幣安遭黑客攻擊損失 4100 萬美元,16層安全機制為何擋不住黑手?
最大加密貨幣交易所幣安 8 日爆發黑客攻擊,損失 7000 枚比特幣,價值約達 4100 萬美元。這是幣安成立以來發生的第三次重大安全事故,且這次更直接重創幣安自身。
儘管損失金額應不至於衝擊營運,但其 CEO 趙長鵬曾在過去採訪中對 DeepTech 透露,幣安擁有 16 層安全機制。那麼,為何仍擋不住黑客?
幣安是一般公認全球按交易量計最大的加密貨幣交易所,而這是繼去年 3 月、7 月分別傳出黑客攻擊事件後,外界所知的幣安自成立以來發生的第三次重大安全事故。
不同的是, 前兩次幣安事後均未公佈自身實質損失,而 這次 則是一次損失 4100 萬美元 。
以幣安一年獲利至少數億美元而言,這一損失應不足以對其營運產生衝擊, 真正衝擊的,是行業與使用者對幣安的品牌、及其安全技術的信心。
圖|幣安交易所創始人兼 CEO 趙長鵬(來源:Binance)
去年幣安交易所創始人兼 CEO 趙長鵬曾在接受 DeepTech 專訪時表示, ”安 全”是幣安最核心的兩大優勢之一 。他說,”我們在速度上有絕對的優勢,另外就是安全上一直非常穩定,這兩塊是幣安很核心的優勢。”
當時他就向 DeepTech 直言, 幣安”絕對是黑客最大的攻擊目標” 。據其指出,幣安創立以來不斷遭受大量攻擊,有些時候運氣好可以幾天不被攻擊,但不好的時候,一天被攻擊次數甚至多達 10 次、20 次,且攻擊力道非常猛烈。
而這次事件是在北京時間 5 月 8 日凌晨,趙長鵬通過推特表示,幣安需要進行一些計劃外的伺服器維護,這將影響到資金的存取,約持續幾個小時,但不會影響到交易。並表示大家不必驚慌(No Need to FUD),資金是安全的(funds are #safu)。
幾小時後,幣安釋出公告稱,北京時間凌晨 3 點左右,其發現了交易所存在大規模的安全漏洞(large scale security breach)。惡意攻擊者(maliciousactors)使用了一系列技術手段:釣魚、病毒以及其他攻擊方式,獲取了使用者的 API 金鑰、二步驗證碼以及”潛在的其他資訊”(potentiallyother info)。
據區塊瀏覽器 Blockchain.com 上一段交易記錄, 黑客從中盜取了 7000 枚比特幣,價值約 4100 萬美元 。
該公告進一步指出,可能還有一些受影響的賬戶尚未被識別到。此次漏洞僅影響到了幣安熱錢包中的比特幣,大約佔其持有的比特幣總量的 2%,且以上交易是唯一受影響的交易。
公告顯示,該筆交易完成後觸發了系統內部警報,隨後幣安立刻停止了所有的提現。 在接下來的一個周 中, 幣安將進行”全面的安全檢查”,資金的存取都將被暫停,而交易將會繼續 。不過趙長鵬在公告中有警告使用者”黑客仍有可能控制部分賬戶”。
“我們所有的其他錢包都是安全無損的,”趙長鵬在幣安的公告中如是說道,他進一步補充,”黑客們耐心地進行等待,並在恰當的時機以多個看似獨立的賬戶,實施了準備充分的盜竊。該筆交易的結構通過了我們現有安全系統的檢測。很不幸的是,我們並沒有能在事發前順利阻斷這筆交易。”
16 層防護失靈,黑客如何滲透幣安?
“沒能在事發前順利阻斷這筆交易”,究竟意味幣安的安全機制出現了什麼程度的失靈呢?
趙長鵬曾透露, 幣安在安全機制設計上有 16 層防護,”目前為止(指受訪當時)最多隻被攻擊觸及到第 3 層” 。這 16 層防護分成很多不同維度,包括業務安全、物理安全、網路安全等,每個維度再進一步分層,所以總計自我定義出16 層。
理想上,是在外來攻擊開始滲透第 1 層、第 2 層的時候,幣安就能夠察覺並加以處理。但此次攻擊事件說明, 幣安的安全機制雖多達 16層,但仍有可滲透攻擊的漏洞 。
據區塊鏈安全公司北京鏈安對媒體分析,幣安此次失竊可能是因為內網遭受黑客的長期 APT 滲透,而非單個或者批量使用者被釣魚病毒入侵導致,且被盜的 7000 多個比特幣散落在 40 多個黑客控制的錢包地址當中,並沒有發生轉移。
另一區塊鏈安全公司 Peckshield 隨後跟進稱,共有 7074 枚比特幣失竊,其被儲存於 20 個主要地址中,並未進一步擴散。
成都鏈安深度分析後認為,黑客是通過 API 介面在同一時間發起了提幣操作,而使用者的 API key 和 Secret key 可能洩露,由於有些使用者可能沒有配置對 IP 的限制和開放提現功能的限制,因而黑客得以繞過驗證碼、簡訊和二步驗證碼等安全措施提現。
成都鏈安還進一步指出了使用者洩露資訊的可能途徑:
1、普通使用者一般不會使用 APIkey,一般是高階使用者用於程式碼中實現自動化交易,可能是使用者原始碼洩露導致 API Secret key 洩露;
2、使用者被釣魚攻擊,輸入了 APIkey 和 Secret key 被黑客擷取;
3、使用者的 API key 和 Secret key 儲存的電腦被攻擊竊取;
4、幣安交易所繫統原因導致使用者 APIkey 和 Secret key 洩露,其中只有 71 個使用者開放了提現功能,被盜幣。
據趙長鵬表示,包括 Coinbase 在內的一眾交易所表示,會將可能的黑客地址拉入黑名單,以阻止其將資金存入別的交易所。趙長鵬在推特上@了 Coinbase,並對包括 Coinbase 以及其他交易所在內的同行表示了感謝。
如何賠付相關損失?
關於使用者損失的賠付方面,公告指出,其將使用”使用者資產安全基金”(SecureAsset Fund for Users, 又稱 SAFU)來賠付使用者損失。該基金成立於 2018 年 7 月 3 日,資金來源是客戶交易手續費的 10% 的劃轉,其成立初衷在於在極端情況下(in extreme cases)保護幣安的使用者。該基金的相關資金都儲存在幣安的冷錢包中。
一些業內人士在事發後立即表示願給予幣安資金支援,不過趙長鵬在推特上予以婉謝,表示幣安感謝各路人士和機構的支援,但幣安有足夠的資金來賠付客戶的損失。
他說,幣安只是受損了,但並沒有破產(We're hurt,but not broke)。並進一步表示,幣安的慈善事業仍在推進,如果想要資助的話,可以考慮下資助慈善專案(Our Charity efforts will continue, please consider to donate to those)。
不過有媒體估算,幣安 SAFU 基金成立至今共約 10 個月時間,累積金額應不到 2000 萬美元,遠低於此次損失的 4100 萬美元。若此一估算為真,則 SAFU 或不足以賠付此次使用者的損失。
一度考慮區塊回滾彌補損失
另外,值得注意的是,據趙長鵬在推特所言, 他曾一度考慮採用區塊回滾來彌補損失 。
從推特相關討論來看,有網友主動建議幣安採用區塊回滾的方式來彌補損失,比特幣核心開發者 Jeremy Rubin 也在推特上向趙長鵬提出了類似建議,趙長鵬迴應稱將謹慎考慮這一建議,而 Primitive Venture 的合夥人 Dovey Wan 則表示其在詢問了一些大的礦池後發現這並非一個可行的方案。
不久後,趙長鵬在推特上表示,經過同包括 Jeremy Rubin 、Prestwich、Bcmakes、Hasufl 以及吳忌寒等在內的多方討論後, 幣安決定不採取回滾區塊的方式來彌補損失 。並羅列了如果採用回滾區塊的方式後,其帶來的優缺點。
據他指出,優點包含:1. 我們可能通過給予礦工費用來”報復”黑客;2. 阻止未來可能的黑客攻擊;3. 探索比特幣網路如何應對這類問題的可能性。
而缺點則包含:1. 破壞了比特幣網路的公信力;2. 造成比特幣網路和社群的分裂。這些傷害超過 4000 萬美元。3. 黑客證明了我們的設計以及使用者間存在的弱點,而這在以前是不明顯的。4. 儘管這對我們來說是個昂貴的教訓,但它不僅是個教訓。保證使用者的資金安全更是我們的責任。
儘管趙長鵬很快表示放棄此一方案,但相關討論已帶來大量爭議。因為, 此一方案若真的付諸實行,無論成功與否,對於加密貨幣去中心化的精神都是一大打擊。
不過,相較於去年 3 月,幣安遭遇黑客攻擊後,引發市場恐慌效應,比特幣在不到 2 小時內就大跌了 1,000 美元。本次加密貨幣市場反應則是相當平淡。
截止 8 日下午發稿時間,除了幣安幣(BNB)在過去 24 小時錄得約 6% 的跌幅,市值前十名的其他幣種雖普遍下跌,但幅度並不大,比特幣僅錄得 0.55% 的跌幅。
-End-
座標:北京·國貿
聯絡方式:[email protected]
請隨簡歷附上3篇往期作品(實習生除外)
點選閱讀原文了解題跋派 ↓↓↓