[imtoken钱包客户端]区块链安全报告（2018年）

2018年，是公认的区块链大年。伴随着区块链技术的不断发展，区块链领域本身的安全问题逐渐凸显，与区块链相关的诈骗、传销等社会化安全问题日益突出。

在区块链技术安全范畴中，既有“传统”互联网世界中面临的网络拒绝服务攻击、代码漏洞等攻击威胁，也包含区块链独有的风险点（如智能合约漏洞）。随着区块链的经济价值不断升高，促使不法分子利用各种攻击手段获取更多敏感数据，“盗窃”、“勒索”、“挖矿”等，借着区块链概念和技术，使区块链安全形势变得更加复杂。

一、安全现状：像新生儿一样脆弱

从2008年概念提出到2013年业界认识到区块链技术的重要潜在价值，并开始尝试将其应用到数字货币以外的场景（如众募、资产交易、权属管理、身份认证等领域），再到当下人人热谈区块链，短短几年间区块链迅速成为最火爆的技术、行业、产业，随之而来的安全问题也令人揪心不已。目前，针对区块链的攻击已经覆盖了应用层、智能合约层、底层结构层、基础设施层、安全意识与管理等整个行业的方方面面，攻防战火蔓延至区块链产业全线。

目前市场上多达几百家的区块链相关公司，根据业务类型和模式大致上可将其划分为数字货币和技术应用两大类。顾名思义，数字货币是与数字经济时代相匹配的一种体现和传递交换价值的中间件。而技术应用是在很多现实场景中利用区块链技术降低成本，提升效率。两者因业务形态、模式的区别，导致其安全诉求也不尽相同。

应用层通常成为攻击者首选的目标，也就是最常见到的各种交易平台。安全问题包括交易所服务器未授权访问、交易所DDoS攻击、员工主机安全问题、恶意程序感染等几个方面。智能合约层则是整个安全防范的重中之重，世界知名的DAO事件就是被重入攻击导致数千万美金的损失，涉及智能合约开发的代表性项目有区块链钱包、众筹基金、区块链代币发行、区块链游戏等。未授权访问攻击，杜绝Solidity 编程隐患等都是合约层的常见问题。底层机构层和基础设施层安全需要注意区块链实现层安全隐患、针对社区的DoS 攻击、EVM 安全隐患等等。此外，安全意识与管理，含如何识别防范社会工程学攻击、内部者攻击、第三方风险控制失败、钓鱼攻击也是一个都不能少。显而易见，区块链这一新贵安全的复杂性在于不仅在新维度上产生了问题，常见的安全问题也贯穿其中。

相对于区块链产业势不可挡的发展速度，公众对区块链安全的认知近乎为零，相应的规范和保障体系更如新生儿一样脆弱。自出现至今承受了大量的网络攻击，每一次成功的攻击带来的都是百万、千万到上亿美元实际损失，并且打击了人们对区块链行业的信心。

二、区块链安全事件频发，案值过亿屡见不鲜

1.数字加密货币撑起6000亿美元的市值

数字加密货币，是按照一定的数学算法，计算出来的一串符号。信仰者认为这串符号，代表一定的价值，可以像货币一样使用。因为其仅存在于计算机中，人们常称之为“数字加密货币”。

不同于由政府发行、并以政府信用做担保，用于商品流通交换的媒介——法币。数字加密货币，是由某个人或某个组织发行，通过一定算法，找到一串符号，然后宣称其是“XX币”。世界上首个数字加密货币由日本人中本聪发现，被他称作比特币。在比特币成功取得黑市交易硬通货的地位之后，引发了数字加密货币发行狂潮。至今，全球出现过的数字加密货币已超过1600种，是地球上国家总数的8倍多。

这1600多种数字虚拟币中，存在大量空气币，被认为一文不值。但这1600多种数字虚拟币，在高峰时期，却撑起了6000亿美元的市值。排名前十的加密数字货币，占总市场的90%，其中比特币、以太坊币分别占总市值的46.66%和20.12%。

关于ICO

一家上市公司发行股票，需要向证券交易场所提交IPO申请，当一种虚拟数字货币需要上市发行时，会寻求数字虚拟币交易所申请ICO。ICO机构并不像IPO机构那样由各国政府机构依法建立，有强大的财经、政治实力做保障，ICO组织均为民间自发形成的组织或联盟，类似自由市场。部分ICO机构的实际表现，实际上更接近于跨国诈骗组织。空气币在全球范围内满天飞，群雄四起的ICO机构功不可没。

2.区块链安全事件爆发率逐年增加，案值增大

加密数字货币一经诞生，安全性就是人们关注的焦点，遗憾的是各类重大安全事件层出不穷。就比如下面这些惊人的案例：

2013年11月，澳大利亚广播公司报道，当地一位18岁的青年称，自己运营的比特币银行被盗，损失4100个比特币；

2014年3月，美国数字货币交易所Poloniex被盗，损失12.3%的比特币；

2014年Mt.gox盗币案——85万枚，价值120亿美元；

2015年1月，Bitstamp交易所盗币案——1.9万枚比特币，当时价值510万美元；

2015年2月，黑客利用比特儿从冷钱包填充热钱包的瞬间，将比特儿交易平台冷钱包中的所有比特币盗走，总额为7170个比特币,价值1亿美元；

2016年1月1日，Cryptsy交易平台失窃1.3万比特币，价值1.9亿美元；

2016年8月1日，全球知名比特币交易平台Bitfinex盗币案——约12万枚，价值18亿美元；

2017年3月1日，韩国比特币交易所yapizon被盗3831枚比特币，相当于该平台总资产的37%，价值5700万美元；

2017年6月1日，韩国数字资产交易平台Bithumb被黑客入侵，受损账户损失数十亿韩元；

2017年7月1日，BTC-e交易所盗币案——6.6万枚，价值9.9亿美元；

2017年11月22日Tether宣布被黑客入侵，价值3100万美元的比特币被盗；

2017年11月23日，Bitfinex发生挤兑3万比特币瞬间被提走；

据美国财经网站CNBC报道，网络安全公司Carbon Black的调查数据显示，2018年上半年，有价值约11亿美元的数字加密货币被盗。

三、区块链安全威胁分类

1.引发区块链数字加密货币三大安全问题