7月4日凌晨五時許,幣安交易所出現超大額提現,2小時內,超過7000枚比特幣轉入同一地址,何一對此表示,這只是一個看上去比較異常的正常轉賬,並非網傳被盜。然而,同日上午八時,幣安暫停交易與提現,進行臨時維護。
既然是“正常轉賬”,何來停機維護呢?
在鉅額比特幣流轉的背後,一個名為Syscoin的小幣種,在4日四時許價格迅速拉昇了320萬倍,一枚SYS價格達到了96BTC——SYS的日常均價一直是0.00003BTC左右。隨著SYS價格被拉爆,黑客再通過其他交易所出貨,至少能獲利8000萬。
幣安官方公告指出,這是一次“部分API用戶的釣魚事件”,何為API釣魚事件?又KEX交易所的CTO劉宏斐對事件進行技術解讀。API釣魚事件,可理解為通過常規的釣魚手段,包括並不限於假冒網上銀行、垃圾郵件、虛假電商廣告等不法手段,來獲取收集用戶的賬號信息,並由此獲得API接口權限,並通過大量的API接口操作來影響交易市場。劉宏斐表示,由於API權限位於用戶權限下,因此只要得到了平臺的用戶權限即可控制其API權限。如果黑客能夠從一個或者幾個平臺獲取大量的API控制權,即大量的用戶賬號登錄信息,就可以左右市場行情。
發動攻擊的人掌控足夠的API之後,足以操控某個幣種的市場漲跌,只要涉及的資金量和某項目的資金盤達到一定比例,就能引發鉅額漲跌,因此交易量小和單價低的小幣種容易成為攻擊對象。當瞬間拉高小幣種的價格之後,再通過賣出提前低價埋伏在其他交易平臺的該幣種即可獲利。
這樣的事件過後往往跟隨比特幣的下跌,3月7日,幣安也發生了性質極為相似的黑客攻擊時間,那一次買入的小幣種是VIA,攻擊發生後兩天,比特幣暴跌近1000美元。這一次,攻擊發生後30分鐘,比特幣跌去130美元。黑客通過提前做好的空單,可二次獲利。
針對這次異常事件,幣安提出了四點處理方案,包括刪除全部API記錄、回滾異常交易賬戶記錄、返還手續費、以及成立幣安投資者保護基金等。
那麼刪除API記錄的做法能夠在多大程度上彌補損失呢?劉宏斐指出,從技術角度看,“如果是單純刪除API記錄,其實作用不大,只能防止攻擊者在短時間內不能進行再次攻擊。真正有效的方式是,修復生成API過程可以繞過二次驗證(GOOGLE驗證等)的漏洞,防止在用戶未知的情況下生成API”。
交易所阻止黑客控制API有若干種辦法,首先就是要儘可能保障用戶賬號的安全,通過短信驗證碼、GOOGLE驗證碼等安全手段(此次攻擊中,生成API流程的2FA被繞開)增加賬號的安全機制;另外,在生成API的過程中加入人工審核的互動過程,確認此操作為用戶的本意操作。據劉宏斐介紹,KEX交易所目前採用的也是這種安全措施。
對於回滾交易的操作,劉宏斐認為,這僅能恢復事故之前的賬戶情況,對用戶的利益做到一定程度的彌補,但對於“追回”黑客已經獲取的利潤則沒有意義。因為此種攻擊黑客並沒有直接通過被盜賬號來直接獲取利益,而是通過大量被盜賬號的買賣行為影響市場,並且在其他平臺上已經交易提現。
對於普通交易所用戶來說,雖然賬戶記錄已經回滾,但潛在地,會有相當一部分加密貨幣交易者對幣安甚至所有的交易所安全性產生質疑與恐慌,甚至引發踩踏性跟風拋盤,這對於整個加密貨幣行業和區塊鏈產業都會產生衝擊。
劉宏斐建議,普通用戶為了保護自己在這樣的事件內免受損失,需要做到兩點。首先最好將平臺內提供的安全防護手段,例如,短信驗證、郵箱驗證、谷歌驗證碼等安全機制儘可能的打開,這樣雖然增加了登陸的複雜度,但其實這也是保證平臺數字資產的最基本手段;其次就是安全保密數據的保存方式。例如,密碼採用專業的密碼管理工具,存放數字資產的移動設備不隨意安裝未知APP,不隨意掃描二維碼等,不在未知陌生的站點洩露用戶信息。
隨著信息化不斷深入到我們生活中的每個角落,我們的資產由傳統的有形資產在不斷轉化為數字資產。金色財經認為,數字資產不同於有形資產,在保存方式上需要我們重新樹立新的信息化安全防範意識,交易所等金融敏感的平臺不應單純的只強調“用戶體驗”、“易用性”,而忘記了信息安全的重要性。
閱讀更多 柯柯哎 的文章
