“互联网发生安全事故丢失的是信心，币圈安全事故丢的可能是命了。”

自互联网始，黑客存在久矣。

然后，颠覆互联网的区块链来了，黑客也随之降临。

分裂以太坊，门头沟事件，BTER失窃……每一次币圈事故背后都能瞧见他们身影出没。

与互联网的森严法治不同，币圈黑客游走在规章的模糊边界，无人约束。每年上亿美元赃款落入黑客腰包。

这是与古典互联网截然不同的奇异景观。

“互联网发生安全事故丢失的是信心，币圈安全事故丢的可能是命了。”一位区块链安全人士表示。

利益之下，黑客肆掠，币圈无人幸免。区块链的头顶上，始终笼罩着一层阴霾。

一场悄无声息的迁徙

古典互联网黑客正在往币圈大规模迁徙。

“正是区块链技术创新造就了这群黑客。”BYSEC.IO创始人，“区块链是历史上任何一个时代无法比拟的——代码和钱画上了等号。”

互联网和币圈是截然不同两个世界。

“对于互联网安全，一旦发生安全事故，往往丢失的是信心，但是用户是健忘的。可对于数字货币交易所、钱包而言，丢失的就不仅仅是信心了，可能就是丢命了，是等同于法币资产的身家性命。” 一位业内人士透露。

在黑客攻击后倒闭的项目不绝如缕。门头沟事件（2014年2月，黑客从Mt.Gox盗取用户近75万枚比特币及交易所10万枚比特币）直接导致彼时世界第一大交易所Mt.Gox申请破产。

币圈是一块无人管的戈壁地。在币圈尚无明确法律监管的情况下，这些黑客攻城掠地，侵占一座又一座城池。

将攻击分为两种：一种是链上攻击，例如像BTG双花攻击。技术门槛高，攻击者对区块链技术有一定研究；一种是链下服务攻击，比如对交易所、钱包的攻击。

币圈黑客目前的操作方式大部分属于后者。即是说，黑客仍然用着传统互联网的方法在币圈兴风作浪。

“密钥和钱包的安全是区块链安全1.0的重心，智能合约是区块链安全2.0的重心。但是目前大多数黑客事件还是使用传统攻击手段。”长亭科技区块链安全研究员KK表示。

古典互联网黑客转行币圈，根本不需要学习成本，所要只是一个瞬念。

币圈黑客已经将触角伸向区块链全产业链。

无论是矿池、钱包、交易所还是公链，甚至是用户的打印机、摄像头，都有被黑客袭击的可能。

例如，对于矿池来说，黑客直接攻击矿池，设法获取矿池网站的管理员权限，然后将矿池里额虚拟货币转移至自己帐户。

此外，黑客还能黑进用户的物联网设备，偷设备上的算力，当用户发现设备的耗电量增加、网络流量出现异样，事实上其中是黑客在暗地里挖矿，但用户根本不会发现。

就这样，币圈每年上亿美金的虚拟货币流入黑客口袋。

黑白边缘

KK发现，自今年年初，开始做区块链或者转型区块链的安全公司多了起来。

近日，BYSEC团队也忙于不断见新的投资人。

币圈白帽子势力正在扩张。白帽子，即正面的黑客，可以识别计算机系统或网络系统中的安全漏洞，并不去恶意利用，而是公布漏洞。

这是刀锋上的生意。技术的价值在币圈被无限发大。

称，“在安全人才储备严重不足情况下，很多公司趁火打劫”。

很多安全公司奔着赚钱来的。透露，在传统互联网行业，代码审计按万行收费，平均一行代码1元至10元，而在区块链行业，代码审计费最高上万元。

区块链，碰撞出技术火花，同时也是一座富饶金矿。

“区块链行业里的白帽子非常缺乏，因为安全其本身还是一个服务性的东西，跟黑帽的利益驱动相比，白帽更多是发自内心的责任感去做。”KK称，相对黑帽来说，区块链白帽阵营还是太小了。

与此对照的是源源不断涌入币圈的黑客团队。

“未来一定会有更多黑客涌入区块链。”称，最近耳闻，区块链早已变成黑客眼中最肥的肉。

这是一场力量相差悬殊的竞争。

现行的技术和手段，加上区块链去中心化、匿名的特点，黑客的行踪很难被追溯。

而法律监管的缺失，更让这群币圈黑客肆意妄为。

白帽子却常常陷入误解的疑云。

让最受挫的是大众对黑客认知的缺失。很多区块链公司对黑帽和白帽没有清晰认知，“大家都觉得黑客是不分黑白的，只要你找上门就是坏的。事实上白帽被称为道德黑客，完全是出于个人兴趣，很多人在大互联网公司领着百万年薪，但还是愿意不相识公司提出漏洞”。

充满悖谬的是，监守自盗在事情经常在安全领域上演。有黑客伪装白帽子，获取内部信息后发起攻击。

慢雾科技联合创始人余弦曾表示，自己在招人时第一考虑的是价值观，然后才是其他，“在自我约束这方面，我们非常严肃”。

“守正出奇”，余弦称，黑客这个身份，自带奇，但得守正。

与此同时，白帽子只有把自己设身为黑客，去模拟攻击，才能发现漏洞。“以攻促防，只有了解攻击者的手法与心理还有这个群体的生存模式，才能真正做好防御。”余弦介绍。

称，而今很多区块链公司只有运营团队，没有技术团队。觉得成熟的区块链项目应该设有独立的安全部门。

“这不仅仅是技术层面的事，还是意识层面的。” 称。

“意识安全比技术安全还要重要。”KK也表示认同。

KK发现，2014年，BTER交易所发生失窃事件，源于BTERCEO韩林被黑客分析，而其个人密码恰好是BTER交易所里很关键的密码。

“不论你各个层面的安全防御技术做得再好，如果你人的防御意识出现问题，所有防御都是泡汤的。” KK介绍。

每个行业的兴起，安全都不会得到重视。被黑客教育很多次后，行业才会重视。所以，这不仅仅是技术的更新，更是意识的迭代。

一边是不断涌入币圈的黑客，掌握最顶级的资源，使用最豪华的设备，一边是势单力薄的白帽团队，苦苦挣扎却不被重视。

两人争分夺秒竞争，谁发现那个漏洞。现在看来，最后胜利的往往是黑客。

一场相差悬殊的竞赛

“没有不被攻击过的交易所。”称，绝大多数交易所被攻击后，常常装作维护状态，其实是“打破牙齿往肚子里吞”。

黑客阴霾笼罩每个人头顶。

黑客思维缜密、耐力过人、行动迅捷，无人知晓黑客是单独作战还是团队作业。同时，谁也不知道自己会不会是下一个受难者。

据KK观察，在门头沟事件发生的三年前，即2011年，黑客早已种下一颗木马。

Mt.Gox团队在浏览其他网站时，将木马程序下载至本地，木马程序自动搜索存放钱包密钥的文件。

木马悄悄潜伏在Mt.Gox服务器里，导致钱包的密钥文件被攻击者拿到。

攻击者十分狡猾，没有立即转走大笔交易，而是用了接近三年时间，将币一点点转出来。

当Mt.Gox发现问题时已经晚了，虚拟货币早已不知何处。

区块链2.0时代来临，黑客随之升级了策略。

基于以太坊的智能合约有一个很重要的特征——都是公开的。大家在使用之前都能看到该智能合约背后的代码，所以理论上每个人都能确认智能合约有没有发挥应有的作用。

这同时也带来一件坏事，智能合约一旦发布就不能修改。所以在发布之前没能做好合约升级，加上上线后很难更新迭代。

项目方在上线之后才发现问题，这个时候往往已经晚了——黑客早已对漏洞发起猛烈攻击。

黑客推动一个行业的进步，也足以毁灭一个行业。

“区块链太脆弱了”， KK称，“如果安全做得不好的话，非常打击人们对新技术的信心。”

黑客每次大捷过后，又一场狂欢已经开始了。

“黑客就像非洲的雇佣军，为钱服务。谁有钱就去不断发起进攻。“表示。

门头沟事件之后，比特币跌幅逾36%。

再出现像门头沟这样的一次黑客攻击足矣让比特币再次萎靡数年。

追逐财富的黑客可不管这些。毕竟，他们还能窜入下一领地或者回到互联网，寻找新的宝地。

最后，欢迎关注我的微信公众号：灰产特工   （ID：huichantegong），深度揭秘互联网灰色产业，实战分享最新赚钱项目！