做一個(gè)技術(shù)員月薪一萬五，但做一枚黑客就年薪過億。

比特幣雄起之時(shí)，是黑客殺入之日。

2019年，據(jù)不完全統(tǒng)計(jì)，全球因黑客盜幣事件損失的資產(chǎn)高達(dá)5000億人民幣。而自比特幣誕生的11年來，這一場(chǎng)浩浩湯湯的黑客大遷移就不停地進(jìn)行著。數(shù)字貨幣交易所是幣圈最大的資金池，吸引黑客前赴后繼前來盜幣，幣安、Coinbase交易所無一幸免，上百萬人損失萬億美元。

黑白混亂，安能辨我是“雄雌”

“黑客”，往往意味著經(jīng)濟(jì)犯罪，他們常常憑借異于常人的技術(shù)手段，通過研究對(duì)方服務(wù)器漏洞發(fā)起攻擊，盜取或個(gè)人信息，或商業(yè)秘密，或電子現(xiàn)金，亦或比特幣。

在黑客陣容中一直以來存在著兩大派系——黑帽黑客和白帽黑客。

黑帽黑客（black hat hacker），往往通過非法手段竊取別人財(cái)務(wù)或信息，他們是讓眾多機(jī)構(gòu)組織和個(gè)人惶恐而又避之不及的人。

白帽黑客（white hat hacker），與黑帽黑客相反，他們?cè)诨ヂ?lián)網(wǎng)的虛擬世界里，代表的是正義，他們的日常工作就是在不斷查找系統(tǒng)安全漏洞，模仿黑帽黑客對(duì)服務(wù)器發(fā)起攻擊，從而完善現(xiàn)有互聯(lián)網(wǎng)安全體系，避免個(gè)人信息或財(cái)務(wù)慘遭黑帽黑客竊取。

在過去十幾年里，黑客事件數(shù)不勝數(shù)，如果說互聯(lián)網(wǎng)發(fā)生黑客事件，丟的是信心，而區(qū)塊鏈黑客事件，有可能丟的是命。

每當(dāng)發(fā)生數(shù)字資產(chǎn)失竊事件，區(qū)塊鏈機(jī)構(gòu)對(duì)外的說辭均指黑客所為。如果說，你的比特幣被黑帽黑客非法攻擊竊取，你可能會(huì)在痛罵黑客卑鄙的同時(shí)，聲討交易所等機(jī)構(gòu)監(jiān)管不力，但如果是被自家白帽黑客監(jiān)守自盜，你又該如何是好？

神秘“黑手”伸向比特幣

比特幣從誕生之初價(jià)格僅有0.0025美元，到2017年12月漲到20000美元，上漲了803.56萬倍，遠(yuǎn)遠(yuǎn)超越了郁金香泡沫、股票的財(cái)富泡沫，圈養(yǎng)并產(chǎn)生了一大批投機(jī)獲利客。

可，不為人知的是，投機(jī)獲利客卻用他們投機(jī)倒把的錢圈養(yǎng)了大批黑客富豪。

從門頭溝被盜開始到錢包頻繁入侵和交易所失竊，黑客早已盯死了比特幣，11年來，黑客大遷移行動(dòng)浩浩湯湯地持續(xù)著。

2014年2月，區(qū)塊鏈業(yè)內(nèi)暴發(fā)了首個(gè)大型盜幣案件，那就是震驚全球的門頭溝事件。當(dāng)時(shí)被喻為世界第一大交易所的Mt.Gox，發(fā)聲明稱因其服務(wù)器遭黑客攻擊，交易所共損失客戶75萬個(gè)比特幣和本公司擁有的10萬個(gè)比特幣，約折合市值4.73億美元。

消息一出，業(yè)內(nèi)討伐聲一片，受害者街頭示威、人肉公司高管、向法庭狀告．．．．．．

最終，迫于社會(huì)輿論的壓力，加之此前已負(fù)債65億日元（約6400萬美元），Mt.Gox于2014年2月28日正式向東京地區(qū)法院申請(qǐng)破產(chǎn)保護(hù)，這意味著，彼時(shí)日交易流水過億的加密貨幣交易所宣告死亡了。

然而，這一慘淡的收尾，怒火中燒的比特幣所屬人并不買單。對(duì)他們而言，失竊的，不僅僅是比特幣，更是信仰、身家性命。

盡管在當(dāng)時(shí)很多人對(duì)于比特幣為何物都一知半解，但考慮到“涉案金額巨大、受害人眾較廣、社會(huì)輿論壓力”等因素，日本警視廳開始介入調(diào)查。警務(wù)人員在花費(fèi)將近一年左右的時(shí)間后，終于將龐大的交易數(shù)據(jù)理清了頭緒。然而，調(diào)查結(jié)果卻讓人瞠目結(jié)舌——未發(fā)現(xiàn)非法訪問的痕跡，他們懷疑或?yàn)閮?nèi)部人員參與盜幣。

消息一出，業(yè)內(nèi)再次震動(dòng)。

隨后，Mt.Gox交易所CEO Mark Karpeles被日本東京地區(qū)法院正式起訴，因?yàn)?，他被懷疑為盜取此次巨額比特幣的真正幕后黑手。Mark Karpeles涉嫌非法操控賬戶和交易數(shù)據(jù)，非法侵占用戶資產(chǎn)等多項(xiàng)罪名。

但Mark Karpeles對(duì)法官的這一系列指控予以否認(rèn)，他表示從平臺(tái)創(chuàng)始人Jed McCaleb手中接過Mt.Gox交易所時(shí)，便發(fā)現(xiàn)平臺(tái)存在嚴(yán)重的代碼漏洞，但此時(shí)損失已經(jīng)造成，而作為后Ripple（瑞波）、Stellar（恒星）創(chuàng)始人的Jed McCaleb也未對(duì)此作出任何回應(yīng)。

受此消息影響，大量的比特幣投資者持幣擔(dān)驚受怕，紛紛拋售手中的比特幣，比特幣一時(shí)拋壓嚴(yán)重，呈現(xiàn)持續(xù)下跌的趨勢(shì)。由此，開啟了比特幣長(zhǎng)達(dá)兩年的熊市。

11年來，黑客盜幣事件越來越嚴(yán)重，手段也越來越高明，已形成一條職業(yè)產(chǎn)業(yè)鏈。

2017年6月20日，韓國(guó)最大數(shù)字貨幣交易所Bithumb聲稱被黑客攻擊，黑客利用技術(shù)手段獲取了平臺(tái)用戶私鑰，將1900枚比特幣轉(zhuǎn)移至自己的錢包地址， 損失資金大約為3200萬美元。

2018年9月18日，日本交易所Zaif聲稱熱錢包遭黑客攻擊，共失竊6000枚比特幣，以及部分比特幣現(xiàn)金和MonaCoin，被盜虛擬貨幣資金價(jià)值總計(jì)70億日元（約合4.3億元人民幣）。

2019年11月27日，韓國(guó)交易所Upbit公告聲稱，平臺(tái)服務(wù)器被黑客攻擊，34.2萬ETH被轉(zhuǎn)入未知地址，還包括少量的XLM、BTT和TRX，失竊幣種價(jià)值保守估計(jì)約合5000萬美元。

淡薄的安全意識(shí)，跟不上攬財(cái)?shù)挠?/p>

近年來，區(qū)塊鏈行業(yè)持續(xù)走熱，基本上只要和區(qū)塊鏈搭上邊，發(fā)個(gè)幣，做個(gè)錢包，成立個(gè)交易所，就可以拿袋子搓錢了。而在整個(gè)比特幣的炒作的鏈條中，最為暴利的非交易所莫屬，他們一方面通過向項(xiàng)目方收取昂貴的上幣手續(xù)費(fèi)，另一邊還收割投資者和項(xiàng)目方。鐮刀揮下，財(cái)源滾滾，也自然成為黑帽黑客攻擊的首選。

“人為刀俎，我為魚肉，而淡薄的安全意識(shí)，常常讓交易所成為黑客砧板上最常見的魚肉。”某區(qū)塊鏈安全公司CEO王磊（化名）苦笑道。

照理說交易所不缺錢，招聘到高端的安全技術(shù)人才也不是難事，可為什么還是頻頻失竊？

是“利益熏心”在作怪！

“拽什么拽！全公司都指著我們運(yùn)營(yíng)和商務(wù)吃飯呢?！蓖趵诒硎?。

這種場(chǎng)景在傳統(tǒng)互聯(lián)網(wǎng)行業(yè)基本不存在，而在幣圈交易所卻司空見慣。

因?yàn)?，一些交易所在成立之初就是奔著割韭菜來的，如何盡快吸引用戶入場(chǎng)交易比特幣，才是他們首要考慮的，相比短時(shí)內(nèi)無法直接變現(xiàn)的技術(shù)團(tuán)隊(duì)，自然更受高層的青睞，市場(chǎng)人員也就“拽”了起來。

但這，并不是最可怕的，最可怕的是——自家的大門給別人配了一把鑰匙。有交易所監(jiān)守自盜，只要完成從白帽到黑帽的演變，瞬間就能變成名列前茅的首富大亨。

10分鐘開交易所，白帽變身黑帽

不少投資機(jī)構(gòu)看到比特幣交易所如此暴利，也想從中分一杯羹，便砸錢進(jìn)場(chǎng)。

但有些人比較心急，如果自己招聘技術(shù)團(tuán)隊(duì)開發(fā)交易平臺(tái)，花費(fèi)的時(shí)間恐怕要錯(cuò)過這一場(chǎng)撈錢的盛宴。此時(shí)，一種以ChainupCloud為代表的交易所服務(wù)提供商應(yīng)運(yùn)而生。

“10分鐘就可以開一家交易所，想掙快錢，或者說不愿花時(shí)間去開發(fā)的人，通常成為這類消費(fèi)者的首選。”王磊告訴星傳媒，“對(duì)于想盡快入場(chǎng)的交易所而言，時(shí)間就是金錢，這種產(chǎn)品確實(shí)給他們節(jié)省了不少時(shí)間，得以搶先占領(lǐng)市場(chǎng)，但同時(shí)也留下了致命的安全隱患?！?/p>

如王磊所言，這種便捷型交易所產(chǎn)品，只要向平臺(tái)繳納一定的費(fèi)用，就能簡(jiǎn)單注冊(cè)，便能投入使用。

這樣的交易所，從平臺(tái)的開發(fā)到后期的運(yùn)維，一條龍完全依托于第三方機(jī)構(gòu)，他們從不關(guān)心平臺(tái)的技術(shù)層面，也無法掌控技術(shù)，更無法進(jìn)行二次開發(fā)。如果，所依賴的平臺(tái)中負(fù)責(zé)運(yùn)維的技術(shù)人員想要做黑帽黑客，只需要在前期產(chǎn)品開發(fā)或后期平臺(tái)維護(hù)時(shí)，簡(jiǎn)單通過數(shù)據(jù)埋點(diǎn)監(jiān)測(cè)平臺(tái)數(shù)據(jù)，就可以輕松攻擊交易所的服務(wù)器，就如同用鑰匙打開自家大門那么簡(jiǎn)單。

這也是為什么那么多白帽黑客向黑帽黑客轉(zhuǎn)變的原因，他們面對(duì)巨大的利潤(rùn)誘惑，當(dāng)誘惑足夠大時(shí)，道德便不值一提，他們的身份也悄然發(fā)生了改變。

從未真正去中心化

區(qū)塊鏈的初衷是通過去中心化技術(shù)，改變現(xiàn)有的中心化控制局面，從而避免因中心機(jī)構(gòu)監(jiān)守自盜等問題造成個(gè)人信息、數(shù)據(jù)及財(cái)產(chǎn)的泄露與丟失。然而，以目前的區(qū)塊鏈現(xiàn)狀來看，傳統(tǒng)的中心化運(yùn)營(yíng)模式并未改變，甚至安全性較傳統(tǒng)中心化平臺(tái)更差，即使是幣安等頭部交易所也難逃黑客的掠奪。

目前，用戶存儲(chǔ)比特幣等虛擬貨幣的主要方式有兩種——交易平臺(tái)賬戶（官方熱錢包）、硬件冷錢包，均屬中心化的。

而99%的盜幣事件發(fā)生在交易平臺(tái)上。

舉例來說，當(dāng)小明在某虛擬貨幣平臺(tái)購買了價(jià)值千萬的比特幣后，在該交易平臺(tái)的個(gè)人賬戶內(nèi)所看到資產(chǎn)信息，其實(shí)并不是真實(shí)的比特幣，它就像銀行卡里一串?dāng)?shù)字一樣。實(shí)際上，在小明買入虛擬貨幣時(shí)，交易平臺(tái)統(tǒng)一將比特幣劃轉(zhuǎn)到官方熱錢包地址，而熱錢包從誕生之初就是聯(lián)網(wǎng)的。這樣一來，用戶在享受實(shí)時(shí)交易的便利性的同時(shí)，也給黑客留下了可乘之機(jī)，這也是交易平臺(tái)屢屢被盜取的主要原因。

而另一方面，也是最為人所詬病的一點(diǎn)，交易所錢包通常都是自主開發(fā)的。不但開發(fā)過程不受監(jiān)管，運(yùn)營(yíng)過程也是中心化的，用戶的數(shù)字資產(chǎn)并未像傳統(tǒng)P2P金融產(chǎn)品那樣實(shí)現(xiàn)第三方隔離托管。這就好比自己建池子養(yǎng)魚，想什么時(shí)候殺，就什么時(shí)殺。這也是很多平臺(tái)監(jiān)守自盜許久，卻仍不被發(fā)現(xiàn)的原因。