宇宙链 宇宙链
Ctrl+D收藏宇宙链

2019年13家交易所被“黑” :邪恶的幽灵真的无法避开?

作者:

时间:1900/1/1 0:00:00

9月2日,BITKER交易所的用户群里传来一条消息:

BITKER交易所于2019年5月28日不幸遭遇黑客攻击,尽管我们进行了长达3个月的补救工作,但很遗憾最终未能改变现状。由于资不抵债,我们决定关闭交易所。

投资不易,且行且珍惜。

公开资料显示,BITKER于2017年12月成立于新加坡,专注于打造“一站式数字资产交易所”,其在非小号的综合排名最高到达11名,今年5月遭遇黑客攻击停运,BITKER的记录最终停止在了9月3日。

诚然,交易所作为加密货币领域的基础设施,自诞生以来便是兵家必争之地,但同时也是常受黑客光顾的领地之一。根据BCSEC数据显示,从2011年到现在统计的易受攻击点被攻击次数中,交易平台排在第2位。

2019年已有13家交易所被攻击

悉数历史上的各大交易所,在被黑客攻击之后,他们都做了什么?后来又怎么样了?面对这些看不见的对手、邪恶的幽灵,交易所究竟是坐以待毙还是主动出击?

破产倒闭

说起破产倒闭的交易所,最著名的当然还是Mt.Gox。

2014年2月7日,当时规模最大的交易所Mt.Gox发布公告称“系统出现漏洞,不解决这个漏洞的话,交易细节可能会被篡改,比如,在没有比特币转账的情况下,系统中可能会显示用户将比特币转入可电子钱包。”

同年2月24日,Mt.Gox宣布暂停所有交易活动,当时访问Mt.Gox网站只留下一个空白页面。

彭博社:灰度比特币信托溢价率降至2017年3月以来最低水平:1月23日消息,价值220亿美元的灰度比特币信托基金(GBTC)本周下跌超过15%。数据显示,灰度比特币信托溢价率在去年12月飙升至40%,目前降至2.8%,为2017年3月以来的最低水平。(彭博社)[2021/1/23 16:49:18]

不过,根据当时网络上流传的一份文件显示,Mt.Gox被黑客盗取了744408枚比特币,这一损失多年来都未被发现。此外,除了这近75万枚比特币之外,平台自身的10万枚比特币亦被盗,合计丢失了将近85万枚比特币。按当时的币价,这波损失约在4.7亿美元左右。之后,2月28日Mt.Gox无奈申请了破产。

从出现问题到倒闭,Mt.Gox只坚持了21天。时至今日,法院还在对其进行破产清算,并最终决定对客户的赔偿措施。

除了Mt.Gox之外,还有许多因为黑客攻击而受到毁灭性打击的交易所。BitFloor便是其中之一。

BitFloor自2011年开始运营,在当时可以算得上是全球第四大美元交易所。2012年9月4日,BitFloor的运营商报告了安全漏洞,2.4万枚比特币被盗。次年4月,其创始人决定关闭BitFloor,并向客户退还存款。

与之类似的还有Bitcoinica、Vircurex,以及文章开头提到的BITKER。

苦尽甘来

除了那些因遭受攻击而黯然消失的交易所,还有很多交易所虽然遭受了黑客攻击被盗币,但是并没有走上破产之路,而是顽强地生存了下来。

交易员:ETH/BTC将现黄金十字,系2018年年中以来首次牛市趋势:加密货币交易员Josh Olszewicz表示,以太坊的表现将开始超过比特币,原因是其看涨的技术前景和以太坊2.0的热度。

Olszewicz发推称,ETH/BTC的价格将在两日图表上出现一个黄金十字。

注:当50日移动均线高于200日移动均线时,黄金十字就会出现。尽管黄金十字通常被视为滞后指标,但它可以帮助交易员发现关键的市场逆转。此外,Olszewicz预计Ichimoku cloud指标将显示ETH/BTC交易对自2018年年中以来的首次牛市趋势。(U.Today)[2020/6/8]

这里最典型的是Bitfinex。

2016年8月,最大的比特币交易所之一Bitfinex被黑客避开了多重签名之后盗走了119756个比特币。这是继Mt.Gox热钱包被盗后发生的第二大交易所被盗事件。讽刺的是,Bitfinex进行软件升级本是为了提高安全,却没想到软件内含有漏洞。

时至今日,没人清楚黑客是如何避开多个签名盗走比特币的,最主流的解释是Bitfinex服务器安装了不合适的软件。Bitfinex当初使用的是BitGo提供的多签交易软件。

不过这件事情中,最受争议的是Bitfinex在被盗之后的处理方案——平台被盗损失必须先平摊到所有用户账户,即每个在Bitfinex拥有账户的用户将会被扣除36.067%资金,而不管这个账户的比特币是否受到损失。同时,Bitfinex会给每位受损用户相应数量的BFX代币,每个代币能代替1美元,未来可向Bitfinex全额赎回损失款项,也可选择交换Bitfinex母公司iFinex的股票。

法院部分驳回了2017年在内克岛区块链会议上涉及加密销售的诉讼:周五,在一起涉及Metallicus项目的案件中,法院下达了一项部分驳回德克萨斯州诉讼的命令,其中涉及到Kleibert诉Metallicus公司等人。原告称,他们在2017年与内克岛(Necker)上的加密专家举行的会议上,在MTL令牌的价值上被误导了。法院驳回了对当地一场网球比赛组织者的指控,称他们没有与德州取得足够的联系,无法在那里继续对他们提起诉讼。(The block crypto)[2020/4/6]

尽管这个决定在当时受到了用户的强烈反对,但是通过代币进行股权融资,并使用营业额按月赔偿客户后逐步弥补亏空的Bitfinex,最终熬了过来。

类似的还有新加坡交易平台Bitrue。据Bitrue官方推特发文,在6月27日凌晨1点左右,一名黑客利用了其风险管控团队在对平台系统进行第二次核查时的漏洞,侵入了近90个Bitrue用户的资金账户,共损失价值约420万美元的瑞波币和艾达币。

比较有意思的是,作为国人运营的交易平台Bitrue在之前并不被中国地区的用户所熟知,而是在北美、欧洲等地区拥有大量忠实、高端的用户。被盗事件发生后的一周,Bitrue进行安全整顿升级并对受害者提供赔偿。因祸得福,Bitrue依靠过往的口碑以及处理该事件的态度促使它开始进入国人视线。

安全一再升级

所谓“树大招风”,一些头部交易所也因此成为黑客攻击的重点对象。

声音 | 福布斯:这一次的比特币牛市与2017年截然不同:比特币自今年年初以来已经增长了40%,并且突破1万美金大关,但是数据表明,这次的牛市与2017年的牛市截然不同。加密货币分析公司Glassnode data表示,过去6个月,比特币交易所的存款大幅下降,表明比特币的最新一轮涨势并非由散户投资者推动。Glassnode在推特上表示:“在去年夏天的上涨中,我们看到每日存款超过6万的峰值,这可能是投资者获利回吐的结果。从那以后(比特币交易所的存款)减少了近60%,降至2.5万美元。”

在2017年比特币的大幅上涨达到顶峰时,比特币交易存款数超过了比特币价格,Glassnode记录的每日交易存款约为20万。然而,尽管比特币价格上涨,但今年的存款量继续下滑,导致许多比特币和加密货币交易商和投资者将最新一轮牛市归因于人们期待已久的机构投资者大举买入比特币。加密货币对冲基金Adaptive Capital合伙人Willy Woo表示:这一次突破是真正的突破,基于基本面的投资活动支撑着比特币1万美元的价值。[2020/2/10]

今年5月8日,全球头部加密货币交易平台Binance币安被盗7074枚比特币,按实时币价估算,损失超过4100万美元。根据区块链数据和安全服务商PeckShield的分析,此次事件的攻击手法是黑客通过钓鱼等方式搜集币安用户账号信息,然后采用71个账号并发API提币操作于块高度575013处实施了攻击。事后Binance币安立刻宣布全额赔偿用户损失,并对相关的安全措施、程序和操作进行重大完善。

2018年底BTC耗电量占世界总数的0.5%:据independent报道,根据计算2018年年底比特币将使用世界电力的0.5%。据digiconomist.net数据显示目前比特币的电力消耗占全球电力消耗的百分比为0.30%。[2018/5/17]

事实上,这并不是币安第一次被黑客攻击。

2018年3月,黑客通过非法入侵币安用户的账户,将用户各种各样的代币即时币币交易换成比特币,将加密货币全部币币交易换成BTC,数量达1万个BTC以上。黑客使用API交易机器人用这些BTC大量买入VIA币,VIA的价格直接被拉高了100倍以上,然后抛售来控制币价。

同年7月,币安第2次遭遇黑客攻击,攻击方式类似第一次。庆幸的是,这两次攻击事件没有给币安及其用户带来实质性的损失。

除币安之外,韩国最大的交易所Bithumb近年来也颇受黑客“青睐”,2017年6月、2018年6月和2019年3月都曾被盗币,损失惨重。

邪恶的幽灵:交易所是坐以待毙还是主动出击?

细数过往被黑客攻击过的交易所,他们被攻击的形式和原因各不相同。面对这些看不见的对手、邪恶的幽灵,交易所究竟是坐以待毙还是主动出击?

OKEx认为,黑客攻击主要来源有两个方面,一方面是针对外部的网络和服务的攻击,另一方面是针对内部员工的apt攻击等。

针对外部的网络和服务的攻击:

针对外部攻击,首先要规划好网络环境,做好隔离,防止因为一台机器被攻击,导致交易所被一锅端。同时以攻击面最小化原则,严格控制对外开放的IP、端口和服务等。有能力的交易所还是要定期请专业的安全公司,做好代码审计和渗透测试,及时发现、修复安全漏洞,避免漏洞被黑客发现并利用。

其次要做好业务安全,对用户身份进行严格的校验,注重用户隐私保护,防止用户因信息泄漏,被欺诈等。还要依托内外部的力量,及时发现像钓鱼网站、资金对敲等攻击行为,及时封禁止损。

针对内部员工的apt攻击防范:

如果是对内部员工的apt攻击,则需要从客户端安全,网络划分,安全意识,权限管理,管理制度等多个层面进行防御:对员工进行信息安全教育,减小员工被钓鱼,社工手段取账号,权限等的几率,减少员工信息泄漏的风险。员工办公电脑安装必要的防病软件,防止员工电脑被挂马,勒索等。公司内网做好网络划分和隔离,防止员工电脑被黑客控制后进行横向移动,可以有效控制被攻击范围。公司办公网接入,vpn等使用双因素认证等,防止用户账号泄漏导致黑客直接拨入办公网。

内网重要的服务器要做好隔离,登录双因素,权限控制等,账号权限回收等,防止因为权限过高导致的信息泄漏。

同时各项审计和监控也要做好,对日志进行集中存放,处理,告警等,以方便事后进行排查,确认被攻击情况。

BHEX创始人&CEO巨建华对金色财经表示,

交易所的安全是一个非常复杂的问题,因为加密资产匿名性导致损失的资产不可追回,所以交易所的安全风险要远超过一般互联网公司和传统金融公司。大的方面来说,交易所安全问题主要分为技术和业务两方面,技术方面的安全问题,主是区块链钱包安全、软件系统安全、服务器网络安全这三方面;业务方面的安全问题,则主要是业务过程安全和内部治理安全。

目前一般中心化交易所保障安全的方式,还是通过完善业务风控系统,通过冷热分离、三方多签等技术来实现加密资产的安全保障。

一般中心化交易所发现被攻击,多数会停止提币核查损失,并通过损失的规模来制定来应对方式,如果已经发生的资产损失过大导致交易所无法继续运行业务,一般都会走破产清算程序。比如两大知名交易所Mt.Gox和Bitfinex应对风险的方式就完全不同:Mt.Gox因为损失过大,只能通过走日本法院的破产清算程序实现退出;而Bitfinex则是在发生大额被盗后,还能保持营运,采用了债转股的方式,将用户的损失转为了交易所的股权来实现了赔偿。其他出现安全问题的交易所就没这么幸运了,多数出现安全问题的交易所都默默消失在了市场上,用户的损失永远无法得到赔偿。

交易所安全还有一个很大的问题,就是当出现安全风险和资产后,交易所无法自证清白,不能证明这些资产是真实被盗还是监守自盗,这对交易所的管理和运营方提出了非常大的挑战。

目前看来,完全去中心化的交易所,将能有效缓解交易所安全技术和业务方面问题,但是易用性和成本的问题将会导致去中心化交易所的用户规模会长期低于中心化交易所。

计算机行业的安全问题,是从计算机诞生以来就一直伴随的问题,任何技术防范,都只能减少安全风险发生的可能性,但是无法保证绝对的安全,有效的风险控制措施才是正确的应对之道,当发生安全问题后,能将问题控制在可接受的范围内,是目前交易所安全方面最正确的做法。

降维安全实验室给出了更为具体的技术层面的防御措施:

1、使用国际大厂的DDoS防御及CDN分发服务,譬如Cloudflare

使用Keyless服务,保护好自己的私钥,避免服务提供商窃取敏感数据

隐藏好真实ip地址,避免绕过CDN进行攻击

2、网站上线前或重大改版后,找专业公司进行渗透测试

3、使用“宽进严出“规则,提现进行严格审核

4、服务器接入第三方waf服务和其他安全加固服务,防御常见攻击方式

5、使用“陷阱防御”系统,在黑客攻击路径上埋陷阱,及时发现黑客,譬如“面壁人”

6、进行内外网隔离

此外,降维安全实验室还列出了除黑客攻击之外的交易所安全风险,如图:

降维安全实验室方面表示,要做好多重安全防护以此减轻风险:

1、第一重防护:平台安全防护。业务上线前必须通过安全测试、内部渗透测试

2、第二重防护:账户安全防护。

账户安全检测:防止账户被暴力破解;

双重认证及预警机制,保障用户资金安全;

大额提币实行人工审核。

3、第三重防护:钱包安全防护,做好冷热钱包隔离,保护好冷钱包资产。

4、第四重防护:加强源头管控,员工接受安全培训。

结语:

未雨绸缪也好,主动出击也罢,活下去。毕竟,只有活下去,才能见证未来盛世。

标签:比特币BITITFFIN比特币行情走势图最新今年bitopiclabfitfi币有机会涨到10美元吗Toast.finance

比特币行情热门资讯
浙江现代数字金融科技研究院理事长长周子衡:数字法币开启了资产数字化的革命

浙江现代数字金融科技研究院理事长周子衡近期刊文《数字法币的创新性冲击》,文章表示,数字法币是对整个银行货币体系的创新,数字法币创新有四:一是全覆盖,实现普惠金融;二是消除流通中的利息压力,进而改善利率结构.

1900/1/1 0:00:00
前美国财政部官员:需有专属机构来监管矿工

金色财经比特币9月4日讯金融诚信网络产品开发和服务副总裁DavidMurray在出席美国参议院小组委员会的听证会时表示,加密货币正在用于人口贩运等非法用途,因此应该试试更加严格的监管.

1900/1/1 0:00:00
币权BQEX交易所正式入驻BUNCLE区块链应用商店的公告

尊敬的币权BQEX用户:9月5日最新消息,币权BQEX和BUNCLE达成战略合作,双方将会在流量共享、生态打造等方面进行合作.

1900/1/1 0:00:00
币圈垃圾项目多跟你有什么关系?

“男人没有一个好东西!”——李莫愁金庸笔下名字最帅气的女人,李莫愁,读者都会觉得好笑。下辈子应该改名叫李莫傻.

1900/1/1 0:00:00
数字资产合约研究报告 |链塔智库

数字货币作为一种新型资产,相对于证券、商品、外汇等具有更为复杂的资产属性。同时,由于混乱的市场行为、不成熟的市场体系以及各国政府不明朗的政策态度,使得投资者对其价值的共识很难达成,因此价格非常的不稳定.

1900/1/1 0:00:00
关于COINBIG下架INVE/USDT、EDE/BTC交易对公告

COINBIG依据《COINBIG下架协议》,对目前平台内所有交易对进行全面分析后,为了提高用户的交易体验,经慎重考虑,决定下架:INVE、EDE.

1900/1/1 0:00:00