2019年至今,黑客大盗们是如何盗走交易平台现价值4亿的数字货币呢?

栏目: 编程工具 · 发布时间: 5年前

内容简介:最近,数字货币交易平台此起彼伏的被盗事件强制霸屏各家媒体头条,其中全球排名前十的数字货币交易平台币安更是被黑客盗取7000BTC(当时市价4000万美元),这一重大安全事故瞬间引起了科技媒体的注意,让久违的数字货币交易平台安全问题再次回归大众视野。2019年至今数字货币交易平台官方公布被盗的共有8家,只有3家对用户进行了官方赔付,1家为平台自有资产。其中安全问题突出的Cryptopia一个月内被盗2次,现正处于维护状态。

最近,数字货币交易平台此起彼伏的被盗事件强制霸屏各家媒体头条,其中全球排名前十的数字货币交易平台币安更是被黑客盗取7000BTC(当时市价4000万美元),这一重大安全事故瞬间引起了科技媒体的注意,让久违的数字货币交易平台安全问题再次回归大众视野。 哪些漏洞导致了这些交易平台被盗呢?又有谁能保证用户的资产安全呢?

一、交易平台被盗事故复盘

2019年至今数字货币交易平台官方公布被盗的共有8家,只有3家对用户进行了官方赔付,1家为平台自有资产。其中安全问题突出的Cryptopia一个月内被盗2次,现正处于维护状态。

2019年至今,黑客大盗们是如何盗走交易平台现价值4亿的数字货币呢?

平台被盗原因有交易平台官方钱包遭侵入、hard_fail、验证码劫持、私钥被盗、多种攻击手段混合等,归根结底被盗交易平台的原因主要分为2大类。 一类是平台自身的技术风控防御系统缺陷,黑客利用安全漏洞入侵平台偷盗数字货币;另一类是平台内部制度缺位问题,造成用户个人信息被 窃取,特别恶劣情况下,甚至出现泄露买卖个人信息现象。

二、平台风控防御系统缺陷

数字货币交易平台技术风控系统缺陷,主要是没有进行安全攻防测试,以及没有布署安全防御系统。 没有进行安全测试的数字货币交易平台比如像Mercatox,黑客就利用hard_fail转账交易获得平台服务器“信任”,不难看出平台方的技术审核测试能力不足,才会导致发生此类低级安全 事故 如果平台在合约上线前寻求第三方机构做好安全检测,数千枚EOS也不至于被盗。当然安全测试存在缺陷的交易平台只是极少数,不过这一环节还需加强重视。

大部分交易平台主要在风控防御系统部署上存在不足,比如币BiKi、币安等。 BiKi事后官方公告中就指出,黑客通过劫持用户第三方服务商验证码短信,从而攻击部分没有绑定谷歌验证码的用户。这里就暴露其自身风控系统存在问题,一是忽视单一验证用户被劫持情况,二是没有对修改登录和交易密码的账户进行一定时间段的提现和交易限制,三是没有树立用户安全防范意识。 所幸的是BiKi当时没有对这些提现审批完成,不然损失将进一步扩大。

数字货币交易平台与互联网金融企业相比风控防御系统存在不足。以币安为例,虽然币安使用SAFU基金承担本次事故全部损失避免了用户的损失,但是这种赔付并不完善,无法应对更大范围的安全事故赔付,此次事故发生的主要原因是风控防御系统存在不足。 首先币安应对大规模系统性攻击防御能力不足,黑客如何获取大量用户API密钥谷歌验证码的呢?大量用户密钥被获取非一日之功,如果黑客是网站钓鱼获取用户账号、密码等资料,币安为何早前没有发现仿冒币安的网站URL地址以及页面内容,还是说没有发现黑客利用币安官方网站服务器程序上的漏洞在站点的某些网页中插入危险的HTML代码呢? 此外叠加病毒等其他攻击手段的复合型攻击防御技术手段不足。

2019年至今,黑客大盗们是如何盗走交易平台现价值4亿的数字货币呢?

其次币安的风控存在重大问题。被盗的7000 BTC虽然只占币安官方公布总持有量BTC的2% ,但这并不能掩盖币安平台在提现审批转账上的风控问题。

三、内部制度缺位问题

此前在 《IPO前后大转变,交易所为何寻求“合规”》 一文中指出,数字货币交易平台拥有多重身份。Bithumb平台被盗更反映出在多重身份之下,内部制度上存在职能缺位问题。Bithumb平台官方表示此次异常出金事件不是因为遭受外部的攻击,初步认定为内部员工盗用保管数字货币的 “私钥”。这种情况反映出 Bithumb平台内部职能岗位集中过多权力,内部没有进行必要的职能分解,建立必要的监管 制衡

制度,才会导致内部员工利用掌握的完整“私钥”转移数字货币资产,发生监守自盗行为的行为。

2019年至今,黑客大盗们是如何盗走交易平台现价值4亿的数字货币呢?

这并不是数字货币交易平台权力过于集中的孤例,加拿大数字货币交易平台QuadrigaCX就因创始人杰拉尔德·科顿去世,欠下客户1.9亿美元,大部分资金已无法访问,最终破产,这都是数字货币交易平台职能岗位权力过于集中给平台和用户带来的伤害。

2019年至今,黑客大盗们是如何盗走交易平台现价值4亿的数字货币呢?

另一方面也可以看出Bithumb内部责任制度缺失,未防止不负责任的员工或离职员工利用职务工作所需获取的资料危害平台。应对内部人员获取使用内部资料进行申请审核授权并登记备份,谁滥用内部资料危害平台,谁就要为这种行为的后果承担责任。

四、个人应如何防范账户密码被窃取

除了数字货币交易平台需要提升风控防御系统和改善内部制度以外,个人投资者又应该如何防范账户密码被窃取,甚至导致数字资产损失呢?就这一问题,RatingToken安全技术人员指出个人投资者需要密切注意以下6点:

1.在登录银行、交易所、钱包等网站时,一律使用带https开头的安全链接;

2.手机、电脑、硬件钱包等联网设备不随意使用第三方不明Wifi;

3.前提许可的情况下,必须安装防护杀毒软件,拒绝“裸奔”;

4. 网页、APP出现异常情况时,及时确认和终止重大操作;

5. 不打开来路不明的插件、邮件、链接;

6. 大额数字货币资产尽量转到知名可靠的冷钱包。

(作者:区块链酋长,内容来自链得得内容开放平台“得得号”;本文仅代表作者观点,不代表链得得官方立场)


以上所述就是小编给大家介绍的《2019年至今,黑客大盗们是如何盗走交易平台现价值4亿的数字货币呢?》,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对 码农网 的支持!

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

程序员代码面试指南:IT名企算法与数据结构题目最优解

程序员代码面试指南:IT名企算法与数据结构题目最优解

左程云 / 电子工业出版社 / 2015-9 / 79.00元

这是一本程序员面试宝典!书中对IT名企代码面试各类题目的最优解进行了总结,并提供了相关代码实现。针对当前程序员面试缺乏权威题目汇总这一痛点,本书选取将近200道真实出现过的经典代码面试题,帮助广大程序员的面试准备做到万无一失。“刷”完本书后,你就是“题王”!__eol__本书采用题目+解答的方式组织内容,并把面试题类型相近或者解法相近的题目尽量放在一起,读者在学习本书时很容易看出面试题解法之间的联......一起来看看 《程序员代码面试指南:IT名企算法与数据结构题目最优解》 这本书的介绍吧!

CSS 压缩/解压工具
CSS 压缩/解压工具

在线压缩/解压 CSS 代码

XML 在线格式化
XML 在线格式化

在线 XML 格式化压缩工具

HEX HSV 转换工具
HEX HSV 转换工具

HEX HSV 互换工具