黑客從 KuCoin 交易所轉移數千萬美元 USDT 和 BTC,行業聯動堵截下黑客轉移和變現成本劇增。

原文標題:《庫幣安全事件回顧:行業聯動堵截反黑,黑客或竹籃打水一場空?》
撰文:北京鏈安

北京時間 9 月 26 日凌晨,著名交易所庫幣(KuCoin)發生盜幣事件,從比特幣到 ERC20 USDT 以及其它 ERC20 標準代幣,甚至 EOS USDT 都遭受了損失。事發後,庫幣也以公開的態度及時通報了這起事件,庫幣國際 CEO Johnny 也通過直播的方式通報了整個事件的來龍去脈和最新進展。就目前情況看,整個事態正向着可控的方向發展,而北京鏈安也參與了對相關資產的流向分析和追蹤,接下來就讓我們對這起事件做一個階段性的回顧。

發生了什麼?

庫幣視角

庫幣 CEO Johnny 表示,2020 年 9 月 26 日 02:51 分,庫幣團隊收到第一次風控系統報警,發現了一個反常的 ETH 轉賬記錄,轉賬目標地址爲:0xeb31973e0febf3e3d7058234a5ebbae1ab4b8c23,接着多起異常交易發生,庫幣隨即啓動應對機制。

ChainsMap 鏈上視角

北京鏈安:鏈上數據拆解涉及千萬美元的 KuCoin 盜幣事件

如今,如果你打開著名的以太坊區塊瀏覽器 Etherscan,0xeb31973e0febf3e3d7058234a5ebbae1ab4b8c23 已經被標記爲盜竊標記。

Etherscan 會根據相關 Token 動態價格計算地址上的代幣資產總值,因此,目前主流外媒基於鏈上轉賬記錄數據,大多報道稱庫幣此次有 1.5 億美金被轉出。經庫幣團隊確認,在黑客大規模轉出庫幣資產的同時,庫幣錢包團隊也在轉出資產「避險」,如已被 Tether 和 Bitfinex 凍結的 3500 萬 USDT,其中有 1300 萬爲庫幣錢包團隊轉出,2200 萬爲黑客轉出。

據此,庫幣也一直未公佈實際的涉案金額,庫幣 CEO Johnny 也表示,由於很多受影響的代幣爲 ERC-20 代幣,他們的價值評估工作仍在進行中,庫幣將在確認後公佈具體的代幣和金額。

北京鏈安:鏈上數據拆解涉及千萬美元的 KuCoin 盜幣事件

從交易記錄來看,該地址首筆入賬交易發生於北京時間 9 月 26 日 02:49:18,該交易即竊取了超過 1388 萬枚 ERC20 USDT。

北京鏈安:鏈上數據拆解涉及千萬美元的 KuCoin 盜幣事件

而本其事件另一特點在於,除了主流的 ERC20 USDT 之外,它大批量的盜取了庫幣熱錢包的各類代幣。同時,從行爲模式來看,黑客很可能採取了一種代碼遍歷盜幣的方式,對各類代幣不做餘額驗證,輪詢發出轉移指令,於是,我們可以看到一些轉賬金額爲 0 的代幣轉賬,只是消耗了一些 GAS,這對於黑客來說也確實是一種更加「高效」的轉移方式。

在比特幣方面,通過北京鏈安的 ChainsMap 檢測系統分析,9 月 26 日 03:05:37,庫幣熱錢包連續向一個地址連續轉賬,總額達 1008 BTC,同時還轉入了 999160 OMNI USDT。

庫幣的應對

庫幣視角

庫幣 CEO Johnny 表示,庫幣技術人員事發後即成立應急小組,建立緊急溝通羣,開始排查和摸索現在系統當中的一些行爲邏輯。

同時,庫幣運維人員緊急關閉錢包服務器,並開始轉移熱錢包的存量資金到冷錢包,而相關的交易所充提業務也暫停。

對於用戶,庫幣發佈了相關公告,鄭重表示,若有用戶在此次事件中遭受損失,全部將由庫幣及其保險基金一力承擔。

ChainsMap 鏈上視角

北京鏈安:鏈上數據拆解涉及千萬美元的 KuCoin 盜幣事件

從庫幣 ERC20 USDT 來看,在 9 月 26 日 06:28 之後就基本暫停,其比特幣相關交易則在當日凌晨 4:34 之後便不再有向熱錢包的用戶轉賬歸集,

北京鏈安:鏈上數據拆解涉及千萬美元的 KuCoin 盜幣事件

同時,我們也可以看到庫幣網緊急將其受攻擊熱錢包中的其它代幣進行了轉移,從事發後措施來看,庫幣在這些環節反應還是比較迅速和到位的。

鏈上堵截:行業聯動,黑客或竹籃打水一場空

庫幣視角

庫幣 CEO Johnny 表示,庫幣目前已經與包括火幣、幣安、OKex、Bybit、Bitmax 等全球主流交易平臺、項目方、安全機構以及警方取得聯繫,已經採取了一部分有效措施,正在全力的追捕這些資產。

ChainsMap 鏈上視角

北京鏈安得知此事後,很快開啓了相關資產的監控以及與庫幣的聯動配合機制,很快便發行了一批 ERC20 USDT 的動向。

北京鏈安:鏈上數據拆解涉及千萬美元的 KuCoin 盜幣事件

可以看到黑客建立了一個獨立地址,先進行了 1USDT 的轉賬測試,接着直接打入 5 萬 USDT,這樣的交易組進行了兩次分別達到兩個地址,此後,黑客又將這兩個地址中的 USDT 部分打入到入 0xdf0921 開頭地址,相關 USDT 開始進一步分散轉賬,有 11000 枚 USDT 流入到抹茶交易所。對此,我們也將相關信息及時向相關交易所同步,並進行通告,抹茶也很快做了相關賬戶的凍結。

與此同時,庫幣 CEO Johnny 在直播中沒有提及的一點是,庫幣顯然與 USDT 發行方泰達進行了聯繫。而泰達也給予了積極響應,通過智能合約直接將相關 USDT 進行鏈上凍結,與此同時,Bitfinex 也宣佈凍結了被盜的 EOS USDT。

從目前來看,被盜的其餘 ERC20 代幣和比特幣暫未有所動作,在行業的圍追堵截之下,黑客要想完全將這筆資產進行充分的轉移和變現將難度和成本極大。

事實上,就在北京時間 9 月 26 日 21:18:35,黑客再度試圖轉移 USDT 資產

北京鏈安:鏈上數據拆解涉及千萬美元的 KuCoin 盜幣事件

顯然,這筆被凍結的資產的轉移已經被阻止,不知此時的黑客心中是何感想?

餘波:交易所該如何應對資產安全

庫幣安全事件已經過去超過 24 小時,圍繞事件本身的喧囂也漸漸散去

北京鏈安:鏈上數據拆解涉及千萬美元的 KuCoin 盜幣事件

和往常一樣,作爲今天的知名地址,黑客轉移資產的地址已經成爲一個塗鴉板和廣告牌,一些怪異的 Token 被轉入這個地址進行展示和調侃,這也算這個行業一個黑色幽默般的現象。

當然,更加嚴肅的問題還留待我們繼續思考,關於庫幣相關安全事件發生的原因,還需庫幣進一步調查和對外公佈。但是,對於任何交易所來說,做好內部風控防範道德風險,做好不同業務網絡間的隔離,以及落實多籤機制都是最基本的,卻需要紮實執行的安全措施。

同時,庫幣安全事件也體現出,除了防患於未然之外,當安全事件發生後,合理的應對也將有效減少損失。從這個角度來看,庫幣在這起事件中還是有可圈可點之處,如相對快速的發現問題並緊急保護現有資產,及時發動行業進行聯防,特別是抓住關鍵環節儘可能阻止關鍵資產的進一步轉移。當然,很關鍵的一點還有公開,庫幣及時公開遭受攻擊的信息,並由 CEO 通過直播方式傳達信息,還是和有效的達到了溝通的效果,這些做法或許都值得其他交易所放入自己的預案策略之中。

來源鏈接:mp.weixin.qq.com