...本報記者付麗麗
日前,有媒體報導,日本Coincheck交易所暫停了除比特幣之外的所有加密貨幣的交易,原因是黑客攻擊了26萬用戶,並盜取了數字代幣新經幣NEM,損失價值約為5.3億美元。
這是數字貨幣有史以來最大的一起盜竊案。日本金融監管部門表態將檢查國內所有的數字加密貨幣交易所,並敦促Coincheck做好善後事宜。看到此,吃瓜群眾表示莫名驚詫,加密貨幣也能被盜,這得需要什麼樣的技術,一旦被盜,還有被追回的希望嗎?
被盜與交易系統漏洞有關
“這起數字資產丟失事件,是因為該交易所數字加密貨幣交易系統存在安全風險,導致數字資產被盜竊,和數字貨幣是否為加密貨幣並無關係。”2月4日,360信息安全中心負責人高雪峰在接受科技日報記者採訪時說。
在北京理工大學軟件安全研究所副所長閆懷志看來,要想知道是如何被盜的,首先得清楚數字貨幣和加密貨幣的定義。
“加密貨幣是數字貨幣的一種。”閆懷志說,數字貨幣是指以電子貨幣形態存在的虛擬替代貨幣,包括數字金幣和加密貨幣等形式。加密貨幣是不依托任何實物、應用密碼學原理實現的一種虛擬貨幣,其特點是依靠密碼和校驗技術進行貨幣的創建、分發和維持,並實現交易安全。
加密貨幣又分為發行式與開放挖礦型兩種,目前流行的比特幣就是典型的開放挖礦型加密貨幣。作為最基本的加密貨幣獲取方式,挖礦過程涉及到算力(單位時間內猜測密碼的次數)、礦機等設備,正常挖礦耗能嚴重、成本高昂。因此,很多不法分子利用加密貨幣匿名特性,不惜鋌而走險,在加密貨幣賴以生存的互聯網空間,採用勒索、非法挖礦甚至是盜竊手段,以獲取不義之財。
“勒索主要是採用WannaCry之類的勒索病毒軟件來實現,盜竊則主要是使用黑客技術利用加密貨幣交易平台的漏洞,盜取交易平台、交易所以及用戶個人錢包密碼,轉走加密貨幣。”閆懷志說。
盗取数字货币门槛相对较高
“简单地说,数字货币就是一个加密串,这个加密串代表了你的数字资产,所以个人如何存储好该密码串不被盗取,交易所如何保障在交易环节、数字资产存储不丢失至关重要。”高雪峰说。
闫怀志认为,就数字货币安全性保障来讲,技术方面牵涉到区块链、密码算法、移动支付安全芯片等诸多领域。针对数字货币的网络攻击方式很多,以加密货币盗取为例,攻击者的首要目标是攻击数字货币账户和钱包。当前,区块链、银行级数据多层加密、动态身份验证等已成一个完善的数字货币钱包体系的安全标配技术,用以保障加密货币交易体系的系统安全、存储安全、用户账户以及转账操作的安全。从这个意义上来说,窃取加密货币的难度和门槛显然较高。
“然而,最为核心的区块链技术的实现也不是完美无缺的铜墙铁壁,它可能会存在代码漏洞、热存储漏洞等诸多薄弱环节。”闫怀志说。区块链网络针对数据传输、存储及处理所采取的强加密措施,也面临被随意解密和破译的窘境。
以比特币为例,其本质是区块链上记录的该币诞生以来全部交易记录的一串字符,且该交易记录不可篡改。因为区块链去中心化的属性,也就是不需要一个中央发行机构,因此,用户对于这种加密货币的所有权,仅仅需要一个公开地址和密钥来宣示,换言之,谁掌控了该密钥,谁就拥有了该地址内虚拟货币的所有权。因此,所谓加密货币被盗,本质上是该地址的密钥遭到了窃取。
再就是很多用户并没有“很好”地储存其加密货币的私人密钥,比如,使用提供储存私人秘钥的线上服务来储存密钥。一旦黑客攻破了这些线上服务,并将密钥文件拷贝下来,这就完成了盗取数字货币的第一步。
“而接下来的一步更为重要,也就是要将‘黑’币洗‘白’。”闫怀志说,盗取者会求助混币者(俗称洗钱人),将盗取的“黑币”与他人的合法币随机混合,达到中断区块链记录的目的。
其具体做法是,盗取者通过匿名网络找到洗钱人,并将“黑币”倒入洗钱人的地址,并向洗钱人提供若干个“干净的”地址。洗钱人会时刻关注这些干净地址的交易情况,一旦发现其发生转入交易,随后也向其转入小笔“黑币”,通过蚂蚁搬家、小步慢跑的方式,将盗取到的大量“黑币”转入新地址,从而让其披上了“合法”的外衣,达到了盗取后洗白的目的。至此,盗取者成功将盗取来的加密货币转变成为自己的“合法”虚拟资产。
窃贼盗取不易 用户追回更难
一旦被盗,那还能追回吗?
对此,闫怀志说:“窃贼盗取不易,用户追回更难。”
他解释说,加密货币被盗分为三个层面:一是加密货币交易平台监守自盗,祸起萧墙;二是交易所钱包系统遭遇黑客攻击,导致交易所自身或者用户密钥被盗;三是因用户个人原因导致钱包密码失窃。黑客盗取加密货币之后,通常会采用适量混币等手段将其“洗白”,追缴难度较大。如果是交易平台监守自盗,可依规索赔挽回损失,但这种监守自盗的可能性并不大。
单纯从技术层面来看,理论上可以利用区块链层面进行回滚操作,回滚至该盗取行为发生之前,通过这种方式强制追回被盗加密货币,但是这种回滚意味着该盗取行为发生后的所有交易都将被取消,必将极大地扰乱正常交易秩序。更严重的是,这种回滚必然会导致区块链出现硬分叉现象,同时也人为削弱甚至是破坏了区块链得以安身立命的“不可篡改”和“去中心化”这些基本特征,很难被各方接受。所以说,在实践中,加密货币被盗,几乎没有追回的可能。
的确,高雪峰也表示,一旦被盗基本不可能追回。数字货币是目前区块链技术应用最广泛的领域,区块链技术最核心的一点即隐秘性,无法知道持有者是谁,因为不需要身份的关联,很难追查。
自动标记系统 犹可亡羊补牢
至此,有读者也许会问,既然数字货币采用了如此先进的安全保障技术,那在其丢失后,是不是可以对其位置进行追踪,在其再交易过程中被发现呢?
对此,闫怀志表示,用户持有比特币类加密货币的唯一凭证是数字地址和密钥,因此,很难实际跟踪到加密货币的持有者及其位置。正因为加密货币的匿名性、便捷性,交易过程难以发现、难以跟踪、难以追回,使得此前很多非法行为(如勒索、诈骗、贩毒、贩枪等)选择加密货币作为交易货币。
“不过,在最近的大规模失窃事件发生之后,相关交易平台最近专门设计了自动标记系统,用来跟踪被盗的数字货币的动向。”闫怀志说,这种特殊设计的标记系统可将被盗货币标记为受污染货币,并标记任何收到受污染货币的账户。这样一来,被盗取的“黑币”就无法进行交易或者兑换成其他加密货币,更无法变现,黑客唯一安全的选择就是选择“静默”方式,不对盗来的加密货币进行任何操作。
“不幸的是,并不是所有的数字货币交易平台都有这种退而求其次的技术威慑手段。”闫怀志强调。
当前,国际上数字货币一面是蓬勃发展,一面是乱象丛生。为确保数字货币交易安全,闫怀志建议,技术层面,要建立健全更为完善的数字货币交易安全保障体系,从交易平台、交易所和用户个人三个层面加强安全技术防范措施。
“法律层面,应加大涉及数字货币交易违法的执法力度,显著增大违法成本,对违法犯罪分子形成真正的威慑。”闫怀志说。
