回看2018 | 区块链的安全与是非

- 说明 -

所有的统计与筛选，并不排除带有个人主观判断。如其中出现误解或错误，请指正。

- 数据源 -

数据来源依然来自互联网，无任何非法引用的敏感数据。

新闻及数据相关部分，主要参考：

• 币世界，快而全的区块链资讯站：bishijie.com

• 百度新闻，查询和统计很方便：news.baidu.com

• 非小号，加密货币统计分析平台：feixiaohao.com

安全相关的部分，在细节上很大程度参考慢雾发布的信息：

• 慢雾，专注区块链安全的团队：知识星球（zsxq.com）搜索【慢雾区】

统计问题：

• 因各种原因，所有资讯类的数据统计截止到12月15日。虽然全面性差了一些，但应该具备一定的代表性

• 本次统计与前两不同，多数地方不会出现具体的数字，尽量以趋势统计来代替。除了统计口径外，区块链作为**词，尽量不提数字

（对文中的引用，如有不妥，请联系我修改或删帖）

【1】加密数字货币

不可否认的是，提到区块链，不提加密货币几乎是不可能的。所以，就以此作为开篇。

以非小号统计数据（12月18日），目前共有各种数字货币2485种。其中：

• 总流通市值超8000亿人民币

• 超过36%的数字货币因各种原已无流通市值

• 流通市值在100万人民币以下的占48%（含无流通市值货币）

• 流通市值TOP10的市值总和占所有数字货币市值总和的 82.4%

【2】区块链人才

关于区块链人才这块，先罗列一些新闻：

• 2018年1月：瑞士区块链开发人员年薪高达18万美元

• 2018年3月：Boss直聘研究院_区块链相关岗位平均薪资2.58万元

• 2018年3月：区块链高烧“后遗症”_ 薪水的提高并没有带来应聘门槛的提高

• 2018年3月：爱沙尼亚区块链初创公司招募表情包专员 薪水远超国民平均收入

• 2018年4月：日本出现区块链技术人才缺口，高薪难聘创新型工程师

• 2018年4月：BOSS直聘2018一季度人才报告_区块链技术岗位薪酬增31%

• 2018年4月：Golang工程师在区块链热点下薪酬增幅最高

• 2018年4月：区块链领域平均薪酬超过AI领域 位列第一

• 2018年6月：2018中国区块链人才现状白皮书_技术岗位平均月薪比互联网高1万

• 2018年10月：区块链专业人士薪资远超美国平均工资

• 2018年10月：区块链工程师薪水飙升 与AI开发人员相提并论

• 2018年10月：媒体_区块链行业招聘薪资下降30%至50%

• 2018年12月：国内区块链技术岗月薪仅剩3万 不及美国同行一半

可以看出，在上半年，区块链人才的薪资待遇一直是被唱高的。而在下半年关于区块链的人才报道不但数量减少，而且都开始势衰。

更有意思的在于下半年的两条新闻：

• 在4月份还在报道“区块链领域平均薪酬超过AI领域 位列第一”，而10月份的时候就变成了“与AI开发人员相提并论”

• 12月份的报道“国内区块链技术岗月薪仅剩3万 不及美国同行一半”中的一个“剩”字，用的极妙却又极其令人辛酸

所以，此处应有如下配图（BTC价格走势，K线取自火币）：

【3】地理与热度

通过对行业内经常提到的几个地区的报道频度来看，美、日、韩三个地区是区块链相关热度最高的地区。

（_本数据_未统计 “ 中国 ”，别问我为什么 ）

此段不做过多评价。可按需浏览相关新闻。

【4】企业进军区块链

在过去的一年里，区块链作为热点，成了很多企业在技术创新上的一个方向。

而对于上市公司来说，“进军区块链”更成了在二级市场增值的一个法宝，只要宣布“入局区块链”，股票就会应声上扬。

这里，简单按月对企业宣布进军区块链的新闻做了一个分部统计，如下图：

从分部上来看，1月份和3月份宣布进入区块链领域的企业最多。

随着时间推移（随着市场走弱？），到了下半年已经没有什么企业试图在区块链上找热点了。

从时间上来看，赶在新一年一季度找个新技术领域、拉一波热点话题，似乎是对市场的一种利好手段。

而二三季度多是到了“是骡子是马牵出来溜溜”的时候，再制造技术热点似乎意义也不大。更何况，此时无论币圈还是A股，都已经显得有些疲软。

所以，这里是不是也可以理解为，所谓的区块链行业的兴与衰，还是要看币圈的脸色？

另外，对于那些已进入淡季（四季度），还在尝试在区块链内寻找新方向的企业，也许，他们才是对区块链技术的真爱？

这里，补上一张今年的A股上证K线（取自雪球）：

当然，也并非是所有挂上区块链名号的股票就都能一飞冲天，比如这个 Long Blockchain：

• 2017年12月：Long Island冰红茶公司去年12月改名Long Blockchain Corporation（以下简称“公司”），股价暴涨4倍；

• 2018年1月：公司拟购买1000台比特大陆出品的蚂蚁矿机，开启挖矿业务；

• 2018年2月：公司放弃购买矿机的计划，改为发行160万股普通股以筹集770万美元；

• 2018年2月：公司收到纳斯达克交易所摘牌意向通知；

• 2018年2月：纳斯达克股票交易所表示将不会挂牌该公司，原因是市值太低；

• 2018年2月：由于存在误导投资者的行为，纳斯达克准备将公司股票摘牌

• 2018年4月：公司收到了纳斯达克股票市场听证小组的退市决定信，并将于4月12日在纳斯达克交易所暂停交易；

• 2018年4月：公司在4月12日在纳斯达克退市。

摘牌原因未做研究。但是可以看到，进军区块链，就是买矿机挖矿 ……

【5】区块链应用落地

对于区块链的落地问题是2018年讨论的热点。同时也有大量的报道都在讨论区块链的应用落地该如何落地。

而在具体落地应用方面的报道，却相对讨论如何落地的报道少了很多，不足10%，而且仅这10%之中，经我反复筛选，也实在难以选出什么典型代表项目（此处，排除掉大厂在自己生态内做的那些区块链小应用）。

所以，这个部分，就先留白好了。

----------------

留白

----------------

   —— Forrester Research 认为，区块链技术的应用落地，还需一些时日。

【6】安全事件统计

----------------------------------------

本章对于安全（或黑客）事件的统计，仅统计那些明确的报道或可操作的情报，对于一些虚数或报道目标模糊不清的内容会剔除掉。具体说明：

• 慢雾区资讯多经过验证，所以除纳入统计外，还用于验证那些引述不详的消息

• 对于“今年黑客已从数字货币市场获利超10亿美元”此类泛指且无明确对象的，剔除

• 对于“疑似XX平台被黑客入侵”这类猜测的报道，全部剔除

• 对于“XX交易所被盗XX亿数字货币”或“XX平台被黑损失超过XX亿”的则保留

• 所有资讯仅选择与区块链或数字货币直接相关的报道，类似勒索软件使用比特币支付、挖矿病毒这类则剔除

• 对于事件主体，不做重复计数，如某交易所被黑可能导致大量报道，但对事件仅记录一次

排查关键词：黑客、被黑、被盗、攻击

排查方式：筛选关键词后逐条人肉排查，因此不排除主观原因的删减

文中以事件、币种及威胁等维度进行数量占比的分布统计，避免出现交易所、钱包等品牌

----------------------------------------

/6.1/ 各类事件涉及币种占比情况（精力有限，仅统计BTC、ETH、EOS）

从整体分布情况来看，EOS方面被曝出的安全事件最多（事件，非金额）。而其中又以EOS的游戏居多（包含Games和Gambling两个分类）。

在BTC安全事件方面，手段就没有那么丰富，基本上就是盗取个人账户（或钱包）以及黑入平台，但整体数量相对ETH和EOS都少了很多。

在ETH方面，主要集中在平台上，这与ERC20的一系列漏洞有着很大的关系。

/6.2/ EOS游戏安全

根据媒体报道来看，TOP 10 的DApp占了全网84%以上的CPU资源，而且这些DApp全是竞猜游戏。

从DappRadar上看，有超过100个DApp游戏（包含Game和Gambling两个分类），而在这一年里，明确被攻击过的至少有21个。

而攻击来源，也呈现出相对集中的态势。

/6.3/ 攻击手段统计

由于很多事件并没有公布具体的攻击手段，甚至还有一些平台在技术人员分析到攻击手段后拒不承认的情况。

所以，在这部分，只对明确了手段的事件做一些统计，因为整体数量较小（但也有几十个），就不再以图形形式统计，仅列出具体手段：

• 钓鱼/欺诈/鱼叉（主要以邮件、SNS方式，针对个人，鱼叉则会伤害平台）

• DoS/DDoS（主要针对平台/节点）

• 第三方库漏洞/或被篡改（主要针对平台，也有前端XSS伤害个人的情况）

• 51%攻击（今年仅有报道的双花事件次数，就超出了想象）

• DNS劫持（针对平台，但主要伤害个人）

• 假充值（主要针对平台）

• EOS 随机数

• EOS 回滚

值得一体的是，DDoS/DoS和DNS劫持是这些手段中出现最少的。

其中的原因并不难理解，拒绝服务没有直接获利，而DNS劫持的投入相对其他手段来说更大。从今年众所周知的DNS劫持事件来看，性价比并不合算。

对于以上的攻击方式，按他们的出现过月份做一个整理：

• 钓鱼等针对个人的欺诈类攻击在上半年爆发的较为集中，而临近年底不知是因为大家都开始过冬还是什么原因，相对少了很多；

• 拒绝服务攻击作为只有投入而没有什么直接产出的攻击手段来说（排除竞品互掐问题），其数量自然是不会太多的；

• 第三方库分为两种，一种是从源头污染第三方库，另一种是第三方库出现漏洞而被利用（如：trading-view）。第一种是可遇而不可求，第二种则与交易所密切相关。总之是客观限制条件多，所以自然也不会频繁出现；

• 双花（51%）的出现数量可能是出乎很多人意料之外的，而且被51%的并非都是很小的币种，所以也能在一定程度上说明算力的某些问题；

• DNS劫持，这唯一一次就被大肆宣扬的DNS劫持出现在4月份，据说动作极大，而从收获来看，似乎与动作幅度不匹配。大概是吸取了前人的教训，就没有再出现过此类报道。不过我猜测，针对特定人群的DNS污染应该还是会存在的，毕竟这种收益应该会很可观。但是这类问题就算出现，应该也很难被报道出来；

• 假充值的出现很有意思，首先是时间的连续性，其次是集中爆发在一段时间。可以理解为，当假充值被发现后黑客们就疯狂利用，而在很多人交了学费之后就很少再有人踩坑了。而且，很多交易所也都加强了智能合约的安全审计，也起到了很重要的作用；

• 有报道的EOS随机数问题最早在7月份就出现了，中间陆陆续续一直有，而到了第四季度才开始集中爆发，而且基本都集中在各种游戏上；

• EOS回滚也是在最近的一个游戏DApp中用到，修订这篇文章的时候，回滚攻击又有了新案例，看样子，会火；

• 最后，为什么1、2月份这么安静？

/6.4/ 威胁的对象

在过去一年，出现的各种威胁手段，按威胁对象进行分类。钱包、交易所和节点的占比如下：

在钱包的所属占比中，其实有多数是针对交易所钱包的威胁。因此，总体看来，交易所依然是最大的潜在受害者。毕竟，交易所的业务复杂度给了攻击者很多的想象和操作空间。

/6.5/ 安全态势总结

这种总结不写应该也是显而易见的。

从整体的攻击态势来看，在这个行业里攻击者们的趋利性极强。而且一旦某个地方出现问题就一定会疯狂的榨干其中所有可能的价值。

从攻击的时间段、行业的发展过程结合到一起就能看出来：

• 早期，攻击者们还在使用一些传统手段，拒绝服务、钓鱼、DNS劫持等。姑且不考虑这次DNS劫持的投入产出比问题，这些都是比较传统的攻击手段，而且获利有限、运气成分也很大。甚至拒绝服务攻击如果排除竞对互殴的可能性的话，这样的攻击根本没什么获利空间。

• 中期，攻击者们明显转向一些加密货币特有的特性或漏洞上去。像假充值、随机数这类问题。而像51%攻击这种问题，反而不太可能是被传统意义上的黑客所操纵的攻击，想一下子搞定那么大的算力，黑过来是不太现实的，更可能的就是掌握了算力的人产生了邪念。

• 后期，压榨与收割。这个阶段，可就不仅仅是黑掉什么的问题了。最近的一系列EOS事件给人一种感觉，攻击者们好像是已经进入了这个新世界的游戏规则中，他们已经不是攻击者了，而是游戏中的收割者（之一） —— 这个，意会吧。

如果再把具体的新闻报道和这个过程贴合起来看的话，大概又有如下的趋势：

• 早期大家都盯着BTC看，尤其是钓鱼这块，出现的多是丢BTC的；

• 中期，也是各种代币或各种链活跃的时期。加上曝出几个问题，新闻也都集中在各种代币被盗方面；

• 后期，EOS。

整体看来，很符合币圈的进化过程。

【7】区块链之未来

想看清眼前尚且迷雾重重。

还妄图揣测什么未来？愚蠢！

- 12.16 -

- END -