盘点区块链巨坑：街头抢币、刷牙挖矿、4000多个漏洞……

编号：QFCJ2018

最后，业内人士坐不住了。 6月下旬，腾讯安全、智创鱼、易易财经等公司宣布成立“中国区块链安全联盟”，重点打击打着“中国区块链安全联盟”之名的航空币、传销币等各类集资行为。区块链。此外，全国互联网金融安全技术专家委员会秘书长吴震也对如何解决区块链安全提出了自己的建议。

但是，如果要解决区块链的安全问题，

你必须先盘点当前区块链的坑！

关于区块链开源软件漏洞：如何站在不稳定的基础上？

全国互联网金融安全技术专家委员会发布了一份非常重要的报告——区块链开源软件源代码安全漏洞分析。委员会选择了25款具有代表性的区块链软件，包括Dogecoin、Ripple、Litecoin、Dash、Ethereum Wallet等，并结合漏洞扫描工具和人工审计进行了安全检查。

检测共发现代码级高危安全漏洞和安全风险746个，中危漏洞3497个。下图展示了被测项目中检测到的中高危安全漏洞的情况，红色折线图也展示了每千行漏洞数。可以看出，本次选择的区块链软件存在不同程度的安全问题。

在被测软件中，区块链支付网络Ripple存在较为严重的安全隐患，其中高危漏洞223个。渣打银行和西太平洋银行等一些大型银行已宣布将加入其支付网络。荷兰合作银行集团已于 2018 年 3 月完成了对 Ripple 的 Interledger 解决方案的测试。Interledger 是由 Ripple 推出的协议。 ，旨在整合银行账本和区块链技术。 （本文转自反欺诈大数据：FPData）

考虑到Ripple协议直接处理金融资产，拥有如此庞大的用户最新挖矿类区块链APP，一旦这些漏洞被黑客利用，后果将不堪设想。同样，其他区块链开源软件大多与资产和货币交易相关，漏洞也可能导致财产损失的严重风险。

关于数字钱包的泄露：每一步都需要小心

2018 年 6 月 11 日，全球最大的以太坊钱包 imToken 披露遭遇黑客攻击事件，所幸没有资产损失。不过，imToken 表示，黑客可能已经获取了部分参与公测的用户的邮箱地址，并可能向用户发送钓鱼邮件。

早在 2017 年 11 月，旧金山安全公司 High-Tech Bridge 在一份报告中表示，“绝大多数移动数字货币钱包应用的安全性都很差。”

本报告分析了 Google Play 商店中的 2,000 多个移动数字货币钱包应用。在总安装量为 10 万的前 30 位数字货币钱包应用中，93% 包含至少 3 个“中风险”漏洞，90% 包含至少 2 个“高风险”漏洞。最常见的漏洞包括“数据存储安全性不足”和“密码系统安全性不足”。

以著名的数字钱包Bitcoin Wallet为例，Bitcoin Wallet的助记词以明文形式存储在系统的/data/data/com.bitcoin.mwallet/files/profile文件中，也就是说，比特币钱包已将资产的安全性完全交给系统来保护。

但系统本身非常复杂，充满了各种安全漏洞。只要利用一个漏洞，就能瞬间获得比特币钱包钱包的助记词和私钥。比如手机中的任何APP只要利用漏洞获取系统的ROOT权限，APP就可以瞬间获取钱包的助记词，导致数字资产随时可能被盗，以上动作可以完全在后台发生。用户根本不知道；即使应用没有ROOT权限，只要将手机的充电口连接到黑客控制的充电设备，几分钟就能拿到钱包的助记词，导致数字资产被盗随时。 .

比如《三体》中的《黑暗森林法则》，在数字货币的世界里，每一步都需要小心谨慎。这些是区块链的技术风险，而且还不止这些。区块链世界的经济风险再怎么小心也无法避免。

关于空气币：他们也知道我知道他们在打鼓撒花

吴镇秘书长在今年6月底的金融科技峰会上表示，区块链的第一个经济风险是欺诈，欺诈手段分为空气币、传销币、摩链。 “中国区块链安全联盟”的主要发起人董海平也表示，发起联盟的首要原因是空气币的泛滥。他透露，目前市场上有超过2万种数字货币，其中95%符合空气币的特性。以上。

但是你如何定义空气币呢？记者曾采访安徽马鞍山某大型矿山的老板王成。王成认为，挖不出来的币是空气币。可以通过挖矿浏览器判断识别币是否可以挖矿。比特币、莱特币和以太坊都有自己的浏览器。浏览器会显示每个区块释放后记入哪个账户，以及有多少代币。如果没有浏览器，这个币就不是基于区块链技术生成的。 （本文转自反欺诈大数据：FPData）

但王成也提到，即使有浏览器，也有可能是对方在局域网中故意伪造的。所以目前空气币很难区分。他只能根据多年的挖矿经验推断，99%以上的币都是空气币。

无论是99%还是95%都是一个很高的比例，除此之外，令人深思的是人们对空气币的态度。

虽然国家已经禁止 ICO，但私募股权已经悄悄转向社区。随便开个币组看一看，会发现人家知道是空气币，也经常遇到骗子，但都是投机取巧，运气好。一旦有新币私募，一大批人会蜂拥而至，希望能买百倍币，割韭菜赚大钱。

“我知道他们在打鼓，他们知道他们在打鼓，他们知道我知道他们在打鼓，但是鼓声不会停止，因为如果不是我在最后一根棍子上，我会赚钱。”

关于传销币：与空气币的不同之处在于更加裸露

据统计，传销币主要利用门户网站、微博、微信公众号、贴吧等渠道开展宣传、招商等活动，上线部分虚拟货币交易平台进行炒作和交易。它们的特点之一是域名的频繁更换。 60% 的网站服务器部署在海外，主要在美国和中国香港。

吴镇秘书长认为，传销币与空气币的区别在于，传销币的层次较低。说白了，传销币的攒钱手段更加赤裸裸。而且，“大唐币”、“五行币”、“普洱币”、“星辰币”、“福孕币”、传销币的名字甚至都带有浓浓的莆田医院风。

2018年3月28日至4月17日，西安“大唐币”短短半个月就吸引了超过8000万的资金。 “大唐币”的发起人表示，会员只要投资300万元，即每月200万元以上，一天就能赚8万元。 “普洱币”案被警方破获四个多月，涉案金额高达3.7亿。

其实传销币的欺骗手段非常明显。以“星辰币”为例，方法是“当你花100元购买激活币，并且有自己的推广链接时，群主会尝试让你推广，如果你推送，你会得到钱，有人会买币，每一枚币可以获得20元的佣金”，并宣称“可以花100万元购买200台矿机生产‘恒星币’，可以获得利润一年后365万美元！”人们。 （本文转自反欺诈大数据：FPData）

最受欢迎的传销货币是御灵雄。 “幸运怀孕币”、“汽车链”、“易货链”等都是他的成就。号称“每月两币，百亿财富”。自从区块链媒体《北纬31度》发表多篇文章曝光余凌雄传销币后，余凌雄开始受到外界质疑。

事实上，于凌雄早在“发大业”开始前，就因拖欠1.逾25亿元，于2017年12月4日被广东省揭阳市中级人民法院挂牌。硬币”。列入失信名单，限制出境。截至目前，剩余的6713万元尚未还清。去天眼查余凌雄的资料，提示个人风险多达81个。

但即便如此最新挖矿类区块链APP，玉凌雄还是有大量的粉丝。所以一旦人们被传销所困，他们只是在为自己的“贪、恨、无知”纳税。

关于磨链：刷牙能挖矿吗？没问题

揉链这个词可以用马云父亲举的一个例子来解释。马云的父亲说，他公司的一个程序员在相亲网站上被忽略了。将信息改成“区块链程序员”后，很快就收到了一大堆情书。

这个程序员可能真的是区块链程序员，但是很多产品跟区块链没有关系。区块链是指专门用来增加产品关注度的区块链名称，如区块机、区块链米、区块猪等。

今年3月，一个叫北汽的社区推出了多款具有挖矿功能的区块链智能牙刷。以Token的形式返回给用户。同时，Token可以提取用于购买其他北汽物联网价值链中的其他商品，从而形成流通并产生价值。

这款牙刷已经在淘宝上架，售价高达258元。此外，记者还在淘宝上找到了一款售价9999元的区块链手表，号称“腕上算力之王”，专为李笑来、老毛、易丽华等大佬定制还有行走挖矿的区块链手环、区块链手机等（本文转自反欺诈大数据：FPData）

此外，也有上市公司试图摩拳擦掌，甚至引起了监管层的关注。 2018年3月19日，银江股份公告称，收到深交所的关注函，要求澄清是否存在炒作区块链热点概念股价的动机。

深交所之所以这样做，是因为3月16日上午，银江股份在“银江股份”微信公众号上发表了一篇文章。 “参与公司舜牛金融服务与浙江千麦司法有限公司鉴定中心达成战略合作，并落地全球首张区块链电子数据取证鉴定证书。”文章发表当日上午10点19分，银江股份盘中涨停，报12.19元。

仅2018年1月至3月，上交所、深交所就对20余家涉嫌“炒作”区块链概念的上市公司采取了询问、关注、停牌等措施。

与空气币和传销币相比，蹭链的危害并没有那么大，但更隐蔽、无处不在，对区块链的公信力影响更大。

关于守盗：“山大王”什么时候招收？

“门头狗”是日本比特币交易所MT.Gox的中文翻译。 2014 年 2 月，MT.Gox 在其网站页面上宣布停止交易并随后申请破产，声称其因黑客攻击损失了总计 744,000 个比特币。但很多人怀疑盗窃是因为“门头沟”有人看守盗窃。

在区块链行业，由于大型交易所不受国家监管，可谓是自己世界的王者。一旦代币丢失，其他人将无法判断交易所是否自己做了什么。

2017 年 11 月，Tether 官网发布公告称，由于外部攻击者的恶意行为，2017 年 11 月 19 日出售的 30,950,010 美元 USDT（Tether）被从 Tether 财政部钱包中移除并发送至未经授权的比特币地址事发后，Tether公司被推上风口浪尖，还涉嫌盗窃。因为在此事件发生前几个月，有传言称 Tether 正在操纵币价。

在今年5月的第四届贵阳数博会上，北京大学刘晓磊教授建议国家建立数字货币交易所，在探索行业的同时进行监管。该建议得到业内许多人的认可。

两周前，重庆市经济和信息化委员会发文称将建立数字货币交易所，但该政策很快被删除。后来，有人在重庆市政府官网上看到了这个政策。 重庆官方的闪避也透露出一个信号：国家或将适时推出数字货币交易所，结束“山王”独霸一方的局面。

关于“浑水”：媒体黑客之间的秘密是什么？

今年1月，金色财经落入“微博门”，金色财经官方微博发文称，“金色财经的老板是骗子，所有的坏消息都是他策划的目的是让围棋变短，收割韭菜”。 （本文转自反欺诈大数据：FPData）

这件事引起了轩然大波。虽然金景财经后来声称有人恶意诽谤，但这件事表明，领先的区块链媒体对行业具有重要影响。如果媒体不能保持客观公正，安全问题将超过黑客造成的损失。

一位区块链创始人王毅从媒体人的角度揭示了区块链行业的“汹涌水”现象。王毅表示，安全问题的爆发会影响币价，甚至引发连锁反应，因此一些区块链媒体或自媒体与黑客团队合作，通过挖掘漏洞、策划舆论、操纵币价、团伙...无论多头还是空头，都能带来丰厚的利润。

客观公正是媒体的基础，但被区块链行业的巨额利润所吸引，一些媒体成了割韭菜的帮凶。

关于矿机难度：一亿被黑是不合理的

大部分人认为区块链的风险主要在ICO，但区块链行业的“卖”“沃特曼”矿机厂商也面临着高风险，其风险主要来自于“先付款，后付款”的销售方式。然后交付”。

与其他实体行业不同，购买矿机必须提前订购，有时需要提前两个月，而且必须先付款。原因是矿机价格与币价成正比，币价变化很快，矿机价格不变。同样的矿机，价格高的时候达到3万多元，低的时候达到5000、6000元。如果矿机是在价格高的时候买的，但买家不买，货就到矿机商家手里了。

听起来似乎有道理，但有时证明是供应商实力强大的一个原因。今年2月，比特大陆发布霸王条款：“无论发货与否，付款后不可退款或退货。”

确实有人遇到过付款后收不到机器的情况。今年年初，安徽淮南某知名矿机经销商收到货款后未发货，挪用下游矿机厂商数亿元货款，数十家下游矿机厂商遭殃严重的损失。到目前为止，警方还没有抓到骗子。同样，去年深圳也发生过类似案件，涉案金额达数千万美元。

“这个行业的水太深了，我脚上有个洞。”一位矿机经销商说。

结束语

区块链还存在很多风险，比如市场运行风险、价格变动风险，尤其是币圈。改变。另外，币圈有些人，因为财富，人生有风险。据外媒消息，2018年2月，PRIZM数字货币创始人尤里·马约罗夫在莫斯科被绑架抢劫。劫匪偷走了 20,000 美元和 300 个比特币。这真是一幅浮世绘的画。 （本文转自反欺诈大数据：FPData）

区块链离金钱太近了，全世界都为之疯狂。

这是人性，谁能控制？

据悉，新成立的“中国区块链安全联盟”将做四件事：空气币预警机制；建立行业安全漏洞对应机制；建立专门渠道受理用户投诉；建立评级标准 引入评级机构来判断区块链的可靠性。这些措施真的可以实施吗？或许只能通过国家监管的干预。

但是现在国家没有好办法。吴震秘书长表示，区块链行业仍处于起步阶段，建议观察再做，但必须严厉打击防止ICO造假。他认为，从技术上管理区块链并不是特别困难，但有客观因素，包括公链的全球性和各国法律的不一致。总的来说，他提倡链式管理和技术对技术。

无论如何，无论是私营部门还是政府，都已经开始关注。当行业还没有探索出好的监管措施时，我们能做的就是谨慎自律。

内容来源：反欺诈大数据（FPData）集成奇峰金融（QFCJ2018)授权转载，作者|李乔，编辑|紫苏，谢谢！