EOS被曝高危漏洞，区块链成黑客提款机，一年被盗76亿只追回15亿

文|李玲李子楠

编辑| 陆鸣

在技​​术价值得到肯定的同时，无数的系统漏洞和黑客盗币也让区块链网络安全问题凸显出来。

5月28日上午，360安全卫士官方微博称，公司Vulcan团队在EOS中发现了一系列高危安全漏洞，部分漏洞可在EOS节点上远程执行任意代码。 可以进行远程攻击，直接控制和接管运行在 EOS 上的所有节点。

在6月2日EOS主网即将上线的节点，这一重大利空消息瞬间打击投资者信心。 消息爆出后短短一小时内，EOS市值蒸发7亿美元（约合人民币44.52亿元），平均每小时蒸发超过7400万元人民币。

除了网络漏洞，区块链在上周也频频受到攻击。 黑客陆续对数字货币网络发起攻击，盗取数千万代币，多种货币网络系统瘫痪。 据统计，自2017年初以来，区块网络频频遭受攻击，损失已超过76亿元。

EOS回应修复漏洞，投资者不买账

EOS目前是全球流通市值第六大数字加密货币。 智能合约技术的进步使其成为可能继比特币和以太坊之后的主链之一，也多次被业界用来对标以太坊。

目前EOS有300亿的体量，但是没有一个区块链明星项目有实体项目。 此次主网上线，是其正式应用的第一步。

奇虎360表示，该漏洞的存在使得黑客可以通过远程攻击直接控制和监督运行在EOS上的所有节点，原有的网络防护屏障等同于摆设。 交易所的远程控制相当于护城河的开通，因此该漏洞被业界称为“史诗级漏洞”。

奇虎360通知EOS项目组后，即将上线主网的EOS方于5月29日凌晨确认，修复BUG后将上线主网。

然而，这一答复并没有平息投资者不确定的心。 火币网走势图显示，消息爆出后一小时内，EOS价格下跌6.73%，从最高点11.77美元（约合人民币74.85元）跌至最低点10.97美元（约合人民币69.76元）。 蒸发7亿美元（约44.52亿元人民币）。

（相关人士准备暗网下单 图片来自网络）

就在奇虎360自曝重大漏洞的同一天，三点钟社区创始人于鸿在贵州全国数字博览论坛上因“EOS是最大的传销货币”而遭到业内人士的批评和谴责。 甚至还有人以“暗网下单”、“让他知道的都留心”等方式对他进行人身威胁。

数字货币市场已成为黑客的“提款机”

与突出的区块链网络安全问题形成鲜明对比的是，投资者意识的缺失。 据报道，加密劫持已成为日本网络安全的一大威胁。 2017年第四季度，日本有13.54万台电脑感染加密病毒，但40%以上的持币者从未听说过加密劫持。

仅上周，就曝出数个区块链网络被黑，大量代币被盗。 算力和底层技术的劣势，使得区块维护者总是身处幕后，被黑客欺骗。

5 月 25 日，BTG 遭到黑客攻击，3 小时内 388,200 多枚 BTG 被盗，直接损失达 1860 万美元。 此前，5月22日，匿名币Verge也遭到攻击，3500多枚币被盗，丢失的代币价值超过100万美元。 这是代币第二次被黑客入侵。 4 月 8 日，Verge 遭到黑客攻击，价值 180 万美元（约合人民币 1148.4 万元）的代币在数小时内被洗劫一空。

18日，比特黄金公关对此次攻击事件发表了回应。

这两起事件都是专门针对区块链性质的攻击，目前还没有有效的防御措施。

黑客攻击的消息在虚拟数字货币市场引起了巨大的恐慌。 最直接的表现就是被盗币的价格大幅下跌。 BTG被攻击后价格下跌24%，连续被攻击的Verge价格暴跌。 据火币网消息，5月23日至5月24日，24小时内，verge市值从7.24亿美元跌至6.48亿美元，市值蒸发超7600万美元（约合4.94亿美元）元）。

受此影响，BTC、ETH等主流数字货币价格也出现下跌。 据火币网消息，消息爆出后24小时内，BTC价格下跌315美元（约合2009.7元人民币），市值蒸发53.73亿美元（约合人民币342.79亿元）； ETH 价格下跌 14.1%。 蒸发96.7亿美元（约合人民币616.94亿元）。

周内，BTC跌幅小幅反弹，周跌1290美元，而ETH则从高位713美元跌至579美元，跌幅18.7%，继续下跌。

攻击声称“几乎无法防御”

BTG被攻击后，项目方警告用户，部分矿工利用双倍支付漏洞盗取加密货币交易所资金。 截至当日，与此次攻击相关的地址已收到超过38.82个BTG（价值约1.13亿元人民币）。

首旅创始人廖翔在回应中表示，“目前市场上只有少数几家规模较大的公司有能力进行如此大规模的攻击”，并指出此次攻击是由竞争对手所为。

黑客使用的攻击方式被币圈称为51%攻击，即恶意矿工控制网络中大部分算力，然后强制执行虚假交易，将代币转入自己的账户。 在这种攻击方式中，黑客通过算力的绝对优势改写区块链上的交易信息，用同一个代币完成两笔交易，通过欺骗性交易窃取交易者手中的代币。

被盗边缘也是同样的操作方法。 据BitcoinTalk网友ocminer（竞技币矿池Suprnova运营方）称，攻击者通过“51%攻击”控制了所有边缘区块。 结果，那天 Verge 的矿池和矿工都瘫痪了。

中本聪在BTC白皮书中提到，这种针对区块链特性的攻击几乎无法防御。 它只能在系统检测到算力大集中时发出预警，以减少损失。

51%算力攻击一直是威胁BTC安全的达摩克利斯之剑收到黑客威胁btc邮件，但由于BTC矿工数量众多，算力已经达到了32.15EH/s。 强大的算力让黑客难以攻克，所以BTC从未遭遇过此类攻击。 相反，BTG矿工数量较少，算力较小，黑客更容易发起攻击。

而且收到黑客威胁btc邮件，只要黑客拥有足够的计算能力，下一次攻击随时都有可能发生。

一年被盗76.6亿元，资金追回率仅20%

随着数字货币交易变得司空见惯，黑客开始利用数字货币盗窃作为快速赚钱的手段。

据路透社5月25日报道，国际反钓鱼工作组（APWG）发布了一份关于黑客攻击数字货币市场的报告。 人民币 76.56 亿元）。 其中，只有大约 20% 被回收。

匿名性作为数字货币的独特属性，在保护用户隐私的同时为不法分子提供了便利。

根据 APWG 的报告，黑客通过嵌入恶意软件的广告使 YouTube 上的非法数字货币挖掘事件数量增加了两倍。 据了解，反恶意软件反间谍软件Malwarebytes每天拦截800万次恶意挖矿尝试，相当于每月达到惊人的2.48亿次。

网络信息的隐私性极大地限制了警方对此类案件的处理。 不久前，欧盟的通用数据保护条例（GDPR）正式生效。 该规定通过限制关键信息，阻碍了对数字货币盗窃和拦截的侦查，这再次增加了侦查虚拟数字货币犯罪活动的难度。