8月7日，騰訊近日聯合網絡安全公司「知道創宇」發布《2018上半年區塊鏈安全報告》。報告顯示，2018年上半年區塊鏈安全共造成27億美元損失。問題主要集中在3方面，分別是生態安全、區塊鏈項目自身的機制安全以及使用者安全。其中生態安全和機制安全是最主要的兩大安全問題，分別造成14.2億、12.5億美元的損失。

除此之外，報告還指出，截至今年上半年，全球出現過的數字加密貨幣已經超過1600種，但其中存在大量完全沒有實體項目支撐的“空氣幣”，幾乎一文不值。

以下為騰訊《2018上半年區塊鏈安全報告》全文：

序言

一、區塊鏈安全事件頻發，案值過億屢見不鮮

1.數字加密貨幣撐起6000億美元的市值

2.區塊鏈安全事件爆發率逐年增加，案值增大

二、區塊鏈安全威脅分類

1.引發區塊鏈數字加密貨幣三大安全問題

2.區塊鏈數字加密貨幣安全事件詳解

2.1因比特幣自身機制而出現的安全事件

2.2因區塊鏈生態系統原因導致的安全事件

2.3區塊鏈使用者面臨的風險

三、區塊鏈數字貨幣“熱”背后的三大網絡安全威脅

1.數字貨幣勒索事件頻發，基礎設施成勒索病毒攻擊重點目標

1.1上半年勒索病毒攻擊特征與三大勒索病毒家族

1.2下半年勒索病毒的傳播趨勢

2.挖礦木馬“異軍突起”，成幣圈價值“風向標”

2.1上半年挖礦木馬樣本分析與傳播特征

2.2下半年挖礦木馬的傳播趨勢

3.數字劫匪“鋌而走險”攻擊交易所，半年獲利約7億美元

3.1數字加密貨幣交易平臺被攻擊

3.2個人賬號遭入侵

3.3“雙花攻擊”

3.4漏洞攻擊

四、安全建議

序言

2018年，是公認的區塊鏈大年。與區塊鏈有關的討論不僅遍存在于中關村的創業咖啡，更是存在于街頭巷尾、地鐵公交、微博微信，幾乎無處不在。然而，伴隨著區塊鏈技術的不斷發展，區塊鏈領域本身的安全問題逐漸凸顯，與區塊鏈相關的詐騙、傳銷等社會化安全問題日益突出。

隨著區塊鏈的經濟價值不斷升高，促使不法分子利用各種攻擊手段獲取更多敏感數據，“盜竊”、“勒索”、“挖礦”等，借著區塊鏈概念和技術，使區塊鏈安全形勢變得更加復雜。據網絡安全公司Carbon Black的調查數據顯示，2018年上半年，有價值約11億美元的數字加密貨幣被盜，且在全球范圍內因區塊鏈安全事件損失金額還在不斷攀升。

為了護航區塊鏈產業健康發展，6月21日“中國區塊鏈安全高峰論壇”上，中國技術市場協會、騰訊安全、知道創宇、中國區塊鏈應用研究中心等政府指導單位、網絡安全企業、區塊鏈相關機構及媒體等二十余家機構、單位聯合發起“中國區塊鏈安全聯盟”，聯盟成立后著手建立區塊鏈生態良性發展長效機制，著重打擊一切假借區塊鏈名義進行變相傳銷、詐騙等斂財行為。

區塊鏈安全正受到越來越多的關注，除了廣大用戶特別關心的會不會踩雷“空氣幣”，騰訊安全聯合實驗室的關注點還在于圍繞區塊鏈，存在哪些安全風險，以及面對風險怎樣才能避免出現重大損失。基于此，騰訊安全聯合實驗室聯合知道創宇，梳理了2018年上半年圍繞區塊鏈爆發的典型安全事件，并給出防御措施，希望盡可能幫助用戶避開區塊鏈的“雷區”。

一、區塊鏈安全事件頻發，案值過億屢見不鮮

1.數字加密貨幣撐起6000億美元的市值

數字加密貨幣，是按照一定的數學算法，計算出來的一串符號。信仰者認為這串符號，代表一定的價值，可以像貨幣一樣使用。因為其僅存在于計算機中，人們常稱之為“數字加密貨幣”。

不同于由政府發行、并以政府信用做擔保，用于商品流通交換的媒介——法幣。數字加密貨幣，是由某個人或某個組織發行，通過一定算法，找到一串符號，然后宣稱其是“XX幣”。世界上首個數字加密貨幣由日本人中本聰發現，被他稱作比特幣。在比特幣成功取得黑市交易硬通貨的地位之后，引發了數字加密貨幣發行狂潮。至今，全球出現過的數字加密貨幣已超過1600種，是地球上國家總數的8倍多。

這1600多種數字虛擬幣中，存在大量空氣幣，被認為一文不值。但這1600多種數字虛擬幣，在高峰時期，卻撐起了6000億美元的市值。排名前十的加密數字貨幣，占總市場的90%，其中比特幣、以太坊幣分別占總市值的46.66%和20.12%。

關于ICO

一家上市公司發行股票，需要向證券交易場所提交IPO申請，當一種虛擬數字貨幣需要上市發行時，會尋求數字虛擬幣交易所申請ICO。ICO機構并不像IPO機構那樣由各國政府機構依法建立，有強大的財經、政治實力做保障，ICO組織均為民間自發形成的組織或聯盟，類似自由市場。部分ICO機構的實際表現，實際上更接近于跨國詐騙組織。空氣幣在全球范圍內滿天飛，群雄四起的ICO機構功不可沒。

2.區塊鏈安全事件爆發率逐年增加，案值增大

加密數字貨幣一經誕生，安全性就是人們關注的焦點，遺憾的是各類重大安全事件層出不窮。就比如下面這些驚人的案例：

2013年11月，澳大利亞廣播公司報道，當地一位18歲的青年稱，自己運營的比特幣銀行被盜，損失4100個比特幣；

2014年3月，美國數字貨幣交易所Poloniex被盜，損失12.3%的比特幣；

2014年Mt.gox盜幣案——85萬枚，價值120億美元；

2015年1月，Bitstamp交易所盜幣案——1.9萬枚比特幣，當時價值510萬美元；

2015年2月，黑客利用比特兒從冷錢包填充熱錢包的瞬間，將比特兒交易平臺冷錢包中的所有比特幣盜走，總額為7170個比特幣,價值1億美元；

2016年1月1日，Cryptsy交易平臺失竊1.3萬比特幣，價值1.9億美元；

2016年8月1日，全球知名比特幣交易平臺Bitfinex盜幣案——約12萬枚，價值18億美元；

2017年3月1日，韓國比特幣交易所yapizon被盜3831枚比特幣，相當于該平臺總資產的37%，價值5700萬美元；

2017年6月1日，韓國數字資產交易平臺Bithumb被黑客入侵，受損賬戶損失數十億韓元；

2017年7月1日，BTC-e交易所盜幣案——6.6萬枚，價值9.9億美元；

2017年11月22日Tether宣布被黑客入侵，價值3100萬美元的比特幣被盜；

2017年11月23日，Bitfinex發生擠兌3萬比特幣瞬間被提走；

據美國財經網站CNBC報道，網絡安全公司Carbon Black的調查數據顯示，2018年上半年，有價值約11億美元的數字加密貨幣被盜。

二、區塊鏈安全威脅分類

1.引發區塊鏈數字加密貨幣三大安全問題

與數字加密貨幣有關的安全事件為何影響如此嚴重呢？產生安全風險的原因在哪兒？騰訊聯合安全實驗室和知道創宇公司認為：基于區塊鏈加密數字貨幣引發的安全問題來源于區塊鏈自身機制安全、生態安全和使用者安全三個方面。

上述三方面原因造成的經濟損失分別是12.5億、14.2億和0.56億美元。

總的趨勢是，隨著數字虛擬貨幣參與者的增加，各種原因導致的安全事件也顯著增加。

細分來觀察：

區塊鏈自身機制安全問題

? —— 智能合約的問題

——理論上存在的51%攻擊已成現實

區塊鏈生態安全問題

—— 交易所被盜（如前所述、觸目驚心）

——交易所、礦池、網站被DDoS

——錢包、礦池面臨DNS劫持風險（劫持數字虛擬幣交易錢包地址的病毒已層出不窮）

——交易所被釣魚、內鬼、錢包被盜、各種信息泄露、賬號被盜等

使用者安全問題

——個人管理的賬號和錢包被盜

——被欺詐、被釣魚、私鑰管理不善，遭遇病毒木馬等。

2.區塊鏈數字加密貨幣安全事件詳解 2.1因比特幣自身機制而出現的安全事件

2018年5月，比特幣黃金（BTG）遭遇51%雙花攻擊，損失1860萬美元。

2017年10月，比特幣網絡遭遇垃圾交易攻擊，導致10%以上的比特幣節點下線。

51%雙花攻擊最為典型，所謂51%攻擊就是有人掌握了全網51%以上的算力之后，就可以像賽跑一樣，搶先完成一個更長的、偽造交易的鏈。比特幣只認最長的鏈。所以偽造的交易也會得到所有節點的認可，假的也隨之變成真的了；“雙花”（Double Spending）從字面上看，就是一筆錢被花出去了兩次。以BTG事件為例，就是黑客臨時控制了區塊鏈之后，不斷地在交易所發起交易和撤銷交易，將一定數量的BTG在多個錢包地址間來回轉，一筆“錢”被花了多次，黑客的地址因此能得到額外的比特幣。

2.2因區塊鏈生態系統原因導致的安全事件

比如交易所面臨的風險，被DDoS攻擊的事件常有發生。還有交易所賬戶被黑客控制，攻擊者控制交易行情，場外套利。

2018年3月，號稱世界第二大交易所的“幣安”被黑客攻擊，大量用戶發現自己賬戶被盜。黑客將被盜賬戶中所持有的比特幣全部賣出，高價買入VIA（維爾幣），致比特幣大跌，VIA暴漲110倍。

2.3區塊鏈使用者面臨的風險

數字虛擬幣錢包，要理解或完全掌握這些交易工具的使用有較高的門檻，要求使用者對計算機、對