盘点区块链巨坑：街头抢币、刷牙挖矿，4000多个漏洞……

编号：QFCJ2018

终于，业内人士坐不住了。 6月下旬，腾讯安全、智造创鱼、易本财经等企业宣布成立“中国区块链安全联盟”，重点打击空气币、传销等变相传销等牟利行为。以区块链的名义进行计划和欺诈。 此外，国家互联网金融安全技术专家委员会秘书长吴震也就如何解决区块链安全问题提出了自己的建议。

但是，如果要解决区块链安全问题，

一起来盘点一下现在区块链的坑吧！

关于区块链开源软件漏洞：地基不稳如何立足？

全国互联网金融安全技术专家委员会发布了一份非常重要的报告——区块链开源软件源代码安全漏洞分析。 委员会选取了25款具有代表性的区块链软件，包括Dogecoin、Ripple、Litecoin、Dash、Ethereum Wallet等，结合漏洞扫描工具和人工审计，进行了安全检查。

代码层面共检测出746个高危安全漏洞和安全隐患，检测出3497个中危漏洞。 下图展示了被测项目中检测到的中高危安全漏洞，图中黑线图也展示了每千行的漏洞数量。 由此可见，本次选用的区块链软件存在不同程度的安全问题。

在被测软件中，区块链支付网络Ripple的安全风险比较严重，存在223个高危漏洞。 汇丰银行和西太平洋银行等一些小型建行已经宣布将加入其支付网络。 Rabobank Group 已于 2018 年 3 月完成对 Ripple 的 Interledger 解决方案的测试。Interledger 是 Ripple 推出的网络。 该合约旨在整合交通银行的账簿和区块链技术。 （本文转自反欺诈大数据：FPData）

考虑到Ripple协议直接与金融资产打交道，且拥有如此庞大的用户群，一旦该漏洞被黑客利用，后果不堪设想。 同样，其他区块链开源软件多与资产、货币交易相关，存在漏洞也可能造成财产损失的严重风险。

关于数字钱包泄密：每一步都需要小心

2018年6月11日，全球最大的以太坊钱包imToken披露遭遇黑客攻击。 幸运的是，没有财产损失。 不过，根据 imToken 的说法，黑客可能已经获取了部分参与内测用户的邮箱地址，并可能向用户发送钓鱼邮件。

早在2017年11月，旧金山安全公司High-Tech Bridge就在一份报告中表示，“大多数联通数字货币钱包应用的安全性很差”。

这份报告分析了微软 Play 商店中的 2000 多个联通数字货币钱包应用程序。 总安装量10万的前30名数字货币钱包APP中，93%至少存在3个“中危”漏洞，90%至少存在2个“高危”漏洞。 最常见的漏洞包括“数据存储安全性不足”和“密码系统安全性不足”。

以大名鼎鼎的数字钱包Bitcoin Wallet为例，Bitcoin Wallet的助记词是明文存储在系统的/data/data/com.bitcoin.mwallet /files/profile文件中，即Bitcoin Wallet已经完全把资产的安全交给系统来保护。

然而，系统本身非常复杂，充满各种安全漏洞。 只要利用一个漏洞，就可以立即得到Bitcoin Wallet钱包的助记词和公钥。 比如手机上的任何一个APP只要通过漏洞获得了系统的ROOT权限，那么这个APP就可以立即接收到钱包的助记词，导致数字资产随时被盗，以及上述行为可以完全在后台发生。 用户根本不知道； 即使没有ROOT权限的应用，只要将手机充电口连接到黑客控制的充电设备上，几分钟就可以得到钱包的助记词，从而实现数字资产可随时被盗。

比如《三体》中的“黑暗森林法则”，在数字货币的世界里游走，每一步都需要小心翼翼。 这些都是区块链的技术风险，还不止这些。 无论你多么小心，都逃不过区块链世界的经济风险。

关于空气币：他们知我知，击鼓传花

吴震秘书长在今年6月底的金融科技大会上表示，区块链的第一个经济风险是盗窃，欺诈手段分为空气币、传销和抢链。 “中国区块链安全联盟”的主要发起人董海平也表示安徽比特币矿机诈骗案，发起联盟的首要原因是空气币的泛滥。 他透露，目前市场上有2万多种数字货币，其中95%都符合空气币的特征。 多于。

但是如何定义空气币呢？ 记者曾采访过湖南常德一家小矿主王成。 王成觉得挖不出来的币就是空气币。 标识币种可挖，可通过挖矿浏览器确定。 比特币、莱特币、以太坊都有自己的浏览器，浏览器会在每个区块宕机后显示账户被黑了多少币。 如果没有浏览器，货币就不是基于区块链技术形成的。 （本文转自反欺诈大数据：FPData）

但王成也提到，即使有浏览器，也有可能是对方在局域网内故意伪造的。 因此，空气币目前很难鉴别。 他只能根据多年的挖矿经验推测，目前99%以上的币都是空气币。

99%还是95%是不是特别高的比例，除此之外，耐人寻味的是人们对空气币的心态。

虽然国家早已禁止ICO，但私募却悄悄转向了社区。 随便开个投机币群，你会发现，人家都知道是空气币，经常遇到误导性的骗局，但都是投机的，侥幸的。 一旦有新币私募，就会有大量的人抢购，希望能买到百倍币，割豇豆赚大钱。

“我知道他们在敲鼓，他们知道他们在敲鼓，他们知道我知道他们在敲鼓，但鼓还在继续，因为如果不是我，我仍然可以赚钱。”

关于传销币：与空气币的区别在于越来越裸

据统计，传销币主要依靠门户网站、微博、

吴震秘书长觉得，传销币和空气币的区别在于传销币级别较低。 说白了就是传销的盈利手段越来越赤裸裸。 而且，“大唐币”、“五行币”、“普洱币”、“星辰币”、“幸运怀孕币”，甚至传销币的名字都带有浓郁的莆田医院风格。

2018年3月28日至4月17日，西安“大唐币”仅半个月就吸纳了超过8000万资金。 “大唐币”发起人称，会员只要投入300万元，每天可获利8万元，一个月可获利200万以上。 “普洱币”案潜伏4个多月后被警方抓获，涉案金额高达3.07亿元。

其实，传销骗钱的手法非常明显。 以“Stellar Lumens”为例，方法是“当你花100元购买激活币，有自己的推广链接时，群主会强制你推广，你推了，你就有钱。有人买币，每枚币可以获得20元的佣金”，并声称“花100万元购买200台矿机生产‘恒星流明’，一台后可以获得365万美元的利润”年！” 人们。 （本文转自反欺诈大数据：FPData）

于凌雄是目前最受欢迎的传销币玩家。 “幸运怀孕币”、“汽车链”、“易货链”都是他的成就。 人们称他为“月入两币，入万亿”。 自从区块链媒体《北纬31度》发表多篇文章揭露于凌雄发行传销币后，于凌雄开始受到外界的诟病。

事实上，于凌雄于2017年12月4日被广东省揭阳市中级人民法院列入失信人员名单，并因欠债1.25亿余元被限制出境。 截至目前，剩余的6713万元尚未支付。 去天眼查查余凌雄的资料，人身险有八十一。

不过即便如此，玉凌雄还是拥有着一大批的粉丝。 所以人们一旦被传销币套牢，只是在为自己的“贪嗔痴”纳税。

关于CengChain：刷牙就能挖矿？没毛病

摩擦链条这个词可以用马云父亲举的例子来解释。 马云的妈妈说，她公司的一个程序员在交友网站上被忽略了，改成“区块链程序员”后，她很快就收到了大量的情书。

这个程序员可能真的是区块链程序员，但是很多产品跟区块链没有关系。蹭链指的是提升产品

今年3月，北汽社区推出了多款具有挖矿功能的区块链智能牙膏。 挖矿智能牙膏会根据用户的使用频率和口腔健康数据，将其数据价值以Token的形式返还给用户。 同时，Token可以提现，也可以用来购买其他BAIC IoT价值链上的其他商品，从而产生流通，产生价值。

这款牙膏已经可以在天猫买到，售价高达258元。 此外，记者还在天猫上搜到一款标价9999元的区块链手表，号称“腕上算力王”，专为李笑来、老毛、易丽华等大鳄定制。 还有步行挖矿的区块链手环、区块链手机等。（本文转自反欺诈大数据：FPData）

此外，还有上市公司试图蹭链，甚至引来监管

深交所之所以这样做，是因为3月16日上午，银江股份挂牌“银江股份”

仅2018年1-3月，上交所和深交所就已经接受了20多家涉嫌“炒作”区块链概念的上市公司的问询和问询。

与空气币、传销币相比，蹭链的危害没有那么大，但更加隐蔽、无处不在，因此对区块链的公信力影响更大。

关于守盗：什么时候招“山王”？

“门头狗”是日本比特币交易所MT.Gox的中文译名。 2014年2月，MT.Gox在其网站上宣布停止交易，随后申请破产保护，声称因黑客攻击损失了共计74.4万枚比特币。 但不少人怀疑，盗窃是因为“门头沟”自守。

在区块链行业，大型交易所因为不受国家监管，所以自成一家。 一旦代币丢失，其他人就无法判断交易所是否自造了肢体。

2017年11月，Tether官网发布公告称，由于外部攻击者的恶意行为，30,950,010USDT（USDT）于2017年11月19日从Tether Treasury钱包中被移除，并发送至未经授权的比特币地址。 事发后，Tether 被推上了风口浪尖，还涉嫌盗窃。 因为在这件事发生的几个月前，Tether 就被传言在操纵币价。

在今年5月的第四届广州数博会上，北京大学院长刘晓蕾建议国家建设数字货币交易所，同时对行业进行探索和监管。 这个建议得到了很多业内人士的认同。

半个月前，重庆市经信委发文称将建设数字货币交易所，但很快又删除了这一新政策。 后来有人在重庆市政府官网上看到了这项新政策。 重庆官方的回避其实透露出一个信号：国家似乎有意适时推出数字货币交易所，结束各种“山王”独霸一方的局面。

论“激荡江湖”：媒体黑客的秘密是什么？

今年1月，跌入“微博门”。 官方微博发文称，“我家老板是个骗子，所有的好消息都是他一个人策划的，目的就是多收茴香。” （本文转自反欺诈大数据：FPData）

事情闹得沸沸扬扬。 虽然后来声称有人恶意诽谤，但这一事件表明区块链龙头媒体对行业具有重要影响力。 如果媒体不能保持客观公正，所造成的安全问题将超过黑客的危害。

易本区块链创始人王毅从媒体人的角度揭秘了区块链行业的“浑水”现象。 王毅表示，由于安全问题的爆发会影响币价，甚至引发连锁反应，部分区块链媒体或自媒体与黑客团队合作，通过挖掘漏洞、策划舆论、操纵币价、团伙做空。或长，带来巨额利润。

客观公正是媒体立身之本，但被区块链行业的暴利所吸引，一些媒体成了割茴香的挡箭牌。

关于矿机难度：没有理由被骗个亿

大多数人认为区块链的风险主要在ICO，但区块链行业的“卖水人”矿机厂商也面临着高风险。 他们的风险主要来自于“先付款后发货”的销售方式。

与其他实体行业不同的是，购买矿机必须提前订购，有时会提前两个月，而且必须先付款。 原因是矿机价格与币价成正比，币价变化很快，矿机价格也是如此。 同样的矿机，价格高的时候达到3万多元，低的时候达到5000-6000元。 如果矿机厂商在价格高的时候买进了货，而采购商不买，货就到了矿机厂商手里。

听起来很有道理，但有时会成为供应商的有力理由。 今年2月，BitTaiwan发布霸王条款：“无论发货与否，付款后均不可退换。”

确实有人遇到过付款后收不到机的情况。 今年年初安徽比特币矿机诈骗案，安徽省亳州市某知名矿机经销商收款不发货，挪用下游矿机商数亿元，下游数十家矿机商遭受严重损失损失。 到目前为止，警方还没有抓到骗子。 同样，去年杭州也发生过类似案件，涉案金额达数千万。

“这个行业的水太深了，我踩了个坑。” 一位矿机经销商如是说。

结语

区块链还存在很多风险，比如操作市场的风险、价格变动的风险、跑路的风险，尤其是币圈。 此外，部分币圈人士也因身家过高而面临生命危险。 据路透社报道，2018 年 2 月，PRIZM 数字货币创始人尤里·马约罗夫 (Yuri Mayorov) 在俄罗斯遭到强奸，劫匪抢走了 2 万美元和 300 枚比特币。 多么浮世绘啊。 （本文转自反欺诈大数据：FPData）

区块链离钱太近，全世界都为之疯狂，

人性如此，谁能左右？

据悉，新成立的“中国区块链安全联盟”要做四件事：空气币预警机制； 建立相应的行业安全漏洞机制； 建立专门渠道受理用户投诉； 建立评级标准引入评级机构来判断区块链的可靠性。 这些措施真的能奏效吗？ 也许只能通过国家监管干预。

但国家现在无计可施。 吴震秘书长表示，区块链行业尚处于起步阶段，建议先观察再做，但打击和防范ICO诈骗是绝对必要的。 他觉得从技术上管理区块链并不是很难，但是有客观的诱因，包括公链的全球化，各国法律的不一致。 总的来说，他提倡连锁经营和技术对技术。

不管怎样，民间和政府都开始关注了。 当行业还没有找到很好的监管措施时，我们能做的就是谨慎自律。

内容来源：反欺诈大数据（FPData）综合启峰财经（QFCJ2018）授权转载，作者| 李乔，编辑 | 紫苏，在此谢谢你！