代币BEC一日蒸发64亿 区块链上演盗币者狂欢

从“ 3 点钟”社群大佬们彻夜不眠的热议，到一季度新成立公司 92% 的获投率……过去半年，区块链话题牵动着创投圈的神经。其中，区块链具有去中心化、自治性、不可篡改等特点，让很多人相信，它可以在不可信的网络中解决信任问题。

然而刚刚过去的 4 月，加密货币失窃事件频发，却让深信这一说法的人纷纷感到打脸。

4 月 22 日，美链所发 Token BEC 美蜜合约出现重大漏洞，黑客通过合约的批量转账方法无限生成代币，大量 BEC 从两个地址转出，引发抛售潮，BEC 价格大跳水，下跌 94%，致使 64 亿元人民币一日蒸发。紧接着 4 月 25 日，SmartMesh 也出现类似 BEC 的重大安全漏洞，导致损失约 1.4 亿美元。

这让人不禁怀疑，区块链真的安全吗？

4 个月损失 19 亿美元

刚刚过去的 4 月数字货币安全漏洞频发。4 月 22 日，美链所发 Token BEC 美蜜合约出现重大漏洞，黑客通过合约的批量转账方法无限生成代币，大量 BEC 从两个地址转出，引发抛售潮。

今年 2 月，美蜜 BEC 上线交易所，当天价格暴涨 4352.87%，币价稳定在 4USDT（泰达币）左右。根据美链白皮书介绍，美链发行 70 亿代币，因此美链总市值曾达 280 亿 USDT（约合 280 亿美元），曾一度是美图市值的 4 倍。

然而 4 月 22 日的风波之后，BEC 价格再遭遇大跳水，下跌 94%，致使 64 亿元人民币一日蒸发。

一场区块链狂欢，从盛极一时到几乎归零仅用了不到 60 天。

随后，美图公司董事长兼执行董事蔡文胜表示，由于争论太大，且 BEC 自身出现重大技术漏洞，美图公司终止此前与美链的合作。

从事网络安全监测业务的白帽汇安全研究院负责人邓焕表示：“可以想象一下现实生活中的场景，哪一天大家都可以印钞了，那是否意味着人民币没有价值了。”在虚拟经济中出现类似安全事件，企业市值出现悬崖式下跌是可以理解的。

而紧接着 4 月 25 日，SmartMesh 也出现类似 BEC 的重大安全漏洞，导致损失约 1.4 亿美元。

5 月 8 日，白帽汇安全研究院发布的《区块链产业安全分析报告》中显示，2011 年到 2018 年 4 月，全球范围内因区块链安全事件造成的损失为 28.64 亿美元。尤其值得注意的是，损失额度从  2017  年开始呈现出指数上升的趋势。

仅 2018 年前 4 个月，区块链安全事故造成损失金额就达 19 亿美元。

考虑到自身的攻击成本，在区块链的应用场景中不难发现，对数字货币场景的攻击相对容易变现，邓焕说，目前一系列发生攻击的背后都是与数字货币有关的场景。

在黑客圈里甚至有这样一句话：“我们从来不买币，我们只是币的搬运工。”实际上，很多新兴领域在发展初期，都可以业务先行安全后面补，但对于区块链而言却不能这样，玄武实验室负责人于旸认为，区块链安全问题的代价非常巨大。

具体而言，在目前金融领域，如果资金出现问题，首先整个过程可以追踪的，此外投资人可以到金融机构进行找回，于旸表述：“但对于区块链项目而言，当我们把权力交给代码时，至高无上的权威如果不存在了，一旦有了安全问题，掌握这个安全问题的人就是权威。”

“绝对安全肯定不存在。要应对区块链安全问题，可能需要在系统中引入一个权威的存在，当系统中有这个权威的时候，区块链与传统技术之间又有什么差别呢？”于旸表示。

虚拟货币怎么管

虚拟货币发行的混乱状况是近日安全事故频发的重要原因之一。尽管 2017 年 9 月 4 日，央行等七部委首次将代币发行（ICO）定性为非法集资并作出清退要求，并要求同年 9 月 30 日数字资产交易平台停止所有交易业务。但虚拟货币狂热者和投机者在海外找到了躲避监管的方式，在更加隐秘的市场操作环境下进行发币、交易。

同时，有技术人员表示：“我们从开发者的角度来看，目前数字货币只需要底层的技术，技术人员甚至在一天时间就能造出一个币种。”上交易所发行代币似乎变得越来越容易。

在虚拟货币乱象的背后，是区块链的匿名性、缺乏监管状态，及去中心化特性。

“虚拟货币交易无法对应交易人真实身份，也没有任何第三方对它进行监管或对其体系进行操纵。同时虚拟货币交易也不受法律保护，即使投资者在虚拟货币中受到损失，也没有地方寻求保护，”有业内人士提道，目前虚拟货币本身就是三不管地带。

“偷钱的人高兴得不得了，可以放心大胆地偷，因为没人追究。”上述业内人士表示。

北京华顺信安科技有限公司创始人赵武为华夏财富君分析，“所以我们研究发现一个很有意思的现象，比如有一个智能合约上线了，从上线那一刻起，全网所有节点都会使用相同的代码，假如代码中存在恶意代码，那所有节点都将受到攻击。”

在上述 BEC 案件中，BEC 团队与 OKEx 交易所合作回滚到安全事件发生之前的数据，以保护投资者的权益。

对此，邓焕对华夏财富君表述，交易所的这种回滚行为本身就违背了区块链去中心化的核心理念。不是说你作为一个中心机构就能通过回滚的方式来改变交易，这本身就违背了区块链的一个核心思想。

赵武认为，区块链有个很典型的特性就是去中心化，达成一个交易的前提是所有人都知道这笔交易并认可这笔交易。

此外，目前超过 75% 的安全事件都是来自于上层的应用服务层以及合约层。上层更多是价值型业务场景，在底层挑战的更多是一系列机制和数学算法，而数学算法本身要攻破是相对比较困难的。

“但是随着目前大家对上层业务安全的关注，未来这种攻击者也会逐渐把他们的视角转向其他层面，比如更多人会去研究底层技术，或者挑战加密算法之类，而这些算法一旦遭到攻破，未来必将影响整个区块链生态的应用。”邓焕介绍。