黑客盯上区块链代码漏洞，64亿人民币瞬间蒸发？

　　一行代码蒸发64亿人民币。这个不可思议的黑客操作发生在今年4月，仅仅因为被黑客找到了一个代码漏洞，与之相关的区块链产品的全部市值瞬间被全部转出，趋近于零。

　　此前认为，区块链技术由于分布存储、加密算法等技术的应用，拥有了不可篡改、可追溯等被认为是“万无一失”的特性。然而，该特性主要针对存储在区块中的信息来说，以文中开头的案例为例，区块链技术保障了可以追溯到这64亿转移到了哪里，黑客的操作也会被系统不可篡改地记录，却并不能“拒绝”黑客对底层代码的篡改，保护虚拟数字货币。

　　虚拟货币成偷盗新目标

　　不久前，一部名为《瞒天过海：美人计》的偷盗题材电影上映，讲述一众美女偷盗高手，盗取一条价值1.5亿美元的钻石项链的故事。

　　过去盗贼的目标是金银珠宝、成沓钞票，如今只要稳坐电脑前，动动手指，通过虚拟货币的窃取就可能“致富”。加密数字货币，成了高科技犯罪的新目标。世界各国均备受困扰，资料显示，在价值5.3亿美元的代币被盗后，日本16家加密数字货币交易所打算成立一个自我监管小组，自省自查系统漏洞。

　　除了窃取，虚拟货币也沦为犯罪分子的工具。“比特币成为洗钱工具，并衍生出了‘专业水房’。”张璇说。她列举了一个实际发生的案件：受害人在QQ上认识了嫌疑人，他自称是在伊拉克打过仗的军人，希望受害人帮他代收邮包，代收邮包需要80万美元保证金。受害人把资金打给专门做比特币交易的王某，王某支付给嫌疑人比特币，对于嫌疑人来说并未留下收钱的诈骗证据，而比特币交易的王某处有大量的资金进入，增加排查难度。

　　更有甚者，犯罪分子不在是一个人或一个团伙，而是一个正常经营的合法企业。张璇介绍，一个技术运维公司开发了一个木马病毒，安装在自己负责运维的客户机器上，机器内存占用不多时就启动挖矿程序，被发现前已挖得数字货币5000多枚。经统计，该公司非法控制了全国300多万台机器。“这种违法行为的法律定位至今仍非常模糊。”张璇说，新的犯罪态势敦促着法律、法规的健全，提醒执法人员不断更新知识储备。

　　如同一场攻防战，一旦掌握了区块链技术的“命门”，黑客分子的外部攻击将一发不可收拾。而“加固城墙”“严查堵漏”则是防守方以不变应万变的有效方法。

　　越底层的攻击，越可能“牵一发而动全身”。例如，对数据层的攻击将带来整个区块链而非一个节点的变化。今年5月份，因攻击者篡改了某区块链生成的时间，导致挖矿难度下降，劫持了整个主链，导致攻击者获取了大量的代币。

　　除了排查漏洞，团队还对黑客的一些攻击进行了深入测试，并编写《公链渗透测试白皮书》。王伟波说，白皮书会不久后进行发布，其中将分析一些安全事件，以区块链攻击为切入点，深入分析黑客的攻击手法，以及针对不同的攻击，怎么做好安全防护。

　　盲目上马区块链项目不可取

　　“我们除了让区块链技术本身更扎实，更值得信赖之外，还面临一个区块链的链上数据与现实数据衔接的问题。”中国信息通信研究院云计算与大数据研究所部门主任魏凯表示，每个行业使用区块链时都有自己的痛点，例如溯源行业，如何确保上链的数据，对应的正是要追溯的产品，而不会被“掉包”？

　　“要上马区块链应用，应该先问4个问题。”魏凯说，“任务要不要记录数据？记录的数据是不是必须多方参与？参与的多方能不能互信？如果找不到可以信任的，那么，就可以考虑抛弃原有载体，使用区块链技术。最后一个问题，能够容忍它与中心化系统相比效率较低的特性吗？”

　　魏凯用“焦虑症”形容目前产业界、甚至政府对区块链的态度。“现在有二十几个省市发布了与区块链有关的激励刺激政策，很多地方盖起了区块链大厦，入驻这些大厦的企业有没有挖掘出什么非得用区块链不可的场景来呢？这个问题值得大家深思。”魏凯认为，除了区块链技术本身的完善外，政策、法规、验证等体系仍需要进一步推动建设。为此，中国信息通信研究院于4月9日，联合158家企业发起了“可信区块链推进计划”，推进技术标准、行业应用和政策法规等工作，以期逐步完善区块链发展的有利生态。(记者 张佳星)