TOK:半年時間，黑客大盜們是如何盜走交易所4億價值的數字貨幣的？_區塊鏈dapp開發教程

最近，數字貨幣交易平臺此起彼伏的被盜事件強制霸屏各家媒體頭條，其中全球排名前十的數字貨幣交易平臺幣安更是被黑客盜取7000BTC，這一重大安全事故瞬間引起了科技媒體的注意，讓久違的數字貨幣交易平臺安全問題再次回歸大眾視野。哪些漏洞導致了這些交易平臺被盜呢？又有誰能保證用戶的資產安全呢？一、交易平臺被盜事故復盤2019年至今數字貨幣交易平臺官方公布被盜的共有8家，只有3家對用戶進行了官方賠付，1家為平臺自有資產。其中安全問題突出的Cryptopia一個月內被盜2次，現正處于維護狀態。

平臺被盜原因有交易平臺官方錢包遭侵入、hard_fail、驗證碼劫持、私鑰被盜、多種攻擊手段混合等，歸根結底被盜交易平臺的原因主要分為2大類。一類是平臺自身的技術風控防御系統缺陷，黑客利用安全漏洞入侵平臺偷盜數字貨幣；另一類是平臺內部制度缺位問題，造成用戶個人信息被竊取，特別惡劣情況下，甚至出現泄露買賣個人信息現象。二、平臺風控防御系統缺陷數字貨幣交易平臺技術風控系統缺陷，主要是沒有進行安全攻防測試，以及沒有布署安全防御系統。沒有進行安全測試的數字貨幣交易平臺比如像Mercatox，黑客就利用hard_fail轉賬交易獲得平臺服務器“信任”，不難看出平臺方的技術審核測試能力不足，才會導致發生此類低級安全事故。如果平臺在合約上線前尋求第三方機構做好安全檢測，數千枚EOS也不至于被盜。當然安全測試存在缺陷的交易平臺只是極少數，不過這一環節還需加強重視。

李笑來：馬斯克小半年前就開始囤幣了:李笑來在微博發文表示，馬斯克造車的時候，國內的企業家忙著做手機，說那是下一代終端；幾年過去，國內一窩蜂造車，想盡一切辦法黑特斯拉。馬斯克小半年前就開始囤幣了，再過幾年，這些跟風的只能開始干啥呢？[2021/5/1 21:15:58]

大部分交易平臺主要在風控防御系統部署上存在不足，比如幣BiKi、幣安等。BiKi事后官方公告中就指出，黑客通過劫持用戶第三方服務商驗證碼短信，從而攻擊部分沒有綁定谷歌驗證碼的用戶。這里就暴露其自身風控系統存在問題，一是忽視單一驗證用戶被劫持情況，二是沒有對修改登錄和交易密碼的賬戶進行一定時間段的提現和交易限制，三是沒有樹立用戶安全防范意識。所幸的是BiKi當時沒有對這些提現審批完成，不然損失將進一步擴大。數字貨幣交易平臺與互聯網金融企業相比風控防御系統存在不足。以幣安為例，雖然幣安使用SAFU基金承擔本次事故全部損失避免了用戶的損失，但是這種賠付并不完善，無法應對更大范圍的安全事故賠付，此次事故發生的主要原因是風控防御系統存在不足。首先幣安應對大規模系統性攻擊防御能力不足，黑客如何獲取大量用戶API密鑰谷歌驗證碼的呢？大量用戶密鑰被獲取非一日之功，如果黑客是網站釣魚獲取用戶賬號、密碼等資料，幣安為何早前沒有發現仿冒幣安的網站URL地址以及頁面內容，還是說沒有發現黑客利用幣安官方網站服務器程序上的漏洞在站點的某些網頁中插入危險的HTML代碼呢？此外疊加病等其他攻擊手段的復合型攻擊防御技術手段不足。

沈陽市渾南區下半年將積極培育區塊鏈等新產業:8月4日，沈陽市渾南區召開中共沈陽市渾南區委一屆十二次全會。下半年，渾南區將積極培育大數據、云計算、人工智能、區塊鏈等新產業，加快發展互聯網+、5G+、文化+、在線游戲視頻等新技術，扎實推進智能機器人、半導體薄膜、數字醫療等產業基地建設，著力打造智能工廠、數字化車間示范項目，年底前重點園區、商圈、景區實現5G全覆蓋，落地5G應用項目5個以上，搭建工業互聯網平臺8個以上，加快形成數字經濟生態圈。（沈陽晚報）[2020/8/5]

其次幣安的風控存在重大問題。被盜的7000BTC雖然只占幣安官方公布總持有量BTC的2%，但這并不能掩蓋幣安平臺在提現審批轉賬上的風控問題。三、內部制度缺位問題此前在《IPO前后大轉變，交易所為何尋求“合規”》一文中指出，數字貨幣交易平臺擁有多重身份。Bithumb平臺被盜更反映出在多重身份之下，內部制度上存在職能缺位問題。Bithumb平臺官方表示此次異常出金事件不是因為遭受外部的攻擊，初步認定為內部員工盜用保管數字貨幣的“私鑰”。這種情況反映出Bithumb平臺內部職能崗位集中過多權力，內部沒有進行必要的職能分解，建立必要的監管制衡制度，才會導致內部員工利用掌握的完整“私鑰”轉移數字貨幣資產，發生監守自盜行為的行為。

現場 |?劉權：2019年上半年區塊鏈專利公開量猛增但申請量驟降:金色財經現場報道，8月24日，2019海創鏈無邊界創新論壇暨周年慶典在青島舉辦。工信部賽迪區塊鏈研究院院長劉權現場指出，目前我國區塊鏈發展狀況，從政策數量來看，國家政策數量快速增加，地方政策數量穩步增長；監管體系方面，國家監管主體權責明晰，地方金融監管發力跟進；應用推廣方面，國家層面積極部署，地方政府加快落實。截止今年上半年，產業鏈條不斷完善，產業規模穩步增加，已經提供實際服務企業達到704家；優秀企業備受青睞，資本注入持續升溫；區塊鏈優勢逐漸顯現，帶動作用效果明顯；聚集要素逐漸積累，產業園區不斷壯大。技術角度來看，我國區塊鏈專利公開量猛增，申請量驟降；區塊鏈加速與云計算、大數據、物聯網技術融合；區塊鏈底層架構性能逐漸優化；區塊鏈底層共識方案逐漸完善。應用層面來看，公鏈和金融經濟效益較好；社會效益來看，公益慈善領域穩步發展，醫療領域應用逐步落地。[2019/8/24]

這并不是數字貨幣交易平臺權力過于集中的孤例，加拿大數字貨幣交易平臺QuadrigaCX就因創始人杰拉爾德·科頓去世，欠下客戶1.9億美元，大部分資金已無法訪問，最終破產，這都是數字貨幣交易平臺職能崗位權力過于集中給平臺和用戶帶來的傷害。

動態 | 區塊鏈初創公司上半年共獲8.22億美元投資 159筆為種子輪階段:據The Block 7月2日消息，風險投資公司Outlier Ventures發布報告稱，2019年上半年區塊鏈初創公司共獲得 8.22億美元投資。該金額系279筆獨立投資總和，其中159筆投資為種子輪階段。Outlier Ventures認為這表明盡管加密貨幣市場處于熊市，但生態中的創業熱情并未下降。此外，企業不再建立概念證明，而是推出完全開源的開發項目，例如安永、摩根大通、Target都在過去六個月內發布了開源代碼。盡管監管活動有所增加，加密貨幣交易所仍在繼續成為投資者的熱門標的，例如交易所Bithumb獲得了 2 億美元的投資。[2019/7/3]

另一方面也可以看出Bithumb內部責任制度缺失，未防止不負責任的員工或離職員工利用職務工作所需獲取的資料危害平臺。應對內部人員獲取使用內部資料進行申請審核授權并登記備份，誰濫用內部資料危害平臺，誰就要為這種行為的后果承擔責任。四、個人應如何防范賬戶密碼被竊取除了數字貨幣交易平臺需要提升風控防御系統和改善內部制度以外，個人投資者又應該如何防范賬戶密碼被竊取，甚至導致數字資產損失呢？就這一問題，RatingToken安全技術人員指出個人投資者需要密切注意以下6點：1.在登錄銀行、交易所、錢包等網站時，一律使用帶https開頭的安全鏈接；2.手機、電腦、硬件錢包等聯網設備不隨意使用第三方不明Wifi；3.前提許可的情況下，必須安裝防護殺軟件，拒絕“裸奔”；4.網頁、APP出現異常情況時，及時確認和終止重大操作；5.不打開來路不明的插件、郵件、鏈接；6.大額數字貨幣資產盡量轉到知名可靠的冷錢包。技術合作伙伴：官網：ratingtoken.ioRatingToken基于區塊鏈項目數據對數字貨幣和ICO評級,提供最新最全的數字貨幣和ICO的排行榜單,以及虛擬貨幣的研究報告和加密貨幣的新聞。RatingToken安全團隊已有50多人規模,其中大數據、人工智能和區塊鏈研發人員占比90%以上。團隊成員大多來源于著名安全殺軟件金山霸團隊。RatingToken延續金山安全的技術實力,致力于區塊鏈安全領域,提供智能合約審計等安全服務。

Tags：數字貨幣區塊鏈GTOTOK數字貨幣交易所開發價格區塊鏈dapp開發教程shengtongcoinKind Ads Token

ETH