区块链的发展阶段分为三个阶段，2008年第一次浪潮走向了2013年的第二次浪潮再到2018年区块链第三次浪潮，共经历了10年的时间，热度一年比一年高。2018年的区块链3.0让众多人参与到了这场颠覆未来的浪潮中。3月，三点钟社群的火爆让区块链如同一阵风，迅速吹遍大街小巷。2018年是区块链的元年，各大场景项目如同雨后春笋一般出现在各个城市，明星项目高频次出现在大众的视野当中。

然而伴随着区块链产业规模及增长率带来的金融效应，更多的黑客为了谋取巨大的利益而盯上它，盗币事件变得更加频发起来，仅仅在2018年上半年，就有数据显示，大约有价值11亿美元的数字加密货币被盗。

数据来自BCSEC

2018年8月数字加密货币已经达到了约6千亿的市值，随着市值的攀升，业内的安全问题愈发值得重视。数字资产讲解才能保证不会因为代码而损失几十亿、讲解不被黑客盯上，成为了区块链业内人士着重关注得问题。笔者根据DVP平台12月态势以及平台五大案例给网刨析安全方面会出现的情况，展现12月行业态势，旨在帮助到底认识区块链的安全问题，以此推动行业向前发展。

五大案例看区块链行业安全现状

区块链自存在以来，安全漏洞及安全事件频频发生，尤其是2018年重大安全事件呈现大规模爆发状态。

数据来自BCSEC

故区块链的安全仍是重中之重，与牛熊无关。是2011年至2018年4月30日发生的各类安全事件所造成的损失：

数据来自BCSEC

笔者希望通过整理分析DVP平台五大案例，借案例向到底展示目前12月态势。

案例一DVP通报漏洞可导致提币损失是在2018年11月份。GasToken矿工费滥用漏洞曾被国外twitter用户levelk_io预警，该漏洞可导致相关交易所以及其他有提币操作的平台产生资金损失。

levelk_io预警情报

同互联网一样，区块链是开放而不是封闭的，主打安全的区块链技术是相对的而不是绝对的，区块链安全是共同的而不是孤立的。

案例二钓鱼网站仿冒网站利用币安知名度与影响力疯狂敛财。DVP平台收到威胁情报反馈知名交易平台币安（Binance）被仿冒，虚假站点利用币安名义来钓鱼，诈骗用户资产，据平台情报披露该诈骗手段同样模仿过OKEX平台，无论平台名声誉受损还是用户资产受损均是建立在用户对平台信任的基础上，可见交易平台在防范自身安全问题的基础上也应做好用户安全权益的保障。

区块链产业目前还处于非常早期的阶段。随着整个产业的高速发展以及项目落地速度的加快，融资轮次将逐渐往后延伸，未来会出现更多进入中后期阶段的项目，区块链产业发展方兴未艾。关于以“区块链”为名的诈骗非法网站，基本都是披着或者疑似披着数字货币的外衣进行非法传销的项目。据报道腾讯安全反诈骗实验室负责人李旭阳介绍说，“最近利用所谓的区块链概念搞的代币、虚拟币这一块，我们发现非常活跃的这种代币有2000多种，这种传销平台已经超过3000多家，这类犯罪因为涉案金额非常大，所以危害很大。”

同时另外一组数据更加对区块链的安全问题发出质疑：去中心化漏洞平台DVP上线首周收到白帽子所提供的312个漏洞，涉及175个项目方。区块链的安全如同传统安全网络问题一样，是未来区块链企业不得不重视的问题。而同时也证明了去中心化、智能合约的区块链自身确实存在漏洞。

案例三DVP平台收到来自社区白帽子的多个关于亦来云远程DoS高危漏洞的反馈。据DVP漏洞平台12月07日消息，此前，DVP收到来自社区白帽子的多个关于亦来云远程DoS高危漏洞的反馈，攻击者可借此漏洞远程将亦来云节点瞬间瘫痪，最终导致亦来云主网瘫痪。目前该漏洞已通报给亦来云基金会并完成修复。DVP安全研究人员表示，DoS高危漏洞属于区块链公链中较高危的漏洞，公链节点既是客户端也是服务端，属于整个公链生态的基础设施，公链节点被轻易攻击下线的危害是非常巨大的，比如会使网络算力骤减，从而导致51%攻击等。

将区块链与传统相比较的话，我们可以看出公链结点既是客户端也是服务端，它属于整个公链生态的基础设施。在安全方面公链客户端与其他传统软件的客户端没有太大区别，在传统软件上会遇到的问题在公链客户端中都有可能遇到，对于区块链来说，任何一个微小的问题都会被无限放大。

目前公链安全由于其门槛相对较高，所以研究的人也比较少，笔者切实希望更多的白帽子参与到区块链安全这个还处于蛮荒阶段的领域中来，让安全为区块链更多项目保驾护航。

案例四DVP平台接收到白帽子提交知名交易平台比特儿gate.io存在严重漏洞，可导致整个交易平台服务器被攻击者控制，DVP收录到漏洞后第一时间联系厂商进行通报，帮助厂商及时修复漏洞。

传统软件领域的漏洞可能被利用来发起网络攻击，造成数据、隐私的泄露甚至实际生活的影响。而数字货币本身是一套金融体系，在数字货币和区块链网络中的安全漏洞，往往会有更严重、更直接的影响，由于区块链网络去中心化的计算特点。一个区块链节点实现上的安全漏洞，可能引发成千上万的节点遭到攻击。甚至，在传统软件漏洞领域被认为相对危害较小的拒绝服务漏洞，在区块链网络中则可能引发整个网络瘫痪的风暴攻击，对整个数字货币系统造成巨大冲击。笔者希望能够借着DVP平台上的上面这些五大真实案例呼吁各大业务厂商应加以重视,树立起为项目安全负责的态度,保障自身及用户信息及财产安全。

牛熊交替周而复始，了解五大态势助你区块链赛道飞速奔跑

历经2017年一声监管令下，行业迅速进入熊市，但是社群的火热再次燃起了区块链的星星之火，众人从熊市中回暖解套沉浸于牛市的狂欢当中。谁知，美梦不久便梦醒，熊市再次到来。币价一再上演着区块链牛市赚钱的假象，直到10月初币价断崖式下跌，大部分投资者认为这只不过是牛市的小回调后连月的阴跌终使得投资者在币市赚钱彻底成为幻影。尤其是10月底暴跌让币价连连创新低，行业仿佛一夜之间急转直下。虽然也有不少业内人认为暴跌仅此一次，牛市很快就会来临，然而牛市却如同遥远的期，迟迟未能到来。反而再次以N连跌刺痛了行业的信心，一时之间行业低迷，一片残败。

历经了完整的牛熊转换，区块链从业人员的关注点开始落在了项目本身。在经过火热牛市的疯狂，又穿越漫长得熊市，在牛市不曾思考过的问题反而因熊市得到了升华。不论牛熊，行业频频发生的安全事件就从未中断过。在整体行业的发展来看，越来越多的区块链项目开始在巨额损失的安全事件中获得警醒，汲取教训，更加注重项目自身安全方面的建设。笔者相信越来越多的项目穿越了熊市，经历过完整的洗礼，对这于整体的区块链行业发展是健康的现象。

数据来自BCSEC

在区块链安全问题日益突出的今天,讲解迅速有效地发现各类新型的攻击行为,对保障当前网络系统和区块链的安全显得十分重要。高速发展的区块链因其开放性、共享性等特点不断地扩大,各种各样的网络监管设备带来了不同类型的流量,即呈现出不同的流量特征,给区块链领域带来巨大的考验。然而,网络流量分类又是认识、管理和优化各种网络资源的重要依据,是人们掌握区块链安全以及态势感知的重要基础。

数据来自BCSEC

安全性威胁是区块链迄今为止所面临的最重要的问题。其中，基于PoW共识过程的区块链主要面临的是51%攻击问题, 即节点通过掌握全网超过51%的算力就有能力成功篡改和覆盖区块链数据。基于PoS共识过程在一定程度上缓解了51 % 攻击问题，但同时也引入了区块分叉时的 [email protected] (Nothing at stake) 攻击问题。研究者已经提出通过构造同时依赖高算力和高内存的PoW共识算法来部分缓解51%攻击问题，更为安全和有效的共识制尚有待于更加深入的研究和设计。根据行业调研分析，发现区块链历经发展到现在，安全事故主要集中体现于应用服务层、中间协议层、基础网络三个方面。

DVP去中心化漏洞平台根据平台案例总结了2018年12月主要区块链信息安全行业发展态势，通过风险类型、风险厂商类型、漏洞类型三个维度进行态势分析，详细解读12月的安全态势详情。

态势一、交易平台风险率依旧居高不下，为区块链安全风险厂商重灾区

DVP平台数据（12月）

通过上图数据，我们能看出在12月份安全态势风险厂商类型中占比最高得前2类分别为交易平台、项目方。其中交易平台占比84.78%，成为风险厂商的重灾区。现在行业内超过的54%的交易所没有执行安全标准，交易所的安全风险也显得尤为明显。目前在交易所内部，主要存在四个方面的风险：第一，区块链交易资金安全。投资者的数字资产进入交易市场后，交易平台需要具备强大且安全的企业级别钱包和良好的企业信用，否则如发生交易平台转移资产事件，投资者将无法追索其资产。第二，区块链交易市场风险。区块链的走势受众多因素影响，一方面无涨跌幅限制，价格走势较难控制；另一方面众多散户涌入给庄家或平台恶意串通、误导投资者、操控币价创造了巨大的空间。第三，区块链交易高杠杆风险。在外汇等较规范的金融市场中，杠杆比例都会控制在较合理的范围，

比如某交易平台的杠杆是100倍，最低8美金即可交易，能够有效防止对杠杆交易风险，而在区块链交易市场中，由于缺乏投资者准入及杠杆率限制，散户投资者将会承担较大的亏损风险。交易所卷钱跑路或者交易所自己控盘等情况都是可能存在的。第四，网络安全风险，对于区块链交易平台来说，最不确定风险来自庞大的交易量及外部攻击，交易所被盗币（或监守自盗）。交易所没办法自证公平，现在的期货交易所机制，存在着“交易所有机会无成本、无痕迹的作弊”的漏洞，例如在2016年8月2日因为多重签名漏洞，香港比特币交易所bitfines大约价值7000万美元的比特币被盗。“交易所的安全性尚且不能保障，个人私钥的安全性也存在较高风险；2018年1月26日发生的，日本最大数字货币交易所Coincheck遭到黑客攻击，交易所内大量NEM币被盗，消息显示，被盗的NEM币总共5.23亿个，价值5.3亿美元，约有26万用户受害；

态势二、Web缺陷依旧为高风险率漏洞占比

DVP平台数据（12月）

上图数据，我们从DVP平台数据12月厂商漏洞占比当中，12月份安全态势漏洞类型中占比最高的前3类分别为web缺陷、威胁情报和移动客户端缺陷，其中web缺陷依旧为高风险率漏洞占比。

在Web缺陷中，开发者最大的失误往往是无条件地信任用户输入，假定用户（即使是恶意用户）总是受到浏览器的限制，总是通过浏览器和服务器交互，从而打开了攻击Web应用的大门。实际上，黑客们攻击和操作Web网站的工具很多，根本不必局限于浏览器，从最低级的字符模式的原始界面（例如telnet），到CGI脚本扫描器、Web代理、Web应用扫描器，恶意用户可能采用的攻击模式和手段很多。

在区块链的世界当中，尤其是大量数据库的世界中，WEB安全成为了区块链企业的重要的关注方向。数据库的安全是项目的重中之重，而容易被猜中得信息容易降低区块链项目自身得防御性，增加漏洞出现的可能，通过各种攻击手段让用户以及区块链的企业受到伤害，最常见的如：容易猜测的密码、可预测的密钥、会话劫持攻击和 DNS 欺骗等严重漏洞。

DVP平台数据

再根据DVP漏洞平台12月数据看到，厂商严重漏洞40个，高危漏洞826个，中危数据616个，低危数据1601个。根据DVP提供的数据资料，可以看出的区块链行业目前项目大部分存在漏洞，轻则泄露用户隐私，重则经济受损，被迫停止运营，12月DappEOS攻击数据信息上能够有利佐证行业目前仍然处于一个初级阶段，随着区块链技术的发展，安全问题呈现动态情况，需要行业人群针对现状保护行业的安全。根据BECSEC数据统计，12月份发生的攻击事件共有10起，对行业内造成损失约90万美元，其中90%遭受攻击的对象为基于EOS的DApp，10%为公链项目。

其中黑客攻击EOS DApp的主要方式有几种：

1. 利用EOS自身漏洞造成的回滚攻击：利用API节点和BP节点同步时间差，来只保留对黑客自身有利的交易。在本月19日，黑客利用此漏洞攻击了Big.game、BetDice、ToBet、EOSMAX这四个博彩类DApp，总共获利高达28万余EOS，以攻击发生时间的EOS价格折算为美金约75万美元。

2.?利用合约自身漏洞造成的重放攻击：由于开发者设计的开奖随机算法存在严重缺陷，使得攻击者可利用合约漏洞重复开奖，是一种较低级的错误。在本月18日，黑客利用此漏洞攻击了一个名为TRUSTBET的博彩类Dapp，总共获利高达11501个EOS，以攻击发生时间的EOS价格折算为美金约3万美元。

3.?利用交易所的验证缺陷造成的假币攻击：由于交易所对币种的校验不严格导致可使用同名假币进行交易的。在本月12日，黑客利用此漏洞攻击了一个名为EETH的锚定币，导致该币在当天被砸盘下跌98%。