文 | 棘輪 比薩
今日早間,回暖月餘的幣市迎來了一個壞消息:幣安官方發佈公告稱,由於黑客攻擊,平臺超過7000枚比特幣被盜,損失超4000萬美元。
儘管幣安宣佈將動用平臺基金彌補用戶損失,但市場仍然在短期給出了悲觀迴應。BNB半小時跌幅超10%,比特幣等主流幣種出現普跌。
有分析師指出,幣安本次爆出的黑天鵝事件,對普通投資者影響有限,卻可能令Bitfinex的IEO陷入困境。
在此之外,層出不窮的交易所被盜事件,讓越來越多的投資者開始期盼去中心化交易所的到來。交易所的未來格局,仍存變數。
01 幣安被盜
歷史重演,數字貨幣交易所幣安再遭黑客洗劫。
5月8日早間,幣安發佈公告稱,平臺於今日凌晨發現了一個大規模的系統性攻擊行為,幣安熱錢包被盜走7000枚比特幣,價值約4000萬美元。
幣安公告顯示,黑客以網絡釣魚、病毒等複合型攻擊手段,獲取了大量用戶的API密鑰及谷歌驗證碼等信息。藉此,黑客完成了攻擊行為。被盜走的7000枚比特幣,佔幣安全部比特幣持有量的2%。
“目前看來,幣安熱錢包被盜的7074枚BTC,暫時被黑客分散存儲於20個主要地址,尚未進一步擴散。”區塊鏈安全公司PeckShield的硅谷研發中心負責人Jeff告訴一本區塊鏈。
這意味著,黑客尚未完成變現。而被盜事件發生後,幣安宣佈將使用平臺的“SAFU基金”,支付全部被盜損失——用戶並不存在任何損失。與此同時,幣安宣佈,平臺在一週內將暫停充幣提幣。
而幣安的平臺幣BNB還是應聲大跌。消息爆出後的半小時內,BNB價格跌幅達到了10.6%。
今日早間,BNB短時內大幅下挫
因為此次黑客事件,比特幣價格也受到明顯影響。
根據CoinMarketCap數據顯示,從北京時間今日早間7時34分起,BTC價格開始出現明顯下跌趨勢——一小時內,由5954.54美元跌至5795.01美元,跌幅近3%。
除比特幣之外,其他主流數字貨幣價格,也均出現了不同程度的下跌。
事實上,幣安本次遭遇的盜幣事件,不是數字貨幣交易所歷史上的第一起,更不會是最後一起。
2018年7月4日,同樣是在北京時間早間時分,幣安也曾發佈公告稱,因出現異常交易,平臺將開啟臨時維護。
此後有消息稱,幣安遭遇黑客攻擊,交易所錢包地址在兩小時內出現了超過7000BTC的超大額提現。隨後,幣安針對異常交易進行了回滾操作,但否認了平臺遭遇黑客盜幣的傳聞。
“其實,幣圈幾乎所有的交易所,都曾遭遇過盜幣。”交易所從業者毛普指出,“這在行業內是一件心照不宣的事情,因為任何交易所都做不到萬無一失。”
2014年,全球最大的比特幣交易所Mt.Gox遭遇黑客盜幣攻擊,65萬枚比特幣被盜,該交易所也因此破產。直至今日,仍然有投資者在為此維權。
今年3月,龍網(DragonEx)交易所發佈公告稱遭遇黑客入侵,將暫停交易、充提等全部基礎服務。去中心化漏洞平臺DVP的分析數據顯示,在這起被盜事件中,龍網損失的資產在500萬美元以上。
不僅僅是交易所,幾乎所有涉及數字貨幣業務的區塊鏈企業,都飽受黑客盜幣困擾。
礦機企業比特大陸去年發佈的IPO招股書顯示,該公司曾在2017年遭遇黑客攻擊,價值2700萬美元的數字貨幣因此丟失。
在匿名、去中心化、缺乏監管的數字貨幣世界,來無影去無蹤的黑客,一直是所有區塊鏈企業最大的敵人之一。
02 原因
即便早已成為行業內的頭部交易所,幣安仍然無法擺脫黑客入侵的噩夢。如何避免黑客盜幣,也成為了所有區塊鏈從業者思考的問題。
根據幣安發佈的公告,許多區塊鏈安全從業者指出,此次事件中的黑客,可能並未竊取到幣安的錢包私鑰,而只是獲得了提幣權限。
“黑客應該是通過‘釣魚’手段,獲取幣安用戶信息的。”Jeff對一本區塊鏈表示。
所謂“釣魚”,指的是黑客通過某種方式,誘導用戶洩露自己的個人信息。
其中最常見的手段,是假冒交易所官方向用戶發送欺騙郵件,讓後者打開偽造的交易所鏈接,並誘導用戶在釣魚網站上填寫賬戶、密碼等敏感信息。
此外,黑客也可以誘導用戶下載包含木馬、病毒的文件,以盜取用戶信息。
“其實,用戶只要避免點擊陌生鏈接,不隨意下載陌生文件,認準官方網站,就可以防範黑客釣魚。”Jeff表示。
但許多黑客的釣魚行動,仍然令人防不勝防。不止普通用戶,即便是交易所的內部員工,也曾被黑客“成功釣魚”。
今年3月的龍網被盜事件發生後,區塊鏈安全企業降維安全實驗室發現,龍網某客服人員在平臺被黑前,曾在陌生人處獲得了一份程序安裝包。而該程序存在捆綁後門——黑客可憑藉後門,獲取內部員工權限,並以此滲透內網,獲取龍網的錢包私鑰。
而在數字資產託管平臺InVault創始人許斌看來,幣安此次被盜,也可能與其內部權限被黑客攻破有關。
“根據幣安公告分析,我認為黑客應該沒有拿到錢包的私鑰,但至少獲得了一部分內部權限。”許斌表示,“短時間內提走超過7000枚比特幣,黑客很有可能已經癱瘓掉了幣安的風控系統。”
“或者有另一種可能,黑客十分熟悉幣安的風控策略,能夠繞開風控系統,盜走平臺資產。” 許斌說,“所以這次的黑客,要麼技術十分強大,要麼潛伏已久,只待最後一擊。”
根據幣安發佈的公告,黑客盜幣成功的關鍵,在於獲得了用戶的API密鑰及谷歌驗證碼等信息。在歷次交易所被盜事件中,API一直是一個重災區。
“API密鑰是一段字符,有時會存在用戶的設備內。一旦用戶設備被侵入,黑客便有可能拿到密鑰,並提走用戶資產。”Jeff表示,“所以,對於交易所而言,API一直是最容易出現安全問題的地方。”
這一觀點也得到了許斌的認同。在他看來,大多數頭部交易所的私鑰管理體系都十分強大。因此,相對薄弱的API環節,往往會成為黑客的重點攻擊部分。
面對層出不窮的交易所安全事件,許多區塊鏈從業者認為,交易所若想避免類似問題發生,必須在兩方面做出改變。
首先,是加強審查。
“對於提幣額度較大、提幣到新地址、頻繁提幣等異常行為,平臺都需要進行人工審查。”Jeff表示。
其次,交易所也應加強用戶教育,幫助用戶提高安全意識。
“我個人建議,用戶也可以將不常交易的資產,保管在自己的私人錢包內,而不是長期存放在交易所。”許斌說。
03 誤傷Bitfinex?
自今年4月起,低迷已久的幣市,突然迎來了一小波小牛市。比特幣從4月初的4000美元一路走高,並在昨日一度突破6000美元。
然而,幣安的突然被盜,卻讓投資者的內心再次蒙上一層陰影。陰謀論也很快出現,有投資者質疑,所謂的“黑客盜幣”,只是交易所等平臺與空頭勢力共同放出的“消息”。
不過,市場的後續表現,卻並未像許多人預想中的一樣。
幣安盜幣事件發生後,包括比特幣在內的一系列數字貨幣曾發生普跌。但很快,主流幣種便迅速止跌。截至發稿時,比特幣等主流幣種的幣價,已接近盜幣事件發生前的價格。
“儘管幣安盜幣事件讓幣市短時下挫,但投資者的整體情緒還算樂觀,市場表現也似乎波瀾不驚。”中關村物聯網區塊鏈實驗室主任樑棟對一本區塊鏈表示。
不過,熱衷吃瓜的圍觀群眾們,仍然找出了這場事件中的最大受害者。
“這次幣安被盜幣,最受傷的可能是另一家交易所——Bitfinex。”大白鯊交易社區數字貨幣分析師Neil告訴一本區塊鏈。
黑客盜幣事件發生後,幣安發佈公告稱:“在這一週內,(幣安平臺的)充值和提現將處於暫停狀態。”
換言之,在一週之內,幣安不允許用戶提幣。
與此同時,Bitfinex正在推出自己的IEO項目,計劃募資10億美元發行平臺幣LEO,目前LEO正處於私募階段,私募時間截止到2019年5月10日。
“幣安此時宣佈暫停提幣,勢必會造成部分資金無法購買LEO。”Neil說。
與此同時,行業頭部交易所幣安的被盜事件,也讓一部分投資者心存憂慮。人們對去中心化交易所的呼聲,也越發強烈。
“在中心化交易所中,用戶資產由交易所代為管理。一旦交易所遭遇黑客入侵,用戶便會出現資產損失。”毛普表示,“但在去中心化交易所中,用戶卻可以通過私鑰保管自己的資產,不必為平臺的錯誤買單。”
在去中心化交易所中,交易所無法監守自盜。即便黑客獲取了交易所的錢包私鑰,盜走的也是交易所的平臺資產,如收入等,而非用戶資產。
但Jeff卻並不完全認可這一觀點。近年來,許多交易所遭遇黑客攻擊,都與API信息被盜有關。“如果是用戶的API密鑰被黑客獲取,無論是中心化交易所,還是去中心化交易所,都無法避免用戶資產被盜。”他表示。
然而,Jeff也承認,相較於去中心化交易所,中心化交易所的安全隱患更大。
“中心化交易所的問題是,每一家交易所都聚集了大量資產,樹大招風,集中被盜的可能性會更大。”Jeff表示。
而在去中心化交易所,由於數字貨幣分散在每一位用戶手中,黑客很難一次盜走大量資產。
“兩種交易所各有利弊,而未來,兩類交易所也勢必會長期共存。”毛普最後總結。
在區塊鏈的世界中,黑客就像幽靈,他們不會錯過任何一個可以利用的漏洞。
這不是交易所第一次被盜,也不會是最後一次。
安全問題,已經是所有中心化交易所、區塊鏈企業,以及持幣人必須共同面對的考驗。
*文中部分受訪者為化名。