAO 編寫的智能合約代碼不夠嚴謹，里面有兩個函數(shù)漏洞，能讓攻擊者不斷從項?資產池中偷取資產。

為了解決TheDAO大量資金被盜的問題，以太坊官方還推出了針對TheDAO的軟分叉版本Gethv1.4.8，增加了一些規(guī)則以鎖定黑客控制的以太幣。

可是，眼看著絕大多數(shù)礦工都升級了這個版本的軟件，軟分叉要大功告成時。由于時間倉促等原因，眾多大牛編寫出來的軟分叉版本居然又有一個明顯漏洞！這個漏洞能讓黑客零成本搞垮整個項目。

因為那次事件，以太坊社區(qū)發(fā)生了巨大分歧，一派人認為應該把項目回滾到黑客攻擊之前的狀態(tài)，另一派人則覺得回滾不符合區(qū)塊鏈“去中心化、不可篡改”的核心精神，不同意回滾。

最終，兩派通過投票徹底“決裂”，以太坊便硬分叉成了“以太經典”和“以太坊”，如同宇宙瞬間分裂成兩個一模一樣的平行世界各自運行。