内容简介:最大加密货币交易所币安 8 日爆发黑客攻击,损失 7000 枚比特币,价值约达 4100 万美元。这是币安成立以来发生的第三次重大安全事故,且这次更直接重创币安自身。尽管损失金额应不至于冲击营运,但其 CEO 赵长鹏曾在过去采访中对 DeepTech 透露,币安拥有 16 层安全机制。那么,为何仍挡不住黑客?
最大加密货币交易所币安 8 日爆发黑客攻击,损失 7000 枚比特币,价值约达 4100 万美元。这是币安成立以来发生的第三次重大安全事故,且这次更直接重创币安自身。
尽管损失金额应不至于冲击营运,但其 CEO 赵长鹏曾在过去采访中对 DeepTech 透露,币安拥有 16 层安全机制。那么,为何仍挡不住黑客?
币安是一般公认全球按交易量计最大的加密货币交易所,而这是继去年 3 月、7 月分别传出黑客攻击事件后,外界所知的币安自成立以来发生的第三次重大安全事故。
不同的是, 前两次币安事后均未公布自身实质损失,而 这次 则是一次损失 4100 万美元 。
以币安一年获利至少数亿美元而言,这一损失应不足以对其营运产生冲击, 真正冲击的,是行业与用户对币安的品牌、及其安全技术的信心。
图|币安交易所创始人兼 CEO 赵长鹏(来源:Binance)
去年币安交易所创始人兼 CEO 赵长鹏曾在接受 DeepTech 专访时表示, ”安 全”是币安最核心的两大优势之一 。他说,”我们在速度上有绝对的优势,另外就是安全上一直非常稳定,这两块是币安很核心的优势。”
当时他就向 DeepTech 直言, 币安”绝对是黑客最大的攻击目标” 。据其指出,币安创立以来不断遭受大量攻击,有些时候运气好可以几天不被攻击,但不好的时候,一天被攻击次数甚至多达 10 次、20 次,且攻击力道非常猛烈。
而这次事件是在北京时间 5 月 8 日凌晨,赵长鹏通过推特表示,币安需要进行一些计划外的服务器维护,这将影响到资金的存取,约持续几个小时,但不会影响到交易。并表示大家不必惊慌(No Need to FUD),资金是安全的(funds are #safu)。
几小时后,币安发布公告称,北京时间凌晨 3 点左右,其发现了交易所存在大规模的安全漏洞(large scale security breach)。恶意攻击者(maliciousactors)使用了一系列技术手段:钓鱼、病毒以及其他攻击方式,获取了用户的 API 密钥、二步验证码以及”潜在的其他信息”(potentiallyother info)。
据区块浏览器 Blockchain.com 上一段交易记录, 黑客从中盗取了 7000 枚比特币,价值约 4100 万美元 。
该公告进一步指出,可能还有一些受影响的账户尚未被识别到。此次漏洞仅影响到了币安热钱包中的比特币,大约占其持有的比特币总量的 2%,且以上交易是唯一受影响的交易。
公告显示,该笔交易完成后触发了系统内部警报,随后币安立刻停止了所有的提现。 在接下来的一个周 中, 币安将进行”全面的安全检查”,资金的存取都将被暂停,而交易将会继续 。不过赵长鹏在公告中有警告用户”黑客仍有可能控制部分账户”。
“我们所有的其他钱包都是安全无损的,”赵长鹏在币安的公告中如是说道,他进一步补充,”黑客们耐心地进行等待,并在恰当的时机以多个看似独立的账户,实施了准备充分的盗窃。该笔交易的结构通过了我们现有安全系统的检测。很不幸的是,我们并没有能在事发前顺利阻断这笔交易。”
16 层防护失灵,黑客如何渗透币安?
“没能在事发前顺利阻断这笔交易”,究竟意味币安的安全机制出现了什么程度的失灵呢?
赵长鹏曾透露, 币安在安全机制设计上有 16 层防护,”目前为止(指受访当时)最多只被攻击触及到第 3 层” 。这 16 层防护分成很多不同维度,包括业务安全、物理安全、网络安全等,每个维度再进一步分层,所以总计自我定义出16 层。
理想上,是在外来攻击开始渗透第 1 层、第 2 层的时候,币安就能够察觉并加以处理。但此次攻击事件说明, 币安的安全机制虽多达 16层,但仍有可渗透攻击的漏洞 。
据区块链安全公司北京链安对媒体分析,币安此次失窃可能是因为内网遭受黑客的长期 APT 渗透,而非单个或者批量用户被钓鱼病毒入侵导致,且被盗的 7000 多个比特币散落在 40 多个黑客控制的钱包地址当中,并没有发生转移。
另一区块链安全公司 Peckshield 随后跟进称,共有 7074 枚比特币失窃,其被存储于 20 个主要地址中,并未进一步扩散。
成都链安深度分析后认为,黑客是通过 API 接口在同一时间发起了提币操作,而用户的 API key 和 Secret key 可能泄露,由于有些用户可能没有配置对 IP 的限制和开放提现功能的限制,因而黑客得以绕过验证码、短信和二步验证码等安全措施提现。
成都链安还进一步指出了用户泄露信息的可能途径:
1、普通用户一般不会使用 APIkey,一般是高级用户用于代码中实现自动化交易,可能是用户源码泄露导致 API Secret key 泄露;
2、用户被钓鱼攻击,输入了 APIkey 和 Secret key 被黑客截取;
3、用户的 API key 和 Secret key 保存的电脑被攻击窃取;
4、币安交易所系统原因导致用户 APIkey 和 Secret key 泄露,其中只有 71 个用户开放了提现功能,被盗币。
据赵长鹏表示,包括 Coinbase 在内的一众交易所表示,会将可能的黑客地址拉入黑名单,以阻止其将资金存入别的交易所。赵长鹏在推特上@了 Coinbase,并对包括 Coinbase 以及其他交易所在内的同行表示了感谢。
如何赔付相关损失?
关于用户损失的赔付方面,公告指出,其将使用”用户资产安全基金”(SecureAsset Fund for Users, 又称 SAFU)来赔付用户损失。该基金成立于 2018 年 7 月 3 日,资金来源是客户交易手续费的 10% 的划转,其成立初衷在于在极端情况下(in extreme cases)保护币安的用户。该基金的相关资金都存储在币安的冷钱包中。
一些业内人士在事发后立即表示愿给予币安资金支持,不过赵长鹏在推特上予以婉谢,表示币安感谢各路人士和机构的支持,但币安有足够的资金来赔付客户的损失。
他说,币安只是受损了,但并没有破产(We're hurt,but not broke)。并进一步表示,币安的慈善事业仍在推进,如果想要资助的话,可以考虑下资助慈善项目(Our Charity efforts will continue, please consider to donate to those)。
不过有媒体估算,币安 SAFU 基金成立至今共约 10 个月时间,累积金额应不到 2000 万美元,远低于此次损失的 4100 万美元。若此一估算为真,则 SAFU 或不足以赔付此次用户的损失。
一度考虑区块回滚弥补损失
另外,值得注意的是,据赵长鹏在推特所言, 他曾一度考虑采用区块回滚来弥补损失 。
从推特相关讨论来看,有网友主动建议币安采用区块回滚的方式来弥补损失,比特币核心开发者 Jeremy Rubin 也在推特上向赵长鹏提出了类似建议,赵长鹏回应称将谨慎考虑这一建议,而 Primitive Venture 的合伙人 Dovey Wan 则表示其在询问了一些大的矿池后发现这并非一个可行的方案。
不久后,赵长鹏在推特上表示,经过同包括 Jeremy Rubin 、Prestwich、Bcmakes、Hasufl 以及吴忌寒等在内的多方讨论后, 币安决定不采取回滚区块的方式来弥补损失 。并罗列了如果采用回滚区块的方式后,其带来的优缺点。
据他指出,优点包含:1. 我们可能通过给予矿工费用来”报复”黑客;2. 阻止未来可能的黑客攻击;3. 探索比特币网络如何应对这类问题的可能性。
而缺点则包含:1. 破坏了比特币网络的公信力;2. 造成比特币网络和社区的分裂。这些伤害超过 4000 万美元。3. 黑客证明了我们的设计以及用户间存在的弱点,而这在以前是不明显的。4. 尽管这对我们来说是个昂贵的教训,但它不仅是个教训。保证用户的资金安全更是我们的责任。
尽管赵长鹏很快表示放弃此一方案,但相关讨论已带来大量争议。因为, 此一方案若真的付诸实行,无论成功与否,对于加密货币去中心化的精神都是一大打击。
不过,相较于去年 3 月,币安遭遇黑客攻击后,引发市场恐慌效应,比特币在不到 2 小时内就大跌了 1,000 美元。本次加密货币市场反应则是相当平淡。
截止 8 日下午发稿时间,除了币安币(BNB)在过去 24 小时录得约 6% 的跌幅,市值前十名的其他币种虽普遍下跌,但幅度并不大,比特币仅录得 0.55% 的跌幅。
-End-
坐标:北京·国贸
联系方式:hr@mittrchina.com
请随简历附上3篇往期作品(实习生除外)
点击阅读原文了解题跋派 ↓↓↓
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 区块链时代的“黑手” 你的电脑替黑客挖了多少币?
- 俄罗斯黑客可能是有史以来最大的交易所加密盗窃案的幕后黑手
- 隐藏在浏览器背后的 “黑手”
- 烦人的弹窗!到底谁是“幕后黑手”?
- 我接到了诈骗电话,顺藤摸瓜揪出幕后黑手
- “技术故障”背后有黑手 50元能让网站瘫痪一小时
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。