一、事件回顧
2018年3月7日,福布斯數(shù)字貨幣富豪榜排行第三的幣安交易所大量用戶賬戶異常,黑客通過釣魚攻擊獲取了部分用戶的賬戶及密碼,但這一次黑客并沒有直接將受害者的數(shù)字貨幣提出,他們?cè)?小時(shí)內(nèi)用10000個(gè)比特幣(BitCoin,BTC)讓一個(gè)并不怎么火的 VIA(Viacoin)幣迅速暴漲,將用戶的現(xiàn)有貨幣以市價(jià)賣出,兌換成 BTC,并且高價(jià)買入VIA 幣,導(dǎo)致VIA幣在幾小時(shí)內(nèi)暴漲了110倍。一時(shí)間不明真相的散戶開始慌亂拋售代幣、絕大多數(shù)幣種(除了比特幣及少數(shù)幾個(gè)幣種)開始下跌,全球代幣交易所也隨之震動(dòng)。
黑客預(yù)判到交易所會(huì)立即停止所有賬戶提現(xiàn)來挽回?fù)p失,所以他們最大的利潤(rùn)并不從幣安上獲取,而是來自于之前在全世界各個(gè)交易所上早就掛出的“數(shù)字貨幣和代幣做空單”,在漲跌之間,輕易完成了韭菜收割。據(jù)悉除了幣安之外,全球還有9個(gè)交易所也上線了 VIA。
事件發(fā)生后24小時(shí)內(nèi),幣安交易量高達(dá)20億美元左右,除開黑客的交易量,想必韭菜們?cè)陬澏吨幸藏暙I(xiàn)了不少操作。目前受此事件影響,比特幣大跌10%。以全球總計(jì)1700萬個(gè)比特幣計(jì)算,比特幣一夜蒸發(fā)170億美元。
二、智商碾壓韭菜,你脫身了嗎?
此次事件中的黑客,明顯具備豐富的金融知識(shí),在整過行動(dòng)過程中,有著幾乎毫無破綻的資源調(diào)度、平臺(tái)協(xié)調(diào)能力,這也表明攻擊者們?cè)缬蓄A(yù)謀,策劃良久。在有組織、有紀(jì)律、有知識(shí)、有“財(cái)富”、有計(jì)謀的黑客面前,E小編只能感慨,幸好早日脫身,不然這次就在不明真相中默默地傾家蕩產(chǎn)了。
三、數(shù)字貨幣交易存在哪些風(fēng)險(xiǎn)?
幣安用戶反映,此次事件中幣安賬戶的 Google 二步驗(yàn)證沒有起效,幣安在 Reddit 確認(rèn)此次賬號(hào)被盜與 API 有關(guān)。
釣魚網(wǎng)站真假難辨
據(jù)調(diào)查此次幣安黑客事件的調(diào)查人員表示,黑客大概兩周之前就開始準(zhǔn)備,他們精心制作了幾個(gè)模仿幣安的釣魚網(wǎng)站,其中一個(gè)網(wǎng)站甚至還同步了幣安上的黑客事件聲明,誘導(dǎo)用戶去網(wǎng)站上登錄用戶名和密碼。
幣安漏洞與“API”功能
黑客最終通過釣魚網(wǎng)站,掌握了31個(gè)賬戶。然而,獲得用戶名和密碼也沒有什么作用,因?yàn)檫€需要手機(jī)驗(yàn)證碼等二次驗(yàn)證,才能將用戶的幣提走。但黑客卻發(fā)現(xiàn)幣安的一個(gè)漏洞:知道了用戶名和密碼,就可以直接開通“API”功能。該功能可以幫助交易量巨大、需要隨時(shí)面對(duì)市場(chǎng)變動(dòng)的“大客戶”批量做賬戶的買入賣出操作。通常,交易所在開通 API 的時(shí)候,還會(huì)進(jìn)行二次驗(yàn)證,但據(jù)調(diào)查人員表示,幣安并沒有這個(gè)步驟,這就讓黑客有了可乘之機(jī)。
“內(nèi)鬼”風(fēng)險(xiǎn)
黑客緣何能夠?qū)虐步灰灼脚_(tái)如此熟悉,能夠在極短的時(shí)間內(nèi)完成割韭菜?或許他們真的是技術(shù)牛掰,但會(huì)不會(huì)也有可能存在“內(nèi)鬼”呢?(請(qǐng)容許E小編的內(nèi)心黑暗一下下)我們都知道,在安全領(lǐng)域的安全防護(hù)方面,人的因素能夠嚴(yán)重影響安全防護(hù)的能力。很多安全事件的發(fā)生歸根結(jié)底都是人的問題。除了技術(shù)問題之外,還應(yīng)在安全領(lǐng)域盡量規(guī)避所謂的“內(nèi)鬼風(fēng)險(xiǎn)”。如果“人”沒有問題,那將會(huì)大大降低安全領(lǐng)域所面臨的風(fēng)險(xiǎn)和威脅。
四、當(dāng)前數(shù)字貨幣交易真的是“去中心化”?
幣安交易平臺(tái)進(jìn)行的安全防護(hù)是否存在不到位之處?當(dāng)前,區(qū)塊鏈在互聯(lián)網(wǎng)金融領(lǐng)域應(yīng)用最為廣泛,數(shù)字貨幣的匿名交易特性讓監(jiān)管變得有心無力。盡管數(shù)字貨幣中“去中心化”越來越熱,但卻不意味著真正的安全,畢竟傳統(tǒng)安全的安全問題依然不可避免,例如web 漏洞,系統(tǒng)漏洞,接口漏洞仍然存在,身份驗(yàn)證等數(shù)字貨幣安全問題的引入,需要企業(yè)針對(duì)數(shù)字貨幣的交易系統(tǒng)做更多的安全保障:在做好傳統(tǒng)安全防護(hù)的基礎(chǔ)上,還需要對(duì)交易所的用戶數(shù)據(jù),交易數(shù)據(jù),數(shù)據(jù)鏈路等敏感信息進(jìn)行更強(qiáng)的加密和隔離,控制外部接口等手段提升安全性。這些問題是數(shù)字貨幣交易所普遍存在的問題。
此次“幣安黑客事件”中,黑客通過惡意操作讓幣安交易所幣種價(jià)格波動(dòng)輻射全球其他交易所,引發(fā)部分吃瓜群眾如今的數(shù)字貨幣并非“去中心化”的思考。
用去中心化的技術(shù)進(jìn)行點(diǎn)對(duì)點(diǎn)交易,而不是通過目前大量交易所采用的方式進(jìn)行中心化交易。貨幣通過去中心化聯(lián)系,隨著越來越多人加入數(shù)字貨幣大營(yíng),交易量實(shí)時(shí)變化,數(shù)量巨大,很多交易平臺(tái)為了交易方便等因素并沒有真正的去中心化,這讓本身去中心化的數(shù)字貨幣中的部分環(huán)節(jié)又回到中心化模式。
五、數(shù)字貨幣交易監(jiān)管道路任重道遠(yuǎn)
據(jù)統(tǒng)計(jì),2017年全球共發(fā)生了數(shù)十起交易所遭遇黑客攻擊事件,損失金額達(dá)到5億美金左右。目前全球數(shù)字貨幣約7000家,動(dòng)輒千萬的上幣費(fèi),讓交易所成為最賺錢的一塊生意。但是,監(jiān)管卻長(zhǎng)期處于真空階段。
全球范圍內(nèi),在數(shù)字貨幣監(jiān)管方面,日本和美國(guó)近期出臺(tái)了相關(guān)措施。美國(guó)證券交易委員會(huì)(SEC)的市場(chǎng)、交易與執(zhí)法部門發(fā)布公告,提醒投資者注意數(shù)字化資產(chǎn)交易使用的非法平臺(tái),暗示 SEC 對(duì)此類交易平臺(tái)的監(jiān)管行動(dòng)趨嚴(yán)。SEC認(rèn)為,此類在線平臺(tái)提供的數(shù)字化資產(chǎn)交易機(jī)制符合聯(lián)邦證券法定義的“證券”范疇(securities),這些平臺(tái)也符合“全國(guó)性質(zhì)證券交易所”的定義(exchange)。因此,上述平臺(tái)必須跟 SEC 注冊(cè)成為證券交易所,或者申請(qǐng)豁免注冊(cè)資格。
但目前關(guān)于數(shù)字貨幣監(jiān)管所采取的相關(guān)措施是遠(yuǎn)遠(yuǎn)不夠的,仍需要各國(guó)乃至全球的相關(guān)部門加大力度,重拳出擊,最大限度地規(guī)避相關(guān)風(fēng)險(xiǎn)和威脅,維護(hù)廣大用戶的財(cái)產(chǎn)安全及相關(guān)利益。
此次事件讓黑客們嘗到了甜頭,同時(shí)充滿了刺激與“勝利”的多巴胺,今后針對(duì)虛擬貨幣交易所及韭菜們的攻擊也不會(huì)因此停歇,或許真如此前安全專家的預(yù)言,當(dāng)好幾波兒黑客都想從同一交易平臺(tái)獲取資金進(jìn)行地盤爭(zhēng)奪時(shí),或?qū)?dǎo)致交易平臺(tái)崩潰甚至更多重創(chuàng)行業(yè)及用戶的事件發(fā)生。
人生哪能不勞而獲、一夜暴富是不可能實(shí)現(xiàn)的,E小編還是踏踏實(shí)實(shí)多搬兩塊磚吧
-
比特幣
+關(guān)注
關(guān)注
57文章
7002瀏覽量
139958 -
數(shù)字貨幣
+關(guān)注
關(guān)注
36文章
3135瀏覽量
48795
原文標(biāo)題:讓人后怕的一次數(shù)字貨幣黑客事件
文章出處:【微信號(hào):EAQapp,微信公眾號(hào):E安全】歡迎添加關(guān)注!文章轉(zhuǎn)載請(qǐng)注明出處。
發(fā)布評(píng)論請(qǐng)先 登錄
相關(guān)推薦
評(píng)論