dmxtdxwi 2019-05-09
文 | 棘轮 比萨
今日早间,回暖月余的币市迎来了一个坏消息:币安官方发布公告称,由于黑客攻击,平台超过7000枚比特币被盗,损失超4000万美元。
尽管币安宣布将动用平台基金弥补用户损失,但市场仍然在短期给出了悲观回应。BNB半小时跌幅超10%,比特币等主流币种出现普跌。
有分析师指出,币安本次爆出的黑天鹅事件,对普通投资者影响有限,却可能令Bitfinex的IEO陷入困境。
在此之外,层出不穷的交易所被盗事件,让越来越多的投资者开始期盼去中心化交易所的到来。交易所的未来格局,仍存变数。
01 币安被盗
历史重演,数字货币交易所币安再遭黑客洗劫。
5月8日早间,币安发布公告称,平台于今日凌晨发现了一个大规模的系统性攻击行为,币安热钱包被盗走7000枚比特币,价值约4000万美元。
币安公告显示,黑客以网络钓鱼、病毒等复合型攻击手段,获取了大量用户的API密钥及谷歌验证码等信息。借此,黑客完成了攻击行为。被盗走的7000枚比特币,占币安全部比特币持有量的2%。
“目前看来,币安热钱包被盗的7074枚BTC,暂时被黑客分散存储于20个主要地址,尚未进一步扩散。”区块链安全公司PeckShield的硅谷研发中心负责人Jeff告诉一本区块链。
这意味着,黑客尚未完成变现。而被盗事件发生后,币安宣布将使用平台的“SAFU基金”,支付全部被盗损失——用户并不存在任何损失。与此同时,币安宣布,平台在一周内将暂停充币提币。
而币安的平台币BNB还是应声大跌。消息爆出后的半小时内,BNB价格跌幅达到了10.6%。
今日早间,BNB短时内大幅下挫
因为此次黑客事件,比特币价格也受到明显影响。
根据CoinMarketCap数据显示,从北京时间今日早间7时34分起,BTC价格开始出现明显下跌趋势——一小时内,由5954.54美元跌至5795.01美元,跌幅近3%。
除比特币之外,其他主流数字货币价格,也均出现了不同程度的下跌。
事实上,币安本次遭遇的盗币事件,不是数字货币交易所历史上的第一起,更不会是最后一起。
2018年7月4日,同样是在北京时间早间时分,币安也曾发布公告称,因出现异常交易,平台将开启临时维护。
此后有消息称,币安遭遇黑客攻击,交易所钱包地址在两小时内出现了超过7000BTC的超大额提现。随后,币安针对异常交易进行了回滚操作,但否认了平台遭遇黑客盗币的传闻。
“其实,币圈几乎所有的交易所,都曾遭遇过盗币。”交易所从业者毛普指出,“这在行业内是一件心照不宣的事情,因为任何交易所都做不到万无一失。”
2014年,全球最大的比特币交易所Mt.Gox遭遇黑客盗币攻击,65万枚比特币被盗,该交易所也因此破产。直至今日,仍然有投资者在为此维权。
今年3月,龙网(DragonEx)交易所发布公告称遭遇黑客入侵,将暂停交易、充提等全部基础服务。去中心化漏洞平台DVP的分析数据显示,在这起被盗事件中,龙网损失的资产在500万美元以上。
不仅仅是交易所,几乎所有涉及数字货币业务的区块链企业,都饱受黑客盗币困扰。
矿机企业比特大陆去年发布的IPO招股书显示,该公司曾在2017年遭遇黑客攻击,价值2700万美元的数字货币因此丢失。
在匿名、去中心化、缺乏监管的数字货币世界,来无影去无踪的黑客,一直是所有区块链企业最大的敌人之一。
02 原因
即便早已成为行业内的头部交易所,币安仍然无法摆脱黑客入侵的噩梦。如何避免黑客盗币,也成为了所有区块链从业者思考的问题。
根据币安发布的公告,许多区块链安全从业者指出,此次事件中的黑客,可能并未窃取到币安的钱包私钥,而只是获得了提币权限。
“黑客应该是通过‘钓鱼’手段,获取币安用户信息的。”Jeff对一本区块链表示。
所谓“钓鱼”,指的是黑客通过某种方式,诱导用户泄露自己的个人信息。
其中最常见的手段,是假冒交易所官方向用户发送欺骗邮件,让后者打开伪造的交易所链接,并诱导用户在钓鱼网站上填写账户、密码等敏感信息。
此外,黑客也可以诱导用户下载包含木马、病毒的文件,以盗取用户信息。
“其实,用户只要避免点击陌生链接,不随意下载陌生文件,认准官方网站,就可以防范黑客钓鱼。”Jeff表示。
但许多黑客的钓鱼行动,仍然令人防不胜防。不止普通用户,即便是交易所的内部员工,也曾被黑客“成功钓鱼”。
今年3月的龙网被盗事件发生后,区块链安全企业降维安全实验室发现,龙网某客服人员在平台被黑前,曾在陌生人处获得了一份程序安装包。而该程序存在捆绑后门——黑客可凭借后门,获取内部员工权限,并以此渗透内网,获取龙网的钱包私钥。
而在数字资产托管平台InVault创始人许斌看来,币安此次被盗,也可能与其内部权限被黑客攻破有关。
“根据币安公告分析,我认为黑客应该没有拿到钱包的私钥,但至少获得了一部分内部权限。”许斌表示,“短时间内提走超过7000枚比特币,黑客很有可能已经瘫痪掉了币安的风控系统。”
“或者有另一种可能,黑客十分熟悉币安的风控策略,能够绕开风控系统,盗走平台资产。” 许斌说,“所以这次的黑客,要么技术十分强大,要么潜伏已久,只待最后一击。”
根据币安发布的公告,黑客盗币成功的关键,在于获得了用户的API密钥及谷歌验证码等信息。在历次交易所被盗事件中,API一直是一个重灾区。
“API密钥是一段字符,有时会存在用户的设备内。一旦用户设备被侵入,黑客便有可能拿到密钥,并提走用户资产。”Jeff表示,“所以,对于交易所而言,API一直是最容易出现安全问题的地方。”
这一观点也得到了许斌的认同。在他看来,大多数头部交易所的私钥管理体系都十分强大。因此,相对薄弱的API环节,往往会成为黑客的重点攻击部分。
面对层出不穷的交易所安全事件,许多区块链从业者认为,交易所若想避免类似问题发生,必须在两方面做出改变。
首先,是加强审查。
“对于提币额度较大、提币到新地址、频繁提币等异常行为,平台都需要进行人工审查。”Jeff表示。
其次,交易所也应加强用户教育,帮助用户提高安全意识。
“我个人建议,用户也可以将不常交易的资产,保管在自己的私人钱包内,而不是长期存放在交易所。”许斌说。
03 误伤Bitfinex?
自今年4月起,低迷已久的币市,突然迎来了一小波小牛市。比特币从4月初的4000美元一路走高,并在昨日一度突破6000美元。
然而,币安的突然被盗,却让投资者的内心再次蒙上一层阴影。阴谋论也很快出现,有投资者质疑,所谓的“黑客盗币”,只是交易所等平台与空头势力共同放出的“消息”。
不过,市场的后续表现,却并未像许多人预想中的一样。
币安盗币事件发生后,包括比特币在内的一系列数字货币曾发生普跌。但很快,主流币种便迅速止跌。截至发稿时,比特币等主流币种的币价,已接近盗币事件发生前的价格。
“尽管币安盗币事件让币市短时下挫,但投资者的整体情绪还算乐观,市场表现也似乎波澜不惊。”中关村物联网区块链实验室主任梁栋对一本区块链表示。
不过,热衷吃瓜的围观群众们,仍然找出了这场事件中的最大受害者。
“这次币安被盗币,最受伤的可能是另一家交易所——Bitfinex。”大白鲨交易社区数字货币分析师Neil告诉一本区块链。
黑客盗币事件发生后,币安发布公告称:“在这一周内,(币安平台的)充值和提现将处于暂停状态。”
换言之,在一周之内,币安不允许用户提币。
与此同时,Bitfinex正在推出自己的IEO项目,计划募资10亿美元发行平台币LEO,目前LEO正处于私募阶段,私募时间截止到2019年5月10日。
“币安此时宣布暂停提币,势必会造成部分资金无法购买LEO。”Neil说。
与此同时,行业头部交易所币安的被盗事件,也让一部分投资者心存忧虑。人们对去中心化交易所的呼声,也越发强烈。
“在中心化交易所中,用户资产由交易所代为管理。一旦交易所遭遇黑客入侵,用户便会出现资产损失。”毛普表示,“但在去中心化交易所中,用户却可以通过私钥保管自己的资产,不必为平台的错误买单。”
在去中心化交易所中,交易所无法监守自盗。即便黑客获取了交易所的钱包私钥,盗走的也是交易所的平台资产,如收入等,而非用户资产。
但Jeff却并不完全认可这一观点。近年来,许多交易所遭遇黑客攻击,都与API信息被盗有关。“如果是用户的API密钥被黑客获取,无论是中心化交易所,还是去中心化交易所,都无法避免用户资产被盗。”他表示。
然而,Jeff也承认,相较于去中心化交易所,中心化交易所的安全隐患更大。
“中心化交易所的问题是,每一家交易所都聚集了大量资产,树大招风,集中被盗的可能性会更大。”Jeff表示。
而在去中心化交易所,由于数字货币分散在每一位用户手中,黑客很难一次盗走大量资产。
“两种交易所各有利弊,而未来,两类交易所也势必会长期共存。”毛普最后总结。
在区块链的世界中,黑客就像幽灵,他们不会错过任何一个可以利用的漏洞。
这不是交易所第一次被盗,也不会是最后一次。
安全问题,已经是所有中心化交易所、区块链企业,以及持币人必须共同面对的考验。
*文中部分受访者为化名。