来源:币世界
购买一台较低配的智能机专用于交易,只通过固定且可信的渠道安装软件,注册专门邮箱用于相关操作,没有交易需求时这套系统完全处于休眠状态,这样可以在当前信息泄露较严重的网络大环境下有效的避免风险。
本文为成都链安威胁情报中心安全负责人朱勇老师社群分享,由币世界整理成稿。
作为金字塔顶端的交易所,由于聚集了大量的资金而成为众多黑客重点”关照”的对象,就算是币安、bitfinex这种国际知名大交易所,也无法次次抵挡住黑客的攻击,从而出现被盗事件。
距离最近的一次则是5月8日币安被盗7000枚比特币事件,虽然事件很快平息,也并未对加密货币市场带来严重的影响,但这依然值得我们警醒。本文从还原币安被盗事件出发,讲讲在如今交易所安全事故频发的情况之下,普通投资者应该如何保障自己的财产安全。
币安被盗事件的回顾
5月8日,知名加密货币交易所币安发布公告称币安在2019年5月8日凌晨1:15:24发现了大规模系统性攻击,黑客通过复合攻击技术获得大量用户API密钥并在区块高度575013处从币安BTC热钱包中盗取了7000枚比特币。
币安方面称,这起黑客攻击事件只涉及该笔被盗交易,也只影响币安热钱包中的BTC(公告称这部分BTC大约占币安持有的BTC总量的2%)。对于被盗的BTC,币安表示将会使用SAFU基金(全称”用户安全资产基金”,币安于2018年7月设立,投入所有交易费收入的10%,用于为潜在安全漏洞提供保险)全额支付,保障用户资产不受损失。
图为币安官方公告
图为链上攻击交易记录
图为黑客转移地址
关于这次攻击的具体细节链安曾经做过详细分析,这次出问题的主要关键点在于币安交易所的提币API,币安对交易需求较旺盛,需要快速大量交易的用户提供了快捷API操作服务,申请币安交易所的API后会生成API key和Secret key,API接口有”限定用户开放IP限制”和”开放提现”的功能。
“开放提现”是指利用 API key和Secret key直接提现,不需要手机验证码、短信、谷歌验证码等二次验证信息。
链安分析认为是用户的API key和Secret key信息泄露导致的此次攻击。
如果用户没有限制ip并配置了开放提现功能,任意攻击者在获取了API key和Secret key信息后便可以实现攻击,直接通过API接口请求向任意地址提币。
普通用户一般不会使用api做交易操作,但是大额用户通常会把API key用于在代码中实现快速的自动化交易,一般来说用户的API信息泄露途径可能有:
1.可能是用户用于交易的API源码泄露导致api Secret key泄露
2.用户被钓鱼攻击,输入了API key和Secret key被黑客截取。
3.用户保存API key和Secret key的电脑被攻击窃取。
4.币安交易所系统原因导致用户API key和Secret key泄露,其中只有71个用户开放了提现功能,被盗币。
随后币安公告所有的API key都将作废,实际上这不仅不是币安第一次被攻击,甚至不是币安的API第一次出问题。
就在今年的3月7日深夜,币安就曾遭到黑客攻击。但有趣的是这次攻击事件中,黑客并未直接盗取用户的加密货币,而是在用户不知情的情况下将账户里的比特币之外的加密货币以市价抛售并购进比特币,之后操纵盗取账户中的BTC大量购买一个名叫VIA的数字货币,使其价格大幅拉升,在数分钟内上涨了10000%,随后又转而下滑。
这次”奇异”的黑客攻击,导致包括比特币在内的加密货币市场普遍出现暴跌,而VIA却一度实现了巨幅增长,这次攻击的关键点也是API密钥,使用API密钥的用户与机器人进行交易的用户发现自己的账户自动买入了VIA币。
而去年7月份,币安也曾被爆出疑似被盗7000枚BTC。虽然币安并未确认此事,但当时还是宣布所有已申请的API key作废并及时发布了《关于SYS异常交易处理方案》,此外在此次攻击中发挥作用的SAFU基金也是当月建立的。
对于交易所被黑、加密资产被盗,业内人士早已习以为常。
据美国数字货币安全公司CipherTrace发布的报告显示,仅2018年上半年,全球加密货币交易所就有价值7.31亿美元的加密资产被黑客盗取。
交易所被盗事件盘点
早在2011年10月Mt. Gox被盗,黑客(或者内部人员)使用BTC-stealing特洛伊木马从平台盗走了约2000枚比特币,原因是黑客盗取了服务器上的wallet.dat文件和bitcoin.conf,也就拿到了Mt.Gox的热钱包私钥。
2014年2月,还是Mt. Gox,这一次黑客盗走了约80万枚比特币,黑客利用交易所bug,申请提取比特币时,在收到比特币后修改交易ID并向全网广播,如果正品交易先通过挖矿确认,则攻击失败,如果伪造交易先通过挖矿确认,则正品交易被丢弃,攻击成功,交易所误以为交易失败,重新发送了比特币。Mt.Gox在这个事件中并没有做冷热钱包分离的策略,从侧面还反映了管理的混乱和交易的不透明,最终门头沟也因为这次丢币事件倒闭,门头沟被盗事件也被称为比特币第一疑案。
2014年3月,黑客盗走了Poloniex平台12.3%的比特币(总计97btc)。和门头沟事件类似,黑客发现当几乎同时发起多笔提币时,后台会显示账户余额为负数,但提币记录却可以成功写入数据库,提币程序也可以成功执行,黑客利用此代码漏洞把资金偷走了。
2014年8月15日,黑客从比特儿BTER盗走了5000万个NXT币,价值约为1000万人民币。原因是比特儿平台将所谓的冷钱包私钥放在了服务器上,使得NXT并没有实现冷存储(实际上是个热钱包),获得钱包私钥的黑客将币取走。当时平台和黑客谈判,愿意支付100个比特币的赎金,赎回丢失的平台币,但是最后的结果是黑客拿走了比特币,没有归还NXT。
2014年12月,白帽黑客Johoe从blockchain.info钱包里”盗取”了300枚BTC。原因是在钱包软件升级过程中产生了技术问题,导致临时性安全漏洞出现,这个安全漏洞仅仅存在了2个多小时,但还是给了Joheo机会。事后,Johoe如数归还了盗取的比特币,推测具体bug是代码未对某变量做初始化操作,使得随机数的结果只有256种可能,在这2个多小时里,所有使用blockchain.info钱包的用户,无论是生成私钥,还是签名交易,都使用了一个范围只有256的随机数。
2015年1月,黑客通过入侵交易所热钱包,盗走了Bitstamp约19000枚比特币。
2015年2月,黑客利用比特儿从冷钱包填充热钱包的瞬间,从比特儿BTER盗走了7170枚比特币。
2016年8月,黑客盗取平台热钱包,从Bitfinex盗走了119756枚比特币。
2017年6月,黑客入侵了Bithumb某雇员的个人电脑,获取了Bithumb 近31800名用户的个人信息,包括他姓名、手机号码以及邮件地址。用户数据泄漏,黑客还配合社会工程学盗走了某用户时价1000万韩元的比特币。
2017年7月,黑客利用Parity钱包中,多重签名技术中的”关键”漏洞,盗走了15.3万枚以太坊,时价约为3260万美元。
2018年1月Coincheck将NEM币储存在了热钱包中,黑客盗取了热钱包私钥,将交易所全部NEM转走。
2018年3月,黑客通过unicode钓鱼网址,盗取了部分币安用户的API Key。然后通过API接口,入侵币安交易所,使用API交易机器人大量买入VIA币,然后抛售,控制币价。
2018年6月,韩国Coinrail交易所热钱包遭受攻击,损失价值超过4000万美元的加密货币,其中价值近2000万美元的NPXS(Pundi X)代币1400万美元的Aston X,600万美元的Dent代币和超过100万美元的TRON,交易所及时追回丢失总量的三分之二,赔付方案中选择由加密货币发行方而不是交易所来赔偿用户损失。
2018年9月17日,日本zaif交易所遭受攻击,损失高达5967万美元,其中1959万美元属于交易所自有资金。
被盗原因是攻击者在未经授权的情况下成功对交易所热钱包进行非法访问。
处理方式:通过将zaif大部分股份出售给另一家日本持牌合法交易所FISCO的母公司——Fisco数字资产集团来换取资金,赔付用户损失。
2019年03月26日 DragonEx遭遇多笔USDT假充值攻击并被成功提币转移
2019年3 月 29 日,韩国交易所 Bithumb 遭受黑客恶意攻击,共损失 3,132,672 EOS 和 20,172,060 XRP。
总结起来,大致可以将攻击归纳为三类:1. 平台系统被攻击,比如,Poloniex、blockchain.info;2. 交易所热钱包被攻击,比如Mt.Gox、比特儿、Bitstamp;3.个人账户信息相关被攻击。比如,LocalBitcoins、币安等。
黑客的手段多种多样,可以说防不胜防,后面会专门讲讲保护个人资产最好的方法。在数字资产世界,保护好自己的财产安全,是所以事情的重中之重。
交易所为何频频被盗?
交易所究竟是做什么的?钱包又是什么机制,为什么黑客对加密货币交易所情有独钟?
最直接的原因就是因为有利可图。作为加密货币市场食物链中的上游,加密货币交易所聚集了大量机构和散户的资产,是类似于银行的资金汇聚平台。相较于攻击个人用户或者游戏合约项目方等,攻击交易所能够攫取的利益要可观得多。当然,作为头部交易所的币安等交易所会更受黑客”青睐”。
此外,黑客之所以敢为所欲为,大胆尝试攻击也是由于包括加密货币交易所在内的加密货币产业目前基本上仍游离于法律监管之外。对于黑客而言,攻击交易所所带来的风险远小于攻击其它同等价值的经济实体,攻击国家银行或者证券交易所等设施的行为将会受到国家暴力机关或者跨国团体的严密追踪和所在国法律极其严厉的惩罚,在得手后的套现和资产转移方面,加密货币也有得天独厚的便利性和安全性。
更重要的是,加密货币交易所的安全防护级别相对同等级实体天然较低。这一方面是由于加密货币不同于其他资产,无法脱离网络而存在,对黄金,现金等资产采用的成熟的基于硬件的防护对加密货币都不适用。只要实体存在于网络之上,就有被入侵的风险,区别只是攻击成本高低以及攻击机会的多少罢了。另一方面,不同交易所之间安全防护级别差异巨大,心理上不够重视安全也是根本原因之一。
普通投资者如何保障资金安全?
首先肯定是将资金保存在冷钱包。热钱包是保持联网上线的钱包,也就是在线钱包,而冷钱包就是离线钱包。当你不需要用币的时候,把币放在冷钱包里面,切断网上联系,理论上,冷钱包能让私钥永不触网,就是网络不能访问到你存储私钥的位置,这类钱包往往依靠”冷”设备(不联网的电脑、手机、记录私钥的纸、小本等)确保私钥的安全,这样就能有效防止黑客盗取。
但藏在山洞里的财富不是真正的财富,加密货币要体现货币的交易价值,总要到市场流通,如果要在交易平台进行长期加密资产投资,建议还是选择币安、火币这类头部交易所。虽然他们也经常遭受攻击,但用户的资产还是能够得到保障。即便被盗,也有交易所兜底,就如同此次7000BTC被盗,币安宣布利用SAFU基金全额支付用户受损资产。
那么作为普通用户,我们在日常的交易中应该注意哪些安全问题,做哪些防范呢?
我们要保护的主要是两部分,钱包安全和第三方账号安全
钱包(Wallet)是一个管理私钥的工具,加密数字货币钱包形式多样,但它通常包含一个软件客户端,允许使用者通过钱包检查、存储、交易其持有的数字货币。它是进入区块链世界的基础设施和重要入口,其中冷钱包(Cold Wallet)是一种脱离网络连接的离线钱包,将数字货币进行离线储存,热钱包(Hot Wallet)是一种需要网络连接的在线钱包,在使用上更加方便。
如之前所说,钱包分为冷钱包和热钱包,冷钱包主要用于我们暂时没有使用计划的币存储,相对来说是目前最安全的加密货币存储方式,但冷钱包的使用也要注意一些要点,首先一旦冷钱包的私钥在互联网平台进行过交易,或者”冷”设备记录有泄露的可能,那么,冷钱包即不再”冷”了,所以我们建议冷钱包应该只进不出,只能进币,当需要提出时一次将所有货币提出,之后即将钱包作废,不多次使用,其次为了避免不可抗力造成的设备受损或私钥丢失,建议在保证秘密性的前提下建立多个备份,避免因不可抗力出现自己的币提不出的情况。
与冷钱包相对的便是热钱包,这类钱包往往以在线钱包、交易平台钱包等形式出现。
热钱包相对冷钱包来说安全性降低了很多。因此,在使用热钱包时场景更开放方便,也需要更加小心,首先热钱包只需要保持一个较低的资金水平来应对快速交易的需求,不建议长期存储大额加密货币。
不急于再次进入市场投资的资金应该定期转入冷钱包,虽然交易所的技术安全是经过测试的,但并非十全十美,黑客入侵也不是没有可能。一旦交易所由于不可逆原因关停(或跑路)或遭遇不测,只有提到冷钱包的币才是安全的,不会受到攻击事件牵连。
其次是设置多重、复杂密码二次保护。在注册第三方钱包、交易所账号、矿池等,最好使用不同的密码。也许密码过多过复杂会带来记忆问题,但目前来看这是提高安全性的可行路径。已发生钱包被盗事件很多都是因为嫌麻烦没设置密码或密码过于简单造成的,如果实在害怕记不住就使用”冷”设备记录+备份。
顺便一提在类似ETH上的钱包还要注意Keystore的复杂度和安全存储。
除此之外其他与交易相关的个人信息也要注意保密,避免泄露,主要包括注册交易所账号的密保手机,密保邮箱,交易密码等等。
操作和存储相关信息的软硬件也要做好升级保护,包括交易使用的电脑或手机及时打补丁升级,安全软件及时更新,定期清理,避免点击不明链接或程序等等。
如果有条件的话将交易使用的软硬件和生活隔绝不失为一种避免攻击损失的高效办法,具体实现其实也很简单,比如可以购买一台较低配的智能机专用于交易,只通过固定且可信的渠道安装软件,注册专门邮箱用于相关操作,没有交易需求时这套系统完全处于休眠状态,这样可以在当前信息泄露较严重的网络大环境下有效的避免风险。