The Good, The Bad And The Ugly of Bitcoin Security
It’s safe to assume that Bitcoin is here to stay. Yes, it’s a bit volatile and yes, other cryptocurrencies are a lot easier to mine and a lot cheaper to buy, but the ever-growing number of ways to spend bitcoins – plus the fact that it’s still around after being proclaimed dead numerous times over the past few years – is a testimony of the resilience of the world’s most popular, and polarizing, cryptocurrency.
Thing is though, this doesn’t mean that you should blindly jump into Bitcoin. Aside from the high price of entry, a string of events over the past year have shown that while the Bitcoin protocol itself may be secure, the wallets and services used to store and exchange Bitcoin may not.
Here’s a quick look into the security of the bitcoin protocol itself as well as some notable instances of large-scale bitcoin theft.
How to Keep Your Bitcoins Safe
One of the biggest digital assets, Bitcoin, has its own list of stories of thefts and breaches. With… Read more
Encryption And the Blockchain
Bitcoin is one of many cryptocurrencies available today. Cryptocurrencies are digital currencies that implement cryptography as a central part of the protocol, in order to establish pseudonymous (or anonymous) and decentralized currencies.
Bitcoin uses SHA-256 encryption for both its Proof-of-Work (PoW) system and transaction verification. The security of the bitcoin protocol lies in one of its fundamental characteristics, the transaction blockchain.
Bitcoin Blockchain
区块链基本上是包含交易历史的多个“区块”链。区块链从初始块开始,称为创世块。交易和解决的哈希在这个创世块之后添加新块,创建一个区块链。
下图显示了区块链的可视化,绿色的创世块和黑色的最长区块链:
在比特币协议中,投入最多工作的区块链被认为是最好的区块链,也是整个协议在验证交易时所参考的区块链。一旦交易得到验证,比特币就被视为已花费。
双花
有可能(尽管相反的信念)欺骗区块链并花费相同的比特币两次,这种行为称为双重支出。
有多种方法可以做到这一点。如果商家不等待交易确认,攻击者可以快速将两个相互冲突的交易发送到网络中,从而使比特币双花。另一种方法是将一笔交易预挖到一个区块中,然后在将区块发布到区块链之前花费相同的硬币。
然而,在这方面取得成功所需的计算能力使其生产率低于仅合法开采比特币。
比特币钱包
比特币存储在钱包中,但与 PayPal 账户等不同,这些“钱包”实际上并不存储比特币本身。尽管有许多不同的实现和格式,但钱包通常包含一个用于接收比特币的公钥(类似于银行帐号)。它还包含一个私钥,用于验证您确实是您要花费的比特币的所有者。
离线存储比特币
钱包通常以数字方式存储在本地或在线,但还有更安全的方式来存储比特币。您的比特币“钱包”可以打印出来并存储在纸上。纸钱包是一张纸条,上面印有您的私钥和公钥。
还有硬件钱包,将关键信息存储在离线硬件中。硬件钱包的优势在于关键数据存储在微控制器的受保护区域中,并且它们不受软件和病毒的影响,这些软件和病毒可以窃取存储在普通计算机上的钱包。
存储在硬件钱包中的比特币也可以直接使用,不像纸钱包需要输入或导入软件。
安全漏洞
如前所述,比特币协议本身可能足够安全,但这并没有扩展到所有交易比特币的网站和服务。以下是过去一两年中一些更值得注意的安全相关问题实例的简要概述。
输入.io
2013 年 10 月,在线比特币钱包服务 inputs.io 被黑客入侵两次。共有4,100 个比特币(当时价值约 120 万美元)通过社会工程攻击被盗,获得了对在云托管提供商 Linode 上托管的 inputs.io 系统的访问权限。
通过破坏一系列电子邮件帐户,从 inputs.io 创始人在攻击前 6 年设置的电子邮件帐户开始,黑客成功地访问了该网站在 Linode 上的帐户,并重置了该网站的帐户密码。
山 Gox
Mt. Gox,曾经是领先的比特币交易服务之一,已经申请破产保护,损失了数量惊人的比特币:价值 4.68 亿美元!
Mt. Gox 的倒闭始于 2 月初,当时它与 BTC-e 等其他比特币交易网站一起冻结了比特币提款,理由是针对旨在利用比特币交易延展性的严重分布式拒绝服务 (DoS) 攻击。
简单地说,交易可延展性意味着可以修改有效交易,使交易看起来没有通过,而实际上是成功的。
然而,交易延展性并不是一个新问题。正如比特币开发人员 Greg Maxwell 指出的那样,这也不是无法解决的问题。
事实上,Bitstamp 和 BTC-E 等其他比特币交易所仍在运营,他们已经解决了问题,并在最初冻结交易后的几天内恢复了交易处理。然而,最可恶的是前面提到的比特币丢失以及Mt Gox 的安全和会计不佳,这些在一系列泄露的幻灯片中有详细说明。幕后可能发生了更多事情,而不仅仅是交易延展性问题。
丝绸之路2.0
今年 2 月,价值 270 万美元的比特币从 Silk Road 2.0的托管账户中被盗。这次抢劫与上述针对 Mt. Gox 等比特币交易所的 DoS 攻击大致同时发生,并利用了比特币协议中相同的交易延展性。
然而,与比特币交易所以自我关闭作为预防措施不同,丝绸之路 2.0 并没有自行关闭,而是在所有比特币都存储在热存储的重新启动阶段遭到攻击。
然而,一些用户,例如Reddit 的 DarkNetMarkets上的用户,认为黑客故事是一个掩饰——丝绸之路 2.0从一开始就是一个骗局。
这个想法是,新的恐怖海盗罗伯茨建立这个网站是为了窃取用户的比特币,利用丝绸之路名称中存在的信任。在丝绸之路 2.0 上买卖的商品的非法性质将有助于这种努力,因为这会使受害者在寻求执法援助时三思而后行。
“小马”僵尸网络
在 5 个月的时间里(2013 年 9 月至 2014 年 1 月),犯罪分子使用名为Pony的僵尸网络感染了大量计算机,窃取了价值高达 220,000 美元的比特币和其他加密货币。Pony 是同一个僵尸网络,它被发现窃取了超过200 万个密码并将它们存储在黑客拥有的服务器上。
Pony 感染计算机并窃取本地存储在受感染计算机上的比特币钱包。,有效地展示了将比特币钱包存储在联网设备上的危险。
51% 攻击
这本身并不是安全漏洞,但它是比特币网络最危险的弱点之一。当一个人或一群人在比特币网络内拥有超过 50% 的计算能力时,该网络就会向51% 攻击的可能性敞开——可以利用计算能力的优势来分叉主交易区块链并进行欺诈,包括之前讨论的双重支出。
虽然这看起来有些牵强,但比特币网络在今年早些时候几乎暴露在这种攻击之下。1 月,当矿池 Ghash.io 开始接近 50% 的限制时,恐慌蔓延。由于矿工离开 Ghash.io前往较小的矿池,以及该矿池自己决定停止接受新矿工,情况顺利解决。
虽然反应表明比特币网络可以自我调节,但至少可以说,必须依赖矿工和矿池所有者做正确的事是有问题的。算力分布已经不那么集中了,但是51%攻击还是有可能发生的。
最后的想法
很难否认比特币确实存在安全问题。然而,一个反复出现的主题是,这些安全漏洞和问题与协议本身关系不大,而更多地与处理和存储这些比特币的人员和服务有关。
例如,inputs.io 比特币抢劫和 Pony 僵尸网络利用了存储在网上和联网计算机上的钱包。只需将比特币存储在离线储蓄钱包中,例如纸质或硬件钱包,就可以消除比特币钱包在互联网上被盗的风险。虽然 Mt. Gox 惨败中损失的部分资金确实来自离线钱包,但有人推测这是 Mt. Gox 实施自动化系统的直接结果,该系统在需要时从离线钱包中提取资金。
狡猾的交流
不过,Mt. Gox 和 Silk Road 2.0 等曾经值得信赖的网站和交易所被黑客攻击或崩溃和下线的危险并没有那么容易被忽视。缺乏监管比特币的中央机构可以被视为一种优势,但它也是一种弱点。一方面,通过法律渠道追究个人或公司的责任可能要困难得多。
但更重要的是,不受监管的比特币生态系统意味着无法确保服务和交易符合可信度和安全标准。我们信任银行,因为我们知道它们受到严格监管,不能一时兴起。比特币交易所显然不是这种情况。
未来?
Interestingly enough, the fallout from Mt. Gox may just be good for bitcoin. In a joint statement issued by 5 leading bitcoin exchanges, the need for appropriate and independently audited safety measures for custodians, alongside more transparency and accountability, is brought up.
It’s conceivable that such measures are exactly what bitcoin needs if it wants to survive recent events and reestablish its credibility and security. Ironically however, these forms of regulation and auditing may end up going against the original spirit of bitcoin. How this paradox will resolve itself, though, remains to be seen.