9月2日,BITKER交易所的用戶群里傳來一條消息:
BITKER交易所于2019年5月28日不幸遭遇黑客攻擊,盡管我們進行了長達3個月的補救工作,但很遺憾最終未能改變現狀。由于資不抵債,我們決定關閉交易所。
投資不易,且行且珍惜。
公開資料顯示,BITKER于2017年12月成立于新加坡,專注于打造“一站式數字資產交易所”,其在非小號的綜合排名最高到達11名,今年5月遭遇黑客攻擊停運,BITKER的記錄最終停止在了9月3日。
誠然,交易所作為加密貨幣領域的基礎設施,自誕生以來便是兵家必爭之地,但同時也是常受黑客光顧的領地之一。根據BCSEC數據顯示,從2011年到現在統計的易受攻擊點被攻擊次數中,交易平臺排在第2位。
2019年已有13家交易所被攻擊
悉數歷史上的各大交易所,在被黑客攻擊之后,他們都做了什么?后來又怎么樣了?面對這些看不見的對手、邪惡的幽靈,交易所究竟是坐以待斃還是主動出擊?
破產倒閉
說起破產倒閉的交易所,最著名的當然還是Mt.Gox。
2014年2月7日,當時規模最大的交易所Mt.Gox發布公告稱“系統出現漏洞,不解決這個漏洞的話,交易細節可能會被篡改,比如,在沒有比特幣轉賬的情況下,系統中可能會顯示用戶將比特幣轉入可電子錢包。”
同年2月24日,Mt.Gox宣布暫停所有交易活動,當時訪問Mt.Gox網站只留下一個空白頁面。
分析:CryptoCore團伙或是2018年攻擊加密交易所的幕后黑手:以色列網絡安全公司ClearSky在周三發布的一份報告中稱,一群神秘的網絡犯罪分子可能是2018年攻擊各種加密交易所(包括去中心化交易機)的幕后黑手。ClearSky的報告稱,這個名為“CryptoCore”的網絡犯罪團伙在兩年內斂財超過2億美元,該團伙與東歐地區,特別是烏克蘭、俄羅斯或羅馬尼亞有聯系。ClearSky聯合創始人Boaz Dolev說,他的公司在過去兩年中發現了至少五起黑客攻擊交易所的事件,這些攻擊都遵循一種特定的模式,不過他拒絕透露這些交易所的身份。(Coindesk)[2020/6/24]
不過,根據當時網絡上流傳的一份文件顯示,Mt.Gox被黑客盜取了744408枚比特幣,這一損失多年來都未被發現。此外,除了這近75萬枚比特幣之外,平臺自身的10萬枚比特幣亦被盜,合計丟失了將近85萬枚比特幣。按當時的幣價,這波損失約在4.7億美元左右。之后,2月28日Mt.Gox無奈申請了破產。
從出現問題到倒閉,Mt.Gox只堅持了21天。時至今日,法院還在對其進行破產清算,并最終決定對客戶的賠償措施。
除了Mt.Gox之外,還有許多因為黑客攻擊而受到毀滅性打擊的交易所。BitFloor便是其中之一。
BitFloor自2011年開始運營,在當時可以算得上是全球第四大美元交易所。2012年9月4日,BitFloor的運營商報告了安全漏洞,2.4萬枚比特幣被盜。次年4月,其創始人決定關閉BitFloor,并向客戶退還存款。
報告:2019年,英國區塊鏈創企股權融資金額達1.68億英鎊:根據MMC Ventures發布的一份報告,自2008年以來,英國新成立了2700家區塊鏈公司,但其中只有9%是股權融資。在2018年初之前,ICO一直是區塊鏈公司的主要融資來源。自2018年初加密市場崩盤以來,ICO的融資模式變得越來越困難,各公司正重新轉向股票融資,更加強調公司的基本面。
該報告顯示,在2017年1月至2019年12月期間,英國區塊鏈公司通過ICO籌集了12億英鎊,相比之下,股權融資為5.25億英鎊。盡管ICO泡沫破裂,但這個生態系統正在成熟,投資者已經開始關注。自2017年以來,英國區塊鏈創業公司獲得了超過85%的股權融資。2019年,初創公司吸引了1.68億英鎊的股權融資。
報告還強調了英美生態系統中股權投資初創企業之間有趣的資本動態。與美國相比,英國的生態系統仍然不夠成熟,種子輪和種子前融資的區塊鏈公司比例更高。超過60%的英國區塊鏈公司籌集的資金不足200萬美元,英國區塊鏈企業的數量比美國少5倍,但股權投資則低10倍。此外,金融服務仍然是英國獲股權投資的區塊鏈公司的核心業務,10個B2B公司中有6個是專注于金融領域的初創企業。(Finsmes)[2020/4/30]
與之類似的還有Bitcoinica、Vircurex,以及文章開頭提到的BITKER。
苦盡甘來
除了那些因遭受攻擊而黯然消失的交易所,還有很多交易所雖然遭受了黑客攻擊被盜幣,但是并沒有走上破產之路,而是頑強地生存了下來。
聲音 | BK資本創始人Brian Kelly:2019年是比特幣地位發生轉折的一年:據The Daily Hodl消息,BK資本創始人兼首席執行官Brian Kelly稱,2019年是比特幣在世界金融舞臺上的地位發生轉折的一年。他表示,一種新型交易正在興起。Kelly說:“每次有人問我比特幣是否像宏觀資產一樣被交易,我都說不。直到今年。我們今年看到的是宏觀基金。傳統投資者將比特幣作為黃金的替代品或補充進行交易,并將其作為一種宏觀對沖工具。” Kelly拒絕稱BTC為避險天堂,因其波動性是標準普爾500指數的五倍。但他同時表示“如果把它當作數字黃金來使用,人們就會認為它是一種‘安全港’”。[2019/8/9]
這里最典型的是Bitfinex。
2016年8月,最大的比特幣交易所之一Bitfinex被黑客避開了多重簽名之后盜走了119756個比特幣。這是繼Mt.Gox熱錢包被盜后發生的第二大交易所被盜事件。諷刺的是,Bitfinex進行軟件升級本是為了提高安全,卻沒想到軟件內含有漏洞。
時至今日,沒人清楚黑客是如何避開多個簽名盜走比特幣的,最主流的解釋是Bitfinex服務器安裝了不合適的軟件。Bitfinex當初使用的是BitGo提供的多簽交易軟件。
不過這件事情中,最受爭議的是Bitfinex在被盜之后的處理方案——平臺被盜損失必須先平攤到所有用戶賬戶,即每個在Bitfinex擁有賬戶的用戶將會被扣除36.067%資金,而不管這個賬戶的比特幣是否受到損失。同時,Bitfinex會給每位受損用戶相應數量的BFX代幣,每個代幣能代替1美元,未來可向Bitfinex全額贖回損失款項,也可選擇交換Bitfinex母公司iFinex的股票。
聲音 | Messari首席執行官:目前加密市場情況與2016年相似:據bitcoinexchangeguide報道,加密行業分析機構Messari首席執行官Ryan Selkis表示,目前的市場情況與比特幣大漲至2萬美元之前的2016年相似,比特幣的基本面顯示其將再次上漲。同時他也談到了看好比特幣市場的三個原因。首先,他仍然捍衛比特幣將成為數字黃金的想法。第二,機構投資者開始深入加密市場。第三是實現價值指標。隨著新挖出的比特幣進入市場,改變市場供應量,也會對行業產生重要作用。[2019/4/4]
盡管這個決定在當時受到了用戶的強烈反對,但是通過代幣進行股權融資,并使用營業額按月賠償客戶后逐步彌補虧空的Bitfinex,最終熬了過來。
類似的還有新加坡交易平臺Bitrue。據Bitrue官方推特發文,在6月27日凌晨1點左右,一名黑客利用了其風險管控團隊在對平臺系統進行第二次核查時的漏洞,侵入了近90個Bitrue用戶的資金賬戶,共損失價值約420萬美元的瑞波幣和艾達幣。
比較有意思的是,作為國人運營的交易平臺Bitrue在之前并不被中國地區的用戶所熟知,而是在北美、歐洲等地區擁有大量忠實、高端的用戶。被盜事件發生后的一周,Bitrue進行安全整頓升級并對受害者提供賠償。因禍得福,Bitrue依靠過往的口碑以及處理該事件的態度促使它開始進入國人視線。
安全一再升級
所謂“樹大招風”,一些頭部交易所也因此成為黑客攻擊的重點對象。
現場 | Jason Hsu:2019年將會成為加密貨幣之年:金色財經11月14日現場報道,亞洲區塊鏈風險投資公司Sora Ventures舉辦的區塊鏈峰會Sora Summit 14日在澳門舉辦。來自臺灣的“數字貨幣議員” Jason Hsu在會上表示,在全球范圍內,美國SEC對數字貨幣監管頗嚴,日本監管機構最初對數字貨幣持擁抱態度,但在過去12個月,日本經歷了兩次大型黑客竊取事件,隨后監管收緊。臺灣目前也在探索數字金融、數字貨幣。他認為,2019年美國SEC將會放松對加密貨幣的監管,2019年會成為加密貨幣之年。[2018/11/14]
今年5月8日,全球頭部加密貨幣交易平臺Binance幣安被盜7074枚比特幣,按實時幣價估算,損失超過4100萬美元。根據區塊鏈數據和安全服務商PeckShield的分析,此次事件的攻擊手法是黑客通過釣魚等方式搜集幣安用戶賬號信息,然后采用71個賬號并發API提幣操作于塊高度575013處實施了攻擊。事后Binance幣安立刻宣布全額賠償用戶損失,并對相關的安全措施、程序和操作進行重大完善。
事實上,這并不是幣安第一次被黑客攻擊。
2018年3月,黑客通過非法入侵幣安用戶的賬戶,將用戶各種各樣的代幣即時幣幣交易換成比特幣,將加密貨幣全部幣幣交易換成BTC,數量達1萬個BTC以上。黑客使用API交易機器人用這些BTC大量買入VIA幣,VIA的價格直接被拉高了100倍以上,然后拋售來控制幣價。
同年7月,幣安第2次遭遇黑客攻擊,攻擊方式類似第一次。慶幸的是,這兩次攻擊事件沒有給幣安及其用戶帶來實質性的損失。
除幣安之外,韓國最大的交易所Bithumb近年來也頗受黑客“青睞”,2017年6月、2018年6月和2019年3月都曾被盜幣,損失慘重。
邪惡的幽靈:交易所是坐以待斃還是主動出擊?
細數過往被黑客攻擊過的交易所,他們被攻擊的形式和原因各不相同。面對這些看不見的對手、邪惡的幽靈,交易所究竟是坐以待斃還是主動出擊?
OKEx認為,黑客攻擊主要來源有兩個方面,一方面是針對外部的網絡和服務的攻擊,另一方面是針對內部員工的apt攻擊等。
針對外部的網絡和服務的攻擊:
針對外部攻擊,首先要規劃好網絡環境,做好隔離,防止因為一臺機器被攻擊,導致交易所被一鍋端。同時以攻擊面最小化原則,嚴格控制對外開放的IP、端口和服務等。有能力的交易所還是要定期請專業的安全公司,做好代碼審計和滲透測試,及時發現、修復安全漏洞,避免漏洞被黑客發現并利用。
其次要做好業務安全,對用戶身份進行嚴格的校驗,注重用戶隱私保護,防止用戶因信息泄漏,被欺詐等。還要依托內外部的力量,及時發現像釣魚網站、資金對敲等攻擊行為,及時封禁止損。
針對內部員工的apt攻擊防范:
如果是對內部員工的apt攻擊,則需要從客戶端安全,網絡劃分,安全意識,權限管理,管理制度等多個層面進行防御:對員工進行信息安全教育,減小員工被釣魚,社工手段騙取賬號,權限等的幾率,減少員工信息泄漏的風險。員工辦公電腦安裝必要的防病軟件,防止員工電腦被掛馬,勒索等。公司內網做好網絡劃分和隔離,防止員工電腦被黑客控制后進行橫向移動,可以有效控制被攻擊范圍。公司辦公網接入,vpn等使用雙因素認證等,防止用戶賬號泄漏導致黑客直接撥入辦公網。
內網重要的服務器要做好隔離,登錄雙因素,權限控制等,賬號權限回收等,防止因為權限過高導致的信息泄漏。
同時各項審計和監控也要做好,對日志進行集中存放,處理,告警等,以方便事后進行排查,確認被攻擊情況。
BHEX創始人&CEO巨建華對金色財經表示,
交易所的安全是一個非常復雜的問題,因為加密資產匿名性導致損失的資產不可追回,所以交易所的安全風險要遠超過一般互聯網公司和傳統金融公司。大的方面來說,交易所安全問題主要分為技術和業務兩方面,技術方面的安全問題,主是區塊鏈錢包安全、軟件系統安全、服務器網絡安全這三方面;業務方面的安全問題,則主要是業務過程安全和內部治理安全。
目前一般中心化交易所保障安全的方式,還是通過完善業務風控系統,通過冷熱分離、三方多簽等技術來實現加密資產的安全保障。
一般中心化交易所發現被攻擊,多數會停止提幣核查損失,并通過損失的規模來制定來應對方式,如果已經發生的資產損失過大導致交易所無法繼續運行業務,一般都會走破產清算程序。比如兩大知名交易所Mt.Gox和Bitfinex應對風險的方式就完全不同:Mt.Gox因為損失過大,只能通過走日本法院的破產清算程序實現退出;而Bitfinex則是在發生大額被盜后,還能保持營運,采用了債轉股的方式,將用戶的損失轉為了交易所的股權來實現了賠償。其他出現安全問題的交易所就沒這么幸運了,多數出現安全問題的交易所都默默消失在了市場上,用戶的損失永遠無法得到賠償。
交易所安全還有一個很大的問題,就是當出現安全風險和資產后,交易所無法自證清白,不能證明這些資產是真實被盜還是監守自盜,這對交易所的管理和運營方提出了非常大的挑戰。
目前看來,完全去中心化的交易所,將能有效緩解交易所安全技術和業務方面問題,但是易用性和成本的問題將會導致去中心化交易所的用戶規模會長期低于中心化交易所。
計算機行業的安全問題,是從計算機誕生以來就一直伴隨的問題,任何技術防范,都只能減少安全風險發生的可能性,但是無法保證絕對的安全,有效的風險控制措施才是正確的應對之道,當發生安全問題后,能將問題控制在可接受的范圍內,是目前交易所安全方面最正確的做法。
降維安全實驗室給出了更為具體的技術層面的防御措施:
1、使用國際大廠的DDoS防御及CDN分發服務,譬如Cloudflare
使用Keyless服務,保護好自己的私鑰,避免服務提供商竊取敏感數據
隱藏好真實ip地址,避免繞過CDN進行攻擊
2、網站上線前或重大改版后,找專業公司進行滲透測試
3、使用“寬進嚴出“規則,提現進行嚴格審核
4、服務器接入第三方waf服務和其他安全加固服務,防御常見攻擊方式
5、使用“陷阱防御”系統,在黑客攻擊路徑上埋陷阱,及時發現黑客,譬如“面壁人”
6、進行內外網隔離
此外,降維安全實驗室還列出了除黑客攻擊之外的交易所安全風險,如圖:
降維安全實驗室方面表示,要做好多重安全防護以此減輕風險:
1、第一重防護:平臺安全防護。業務上線前必須通過安全測試、內部滲透測試
2、第二重防護:賬戶安全防護。
賬戶安全檢測:防止賬戶被暴力破解;
雙重認證及預警機制,保障用戶資金安全;
大額提幣實行人工審核。
3、第三重防護:錢包安全防護,做好冷熱錢包隔離,保護好冷錢包資產。
4、第四重防護:加強源頭管控,員工接受安全培訓。
結語:
未雨綢繆也好,主動出擊也罷,活下去。畢竟,只有活下去,才能見證未來盛世。
Tags:BIT比特幣ITFNEXbitkeep挖礦教程比特幣美元華爾街見聞bitflyer交易所官網Nexus Dubai
一文讀懂分布式系統究竟是什么,掌握討論區塊鏈的正確姿勢。撰文:李畫致謝:GenaroCTO吳為龍區塊鏈是一種分布式系統。不了解分布式系統的工作原理,很難真正理解區塊鏈.
1900/1/1 0:00:00FunTwitter? 每日最新大咖觀點,看我就夠了!2019/09/10?期本期作者:三月既望公眾號:野花說 01 1.25億美金保單護航、梅隆銀行提供存儲.
1900/1/1 0:00:00主要加密貨幣交易所幣安上周推出的期貨平臺已完成測試,即將正式上線。幣安首席執行官趙長鵬今日發布推特稱,幣安期貨測試平臺昨日完成測試,團隊正在忙于部署產品環境。他表示,該產品即將正式上線.
1900/1/1 0:00:00雷電服務的引入旨在通過以下方式提升雷電網絡的整體用戶體驗:a)在網絡中尋找較短或成本較低的資金傳輸路徑b)通過監視開放的支付通道,讓用戶能夠安全地進入離線狀態目前.
1900/1/1 0:00:00美國前民主黨眾議員、曾任職于眾議院金融服務委員會的HaroldFord在CNBC撰文稱,加密行業及數十種數字資產相關的應用是美國經濟創新的下一個源泉.
1900/1/1 0:00:00文章系金色財經專欄作者供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.
1900/1/1 0:00:00