讓人后怕的一次數(shù)字貨幣黑客事件

一、事件回顧

2018年3月7日，福布斯數(shù)字貨幣富豪榜排行第三的幣安交易所大量用戶賬戶異常，黑客通過釣魚攻擊獲取了部分用戶的賬戶及密碼，但這一次黑客并沒有直接將受害者的數(shù)字貨幣提出，他們?cè)?小時(shí)內(nèi)用10000個(gè)比特幣（BitCoin,BTC）讓一個(gè)并不怎么火的 VIA（Viacoin）幣迅速暴漲，將用戶的現(xiàn)有貨幣以市價(jià)賣出，兌換成 BTC，并且高價(jià)買入VIA 幣，導(dǎo)致VIA幣在幾小時(shí)內(nèi)暴漲了110倍。一時(shí)間不明真相的散戶開始慌亂拋售代幣、絕大多數(shù)幣種（除了比特幣及少數(shù)幾個(gè)幣種）開始下跌，全球代幣交易所也隨之震動(dòng)。

黑客預(yù)判到交易所會(huì)立即停止所有賬戶提現(xiàn)來挽回?fù)p失，所以他們最大的利潤(rùn)并不從幣安上獲取，而是來自于之前在全世界各個(gè)交易所上早就掛出的“數(shù)字貨幣和代幣做空單”，在漲跌之間，輕易完成了韭菜收割。據(jù)悉除了幣安之外，全球還有9個(gè)交易所也上線了 VIA。

事件發(fā)生后24小時(shí)內(nèi)，幣安交易量高達(dá)20億美元左右，除開黑客的交易量，想必韭菜們?cè)陬澏吨幸藏暙I(xiàn)了不少操作。目前受此事件影響，比特幣大跌10%。以全球總計(jì)1700萬個(gè)比特幣計(jì)算，比特幣一夜蒸發(fā)170億美元。

二、智商碾壓韭菜，你脫身了嗎？

此次事件中的黑客，明顯具備豐富的金融知識(shí)，在整過行動(dòng)過程中，有著幾乎毫無破綻的資源調(diào)度、平臺(tái)協(xié)調(diào)能力，這也表明攻擊者們?cè)缬蓄A(yù)謀，策劃良久。在有組織、有紀(jì)律、有知識(shí)、有“財(cái)富”、有計(jì)謀的黑客面前，E小編只能感慨，幸好早日脫身，不然這次就在不明真相中默默地傾家蕩產(chǎn)了。

三、數(shù)字貨幣交易存在哪些風(fēng)險(xiǎn)？

幣安用戶反映，此次事件中幣安賬戶的 Google 二步驗(yàn)證沒有起效，幣安在 Reddit 確認(rèn)此次賬號(hào)被盜與 API 有關(guān)。

釣魚網(wǎng)站真假難辨

據(jù)調(diào)查此次幣安黑客事件的調(diào)查人員表示，黑客大概兩周之前就開始準(zhǔn)備，他們精心制作了幾個(gè)模仿幣安的釣魚網(wǎng)站，其中一個(gè)網(wǎng)站甚至還同步了幣安上的黑客事件聲明，誘導(dǎo)用戶去網(wǎng)站上登錄用戶名和密碼。

幣安漏洞與“API”功能

黑客最終通過釣魚網(wǎng)站，掌握了31個(gè)賬戶。然而，獲得用戶名和密碼也沒有什么作用，因?yàn)檫€需要手機(jī)驗(yàn)證碼等二次驗(yàn)證，才能將用戶的幣提走。但黑客卻發(fā)現(xiàn)幣安的一個(gè)漏洞：知道了用戶名和密碼，就可以直接開通“API”功能。該功能可以幫助交易量巨大、需要隨時(shí)面對(duì)市場(chǎng)變動(dòng)的“大客戶”批量做賬戶的買入賣出操作。通常，交易所在開通 API 的時(shí)候，還會(huì)進(jìn)行二次驗(yàn)證，但據(jù)調(diào)查人員表示，幣安并沒有這個(gè)步驟，這就讓黑客有了可乘之機(jī)。

“內(nèi)鬼”風(fēng)險(xiǎn)

黑客緣何能夠?qū)虐步灰灼脚_(tái)如此熟悉，能夠在極短的時(shí)間內(nèi)完成割韭菜？或許他們真的是技術(shù)牛掰，但會(huì)不會(huì)也有可能存在“內(nèi)鬼”呢？（請(qǐng)容許E小編的內(nèi)心黑暗一下下）我們都知道，在安全領(lǐng)域的安全防護(hù)方面，人的因素能夠嚴(yán)重影響安全防護(hù)的能力。很多安全事件的發(fā)生歸根結(jié)底都是人的問題。除了技術(shù)問題之外，還應(yīng)在安全領(lǐng)域盡量規(guī)避所謂的“內(nèi)鬼風(fēng)險(xiǎn)”。如果“人”沒有問題，那將會(huì)大大降低安全領(lǐng)域所面臨的風(fēng)險(xiǎn)和威脅。

四、當(dāng)前數(shù)字貨幣交易真的是“去中心化”？

幣安交易平臺(tái)進(jìn)行的安全防護(hù)是否存在不到位之處？當(dāng)前，區(qū)塊鏈在互聯(lián)網(wǎng)金融領(lǐng)域應(yīng)用最為廣泛，數(shù)字貨幣的匿名交易特性讓監(jiān)管變得有心無力。盡管數(shù)字貨幣中“去中心化”越來越熱，但卻不意味著真正的安全，畢竟傳統(tǒng)安全的安全問題依然不可避免，例如web 漏洞，系統(tǒng)漏洞，接口漏洞仍然存在，身份驗(yàn)證等數(shù)字貨幣安全問題的引入，需要企業(yè)針對(duì)數(shù)字貨幣的交易系統(tǒng)做更多的安全保障：在做好傳統(tǒng)安全防護(hù)的基礎(chǔ)上，還需要對(duì)交易所的用戶數(shù)據(jù)，交易數(shù)據(jù)，數(shù)據(jù)鏈路等敏感信息進(jìn)行更強(qiáng)的加密和隔離，控制外部接口等手段提升安全性。這些問題是數(shù)字貨幣交易所普遍存在的問題。

此次“幣安黑客事件”中，黑客通過惡意操作讓幣安交易所幣種價(jià)格波動(dòng)輻射全球其他交易所，引發(fā)部分吃瓜群眾如今的數(shù)字貨幣并非“去中心化”的思考。

用去中心化的技術(shù)進(jìn)行點(diǎn)對(duì)點(diǎn)交易，而不是通過目前大量交易所采用的方式進(jìn)行中心化交易。貨幣通過去中心化聯(lián)系，隨著越來越多人加入數(shù)字貨幣大營(yíng)，交易量實(shí)時(shí)變化，數(shù)量巨大，很多交易平臺(tái)為了交易方便等因素并沒有真正的去中心化，這讓本身去中心化的數(shù)字貨幣中的部分環(huán)節(jié)又回到中心化模式。

五、數(shù)字貨幣交易監(jiān)管道路任重道遠(yuǎn)

據(jù)統(tǒng)計(jì)，2017年全球共發(fā)生了數(shù)十起交易所遭遇黑客攻擊事件，損失金額達(dá)到5億美金左右。目前全球數(shù)字貨幣約7000家，動(dòng)輒千萬的上幣費(fèi)，讓交易所成為最賺錢的一塊生意。但是，監(jiān)管卻長(zhǎng)期處于真空階段。

全球范圍內(nèi)，在數(shù)字貨幣監(jiān)管方面，日本和美國(guó)近期出臺(tái)了相關(guān)措施。美國(guó)證券交易委員會(huì)（SEC）的市場(chǎng)、交易與執(zhí)法部門發(fā)布公告，提醒投資者注意數(shù)字化資產(chǎn)交易使用的非法平臺(tái)，暗示 SEC 對(duì)此類交易平臺(tái)的監(jiān)管行動(dòng)趨嚴(yán)。SEC認(rèn)為，此類在線平臺(tái)提供的數(shù)字化資產(chǎn)交易機(jī)制符合聯(lián)邦證券法定義的“證券”范疇（securities），這些平臺(tái)也符合“全國(guó)性質(zhì)證券交易所”的定義（exchange）。因此，上述平臺(tái)必須跟 SEC 注冊(cè)成為證券交易所，或者申請(qǐng)豁免注冊(cè)資格。

但目前關(guān)于數(shù)字貨幣監(jiān)管所采取的相關(guān)措施是遠(yuǎn)遠(yuǎn)不夠的，仍需要各國(guó)乃至全球的相關(guān)部門加大力度，重拳出擊，最大限度地規(guī)避相關(guān)風(fēng)險(xiǎn)和威脅，維護(hù)廣大用戶的財(cái)產(chǎn)安全及相關(guān)利益。

此次事件讓黑客們嘗到了甜頭，同時(shí)充滿了刺激與“勝利”的多巴胺，今后針對(duì)虛擬貨幣交易所及韭菜們的攻擊也不會(huì)因此停歇，或許真如此前安全專家的預(yù)言，當(dāng)好幾波兒黑客都想從同一交易平臺(tái)獲取資金進(jìn)行地盤爭(zhēng)奪時(shí)，或?qū)?dǎo)致交易平臺(tái)崩潰甚至更多重創(chuàng)行業(yè)及用戶的事件發(fā)生。

人生哪能不勞而獲、一夜暴富是不可能實(shí)現(xiàn)的，E小編還是踏踏實(shí)實(shí)多搬兩塊磚吧