盤點：2018年區塊鏈行業中出現過頗具影響的安全事件

2018年超過半數交易所保管了用戶的密鑰，交易所已經成為黑客攻擊的常規對象，今年全球數字貨幣交易平臺陸續遭到黑客攻擊、賬號被盜等安全事件。這不單單是經濟損失，嚴重的已導致平臺直接倒閉。

▲2018年交易所安全事件匯總

對于交易所而言，資金和信息安全是數字貨幣交易所立足的基礎，只有安全才能贏得用戶的信賴，站穩市場。因此，交易所平臺技術能力和經營經驗顯得尤為重要。

對于用戶而言，選擇交易所前應考慮其平臺安全、用戶體驗、流量、資金儲備、技術能力、金融產品化能力，最好選擇滿足以下幾點的交易所：

· 資金和信息安全；
· 平臺流動性好；
· 交易費用低；
· 交易速度快，用戶體驗好；
· 有足夠豐富的交易對；
· 沒有資金限制（限制提幣/放緩提幣速度）；
· 支持多種衍生品；
· 可提供API接口。

智能合約安全事件回顧

智能合約以數字形式來定義承諾，如果在創建過程中不夠嚴謹，容易留下隱患，2018年常見的智能合約安全漏洞主要包括整數溢出、越權訪問、拒絕服務、邏輯錯誤、信息泄露和函數誤用等漏洞，雖然智能合約安全事件相對不多，但是造成的經濟損失卻不少。

▲2018年智能合約安全事件匯總

在應對智能合約安全漏洞方面，我們建議項目方及開發者應做到智能合約上線之前交由專業機構團隊對其進行全面深入的代碼安全審計、設置應急響應、開發驗證工具、發布漏洞獎勵機制及有一定的安全意識。

數字貨幣錢包安全事件回顧

2018年區塊鏈錢包大多數存在安全隱患，包括存在錢包APP偽造漏洞、交易密碼未檢測弱口令、核心代碼未加固、未檢測到系統運行環境、操作存在截屏及錄屏記錄等隱患。

▲2018年數字貨幣錢包安全事件匯總

數字貨幣錢包服務商一方面應加強對錢包進行安全審計，另一方面要進行包括域名系統安全檢測、主機實例安全檢測、服務端應用安全檢測等一系列審核，同時還要監控私鑰、助記詞、交易過程、數據存儲的安全。

DApp安全事件回顧

2018年DApp數量逐漸增加，據相關數據顯示，截至2018年底運行在以太坊、EOS、波場等公鏈上的 DApp 總數量超過1900個，在2018年下半年，已經出現超過20起大大小小的黑客攻擊事件。

▲2018年DApp安全事件匯總

2018年DApp發生的被攻擊事件大部分以隨機數攻擊為主，并非EOS本身的bug，項目方在開發過程中，一方面應盡可能讓隨機數生成的規則復雜，增加猜測難度，另外一方面應提高安全意識，避免所寫代碼存在安全漏洞。

礦池安全事件回顧

2018年礦池的風險主要在于 DDoS 攻擊和扣塊攻擊，礦池作為數字貨幣的上游環節，為廣大個人礦工提供穩定的挖礦收益，其安全的重要性不言而喻。

▲2018年礦池安全事件匯總

作為礦池開發者，應采用高性能的網絡硬件產品并盡可能地保證網絡帶寬富余，作為曠工，應從官方可靠渠道下載挖礦軟件，使用專門的挖礦電腦。

用戶自身安全

除了專業的黑客攻擊事件之外，2018年也存在普通用戶自身安全事件，損失了不少的資產。

▲2018年用戶自身安全事件匯總

2018年是區塊鏈發展的關鍵之年，但安全問題卻已成為制約其發展的核心關鍵，只有區塊鏈項目、用戶自身、交易平臺、存儲工具、安全服務公司多方共同保證安全，數字貨幣和區塊鏈生態才能持續健康發展。