黑客們?nèi)绾伪I走交易平臺價值4億的數(shù)字貨幣

最近，數(shù)字貨幣交易平臺此起彼伏的被盜事件強制霸屏各家媒體頭條，其中全球排名前十的數(shù)字貨幣交易平臺幣安更是被黑客盜取7000BTC(當(dāng)時市價4000萬美元)，這一重大安全事故瞬間引起了科技媒體的注意，讓久違的數(shù)字貨幣交易平臺安全問題再次回歸大眾視野。哪些漏洞導(dǎo)致了這些交易平臺被盜呢?又有誰能保證用戶的資產(chǎn)安全呢?

交易平臺被盜事故復(fù)盤

2019年至今數(shù)字貨幣交易平臺官方公布被盜的共有8家，只有3家對用戶進行了官方賠付，1家為平臺自有資產(chǎn)。其中安全問題突出的Cryptopia一個月內(nèi)被盜2次，現(xiàn)正處于維護狀態(tài)。

平臺被盜原因有交易平臺官方錢包遭侵入、hard_fail、驗證碼劫持、私鑰被盜、多種攻擊手段混合等，歸根結(jié)底被盜交易平臺的原因主要分為2大類。一類是平臺自身的技術(shù)風(fēng)控防御系統(tǒng)缺陷，黑客利用安全漏洞入侵平臺偷盜數(shù)字貨幣;另一類是平臺內(nèi)部制度缺位問題，造成用戶個人信息被竊取，特別惡劣情況下，甚至出現(xiàn)泄露買賣個人信息現(xiàn)象。

平臺風(fēng)控防御系統(tǒng)缺陷

數(shù)字貨幣交易平臺技術(shù)風(fēng)控系統(tǒng)缺陷，主要是沒有進行安全攻防測試，以及沒有布署安全防御系統(tǒng)。沒有進行安全測試的數(shù)字貨幣交易平臺比如像Mercatox，黑客就利用hard_fail轉(zhuǎn)賬交易獲得平臺服務(wù)器“信任”，不難看出平臺方的技術(shù)審核測試能力不足，才會導(dǎo)致發(fā)生此類低級安全事故。如果平臺在合約上線前尋求第三方機構(gòu)做好安全檢測，數(shù)千枚EOS也不至于被盜。當(dāng)然安全測試存在缺陷的交易平臺只是極少數(shù)，不過這一環(huán)節(jié)還需加強重視。

大部分交易平臺主要在風(fēng)控防御系統(tǒng)部署上存在不足，比如幣BiKi、幣安等。BiKi事后官方公告中就指出，黑客通過劫持用戶第三方服務(wù)商驗證碼短信，從而攻擊部分沒有綁定谷歌驗證碼的用戶。這里就暴露其自身風(fēng)控系統(tǒng)存在問題，一是忽視單一驗證用戶被劫持情況，二是沒有對修改登錄和交易密碼的賬戶進行一定時間段的提現(xiàn)和交易限制，三是沒有樹立用戶安全防范意識。所幸的是BiKi當(dāng)時沒有對這些提現(xiàn)審批完成，不然損失將進一步擴大。

數(shù)字貨幣交易平臺與互聯(lián)網(wǎng)金融企業(yè)相比風(fēng)控防御系統(tǒng)存在不足。以幣安為例，雖然幣安使用SAFU基金承擔(dān)本次事故全部損失避免了用戶的損失，但是這種賠付并不完善，無法應(yīng)對更大范圍的安全事故賠付，此次事故發(fā)生的主要原因是風(fēng)控防御系統(tǒng)存在不足。首先幣安應(yīng)對大規(guī)模系統(tǒng)性攻擊防御能力不足，黑客如何獲取大量用戶API密鑰谷歌驗證碼的呢?大量用戶密鑰被獲取非一日之功，如果黑客是網(wǎng)站釣魚獲取用戶賬號、密碼等資料，幣安為何早前沒有發(fā)現(xiàn)仿冒幣安的網(wǎng)站URL地址以及頁面內(nèi)容，還是說沒有發(fā)現(xiàn)黑客利用幣安官方網(wǎng)站服務(wù)器程序上的漏洞在站點的某些網(wǎng)頁中插入危險的HTML代碼呢?此外疊加病毒等其他攻擊手段的復(fù)合型攻擊防御技術(shù)手段不足。

其次幣安的風(fēng)控存在重大問題。被盜的7000 BTC雖然只占幣安官方公布總持有量BTC的2% ，但這并不能掩蓋幣安平臺在提現(xiàn)審批轉(zhuǎn)賬上的風(fēng)控問題。

內(nèi)部制度缺位問題

此前在《IPO前后大轉(zhuǎn)變，交易所為何尋求“合規(guī)”》一文中指出，數(shù)字貨幣交易平臺擁有多重身份。Bithumb平臺被盜更反映出在多重身份之下，內(nèi)部制度上存在職能缺位問題。Bithumb平臺官方表示此次異常出金事件不是因為遭受外部的攻擊，初步認定為內(nèi)部員工盜用保管數(shù)字貨幣的“私鑰”。這種情況反映出Bithumb平臺內(nèi)部職能崗位集中過多權(quán)力，內(nèi)部沒有進行必要的職能分解，建立必要的監(jiān)管制衡制度，才會導(dǎo)致內(nèi)部員工利用掌握的完整“私鑰”轉(zhuǎn)移數(shù)字貨幣資產(chǎn)，發(fā)生監(jiān)守自盜行為的行為。

這并不是數(shù)字貨幣交易平臺權(quán)力過于集中的孤例，加拿大數(shù)字貨幣交易平臺QuadrigaCX就因創(chuàng)始人杰拉爾德·科頓去世，欠下客戶1.9億美元，大部分資金已無法訪問，最終破產(chǎn)，這都是數(shù)字貨幣交易平臺職能崗位權(quán)力過于集中給平臺和用戶帶來的傷害。

另一方面也可以看出Bithumb內(nèi)部責(zé)任制度缺失，未防止不負責(zé)任的員工或離職員工利用職務(wù)工作所需獲取的資料危害平臺。應(yīng)對內(nèi)部人員獲取使用內(nèi)部資料進行申請審核授權(quán)并登記備份，誰濫用內(nèi)部資料危害平臺，誰就要為這種行為的后果承擔(dān)責(zé)任。

個人應(yīng)如何防范賬戶密碼被竊取

除了數(shù)字貨幣交易平臺需要提升風(fēng)控防御系統(tǒng)和改善內(nèi)部制度以外，個人投資者又應(yīng)該如何防范賬戶密碼被竊取，甚至導(dǎo)致數(shù)字資產(chǎn)損失呢?就這一問題，RatingToken安全技術(shù)人員指出個人投資者需要密切注意以下6點：

1.在登錄銀行、交易所、錢包等網(wǎng)站時，一律使用帶https開頭的安全鏈接;

2.手機、電腦、硬件錢包等聯(lián)網(wǎng)設(shè)備不隨意使用第三方不明Wifi;

3.前提許可的情況下，必須安裝防護殺毒軟件，拒絕“裸奔”;

4. 網(wǎng)頁、APP出現(xiàn)異常情況時，及時確認和終止重大操作;

5. 不打開來路不明的插件、郵件、鏈接;

6. 大額數(shù)字貨幣資產(chǎn)盡量轉(zhuǎn)到知名可靠的冷錢包。【責(zé)任編輯/江小白】

(原標題：黑客們?nèi)绾伪I走交易平臺價值4億的數(shù)字貨幣)

來源：區(qū)塊鏈酋長+

IT時代網(wǎng)(關(guān)注微信公眾號ITtime2000，定時推送，互動有福利驚喜)所有原創(chuàng)文章版權(quán)所有，未經(jīng)授權(quán)，轉(zhuǎn)載必究。
創(chuàng)客100創(chuàng)投基金成立于2015年，直通硅谷，專注于TMT領(lǐng)域早期項目投資。LP均來自政府、互聯(lián)網(wǎng)IT、傳媒知名企業(yè)和個人。創(chuàng)客100創(chuàng)投基金對IT、通信、互聯(lián)網(wǎng)、IP等有著自己獨特眼光和豐富的資源。決策快、投資快是創(chuàng)客100基金最顯著的特點。

相關(guān)文章

人民日報：全球央行數(shù)字貨幣研發(fā)駛?cè)肟燔嚨?/a>

【萬相】那些折戟數(shù)字貨幣的大佬和明星公司

四大行深圳分行：部分員工已收到數(shù)字貨幣邀請碼參與內(nèi)測

央行數(shù)字貨幣跨境支付如何實現(xiàn)？會遇到哪些難題？