一行代碼蒸發(fā)64億人民幣。這個不可思議的黑客操作發(fā)生在今年4月，僅僅因?yàn)楸缓诳驼业搅艘粋€代碼漏洞，與之相關(guān)的區(qū)塊鏈產(chǎn)品的全部市值瞬間被全部轉(zhuǎn)出，趨近于零。

　　此前認(rèn)為，區(qū)塊鏈技術(shù)由于分布存儲、加密算法等技術(shù)的應(yīng)用，擁有了不可篡改、可追溯等被認(rèn)為是“萬無一失”的特性。然而，該特性主要針對存儲在區(qū)塊中的信息來說，以文中開頭的案例為例，區(qū)塊鏈技術(shù)保障了可以追溯到這64億轉(zhuǎn)移到了哪里，黑客的操作也會被系統(tǒng)不可篡改地記錄，卻并不能“拒絕”黑客對底層代碼的篡改，保護(hù)虛擬數(shù)字貨幣。

　　虛擬貨幣成偷盜新目標(biāo)

　　不久前，一部名為《瞞天過海：美人計》的偷盜題材電影上映，講述一眾美女偷盜高手，盜取一條價值1.5億美元的鉆石項鏈的故事。

　　過去盜賊的目標(biāo)是金銀珠寶、成沓鈔票，如今只要穩(wěn)坐電腦前，動動手指，通過虛擬貨幣的竊取就可能“致富”。加密數(shù)字貨幣，成了高科技犯罪的新目標(biāo)。世界各國均備受困擾，資料顯示，在價值5.3億美元的代幣被盜后，日本16家加密數(shù)字貨幣交易所打算成立一個自我監(jiān)管小組，自省自查系統(tǒng)漏洞。

　　除了竊取，虛擬貨幣也淪為犯罪分子的工具。“比特幣成為洗錢工具，并衍生出了‘專業(yè)水房’。”張璇說。她列舉了一個實(shí)際發(fā)生的案件：受害人在QQ上認(rèn)識了嫌疑人，他自稱是在伊拉克打過仗的軍人，希望受害人幫他代收郵包，代收郵包需要80萬美元保證金。受害人把資金打給專門做比特幣交易的王某，王某支付給嫌疑人比特幣，對于嫌疑人來說并未留下收錢的詐騙證據(jù)，而比特幣交易的王某處有大量的資金進(jìn)入，增加排查難度。

　　更有甚者，犯罪分子不在是一個人或一個團(tuán)伙，而是一個正常經(jīng)營的合法企業(yè)。張璇介紹，一個技術(shù)運(yùn)維公司開發(fā)了一個木馬病毒，安裝在自己負(fù)責(zé)運(yùn)維的客戶機(jī)器上，機(jī)器內(nèi)存占用不多時就啟動挖礦程序，被發(fā)現(xiàn)前已挖得數(shù)字貨幣5000多枚。經(jīng)統(tǒng)計，該公司非法控制了全國300多萬臺機(jī)器。“這種違法行為的法律定位至今仍非常模糊。”張璇說，新的犯罪態(tài)勢敦促著法律、法規(guī)的健全，提醒執(zhí)法人員不斷更新知識儲備。

　　如同一場攻防戰(zhàn)，一旦掌握了區(qū)塊鏈技術(shù)的“命門”，黑客分子的外部攻擊將一發(fā)不可收拾。而“加固城墻”“嚴(yán)查堵漏”則是防守方以不變應(yīng)萬變的有效方法。

　　越底層的攻擊，越可能“牽一發(fā)而動全身”。例如，對數(shù)據(jù)層的攻擊將帶來整個區(qū)塊鏈而非一個節(jié)點(diǎn)的變化。今年5月份，因攻擊者篡改了某區(qū)塊鏈生成的時間，導(dǎo)致挖礦難度下降，劫持了整個主鏈，導(dǎo)致攻擊者獲取了大量的代幣。

　　除了排查漏洞，團(tuán)隊還對黑客的一些攻擊進(jìn)行了深入測試，并編寫《公鏈滲透測試白皮書》。王偉波說，白皮書會不久后進(jìn)行發(fā)布，其中將分析一些安全事件，以區(qū)塊鏈攻擊為切入點(diǎn)，深入分析黑客的攻擊手法，以及針對不同的攻擊，怎么做好安全防護(hù)。

　　盲目上馬區(qū)塊鏈項目不可取

　　“我們除了讓區(qū)塊鏈技術(shù)本身更扎實(shí)，更值得信賴之外，還面臨一個區(qū)塊鏈的鏈上數(shù)據(jù)與現(xiàn)實(shí)數(shù)據(jù)銜接的問題。”中國信息通信研究院云計算與大數(shù)據(jù)研究所部門主任魏凱表示，每個行業(yè)使用區(qū)塊鏈時都有自己的痛點(diǎn)，例如溯源行業(yè)，如何確保上鏈的數(shù)據(jù)，對應(yīng)的正是要追溯的產(chǎn)品，而不會被“掉包”？

　　“要上馬區(qū)塊鏈應(yīng)用，應(yīng)該先問4個問題。”魏凱說，“任務(wù)要不要記錄數(shù)據(jù)？記錄的數(shù)據(jù)是不是必須多方參與？參與的多方能不能互信？如果找不到可以信任的，那么，就可以考慮拋棄原有載體，使用區(qū)塊鏈技術(shù)。最后一個問題，能夠容忍它與中心化系統(tǒng)相比效率較低的特性嗎？”

　　魏凱用“焦慮癥”形容目前產(chǎn)業(yè)界、甚至政府對區(qū)塊鏈的態(tài)度。“現(xiàn)在有二十幾個省市發(fā)布了與區(qū)塊鏈有關(guān)的激勵刺激政策，很多地方蓋起了區(qū)塊鏈大廈，入駐這些大廈的企業(yè)有沒有挖掘出什么非得用區(qū)塊鏈不可的場景來呢？這個問題值得大家深思。”魏凱認(rèn)為，除了區(qū)塊鏈技術(shù)本身的完善外，政策、法規(guī)、驗(yàn)證等體系仍需要進(jìn)一步推動建設(shè)。為此，中國信息通信研究院于4月9日，聯(lián)合158家企業(yè)發(fā)起了“可信區(qū)塊鏈推進(jìn)計劃”，推進(jìn)技術(shù)標(biāo)準(zhǔn)、行業(yè)應(yīng)用和政策法規(guī)等工作，以期逐步完善區(qū)塊鏈發(fā)展的有利生態(tài)。(記者 張佳星)