ITF:2019年13家交易所被“黑” ：邪惡的幽靈真的無法避開？_digifinex安全嗎

9月2日，BITKER交易所的用戶群里傳來一條消息：

BITKER交易所于2019年5月28日不幸遭遇黑客攻擊，盡管我們進行了長達3個月的補救工作，但很遺憾最終未能改變現狀。由于資不抵債，我們決定關閉交易所。

投資不易，且行且珍惜。

公開資料顯示，BITKER于2017年12月成立于新加坡，專注于打造“一站式數字資產交易所”，其在非小號的綜合排名最高到達11名，今年5月遭遇黑客攻擊停運，BITKER的記錄最終停止在了9月3日。

誠然，交易所作為加密貨幣領域的基礎設施，自誕生以來便是兵家必爭之地，但同時也是常受黑客光顧的領地之一。根據BCSEC數據顯示，從2011年到現在統計的易受攻擊點被攻擊次數中，交易平臺排在第2位。

2019年已有13家交易所被攻擊

悉數歷史上的各大交易所，在被黑客攻擊之后，他們都做了什么？后來又怎么樣了？面對這些看不見的對手、邪惡的幽靈，交易所究竟是坐以待斃還是主動出擊？

破產倒閉

說起破產倒閉的交易所，最著名的當然還是Mt.Gox。

2014年2月7日，當時規模最大的交易所Mt.Gox發布公告稱“系統出現漏洞，不解決這個漏洞的話，交易細節可能會被篡改，比如，在沒有比特幣轉賬的情況下，系統中可能會顯示用戶將比特幣轉入可電子錢包。”

同年2月24日，Mt.Gox宣布暫停所有交易活動，當時訪問Mt.Gox網站只留下一個空白頁面。

調查：2019年加密對沖基金總資產管理規模翻倍，近一半基金投資者為家族辦公室:根據普華永道和投資公司Elwood Asset Management的最新調查報告，以加密貨幣為中心的對沖基金的資產管理規模（AUM）在2019年激增。加密貨幣基金的總資產管理規模從2018年底的10億美元增至去年年底的20億美元以上，平均每只基金的資產管理規模從2190萬美元增至4400萬美元。在2019年全年，全權委托的多頭基金（Discretionary long-only funds）表現最好，平均收益為42％，漲幅中位數為40%。全權委托的多頭/空頭基金的平均漲幅和漲幅中位數均為33％，而多策略基金的漲幅中位數為15％。另外，量化基金的漲幅中位數增長了30％，平均收益高達58%。

有97％的受訪者表示他們管理的基金中包含比特幣，而67％的受訪者管理包含有以太坊的基金，管理包含萊特幣、比特幣現金和EOS的受訪者分別占38％、31％和25％。家族辦公室占對沖基金投資者的48％，而高凈值個人占42％，其余為基金會、風險投資基金或組合型基金，沒有受訪者提到養老基金。（彭博社）[2020/5/11]

不過，根據當時網絡上流傳的一份文件顯示，Mt.Gox被黑客盜取了744408枚比特幣，這一損失多年來都未被發現。此外，除了這近75萬枚比特幣之外，平臺自身的10萬枚比特幣亦被盜，合計丟失了將近85萬枚比特幣。按當時的幣價，這波損失約在4.7億美元左右。之后，2月28日Mt.Gox無奈申請了破產。

被制裁比特幣OTC兌換商洗錢行為或早于2018年6月開始:北京鏈安Chainsmap監測系統就比特幣OTC兌換商被美財政部制裁披露的相關信息分析發現，涉及相關案件的洗錢行為主要起始于2018年6月，一筆3800枚比特幣的交易是相關洗錢活動的至少一個起點，此后不斷轉賬，過程中主要以數十枚BTC為單位剝離流入coincola、LocalBitcoins等交易所中相關充值地址，這些地址已經在美官方披露的信息中公開。

據數據分析師SXWK表示，我們還發現匯集最初巨額比特幣的交易來源于HitBTC交易所，這些交易于2018年6月25日到7月5日間匯集，為此后的洗錢做好了準備。鑒于此前相關黑客組織曾經竊取多種數字貨幣，我們也不排除其在某些交易所先做了與比特幣的兌換，進而進行后續洗錢工作。這也充分說明，當前基于數字貨幣的洗錢行為已經是一個跨幣種、跨交易所的專業性工作，行業急需專業的反洗錢技術支持，以及聯防機制。[2020/3/3]

從出現問題到倒閉，Mt.Gox只堅持了21天。時至今日，法院還在對其進行破產清算，并最終決定對客戶的賠償措施。

除了Mt.Gox之外，還有許多因為黑客攻擊而受到毀滅性打擊的交易所。BitFloor便是其中之一。

BitFloor自2011年開始運營，在當時可以算得上是全球第四大美元交易所。2012年9月4日，BitFloor的運營商報告了安全漏洞，2.4萬枚比特幣被盜。次年4月，其創始人決定關閉BitFloor，并向客戶退還存款。

動態 | 2019年上半年全國各地共發布106個涉及區塊鏈的扶持政策:據東方網報道，相關數據統計，2019年上半年各地共發布106個涉及區塊鏈的扶持政策，福建各地僅次于廣東、浙江，以10項政策排名全國第三。而截至目前，福建省共有12家企業進入國家網信辦境內區塊鏈信息服務備案，排名全國第六位。[2019/11/16]

與之類似的還有Bitcoinica、Vircurex，以及文章開頭提到的BITKER。

苦盡甘來

除了那些因遭受攻擊而黯然消失的交易所，還有很多交易所雖然遭受了黑客攻擊被盜幣，但是并沒有走上破產之路，而是頑強地生存了下來。

這里最典型的是Bitfinex。

2016年8月，最大的比特幣交易所之一Bitfinex被黑客避開了多重簽名之后盜走了119756個比特幣。這是繼Mt.Gox熱錢包被盜后發生的第二大交易所被盜事件。諷刺的是，Bitfinex進行軟件升級本是為了提高安全，卻沒想到軟件內含有漏洞。

時至今日，沒人清楚黑客是如何避開多個簽名盜走比特幣的，最主流的解釋是Bitfinex服務器安裝了不合適的軟件。Bitfinex當初使用的是BitGo提供的多簽交易軟件。

不過這件事情中，最受爭議的是Bitfinex在被盜之后的處理方案——平臺被盜損失必須先平攤到所有用戶賬戶，即每個在Bitfinex擁有賬戶的用戶將會被扣除36.067%資金，而不管這個賬戶的比特幣是否受到損失。同時，Bitfinex會給每位受損用戶相應數量的BFX代幣，每個代幣能代替1美元，未來可向Bitfinex全額贖回損失款項，也可選擇交換Bitfinex母公司iFinex的股票。

聲音 | 分析師：2017年ICO的繁榮是一個永遠不會復蘇的泡沫:研究分析師拉里?瑟馬克（Larry Cermak）在推特稱，2017年ICO的繁榮是一個永遠不會復蘇的泡沫。 根據研究，到目前為止，首次發行硬幣的美元回報率中值為-87%，而且這個數字還在繼續下降，根據Cermak提供的數據，ICO的繁榮最終因為“創始人和投資者之間的激勵錯位”而破滅。 ICO除了從“不成熟”的散戶投資者那里籌集資金外，許多項目管理不善，根本沒有一個多元化的產品。許多初創公司也失去了運作的能力，因為項目方將大部分資金投入以太坊和比特幣的做法適得其反，然后在2018年價格暴跌。 起初，公開發行代幣是一種革命性的融資方式，讓普通未經授權的投資者獲得了通常留給風險投資家和機構投資者的投資機會。 其缺點是，這種非常規的融資方式讓投資者幾乎沒有法律追索權來對被證明存在欺詐或管理不善的項目提出索賠。[2019/8/9]

盡管這個決定在當時受到了用戶的強烈反對，但是通過代幣進行股權融資，并使用營業額按月賠償客戶后逐步彌補虧空的Bitfinex，最終熬了過來。

類似的還有新加坡交易平臺Bitrue。據Bitrue官方推特發文，在6月27日凌晨1點左右，一名黑客利用了其風險管控團隊在對平臺系統進行第二次核查時的漏洞，侵入了近90個Bitrue用戶的資金賬戶，共損失價值約420萬美元的瑞波幣和艾達幣。

比較有意思的是，作為國人運營的交易平臺Bitrue在之前并不被中國地區的用戶所熟知，而是在北美、歐洲等地區擁有大量忠實、高端的用戶。被盜事件發生后的一周，Bitrue進行安全整頓升級并對受害者提供賠償。因禍得福，Bitrue依靠過往的口碑以及處理該事件的態度促使它開始進入國人視線。

Kyber Network：2018將上線金融衍生品服務并在年中的時候實現跨鏈交易:日前Kyber Network創始人TN Lee接受采訪時表示，Kyber Network將在2019年初上線金融衍生品服務并在年中的時候實現跨鏈交易。[2018/2/3]

安全一再升級

所謂“樹大招風”，一些頭部交易所也因此成為黑客攻擊的重點對象。

今年5月8日，全球頭部加密貨幣交易平臺Binance幣安被盜7074枚比特幣，按實時幣價估算，損失超過4100萬美元。根據區塊鏈數據和安全服務商PeckShield的分析，此次事件的攻擊手法是黑客通過釣魚等方式搜集幣安用戶賬號信息，然后采用71個賬號并發API提幣操作于塊高度575013處實施了攻擊。事后Binance幣安立刻宣布全額賠償用戶損失，并對相關的安全措施、程序和操作進行重大完善。

事實上，這并不是幣安第一次被黑客攻擊。

2018年3月，黑客通過非法入侵幣安用戶的賬戶，將用戶各種各樣的代幣即時幣幣交易換成比特幣，將加密貨幣全部幣幣交易換成BTC，數量達1萬個BTC以上。黑客使用API交易機器人用這些BTC大量買入VIA幣，VIA的價格直接被拉高了100倍以上，然后拋售來控制幣價。

同年7月，幣安第2次遭遇黑客攻擊，攻擊方式類似第一次。慶幸的是，這兩次攻擊事件沒有給幣安及其用戶帶來實質性的損失。

除幣安之外，韓國最大的交易所Bithumb近年來也頗受黑客“青睞”，2017年6月、2018年6月和2019年3月都曾被盜幣，損失慘重。

邪惡的幽靈：交易所是坐以待斃還是主動出擊？

細數過往被黑客攻擊過的交易所，他們被攻擊的形式和原因各不相同。面對這些看不見的對手、邪惡的幽靈，交易所究竟是坐以待斃還是主動出擊？

OKEx認為，黑客攻擊主要來源有兩個方面，一方面是針對外部的網絡和服務的攻擊，另一方面是針對內部員工的apt攻擊等。

針對外部的網絡和服務的攻擊：

針對外部攻擊，首先要規劃好網絡環境，做好隔離，防止因為一臺機器被攻擊，導致交易所被一鍋端。同時以攻擊面最小化原則，嚴格控制對外開放的IP、端口和服務等。有能力的交易所還是要定期請專業的安全公司，做好代碼審計和滲透測試，及時發現、修復安全漏洞，避免漏洞被黑客發現并利用。

其次要做好業務安全，對用戶身份進行嚴格的校驗，注重用戶隱私保護，防止用戶因信息泄漏，被欺詐等。還要依托內外部的力量，及時發現像釣魚網站、資金對敲等攻擊行為，及時封禁止損。

針對內部員工的apt攻擊防范：

如果是對內部員工的apt攻擊，則需要從客戶端安全，網絡劃分，安全意識，權限管理，管理制度等多個層面進行防御：對員工進行信息安全教育，減小員工被釣魚，社工手段騙取賬號，權限等的幾率，減少員工信息泄漏的風險。員工辦公電腦安裝必要的防病軟件，防止員工電腦被掛馬，勒索等。公司內網做好網絡劃分和隔離，防止員工電腦被黑客控制后進行橫向移動，可以有效控制被攻擊范圍。公司辦公網接入，vpn等使用雙因素認證等，防止用戶賬號泄漏導致黑客直接撥入辦公網。

內網重要的服務器要做好隔離，登錄雙因素，權限控制等，賬號權限回收等，防止因為權限過高導致的信息泄漏。

同時各項審計和監控也要做好，對日志進行集中存放，處理，告警等，以方便事后進行排查，確認被攻擊情況。

BHEX創始人&CEO巨建華對金色財經表示，

交易所的安全是一個非常復雜的問題，因為加密資產匿名性導致損失的資產不可追回，所以交易所的安全風險要遠超過一般互聯網公司和傳統金融公司。大的方面來說，交易所安全問題主要分為技術和業務兩方面，技術方面的安全問題，主是區塊鏈錢包安全、軟件系統安全、服務器網絡安全這三方面；業務方面的安全問題，則主要是業務過程安全和內部治理安全。

目前一般中心化交易所保障安全的方式，還是通過完善業務風控系統，通過冷熱分離、三方多簽等技術來實現加密資產的安全保障。

一般中心化交易所發現被攻擊，多數會停止提幣核查損失，并通過損失的規模來制定來應對方式，如果已經發生的資產損失過大導致交易所無法繼續運行業務，一般都會走破產清算程序。比如兩大知名交易所Mt.Gox和Bitfinex應對風險的方式就完全不同：Mt.Gox因為損失過大，只能通過走日本法院的破產清算程序實現退出；而Bitfinex則是在發生大額被盜后，還能保持營運，采用了債轉股的方式，將用戶的損失轉為了交易所的股權來實現了賠償。其他出現安全問題的交易所就沒這么幸運了，多數出現安全問題的交易所都默默消失在了市場上，用戶的損失永遠無法得到賠償。

交易所安全還有一個很大的問題，就是當出現安全風險和資產后，交易所無法自證清白，不能證明這些資產是真實被盜還是監守自盜，這對交易所的管理和運營方提出了非常大的挑戰。

目前看來，完全去中心化的交易所，將能有效緩解交易所安全技術和業務方面問題，但是易用性和成本的問題將會導致去中心化交易所的用戶規模會長期低于中心化交易所。

計算機行業的安全問題，是從計算機誕生以來就一直伴隨的問題，任何技術防范，都只能減少安全風險發生的可能性，但是無法保證絕對的安全，有效的風險控制措施才是正確的應對之道，當發生安全問題后，能將問題控制在可接受的范圍內，是目前交易所安全方面最正確的做法。

降維安全實驗室給出了更為具體的技術層面的防御措施：

1、使用國際大廠的DDoS防御及CDN分發服務，譬如Cloudflare

使用Keyless服務，保護好自己的私鑰，避免服務提供商竊取敏感數據

隱藏好真實ip地址，避免繞過CDN進行攻擊

2、網站上線前或重大改版后，找專業公司進行滲透測試

3、使用“寬進嚴出“規則，提現進行嚴格審核

4、服務器接入第三方waf服務和其他安全加固服務，防御常見攻擊方式

5、使用“陷阱防御”系統，在黑客攻擊路徑上埋陷阱，及時發現黑客，譬如“面壁人”

6、進行內外網隔離

此外，降維安全實驗室還列出了除黑客攻擊之外的交易所安全風險，如圖：

降維安全實驗室方面表示，要做好多重安全防護以此減輕風險：

1、第一重防護：平臺安全防護。業務上線前必須通過安全測試、內部滲透測試

2、第二重防護：賬戶安全防護。

賬戶安全檢測：防止賬戶被暴力破解；

雙重認證及預警機制，保障用戶資金安全；

大額提幣實行人工審核。

3、第三重防護：錢包安全防護，做好冷熱錢包隔離，保護好冷錢包資產。

4、第四重防護：加強源頭管控，員工接受安全培訓。

結語：

未雨綢繆也好，主動出擊也罷，活下去。畢竟，只有活下去，才能見證未來盛世。

Tags：BIT比特幣ITFFINBIT Game Token比特幣是什么東西為什么這么值錢bitflyer交易所提現要錢嘛digifinex安全嗎

酷幣交易所