幣安遭黑客攻擊損失 4100 萬美元，16層安全機制為何擋不住黑手？

黑客技術 · 發表 2019-05-09 11:46:35

摘要：最大加密貨幣交易所幣安 8 日爆發黑客攻擊，損失 7000 枚比特幣，價值約達 4100 萬美元。這是幣安成立以來發生的第三次重大安全事故，且這次更直接重創幣安自身。儘管損失金額應不至於衝擊營運，但其 CEO 趙長鵬曾在過去採訪中對 DeepTech 透露，幣安擁有...

最大加密貨幣交易所幣安 8 日爆發黑客攻擊，損失 7000 枚比特幣，價值約達 4100 萬美元。這是幣安成立以來發生的第三次重大安全事故，且這次更直接重創幣安自身。

儘管損失金額應不至於衝擊營運，但其 CEO 趙長鵬曾在過去採訪中對 DeepTech 透露，幣安擁有 16 層安全機制。那麼，為何仍擋不住黑客？

幣安是一般公認全球按交易量計最大的加密貨幣交易所，而這是繼去年 3 月、7 月分別傳出黑客攻擊事件後，外界所知的幣安自成立以來發生的第三次重大安全事故。

不同的是， 前兩次幣安事後均未公佈自身實質損失，而這次 則是一次損失 4100 萬美元 。

以幣安一年獲利至少數億美元而言，這一損失應不足以對其營運產生衝擊，真正衝擊的，是行業與使用者對幣安的品牌、及其安全技術的信心。

圖｜幣安交易所創始人兼 CEO 趙長鵬（來源：Binance）

去年幣安交易所創始人兼 CEO 趙長鵬曾在接受 DeepTech 專訪時表示， ”安 全”是幣安最核心的兩大優勢之一 。他說，”我們在速度上有絕對的優勢，另外就是安全上一直非常穩定，這兩塊是幣安很核心的優勢。”

當時他就向 DeepTech 直言， 幣安”絕對是黑客最大的攻擊目標” 。據其指出，幣安創立以來不斷遭受大量攻擊，有些時候運氣好可以幾天不被攻擊，但不好的時候，一天被攻擊次數甚至多達 10 次、20 次，且攻擊力道非常猛烈。

而這次事件是在北京時間 5 月 8 日凌晨，趙長鵬通過推特表示，幣安需要進行一些計劃外的伺服器維護，這將影響到資金的存取，約持續幾個小時，但不會影響到交易。並表示大家不必驚慌（No Need to FUD），資金是安全的（funds are #safu）。

幾小時後，幣安釋出公告稱，北京時間凌晨 3 點左右，其發現了交易所存在大規模的安全漏洞（large scale security breach）。惡意攻擊者（maliciousactors）使用了一系列技術手段：釣魚、病毒以及其他攻擊方式，獲取了使用者的 API 金鑰、二步驗證碼以及”潛在的其他資訊”（potentiallyother info）。

據區塊瀏覽器 Blockchain.com 上一段交易記錄， 黑客從中盜取了 7000 枚比特幣，價值約 4100 萬美元 。

該公告進一步指出，可能還有一些受影響的賬戶尚未被識別到。此次漏洞僅影響到了幣安熱錢包中的比特幣，大約佔其持有的比特幣總量的 2%，且以上交易是唯一受影響的交易。

公告顯示，該筆交易完成後觸發了系統內部警報，隨後幣安立刻停止了所有的提現。 在接下來的一個周 中，幣安將進行”全面的安全檢查”，資金的存取都將被暫停，而交易將會繼續。不過趙長鵬在公告中有警告使用者”黑客仍有可能控制部分賬戶”。

“我們所有的其他錢包都是安全無損的，”趙長鵬在幣安的公告中如是說道，他進一步補充，”黑客們耐心地進行等待，並在恰當的時機以多個看似獨立的賬戶，實施了準備充分的盜竊。該筆交易的結構通過了我們現有安全系統的檢測。很不幸的是，我們並沒有能在事發前順利阻斷這筆交易。”

16 層防護失靈，黑客如何滲透幣安？

“沒能在事發前順利阻斷這筆交易”，究竟意味幣安的安全機制出現了什麼程度的失靈呢？

趙長鵬曾透露，幣安在安全機制設計上有 16 層防護，”目前為止（指受訪當時）最多隻被攻擊觸及到第 3 層” 。這 16 層防護分成很多不同維度，包括業務安全、物理安全、網路安全等，每個維度再進一步分層，所以總計自我定義出16 層。

理想上，是在外來攻擊開始滲透第 1 層、第 2 層的時候，幣安就能夠察覺並加以處理。但此次攻擊事件說明， 幣安的安全機制雖多達 16層，但仍有可滲透攻擊的漏洞 。

據區塊鏈安全公司北京鏈安對媒體分析，幣安此次失竊可能是因為內網遭受黑客的長期 APT 滲透，而非單個或者批量使用者被釣魚病毒入侵導致，且被盜的 7000 多個比特幣散落在 40 多個黑客控制的錢包地址當中，並沒有發生轉移。

另一區塊鏈安全公司 Peckshield 隨後跟進稱，共有 7074 枚比特幣失竊，其被儲存於 20 個主要地址中，並未進一步擴散。

成都鏈安深度分析後認為，黑客是通過 API 介面在同一時間發起了提幣操作，而使用者的 API key 和 Secret key 可能洩露，由於有些使用者可能沒有配置對 IP 的限制和開放提現功能的限制，因而黑客得以繞過驗證碼、簡訊和二步驗證碼等安全措施提現。

成都鏈安還進一步指出了使用者洩露資訊的可能途徑：

1、普通使用者一般不會使用 APIkey，一般是高階使用者用於程式碼中實現自動化交易，可能是使用者原始碼洩露導致 API Secret key 洩露；

2、使用者被釣魚攻擊，輸入了 APIkey 和 Secret key 被黑客擷取；

3、使用者的 API key 和 Secret key 儲存的電腦被攻擊竊取；

4、幣安交易所繫統原因導致使用者 APIkey 和 Secret key 洩露，其中只有 71 個使用者開放了提現功能，被盜幣。

據趙長鵬表示，包括 Coinbase 在內的一眾交易所表示，會將可能的黑客地址拉入黑名單，以阻止其將資金存入別的交易所。趙長鵬在推特上@了 Coinbase，並對包括 Coinbase 以及其他交易所在內的同行表示了感謝。

如何賠付相關損失？

關於使用者損失的賠付方面，公告指出，其將使用”使用者資產安全基金”（SecureAsset Fund for Users, 又稱 SAFU）來賠付使用者損失。該基金成立於 2018 年 7 月 3 日，資金來源是客戶交易手續費的 10% 的劃轉，其成立初衷在於在極端情況下（in extreme cases）保護幣安的使用者。該基金的相關資金都儲存在幣安的冷錢包中。

一些業內人士在事發後立即表示願給予幣安資金支援，不過趙長鵬在推特上予以婉謝，表示幣安感謝各路人士和機構的支援，但幣安有足夠的資金來賠付客戶的損失。

他說，幣安只是受損了，但並沒有破產（We're hurt，but not broke）。並進一步表示，幣安的慈善事業仍在推進，如果想要資助的話，可以考慮下資助慈善專案（Our Charity efforts will continue, please consider to donate to those）。

不過有媒體估算，幣安 SAFU 基金成立至今共約 10 個月時間，累積金額應不到 2000 萬美元，遠低於此次損失的 4100 萬美元。若此一估算為真，則 SAFU 或不足以賠付此次使用者的損失。

一度考慮區塊回滾彌補損失

另外，值得注意的是，據趙長鵬在推特所言， 他曾一度考慮採用區塊回滾來彌補損失 。

從推特相關討論來看，有網友主動建議幣安採用區塊回滾的方式來彌補損失，比特幣核心開發者 Jeremy Rubin 也在推特上向趙長鵬提出了類似建議，趙長鵬迴應稱將謹慎考慮這一建議，而 Primitive Venture 的合夥人 Dovey Wan 則表示其在詢問了一些大的礦池後發現這並非一個可行的方案。

不久後，趙長鵬在推特上表示，經過同包括 Jeremy Rubin 、Prestwich、Bcmakes、Hasufl 以及吳忌寒等在內的多方討論後， 幣安決定不採取回滾區塊的方式來彌補損失 。並羅列了如果採用回滾區塊的方式後，其帶來的優缺點。