虛擬貨幣又被駭客偷了!今年1月,日本交易平台Coincheck傳出市值達580億元的虛擬貨幣憑空消失,讓許多夢想發財的日本藝人與網友都紛紛痛哭,甚至有女網友因此上網PO出美腿照,哭哭求討叫網友「援助他」。
近期日本另一個交易所Zaif更是誇張,由於交易系統故障,差點免費送出超過20兆美元的比特幣,消息一出後虛擬貨幣市場,平均價格就急下殺了近10%。
每次出現這種新聞,不免要引起民眾對於虛擬加密貨幣的安全性質疑,網友總是會跳出來嗆「這種被刪掉就一無所有的東西,為何有人敢玩?」「白癡才去買沒有實體的虛擬幣。」而此時華爾街人士總會加碼呼籲,「比特幣是最大的騙局」。
而另一邊虛擬貨幣的擁護者,此時立場總是堅定不移,「這反而證明了區塊鍊的安全」「把加密貨幣理解為線上遊戲幣的人真可悲」「醒醒吧,你以為政府發行的法幣就比較值錢?」見到這些狂熱分子的發言,可能讓一些人覺得很傻眼,每次出大事為什麼這些「沒救的人」都毫無感覺?
本文目的就是要解釋這種理解上的鴻溝,試圖分析比特幣狂熱者講的「安全」是哪裡安全?那為何比特幣既然這麼安全,又為何天天被盜呢?
▼日本虛擬貨幣交易所Coincheck在1月遭駭客入侵,竊走市價155億的新經幣。(圖/達志影像/美聯社)
區塊鍊的革命
要理解徹底這種認知差異,首先要知道甚麼叫做「區塊鍊」,就最傳統、最簡單的講法來說,其實就是分散式帳本:將所有比特幣使用者的錢包與交易紀錄「通通都放在網路上」,重點是這些「帳本數字」不是赤裸裸地、集中性的放在某個伺服器裡面,而是分散式的複製無限多份,透過比特幣網路運算加密,讓全世界各地有跑比特幣核心的程式的電腦,都留存一份拷貝。
就如同一本打開後完全看不懂的天書(就術語上叫一個區塊),整本的密碼記載著是全世界的交易紀錄,而這本書的電子檔在世界各地的比特幣系統電腦都有留存。
▼比特幣區塊鍊上的的每個區塊,印出來大概就像這樣子的一本天書,裡面紀錄了無數的密碼
帳簿一旦到處留存,就會有著人私底下偷修改金額的疑慮,但透過複雜的加密技術(在此不多做解釋),有心人士想修改某處的帳簿餘額時,將會導致其他部分的密碼也更著變動(即使其他人的帳簿餘額沒變),因此這種竄改金額的行為,在交易過程中,將會被比特幣運算網路的系統驗證否決(因為抽驗其他帳本的運算結果,與原本的不同)。
如果想要真的修改帳本餘額,必須要掌握了比特幣網路運算力的51%電腦,強制讓運算驗證通過,系統才有辦法認同「你真的有這麼多錢」。但事實上那些進行比特幣系統的運算系統,或稱為「礦工」的電腦,卻是遍佈世界各地,想要同時掌握超過一半的「礦工機台」幾乎是不可能,因此這便是比特幣被狂熱者稱作極致安全的原因:
沒有人能夠有神力,在短短時間內能夠發動「51%攻擊」,讓系統強制通過認證,改寫比特幣系統中的帳戶餘額,讓人一夕間從0顆比特幣,變成擁有數千數萬顆的富豪。這就是區塊鍊保護比特幣交易不被破解的方式。
▼所謂的礦工,就是運算的電腦,世界各地都有這樣的"機台"(圖為以太幣機)
交易所的交易機制
如果真如所稱的這麼安全,那麼為啥比特幣一天到晚被盜?原因就在於,上述講的「如此安全」區塊鍊,現在就技術而言,沒有辦法提供像股市那般,一秒幾十萬筆上下的頻繁交易進出。再者,每次在區塊鍊上交易,必定得要付出的龐大的比特幣手續費(用來交給運算密碼的電腦"礦工"的獎勵),更是交易的阻礙。
為了像建立股票交易所那樣的掛牌快速交易系統,比特幣或者虛擬貨幣交易所,在實務上就必須抽離「區塊鍊」,用個人或者公司內帳系統做紀錄。這過程也許可以理解為,在交易所上幾千萬的交易金額流動,實際上都沒有記載在「區塊鍊」每一個區塊(也就是上述那本天書當中)裡,只有記載在交易所公司的「內部資料庫內帳」。
舉例來說,交易所發配給用戶的錢包地址,用戶匯1顆比特幣進去後,只會看到區塊鍊上,錢馬上被交易所轉帳走了,匯入到了交易所總帳錢包,因此餘額是0;但你進交易所顯示的餘額又不是零,而是1顆比特幣,這是因為在你傳送虛擬貨幣到交易所的過程中,你的錢包餘額已不再受比特幣區塊鍊保護,而是成為交易所公司的內帳的一部分。
▼虛擬加密貨幣交易所示意圖(圖翻攝自Crtyptopia)
駭客事件頻傳
講到這裡就知道,當這種分離風險、耗費無數資源運算的密碼貨幣,在進入交易所後為何會風險大增。一個再厲害的駭客,因為區塊鍊運算的分散性與密碼不可逆的性質,讓他可能窮盡一生沒辦法駭入比特幣網路,但駭進去某家公司的交易所內帳系統卻簡單許多。
由於交易所內帳幾乎永遠與區塊鍊餘額脫鉤,那麼交易所理論上欠使用者的「可領出餘額」,完全都由公司內帳決定了。小小公司建立的「單一伺服器」加上「防火牆」與一些資安代碼,一定遠遠不如比特幣網路如此牢靠:
既然我無法修改比特幣網路,那麼我修改交易所內的錢包餘額就好了吧?
假定駭客駭入交易所內部修改完餘額後,再透過正常「出金程序」領出虛擬加密幣,交易所總要對完帳後,才會發現事情大條了,這也是為什麼每次駭客事件,交易所方總是後知後覺的原因。
這也許能多少解釋,為什麼在比特幣盜竊事件頻傳的當下,狂熱者只會越崇拜發明者中本聰的遠見-區塊鍊才是最安全。比特幣本身系統在現今仍是牢不可破的,因為盜竊事件總是發生在虛擬貨幣交易所上面。
當然比特幣系統運算力過度集中於中國,這當然是一個隱憂,但暫且不談這個議題,讓我們把重點回歸區塊鍊。
如今也有越來越多有年輕加密貨幣工程師,提出「區塊鍊交易所」的構想,讓交易所的帳本不再是放在單一或是數台的伺服器之中,而是受到區塊鍊的整體保護。當然這還有很多挑戰,如何弄出一套安全又交易快速的系統,是未來虛擬加密貨幣界的一大挑戰。
虛擬加密貨幣真的安全嗎?在加密貨幣的狂熱者眼中,的確非常安全(非指價格漲跌的幅度,而是指不容易被破解、盜竊)。如今這麼多的駭客事件,在他們眼中只是在重複證明,那些用低成本資安保護建置交易所的人都是投機取巧,他們還是將回歸跪舔區塊鍊技術。
你的比特幣/以太幣還放在交易所嗎?記住一點,那些「交易網站」上標示的數字都是假的;在虛擬加密貨幣的世界,只有區塊鍊上的餘額才是真的。
(胖丁OS:請多多利用區塊鍊瀏覽器。)
▼▼▼▼快來幫胖丁按個讚▼▼▼▼