五年前的Mt.Gox,這個曾經全球最大的比特幣交易所,在被黑客竊走85萬枚比特幣後宣佈破產,如今想起來仍讓很多人心有餘悸。而隨著近幾年比特幣等加密貨幣價格不斷攀升,交易所成為黑客攻擊的重災區,徹底淪為黑客提款機。
今日凌晨,加密貨幣交易所幣安發佈公告稱,幣安發現了一個大規模的系統性攻擊,黑客能夠獲得大量用戶API密鑰,谷歌驗證2FA碼以及其他相關信息。在此次攻擊中,黑客團體使用了複合型的攻擊技術,包括網絡釣魚,病毒等其他攻擊手段,在區塊高度575012處從幣安熱錢包中盜取了7000枚比特幣(約4000萬美元),佔幣安比特幣總持有量的2%。
受此影響,整個加密貨幣市場應聲下跌,其中幣安平臺幣24小時內跌幅達7%。
被盜事件追蹤
“實際上,5月7日被盜當天的凌晨,幣安的提幣流程就出問題了,提幣頁面不斷的閃退。我花費了至少1個小時,反覆登陸了至少十幾次賬號,才把我最後的一點資產提到了自己的錢包裡,算是運氣好吧。”一位幣安用戶如是表示。
據PeckShield安全人員分析發現,黑客通過釣魚等方式蒐集幣安用戶賬號信息,然後於北京時間05月08日01:17:18採用71個賬號併發API提幣操作,最終於區塊高度575013實施了攻擊。
同時,據北京鏈安分析,幣安此次被盜很有可能是因為幣安內網遭到黑客長期的APT滲透,而非單個或者批量用戶被釣魚病毒入侵導致。
另外,幣安CEO趙長鵬表示,黑客此前已發現系統安全漏洞,但一直很耐心,直到系統出現大額交易才下手盜幣。
而針對本次被盜事件回應道,幣安正和其他交易所合作,去追蹤被盜幣的去向,幣安也將使用“SAFU基金”全額承擔本次攻擊的全部損失,不會讓用戶有任何損失。同時,幣安團隊還表示,幣安將在約一週內進行徹底的安全審查,包括系統和數據的所有部分。在這段時間,充值和提現將處於暫停狀態,建議用戶重新設置API、key及谷歌驗證。
另外,對於社區提出可以通過區塊重組/交易回滾來恢復部分被盜金額,趙長鵬在推特表示,幣安經過討論後決定不採用這一解決方案。主要考慮因素有:(1)可能會影響比特幣的可信度;(2)可能會導致比特幣網絡和社區分裂;(3)黑客確實在我們的設計和用戶混淆中,表現出某些明顯的弱點,而這在之前看來並不明顯;(4)這對我們來說是一個非常昂貴的代價,但是它也是一個教訓,保護用戶資金是我們的職責所在。所以我們應該面對它,並且從中吸取教訓並有所改進。
“前段時間龍網被盜,此次幣安被盜,都是交易所出來承擔損失。對於業界而言,交易所在被盜後選擇自己承擔而不是讓用戶承擔,值得肯定和支持。”一位網友感嘆道。
比起其他交易所的遮遮掩掩,不少同行對幣安的“坦然”給予了支持和認可。例如,波場創始人孫宇晨第一時間表示,他將會代表個人存入7000BTC等值的美元(共計4000萬美元)進入幣安,用於增持幣安幣BNB。無需驚慌,一切安好!
中心化or去中心化?
從某個意義上來講,中心化交易所沒有永遠安全的平臺。
事實上,在當今時代,絕大部分公司的數據存儲等都是依靠著中心化的服務器或雲供應商,危機四伏。不論大中小機構,在專業黑客眼裡,都只是時間問題。
自比特幣誕生以來,“去中心化”的概念被頻繁提及,甚至備受推崇。然而諷刺的是,中心化交易所卻佔據著絕大部分的交易量。而從2014年開始,全球各個中心化交易所接連出現黑客盜幣的事件。據零識區塊鏈瞭解,2018年,黑客竊取金額超 9.5 億美元,較2017年增長了300%以上。
交易所被盜似乎成為了一種常態。以太坊創始人Vitalik Buterin曾放言,他希望看到中心化加密貨幣交易所“儘可能死絕”。事實上,隨著技術的演進和共識的推進,去中心化交易所開始強勢崛起,包括幣安也已推出去中心化交易所Binance DEX。
對於黑客而言,這並不是件好事。鏈塔智庫曾指出,由於用戶的賬戶秘鑰是控制在自己手中,所以技術上黑客攻擊由集中式攻擊交易所改成分散式的個人賬戶進行攻擊,利潤空間下降反倒造成了相對安全性的提升。攻擊的成功取決於個人賬戶的安全意識和習慣。相對於中心化交易所來說,攻擊造成的影響範圍和程度會有所下降。
總而言之,黑客花樣百出的攻擊,讓人防不勝防。作為交易所,應不斷完善自身的安全系統和內部防禦機制;作為投資者,應提高自身防範意識(例如洩露個人信息、警惕釣魚網站等),將資產儘可能存放至自己錢包中。
閱讀更多 零識區塊鏈官網 的文章
