5.5亿一夜被盗！谁来守护虚拟货币的安全？

上周五，虚拟货币历史上最大的一场劫案爆发。

日本第二大虚拟货币在线交易所Coincheck遭受到黑客攻击，一夜之间被黑客盗取了价值5.5亿美元的加密货币NEM（XEM）。这是虚拟货币诞生以来损失金额最大的一次黑客攻击。

Coincheck CEO Koichiro Wada

事件一出，赔罪的赔罪，推锅的推锅。Coincheck马上采取了紧急措施，限制XEM的存款，包括买卖和取款在内，暂时叫停了所有在Coincheck上的虚拟货币交易和日元取款。

同时，Coincheck也向平台上的26万用户承诺，会将目前总计价值5亿多美元的被盗NEM悉数归还。

硅兔君就想知道，这家2014年才成立、目前公司人数不过百人的交易所准备怎么还这笔钱？（咳咳，脑海里的阴谋论顿时浮现…）

发行方NEM.io Foundation的主席Lon Wong第一时间声称“这不是我们的锅”，都怪Coincheck不用NEM的多重签名钱包技术（Multi-sig wallet）。

这里硅兔君就要说一句公道话：用了难道就不会出问题？你难道忘记了2016的Bitfinex事件吗？

盗币，似乎已经成为了虚拟货币上无法消除的烙印，有关虚拟货币安全性的讨论从它诞生以来从未停止过。从2013年的Mt.Gox，到2016年最大的事故DAO，再到今天的Coincheck，盗币无论是规模还是数量上都在逐年提升。

这不是第一次盗币，也肯定不会是最后一次。

门头沟事件：4.7亿美元比特币不翼而飞

Coincheck事件一出，区块链的几个论坛都炸锅了，其中有一条回复高频出现：“不会是又一次门头沟事件吧。”

门头沟，是区块链社区给Mt.Gox事件的一个“昵称”，这个在2014年发生的虚拟货币被盗（或自盗）案件几乎一夜之间把比特币的信誉全部败光。当时总价值4.73亿美元的比特币被盗，是Coincheck之前历史上最大的一笔。

位于日本的Mt.Gox (Magic The Gathering Online Exchange) 是当时世界上最大的比特币交易所，拥有全世界70%的交易量。

其实，Mt.Gox的不靠谱和2014年“门头沟”事件的发生早有征兆。

一位软件工程师在拜访过Mt.Gox之后，发现这家公司根本没有货币交易所应该有的技术工具（比如版本控制）和管理模式（交易量瓶颈）。这位软件工程师预言：Mt.Gox的存在就是比特币的系统性风险，而对交易者而言则是一个死亡陷阱。

2014年以前，Mt.Gox就已经遭受过几次攻击。

2011年6月19日，Mt.Gox平台上的比特币币值一夜之间跌落到只有1美分！

原因是攻击者进入了Mt.Gox审计员的电脑，传输大量的比特币给自己的账户。 他们使用交易所的软件销售偷来的比特币，给系统造成了巨大的压力，导致系统中比特币的价值急剧下降。

最后，损失超过800多万美元。

曾经Mt.Gox有多风光无限，当被盗事件发生，从云端跌下来时就有多落魄不堪。

到了2014年，用户对Mt.Gox已经很有意见了，因为交易经常被延误。2月17日，Mt.Gox停止了所有比特币的交易和提款，因为他们发现自己遭受到了交易延展性攻击。

这是个什么玩意儿呢？

简单来说，当一个人发出比特币交易请求后，由于区块链的特性，黑客无法改变用户已经放入到区块链里的交易提交信息（比如币的数量），但是他们可以微调交易信息，在不影响原有交易的基础（不改名签名）上生成一个新的交易请求，并放入区块链中。

棘手的地方在于，尽管伪造的交易发生在原始交易后，但是请求过程有10分钟，挖矿程序是随机确认，所以伪造的交易有一定几率被通过，原始交易被认为是重复交易或者交易失败。

这导致的后果是，你以为你比特币没发出去，事实上已经成功了，然后你还傻乎乎地再发一次。

2014年2月17日对Mt.Gox的攻击，直接导致比特币暴跌。Mt.Gox宣布破产。

后来发现被盗的比特币通过另一个名为BTC-e的交易所进行了洗钱。 BTC-e交易所的老大Alexander Vinnik在希腊被捕。

幸运的是，比特币之后挺了过来。

DAO事件：5000万美元以太币一夜间被偷偷运走

如今除了比特币，要属以太币和它背后的以太坊最为强势。

提出智能合约并基于通用脚本语言设计的以太坊旨在建立一个去中心化的生态圈，孵化和孕育出下一代伟大的商业应用。

但是，一年半前的一场黑客攻击险些将以太坊彻底打趴。

DAO（Decentralized Autonomous Organization)是基于以太坊的风险投资机构，投资以太坊内的初创和项目，并在2016年完成了1.5亿美元的众筹。

任何一家公司要想在DAO上融资，必须要交“保护费”。

公司首先要用以太币购买DAO的代币，然后进入到一个由管理人开发的白名单；接下来所有DAO中的代币拥有者将对这个家公司的项目进行投票，超过20%的赞成票就能得到融资。

如果你是代币的拥有者但你不喜欢投票，没关系，你可以退出DAO，退换代币换回以太币；你甚至可以自己建一个小小DAO，自己接受初创项目的提案。这个步骤叫做分离函数（Split Function）。

结果，这个分离函数成了黑客可以钻空子的地方：在退还同样数量的DAO代币时，激活一个循环函数（Recursive Function），这样，同样数量的DAO代币可以换回更多的以太币。

2016年6月17日，一个黑客组织从DAO中运出了价值5000万美元的以太币。

这并不是以太坊的锅，而是DAO背后的代码漏洞。以太坊的创始人V神（Vitalik Buterin）当即作出决定，修改以太坊背后的代码，让DAO运出去的以太币变得一文不值。

V神的举动褒贬不一，所以导致了以太坊经历第一次分叉，原来的以太坊成为了经典以太坊（ETC），而V神则带领新以太坊（ETH）。

Bitfinex 失窃：7500万美元比特币被盗

还记得前文提到的多重签名钱包吗？过度依赖这项技术而导致虚拟货币失窃的案例在2015年8月就发生过。

什么是多重签名钱包？简单来说就是为在线钱包提供更多的安全性，避免人为错误。钱包的密钥分成多份，让不同的持有者看管，同时，钱包可以被一个或多个人使用。

这本来是一个听上去增加安全性的措施，但问题是，即使是多重签名钱包也依然是“热钱包”，也就是在线的第三方平台上，这增加了货币的流通性但缺乏安全性；相比之下，“冷钱包”，也就是线下断网的硬盘或者存储器中，虽然牺牲了流通性，但是更加安全。

事情发生在交易所Bitfinex身上，他们在2015年和区块链安全公司BitGo合作，开发了基于多重签名钱包的“热钱包”系统，由Bitfinex掌握用户的两把密钥，BitGo掌握一把。

但这项技术反而成为了最终他们被黑客攻击的切入点。黑客能够做到侵入Bitfinex系统中获取用户的密钥，同时还能控制由BitGo控制的密钥。最终，他们从Bitfinex掳走了价值7500万美元的比特币。隔天比特币应声下挫20%。

同样使用多重签名钱包技术的以太坊应用Parity Wallet也遭受袭击。2017年，黑客侵入用户所使用的Parity Wallet，卷走了300万美元的以太币。

如果历数虚拟货币历史上的黑客攻击，虚拟货币丢失金额最少的一次也有500万美元。

这让许多人开始担心加密货币的安全性问题。

但在这一次Coincheck攻击中，硅兔君（ID：sv_race）注意到一个细节：市场并没有发生太大的波动。除了XEM本身下跌了11%外，没有其他大幅度的下跌。

这个现象反而说明了虚拟货币市场的迅速增量和趋于稳定。

门头沟事件中，丢失的价值4.7亿美元的比特币资产占当时虚拟货币总价值的5%，而这次Coincheck被盗的货币则不到市场总量的0.25%，已经不能相提并论了。

而且Coincheck宣布会归还这笔货币，NEM Foundation也表示已经追踪到了这笔钱，幸运的是这笔钱现在还没有被动过，黑客正在想办法将钱移到6个不同的交易所出售。

这比当年Mt.Gox“不负责任”的破产要负责任的多。

另一个值得注意的现象是，如果你仔细看以上硅兔君总结的案例，几乎没有一个案例是因为加密货币技术或者代码本身的漏洞，而是交易所或者链上应用的安全漏洞导致，无论是Mt.Gox、Bitfinex还是Coincheck交易所，他们都存在比较严重的安全漏洞。

区块链风口下催生的躺在钱上面交易所是否真的在技术和管理上做好了货币安全的准备，这反而是从业者需要深究的。

热钱涌入下的虚拟货币被攻击，也和黑客的集中攻击有关。财帛动人心，巨大的利润摆在眼前，也会让黑客将重心放在盗取加密货币上，因此，虚拟货币所承受的攻击也比过去更多更频繁，这才会产生一种错觉，将锅推给虚拟货币身上。

一家银行被劫，没有人会去怪罪法币。

一家交易所被黑，没有人会去讨伐虚拟货币，这是区块链从业者应该追求的目标。