黑客紧盯币圈交易所：5家被击垮 8家成“老赖”

数字货币正成为黑客们的一方“沃土”，热门交易所无疑就是个巨大“金矿”被被黑客时刻盯着，伺机下手。

昨天凌晨（5月8日）全球头部加密货币交易平台Binance币安被盗7074枚比特币，按实时币价估算，损失超过4100万美元。根据区块链数据和安全服务商PeckShield的分析，此次事件的攻击手法是黑客通过钓鱼等方式搜集币安用户账号信息，然后采用71个账号并发API提币操作于块高度575013处实施了攻击。事后Binance币安立刻宣布全额赔偿用户损失。

一石激起千层浪，此事不仅造成昨日数字货币一度全线下跌，甚至还登上了彭博社的终端首页，要知道，以往彭博终端的首页一般都是有关各国央行动向的新闻。而Binance币安创始人赵长鹏之后发Twitter提及的“区块重组”也有引发社区就比特币/区块链不可篡改性等内核精神进行大讨论的趋势。

然而此次并非Binance第一次被黑客攻击，2018年3月和7月，Binance也曾遭遇过黑客攻击，不过当时因黑客提取大量比特币时触发了其风控系统，账户被冻结，Binance也因此侥幸逃过两劫。

其实黑客攻击交易所的安全事件屡见不鲜，Binance不是唯一一个受害者，也不是最惨烈的受害者，那么历史上谁被黑客攻击的次数最多？谁损失最惨重？谁因黑客倒闭关门？谁在攻击之后成了“老赖”？PAData通过整理网络上的公开资料[1]回顾交易所安全事件的全景。

被盗1次后还会接着倒霉吗？3家交易所曾被盗3次

PAData收集了2010年以来发生的26次交易所被盗事件，涉及18家主流交易所。其中13家公开承认遭受过1次被盗事件，其余5家交易所则要倒霉一点，其中Mt. Gox和比特儿BTER被盗过2次，而Binance、Bitcoinica和Bithumb则被盗过3次。

相比之下，Binance比Bitcoinica和Bithumb要稍微“走运”那么一点，3次攻击中只有1次被黑客得手，即5月8日被盗7074枚比特币的这次。Bitcoinica遭遇的3次被盗事件在时间上更有戏剧性，黑客根本没给Bitcoinica喘息的机会，连续于2012年的3月、5月、7月发起攻击，遭遇“三连击”的Bitcoinica最终宣布关闭。韩国最大的交易所Bithumb近年来也颇受黑客“青睐”，2017年6月、2018年6月和2019年3月都曾被盗币，损失惨重。

从26次被盗事件涉及的币种来看，黑客最爱盗比特币。这可能是因为比特币作为最主流的加密货币，在流通的广度和深度上都远优于其他加密货币，这几乎意味着各家交易所里的比特币都是价值最高的币种，同时也意味着黑客在得手之后能立刻脱手。从公开资料来看，18家交易所中有10家交易所的比特币曾被盗过，其中导致Bitcoinica倒闭的3次盗币事件都是比特币被盗，导致Mt. Gox至今还麻烦缠身的2次盗币事件也是比特币被盗。

另外值得关注的是，最近一年在被盗币种方面还出现了一种新的情况，有5家交易所遭遇了多币种被盗，其中Bithumb发生过2次多币种被盗事件，Coinrail、Cryptoia、DragonEx和Zaif分别遭遇过1次多币种被盗事件。同时Bithumb也是最早遭受多币种被盗事件的交易所，2018年6月，Bithumb被盗11种加密货币，但官方未公布具体币种。2019年3月24日，DragonEx官方宣布被盗超过20种加密货币，这可能是目前被盗币种最多的一次攻击。

4000万美元损失是“最惨烈”的吗？还有2家交易所损失超4亿美元

Binance被盗7074枚比特币，按昨天的实时币价[2]来估算，损失大约为4124万美元，是此次收集到的公开资料中，交易所因被盗损失第9大的安全事件。但更惨烈的还要算Mt. Gox和Coincheck，两者损失是Binance此次被盗事件的10倍，达到4亿美元以上。

2014年2月，Mt. Gox被黑客盗走了约85万枚比特币，按照当时币价折算，相当于损失4.579亿美元，是迄今为止因被盗而损失最惨烈的交易所。其次是Coincheck，2018年1月26日，Coincheck被盗5亿枚NEM，按照当天约0.84美元的币价折算，相当于损失4.1999亿美元。Mt. Gox和Coincheck都（曾）是日本最大的加密货币交易所之一。

另外损失惨重的交易所还有意大利加密货币交易所BitGrail，2018年2月11日，BitGrail被盗1700万NANO币，按照当日按币价折算，相当于损失约1.4127亿美元。韩国加密货币交易所Bithumb在2019年3月29日被盗包括EOS、XRP在内多种加密货币，官方未公布具体损失，按照PeckShield估算，损失大约在9000万美元左右。Bitfinex、Zaif、Coinrail因盗币遭受的损失也都在5000万美元以上。

交易所不赔还能怎么办？曾出现用户平摊、法院介入、代币发行发赔偿

昨天被盗事发后，Binance第一时间宣布将自己承担4000万美元的损失，全额偿付用户。除了Binance以外，Coincheck、Bitstamp、Biki.com和Poloniex也都全额偿付了所有盗币攻击的损失，其中Coincheck承担了超过4亿美元的损失，Bitstamp、Biki.com和Poloniex分别承担了473万、28万和6万美元的损失。另外Bithumb只全额承担3次盗币损失中的1次，2018年6月被盗币后，Bithumb宣布全额承担1689万美元的损失。比特儿BTER只全额承担了2次盗币损失中的1次，2015年1月被盗币后，比特儿BTER宣布全额承担184万美元的损失。另外还有3家交易所则是部分偿付了用户的损失，分别是Bitfloor、Youbit和Zaif。

除了这些有财力勇于承担损失的交易所之外，还有不少交易所成了“老赖”。比如最著名的“老赖”Mt. Gox，两次盗币事件后都没有承担损失，因为还不起超4.5亿美元直接宣布破产，至今日本法院仍在对其进行清算。另一家也被法院介入赔偿事宜的交易所是意大利交易所BitGratil，公开资料显示，意大利法庭没收其创始人的个人财产用于偿付用户损失。

但这并不是最“赖”的方式，毕竟法院介入后，用户还有拿到赔偿的可能性。另外还有4家交易所未偿付损失，分别是比特儿BTER、Coinsecure、DragonEx、Bithumb；2家交易所声称要全额偿付但未有后续报道证明已经偿付，暂归为未知，分别是Bitcoinica和Cryptopia。

此外在公开资料中还显示2种套路清奇的偿还方式。2016年8月，Bitfinex被盗119756枚比特币后强制要求平台所有用户平摊总价值超过6900万美元的损失。2018年6月，Coinrail在被盗包括ETH、NPXS、ATX、DENT以及其他部分虚拟货币后并未偿付用户损失，而是由代币发行发选择是否赔偿，据报道DENT的发行发曾宣布过将全额赔偿。

发生过盗币事件的18家交易所中只有3家关闭，2家正在破产流程中，其余13家全部正常运营。不仅像Binance和Coincheck这样的大所能一力承担数千万美元甚至数亿美元的损失，像Bithumb和比特儿BTER这样遭遇多次攻击之后依然还能正常运营。交易所掌握着币圈的流量，分享了加密货币经济带来的红利，确实已经赚的盆满钵满，这些交易所也许比很多人想象中的更有钱，更能抵抗风险。

黑客入侵平台热钱包最常见

PAData根据公开资料整理和简单归纳后可以发现，黑客通过获得私钥、恶意代码等手段入侵平台热钱包是最常见的攻击手法，26次中有11次都可能是此种方式。

比如2018年6月Bitfinex被盗119756枚比特币就是因为黑客避开多重签名，入侵平台热钱包；2018年6月，韩国加密货币交易所Bithumb和Coinrail的盗币事件经韩国科学技术信息通信部调查后被确认为黑客通过恶意代码攻击了交易所的热钱包所致；2019年3月24日，DragonEx官方宣布盗币事件是因为平台钱包遭受黑客入侵。

另外，黑客通过获得用户数据后实施攻击的得手次数也比较多，26起交易所盗币事件中共有8起是因这一原因导致的。此次Binance被盗之后，PeckShield就确认黑客的攻击手法是通过钓鱼等方式搜集币安用户账号信息，然后使用71个账号并发API提币操作来实现的。

Binance早前2起盗币未遂的安全事件也是由于黑客获得了用户的API Key，黑客通过unicode钓鱼网址盗取了部分Binance用户的API Key，然后通过API接口入侵Binance交易所。另外Bitcoinica、Bithumb、Cryptopia和BiKi.com也遭受过此种攻击。

除此之外，已发生的交易所盗币手法还有DDoS攻击、欺诈交易、利用交易代码漏洞等。

钓鱼、撞库…互联网黑产军团转移到数字货币领域，试图拿到大户们的私钥或者交易所密码，有黑客曾预计，2018年下半年针对数字货币的黑产链条将彻底形成，届时绝大部分币民将处于安全危机下。

“黑客圈有句话，100万美元代价可以攻破所有的网站所有的安全方案，都不能防止自己不被攻破。”DGroup创始人赵东在微博上表示。对于深入弱势的散户投资者而言，唯一能做的就是看紧你的数字钱包，防止网站钓鱼，PANews此前曾撰文 防钓鱼指南 ，供读者参考。

数据说明：

[1] 此次搜集的交易所安全事件以交易所官方承认的安全事件为基础，即交易所不承认为黑客攻击的安全事件不计入统计，其余各项维度数据的取信标准是：如果有官方公告则以官方公告为准，如果没有官方公告则以业内知名安全公司，如PeckShield等发布的消息为准。如果以上较为可靠的信源没有提供有效信息，则辅助参考其他媒体报道，此种情况下，PAData会比对两篇及以上不同来源的报道，如果数据存在偏差，以媒体中（传统媒体>门户网站>主流行业垂直媒体，其他媒体信源不予考虑）时间最近的多数报道为准。尽管如此，但考虑到区块链依然是一个小众领域（缺乏主流媒体报道），行业媒体存在互相借鉴的可能性，因此不排除数据有少量偏差的可能性。

[2] 如果攻击发生事件可考至日，实时币价记为CoinMarketCap上当日收盘价，如果攻击发生事件的日期不可考，这可能是因为发生比较较早尚无报道，也可能是因为攻击发生时间为连续的几天，那么实时币价记为CoinMarketCap上当月收盘价的平均值。其中比特币2013年4月以前的币价数据在CoinMarketCap是缺失的，固这部分数据参考BitInforCharts。在比特币部分价格缺失的情况下依然采用CoinMarketCap的数据是考虑到其他小币种币价在BitInforCharts不可考，因此为了最大程度保持价格来源一直，采用此种方法统计。如果未公布具体损失，则记为0。基于此币价计算方法得到的实时预估损失为估计值，以E表示。