慢雾科技区块链暗黑| 金色财经

“宇宙是一片黑暗的森林，每一个文明都是拿着枪的猎人，像幽灵一样潜入森林，轻轻推开挡路的树枝，尽量不让脚步声发出声音，连呼吸都要小心.

他必须小心，因为像他这样的猎人在森林里到处都是。 如果他发现了其他生命，他只能做一件事，射击并摧毁它。 ”——三体

前言

2016 年 2 月 14 日，发生了以太坊历史上最大的硬币盗窃案。 这一天在历史上被称为“黑色情人节”。 事发两年多来，以太坊盗币问题一直没有得到很好的解决。 从2018年1月1日至今，成功的盗币攻击已经上千次。

区块链的生态安全已经陷入危机。 严重影响了行业的发展。 然而，业内仍有白帽子利用其强大的计算机技术维护区块链的公平正义，慢雾科技就是其中之一。 作为业内最知名的区块链安全公司之一，慢雾致力于维护行业生态安全。

2018年3月20日，慢雾科技披露以太坊黑色情人节盗币事件，揭露长达两年的自动化盗币事件，造成近5万个ETH和巨额各类币的损失。 依托慢雾科技独有的墨子（MOOZ）系统和蜜罐分析技术，可捕获识别全网自动化盗币攻击。

为此，慢雾科技推出“以太坊黑色情人节”专页，持续跟踪披露这一隐患。

我们与慢雾科技CEO ABY进行了深度对话，从他那里了解了这个行业的安全问题

问题迫在眉睫。 它与我们每个人都息息相关。

慢雾简介

专注于区块链生态安全的厦门慢雾科技有限公司，总部位于厦门，由拥有十余年一线网络安全攻防实践的团队创立。 团队成员为谷歌、微软、W3C、公安部、腾讯、阿里、百度等输出了安全能力，团队成员的多项成果也进入了Black Hat等全球黑客大会。

慢雾科技核心能力包括：安全审计、安全顾问、防御部署、威胁情报等，慢雾科技已为全球多家交易所、钱包、智能合约进行安全审计和防御部署，并持续提供威胁情报通过其独有的地下黑客风向标追踪引擎，向合作企业及国家相关部门公开。

安全审计、安全顾问、防御部署、威胁情报等

假充值问题频发

1：近期以太坊虚假充值事件频发，受影响对象至少包括相关中心化交易所、中心化钱包、代币合约等，但根据代币合约统计，存在3619次虚假充值和漏洞风险，包括很多知名代币，是什么原因导致这种虚假​​充值屡屡发生？

ABY：我们在6月28日披露了USDT假充值漏洞，随后在7月9日披露了3619次基于以太坊的假充值，相当于第二个版本。

USDT是Tether发行的稳定币。 造成虚假充值的主要原因是交易所没有对USDT中的有效字段进行校验。 客户去交易所充值USDT币时，简单查看链上是否存在该笔交易，然后充值，但交易失败。

比如一个人去银行存钱，但是我们只知道他去了银行，并不清楚他有没有存钱。 这样就存在虚假充值的可能。

2：是不是有问题因为需要判断的操作很复杂？

ABY：其实一点也不复杂，USDT公众号也有说明，但是一些交易所的安全开发人员或者技术开发人员并没有注意到这一点。

之前可能会沿用其他一些币种的检查方式，但是USDT有自己的一套机制。 用固有的思维去判断这件事情，没有深入思考每条链或币种背后的判断机制，结果是有问题的。

3：出现问题后，交易所是否需要验证相应的字段？

阿比：是的。 USDT的CTO也联系了我们，我们把相关问题推送给了他们。 他们认为这不一定是漏洞，可能是交易所没有做出完善的判断，同时也提醒这些交易所一定要判断这个领域，技术上也强调了这个东西。

交易所入金USDT币时必须读取该字段，这已成为行业标准。

由内而外的预防机制

4：现在虚假充值和漏洞风险问题很严重，没有根治办法。 是否有任何与交易相关的预防措施？

ABY：交易所对安全性的要求比较高，非常重视安全问题。 安全的核心在于人，最好的安全管理组织架构是项目方有自己的安全总监，与外部第三方安全团队合作，共同维护。 不能完全依赖第三方，也不能没有第三方。 事物必须由内而外结合。

现在整个区块链其实是非常完善和安全的，包括内部和外部的风控。 但是，攻击项目方的手段多种多样，不是单一的攻击，可以从多个纬度进行攻击。 攻击者可以同时在不同的交易所下空单或多单，形成套利差价，方法有很多种。

5：一开始就发现了假充值问题，已经达成了全行业的共识。 你现在开始预防了吗？

阿比：是的。 在区块链的方方面面，类似USDT虚假充值的情况可能会经常发生，因为它是一个新兴行业，很多规范和标准并不完善，没办法要求技术人员完全按照官方提示来判断。

USDT事件后，曝出ETH3619代币合约存在漏洞风险，涉及智能合约兑换和中心化钱包问题。 在我们披露了USDT之后，我们应该思考一下以太坊是否会出现类似的问题。 以太坊的机制类似于USDT。 比如在以太坊上正常转账时，如果发现余额不足，就会提示异常。

以太坊的本质和USDT的逻辑很相似，会稍微复杂一点。 黑客会利用余额不足的账户进行资金转移。 如果智能合约存在缺陷，交易所检查不到位，同时满足两个条件，就可以进行攻击和假充值。

6：会不会对以太坊上的很多代币造成大量损失？

阿比：是的。 这件事影响非常广泛，我们尽量负责任地披露。 尽量分享漏洞信息，基本覆盖全圈的交易所钱包。

我们先向客户公开，公开后慢慢发出预警，让无法传达的客户收到信息，然后留出三天时间，让大家自查补漏。 因为这是一次真正的攻击，所以我们正在与时间和攻击者赛跑。 在这一轮之后，将披露漏洞并发布详细信息假usdt充值，以及建议的解决方案。

分析两次事件的攻击方式

7：2016年2月14日，以太坊大量代币被盗，这一天也被定为“以太坊黑色情人节”。 这件事已经持续了两年多，而且有愈演愈烈的趋势。 最新一起代币被盗案发生在 7 月 4 日。 这次事件中隐藏了新的攻击手段。 这两起事件的攻击方式是一样的吗？

ABY：从本质上讲，这两起事件的攻击模式是完全不同的。 我们在3月份披露的黑色情人节事件涉及以太坊节点，其RPC端口是开放的，在开放端口的情况下会出现一些问题。 该节点解锁后，有300秒的密码权限。 登录后，你可以有五分钟的时间让其他人为所欲为，这将是非常不安全的。 这就是这件事情的根本原因，是以太坊生态系统的缺陷。

该缺陷可以通过我们的方案进行横向修复，官方没有提供相应的补丁。 黑色情人节产生了巨大的影响。 截至目前，已有数百个以太坊地址被盗。 被盗的不仅仅是ETH币，而是整个ERC20。 所有 ERC20 节点都使用以太坊节点。

8：黑色情人节的攻击是最新的吗？

ABY：没有。2016年这个黑客就做了一整套的自动化处理，成本不高。 但是，这一缺陷近两年并没有得到很好的解决。 我们披露黑色情人节事件后，在业界得到了比较大的反响。 许多人按照我们的修复建议优化了节点安全配置。 例如，禁用 RPC 端口可以避免此问题。

从那以后我们就一直在监视这起盗窃案，而且一直没有停止过。 我们与慢雾区的小伙伴进行了沟通，发现该黑客在unlockAccount默认的300秒免密码操作窗口中写入了大量转账内容。 假设我的钱包是空的，看了慢雾发的这篇文章后，我禁用了RPC，感觉钱包是安全的。 事实上，事实并非如此。 这就是黑客的想法。 不管账户里有没有钱，等他找到端口。 就是埋下无数圈套，把里面的钱全部转移过去。

9：所有的攻击都是不断变化的。 根源是以太坊自身的问题吗？

ABY：我们归类为以太坊本身的缺陷，但每个系统都会有一些缺陷。 目前的披露过程都是关于真正的攻击。 我想让这件事提醒我们可以报道的每个人，并迅速积极地解决这件事，避免受到攻击。 如果我们不这样做，这些问题可能会加剧。 我希望整个圈子都感到安全，每个人都可以做好预防措施。

10：从2016年的盗窃事件到最近几天才出现的这些问题，还有没有其他类似的危害整个生态或行业的攻击事件？

ABY：其他攻击行为是逐段进行的。 以太坊黑色情人节我们不称其为漏洞，而是缺陷。 因为缺陷不一定非得打补丁，但是漏洞可以很快打补丁，有些漏洞打补丁后相对解决了。

然而，有些人称它为缺陷，因为它是固有的，需要更多的努力才能使维护者更加了解解决方案。

为安全行业建立共识指南

11：慢雾是众多顶级交易所值得信赖的合作伙伴。 他们没有自己的安全审计吗？

ABY：他们非常注重安全，他们也有自己的专业和庞大的安全团队，并与我们建立了密切的情报沟通。 正如我前面提到的，安全是从内到外的合作，以提供全面的保护。

12：除了慢雾，整个区块链行业还有其他的安全公司。 你们对整个区块链的安全性达成共识了吗？ 有标准吗？

ABY：是的，在披露的过程中，我们已经向安全生态同行输出假usdt充值，并与他们建立了桥梁。 这种桥梁就是情报的交流。 每个人的客户都可能受到影响。 建这样的桥，可以无偿捐给大家，很快解决问题。 这里面是有意识形态的，我们也确实在实实在在地在落实这件事情。

13：达成共识的标准是什么？

ABY：现在有了安全共识的初步概念。 里面会有各种区块链和技术手段。 大家相互交流，就区块链安全行业基础达成共识。

不能说有标准，有基本的行业安全共识。 例如负责任的漏洞披露流程。 安全首先要客观中立，不能宣传安全，更不能把安全作为炒作的工具。

安全团队就是要给人安全感，而不是危机感，这一点很重要。 我们希望为行业树立标杆，让整个行业朝着更好、更健康的方向发展。

慢雾的使命没有变

追寻初心：慢雾科技专注安全的初衷是什么？

ABY：我们从业十多年，对安全更感兴趣。 我们认为这可能是我们应该做的事情。 其他的因素和想法太多了，包括我们团队在区块链上也做了一段时间。 团队里，大家多交流了一点，达成了共识。 我希望区块链生态是安全的，所以我就去做。 没有太多其他的东西，很纯粹很简单。

希望通过采访，把我提到的这件事传播到整个圈子，让圈子里的人更加关注生态安全的重要性。 给大家一些建议，传播给更多的人，了解这次事件的重要性，以及我们团队的一些处理态度和标准，安全行业要达到标准，要有共识。 我们希望有更多志同道合的人参与进来，走区块链，回归区块链。 只有这样，才能给这个生态带来真正的安全感，这也是慢雾的使命。