幣圈現在可以說是哀鴻遍野,到處都是瀑布。尤其是以太坊,從巔峰時期的1400美元跌到現在的260美元,高位入場的人資產幾乎只剩了個零頭。
這讓我想起一句話,“真正的熊市不是人人都喊抄底的時候,真正的熊市是極致的寒冷,沒有人敢說話。”
現在相對處於安全位置的,可能只剩下交易所了。可是,交易所最大的問題就是信息安全,被黑客攻擊是一方面,用戶自己的信息安全也是一方面。尤其是大一些的交易所——所謂的安全等級越高,要求用戶填寫的信息也越多,像是身份證號、手機號、照片等重要信息要是洩露了,問題就相當嚴重了。
Group-IB,一家著名的高科技犯罪調查機構,發佈了一份調查報告。他們調查了19家交易所,發現一共有720個賬戶信息被洩露,而且情況在變得越來越嚴重。我們一起看看,到底用戶的賬戶信息為什麼會被盜。
跟大家說個事兒,我們調查了19家交易所,怎麼就這麼巧,每家交易所都有用戶信息洩露的情況出現,無一倖免。
這19家分別是:幣安, Bit-z, Bitfinex, Bithumb, Bitstamp, Bittrex, BTCC, CEX.io, Coinone, Gate.io, GDAX, Gemini, HitBTC, 火幣, Kraken, KuCoin, OKEx, Poloniex, Wex.nz。
交易所的信息洩露賬戶數量
Poloniex的問題最嚴重,有174個賬戶信息有問題。大家熟知的火幣和OKEx也或多或少有信息洩露的問題出現。
從2016年1月到2018年1月,每個月的賬戶洩露數量
2014年的時候,我們發現只有5個賬戶有問題,等到2016年底的時候,一共有139個問題賬戶了。
2017年的賬戶洩露總數和2016年相比,數量增加了369%。整個2017年中,平均每個月有30.75個賬戶出現問題,已經不少了;再看2018年1月,單月就有212個賬戶信息被盜,跟上一年單月相比,直接漲了689%。
情況可以說是很不樂觀了。我們發現了這個問題,那就要想一下,這到底怎麼發生的?
首先需要承認的是,這跟加密貨幣市場的關注度激增不無關係。看看Google搜索量就知道了。
比特幣在Google上的搜索量
加密貨幣在Google中的搜索量
不難發現,“比特幣”或者“加密貨幣”的關鍵詞,在2017年底達到了關注度頂峰。更直觀一點,比特幣這個話題,在Google2017年全年話題排行榜上排第二。
這麼多人關注,自然就有更多的人去參與購買。那交易所新開的賬戶就會更多。多到什麼程度呢?我找個圖,大家感受一下。
趙長鵬Twitter
幣安的CEO趙長鵬在2018年1月4日的時候曾發推文感嘆,“實在不好意思,我們先不接受新用戶註冊了,大家多擔待,實在忙不過來了,所有人都在連軸轉,我們24小時新增加了25萬的用戶,要上天了”。
不只幣安,幾乎所有能叫的上名字的交易所都在接納蜂擁而至的用戶。無形之中,出現問題的概率也大了很多。
分析完環境因素,我們再具體分析一下洩露的那些賬戶。非常有意思的是,雖然這720個賬戶來自於全球各地,不過有幾個國家問題比較集中。
洩露的賬戶地域分佈
美國的賬戶洩露問題最嚴重,有1/3的問題都出在美國,也就是每三個洩露信息的賬戶中,就有一個是美國人的。緊隨其後的俄羅斯和中國大陸。
那為什麼美國這個問題最嚴重呢?
我們發現很多網絡罪犯竊取用戶信息,是通過殭屍網絡來得手的。
這些殭屍網絡的IP分散在世界各地,不過,我們找到了他們的主機。有56%的主機是在美國,其次是荷蘭,有21%,接著是烏克蘭和俄羅斯。主要是因為在美國和荷蘭,這些犯罪所需要的基礎設施很便宜。
同時,在調查中,我們也發現了幾款用來竊取用戶信息的軟件,比如AZORult,能從瀏覽器、郵件客戶端上竊取用戶密碼。
為什麼你的密碼會被輕易地竊取呢?
調查發現,最主要的問題是,在賬戶驗證的時候。現在最廣泛使用的驗證方法叫“雙因子驗證”(2FA),簡單理解,就是要驗證兩次,這是相對來講比較安全的。但是,交易所在用戶驗證這一關鍵步驟中,好像並不是特別重視。
用戶在登錄、交易、取款的時候,
交易所使用雙重驗證的比例
劍橋大學新型金融研究中心曾經做過調查,在用戶登錄交易所賬戶的時候,有3/4的交易所是不強制雙重驗證的,只有23%的交易所必須要用戶驗證兩次。而在交易的時候,也有65%的交易所可以不用雙重驗證。這還是主流交易所的表現,更別提其他不知名的交易所了。
但是用戶自己就沒有責任嗎?當然有,孤掌難鳴。
用戶使用雙重驗證的比例
美國馬里蘭大學和約翰斯·霍普金斯大學聯合研究發現,居然有將近1/3的用戶從來沒有用過雙重驗證這個東西,只有1/4的用戶在任何操作上都使用這種安全的方法。
而且,有些用戶不僅懶得驗證,連密碼這麼重要的東西,也是能省則省。
有調查顯示,在主流的35家交易所中,有超過70%的交易所是允許用戶設置非常不安全的密碼的。其中43%的交易所允許用戶的密碼長度在7位以下,還有34%的交易所允許密碼可以不同時包含字母和數字。
這是什麼概念呢?如果你懶到家,建了一個密碼是“12345”,居然還能通過70%的主流交易所審核。
信息洩露賬戶的密碼長度統計
看到這兒,回想一下自己平常的操作,有沒有上述這些危險情況?雖然熊市裡,各位的賬戶資產已經大為縮水,但賬戶安全還是要講究下的。
所以這份報告的最後,研究人員也提醒大家,雖然交易所的一些行為你控制不了,但自己要有安全的意識,密碼設置複雜一些,不同交易所的密碼也不能一樣,雙重驗證一定要記得用。
要保住自己的賬戶啊,萬一比特幣又漲回來了呢。
閱讀更多 31QU 的文章
