您使用的數字資產交平臺,今天遭到黑客攻擊了嗎 ?

如果還沒有,那麼您真是太幸運了。

據不完全統計,自 BTC 問世以來,黑客從交易平臺盜取的數字資產總價值已超千億人民幣。

以太坊創始人 V 神曾一度表示:中心化的交易平臺應當即刻被打入十八層地獄。

迄今爲止,但凡是中心化的交易平臺,都可以輕易操縱甚至挪用用戶的資金,並且日常遭受着黑客們的攻擊洗禮。至於近來被人們津津樂道的去中心化交易平臺呢?目前看來,恐怕暫無一家去中心化交易平臺能夠找到同時實現安全性和可用性的兩全法。

關於數字資產交易業內的前五大攻擊事件,世界各地的交易者們想必早已耳熟能詳,其中領銜主演的是位於日本東京的 Mt.Gox 交易平臺(因其讀音類似「門頭溝」,所以被稱爲「門頭溝」)。

Mt.Gox

國家 : 美國/日本
創始人:Jed McCaleb/Mark Karpeles
被盜資金 :135 萬 BTC (現值 675 億人民幣)

「門頭溝」被盜歷史:

2011 年首次遭到黑客攻擊,約 50 萬 BTC 被盜(現值 250 億人民幣)。

2014 年遭到黑客二度攻擊,這次損失更加慘重,約 85 萬 BTC 被盜(現值 425 億人民幣)。

警察局的調查人員對數字資產行業的精妙原理並不熟悉,135 萬 BTC 失竊大案,他們唯一能夠確認的只有其中 20 萬 BTC 的盜取——黑客先是入侵交易平臺審計人員的賬戶,通過攻擊交易平臺的數據庫,將用戶賬戶中每枚 BTC 的面值改爲一美分,最後轉移到黑客的私人錢包中。

至於其餘 100 多萬資產的去向,我們至今不得而知。

經此大劫,曾經如日中天的“門頭溝”交易平臺元氣耗盡,最終於 2014 年 2 月停止運營,並於同年向東京地方法院申請破產保護。

門頭溝的被盜風波直接掀起了數字資產行業的三次海嘯。

2011 年初次遇盜,BTC 市場價格從 32 美元跌到了幾美分;

2014 年二度遭劫,BTC 市場價格從 720 美元跌至 550 美元;

2018 年,在持續下跌的市場上,Mt. Gox 的破產管理人小林信明橫空拋售 35,841 枚 BTC。此舉進一步加速了 BTC 的價格下跌,也徹底激怒了蒙受欺騙的用戶,他們強烈要求:把人民的 BTC 還給人民 !

Bitstamp

國家 : 斯洛文尼亞
創始人:Merlak 兄弟
資金被盜 :1.9 萬 BTC (現值約 9.5 億人民幣)

2015 年,被黑客從 Bitstamp 交易平臺的熱錢包中偷走了 1.9 萬個 BTC。令人驚訝的是,黑客使用的竟是一種老掉牙的釣魚招數——交易平臺的員工們聲稱自己收到過看似單純友好的電子郵件和消息。

更戲劇性的是,被如此小兒科的把戲 trick 到的,居然是交易平臺的系統安全管理員盧卡。他點進了這個「友好」的鏈接,下載了包含木馬的軟件到工作的電腦上。交易平臺隨之便遭到了黑客的攻擊。

交易平臺雖然第一時間向用戶發出了緊急通知,但爲時已晚,攻擊者早已竊取了資金溜之大吉了。1.9 萬個 BTC 便從此蒸發了。當時價值約 3400 萬人民幣,如今已高達 9.5 億人民幣。

Bitstamp 痛定思痛,後續研發了多重簽名防禦系統以加強安全機制。然而,用戶的後續賠償事宜並未跟進。

Bitfinex

國家 : 英屬維爾京羣島
創始人:Rafael Nicole
資金被盜 :12 萬 BTC (現值約 60 億人民幣)

Bitfinex 在 2016 年 8 月遭到黑客攻擊。黑客發現並利用了多重簽名系統中的一個 bug,採取手段瞞過了系統算法迫使其批准交易,最終從熱錢包中提取了 12 萬個 BTC。

但黑客究竟是採用什麼手段瞞過系統算法的?黑客身份幾何?我們至今不得而知。唯一可以確定的是,當今市值 60 億人民幣的 BTC 不知所蹤了。

黑客造成的財產損失被攤到了每位用戶頭上,36% 的數字資產都遭到凍結。

但很快雨過天晴,Bitfinex 推出了自己的平臺幣 BFX,用戶被盜資金得到交易平臺幣的補償。這些平臺幣可以直接兌換美元,也可以兌換成 Bitfinex 的股票(由 Bitfinex 創始人個人捐獻)。

正是這一壯士斷腕般的決策,幫助 Bitfinex 後來在全球數以萬計的交易平臺中突出重圍,直到今天都名列前茅。

除此之外,

12 年 9 月,BitFloor 被盜價值 12 人民幣的 BTC;
18 年 2 月,Coincheck 被盜價值 35 億人民幣的 NEM;
18 年 2 月,BitGrail 被盜價值 11 億人民幣的 XRB;
18 年 6 月,Coinrail 被盜總值 2.7 億人民幣的數字資產;
18 年 6 月,Bithumb 被盜總值 2 億人民幣的數字資產;
18 年 7 月,Bancor 被盜總值 1.5 億人民幣的數字資產;

國外專家破局良策

「鎧甲」與「利刃」

隨着 BTC 價格的水漲船高,交易平臺與黑客的這場攻防戰更是到達白熱化的階段。

國外安全專家表示:對交易平臺來說,增強防禦能力的一個良策是選擇靠譜的信息安全審計師。這些審計師需經過專業驗證,具備紮實的黑客知識和白帽技能。

此舉相當於給審計這一薄弱環節裝備堅實的「鎧甲」,可以大大降低交易平臺資金落入不法分子之手的風險。目前其實已有不少數字資產交易平臺採取這樣的措施,在審計、DDoS 防禦和站點更新方面與專業承包商展開全面合作。

除此之外,金融級別的安全武器也已被投入戰場。例如隔離主錢包、提現授權分層和加密借記卡等等。將這些工具妥善應用於支付和登錄等環節,無異於給交易平臺的「安全之戰」再添利刃。

「還原密鑰」

康奈爾大學教授埃明 (Emin Gun Sirer) 是世界著名的計算機科學家、黑客研究領域專家。他曾提出過一種「還原密鑰」解決方案,讓人們在受到黑客攻擊時及時收回資金,又不會打破 BTC 轉賬的不可逆轉性。

「還原密鑰」的特別之處在於兩把鑰匙的設計:

一把鑰匙是普通密鑰,用來開啓保險庫,轉移資金;另一把是還原密鑰,原理是當用戶發現資金賬戶遭到黑客入侵併試圖轉移時,就可以利用還原密鑰來啓動恢復功能,取回所有資金。但用戶只有 24 小時的時間。另外,此方案只針對網絡黑客,不能使用此功能欺騙商家並還原真實交易。

教授埃明表示:我可以這樣說,這是一個極其巧妙的設計,渾然天成。

當然,該系統的實操性還有待進一步驗證。

傳統銀行的防盜指南

傳統銀行問世已有幾百年,全世界的罪犯們也不厭其煩地攻擊了銀行數個世紀。但道高一尺魔高一丈,在這幾百年的時間裏銀行從未鬆懈,一直保持學習防禦之道。

只不過到了 21 世紀,銀行曾經的「罪犯朋友」們,搖身一變成了各路黑客和網絡詐騙犯。不過傳統銀行也沒在怕的,始終貫徹「5.5.7」公式和國際信息安全標準,並輔之以大量內部行爲準則和應急方案。這些應急方案包含了一整套的流程,從應急系統和早期預警到反應計劃。員工們在遇到緊急情況時,可以立刻按照既定規則有條不紊地行事。

在傳統銀行業這些安全經驗是早已司空見慣,並且其安全系統早已無數次被證明足以有效抵禦黑客的攻擊。但在對於保障用戶資金安全同等重要的數字資產交易平臺,傳統銀行業這些安全經驗並未得到妥善應用。

據統計,黑客在攻擊數字資產交易平臺時,使用的犯罪工具並非什麼新奇招數,都是在傳統銀行反覆用濫了的。一項研究分析了 400 次攻擊成功的黑客案例,發現專攻交易平臺的黑客們百用不厭的木馬病毒,如 TrickBot Trojan、 Vawtrak 等等,都只是基於交易平臺特性進做了些許微調,程序基礎還是傳統銀行的那一套。

當今的數字資產交易平臺有千百種理由借鑑這些經驗,然而沒有。原因很簡單,在如今雨後春筍般冒頭的融資團隊和交易平臺的團隊中,暫無一個 IT 專傢俱有銀行信息安全領域的經驗。

來源鏈接:mp.weixin.qq.com