“知丈之堤,以螻蟻之穴潰;百尺之室,以突隙之熾焚。”
——《韓非子·喻老》
安全漏洞之于加密貨幣交易所,就像蟻穴之于長堤,星星之火之于木屋,一旦疏忽就可能功虧一簣。
在交易所與黑客之間曠這場曠日持久的“暗戰”中,交易所時刻如履薄冰。即便這樣,2019年上半年以來,交易所被盜事件依舊頻繁發生。全球范圍內,知名交易所丟幣與信息泄露事件就有14起,被盜金額超過1.4億美金,超過1億條用戶信息遭到泄露。
服務器故障、釣魚鏈接、安裝包后門、API秘鑰與2FA代碼泄露、交易所底層漏洞、交易所二次審查漏洞、內部員工泄密等等,這些也許你根本沒聽到過的名詞,都有可能讓交易所瞬間陷入破產邊緣。
發生在8月23日的亞馬遜旗下AmazonWebServices(AWS)緩存系統問題就是最鮮活的反面案例,該事件導致眾多交易所交易出現充提幣業務受阻、價格異常,也讓一些交易所因此蒙受損失。有網友表示,”以0.3美元成交了40多枚BTC“,戲稱“暴富就在5分鐘完成”。
交易所面對這些強大的“黑暗勢力”的威脅又該如何應對?目前加密世界的安全形勢究竟又是怎樣的?BISS交易所又是如何規避這些風險的?
1、14起黑客事件,損失近10億
“交易所漏洞很多,它們不太注重安全。通常情況下,9成漏洞是在沒有意識的情況下暴露的,而現在交易所的漏洞,9成是因為配置不當造成的。數字貨幣領域的交易所,幾乎都存在在大大小小的安全漏洞。”
慢霧:Nomad事件中仍有超過9500萬美元被盜資金留在3個地址中:8月2日消息,慢霧監測顯示,Nomad攻擊事件中仍有超過9500萬美元的被盜資金留在3個地址中。其中0xB5C55f76f90Cc528B2609109Ca14d8d84593590E中仍有1084枚ETH、120萬枚DAI、103枚WBTC等約800萬美元的加密資產,該地址也負責將1萬枚WETH轉移到另一地址以及將其他USDC轉移;第二個地址0x56D8B635A7C88Fd1104D23d632AF40c1C3Aac4e3目前仍有1.28萬枚ETH、1.02萬枚WETH、80萬DAI等約4700萬美元的加密資產;第三個地址0xBF293D5138a2a1BA407B43672643434C43827179在收到3866.6萬USDC后兌換為了DAI,目前有約3970萬美元的加密資產。
目前慢霧經過梳理后,無法將地址3與其他兩個地址連接起來,但這些攻擊具有相同的模式。[2022/8/2 2:53:04]
近期,以擅長挖掘交易所漏洞著稱的白帽黑客Chris_L在DVP大賽上這樣說道。按照Chris_L的說法,加密貨幣交易所安全問題仍然十分嚴重,大多數漏洞都是交易所在“配置不當”導致的。
大量出現的交易所安全事件印證了Chris_L的說法。2019年上半年以來,知名交易所丟幣與信息泄露事件就有14起,被盜金額超過1.3億美金,超過1億條用戶信息遭到泄露。
通過觀察業已發生的交易所安全事件,可將這些盜幣事件分為三類:一類是平臺自身的技術風控防御系統缺陷,黑客利用安全漏洞入侵平臺偷盜數字貨幣;第二類是平臺安全教育不到位,內部人員操作不當導致黑客入侵內部系統;第三類是交易所泄露客戶信息,特別惡劣情況下,甚至出現惡意買賣個人信息現象。
江卓爾:往DeFi里押幣最后必然被盜一空:萊比特礦池創始人江卓爾剛剛發微博稱,DeFi只適合做去中心化交易所。任何稍有程序開發經驗的程序員都會告訴你:只要是程序,就必然存在BUG。所以往DeFi里面押幣的,最后必然被盜一空。被盜一空毫無懸念,懸念只是多久發生BUG被盜一空而已。[2020/7/30]
對弈第一種安全事件而言,黑客一般利用釣魚鏈接、API秘鑰與2FA代碼泄露、交易所底層漏洞、交易所二次審查漏洞等等方式盜幣。
以2019年5月份某知名交易所被盜7047枚比特幣為例,由于交易所本身安全漏洞,導致黑客能夠獲得大量用戶API密鑰與2FA代碼,在比特幣區塊高度575012處從交易所熱錢包中盜取了7074枚BTC。按照當時比特幣價格6000美金計算,這筆資產價值超過4000萬美金。
今年6月份凌晨,黑客利用某交易所風險控制團隊二次審查過程中的一個漏洞,攻擊進入交易所熱錢包,將930萬XRP和250萬ADA盜走。這些加密貨幣在價值300萬美金。
除此之外,交易所安全教育不到位,也有會導致安全事件。
今年3月末,某交易所客服從陌生人處獲取并打開了一個帶有后門的“交易軟件”安裝包,攻擊者通過此安裝包內后門獲取內部人員權限滲透進內網進而成功獲取數字貨幣錢包私鑰。此次攻擊導致交易所損失財產超過600萬美元。對交易所幾乎造成了毀滅性打擊。
除了以上,近期交易所信息泄露事件也逐漸增多。
2、上億條信息泄露,信息安全迫在眉睫
分析 | 幣安被盜BTC中第三個關鍵地址異動,黑客連續三天密集洗錢:據PeckShield數字資產護航系統(AML)最新數據顯示,繼前兩天幣安被盜7,074枚BTC的2個包含1,060枚BTC地址密集洗錢后,今天早晨06時02分,另一存放有1,060枚BTC 1MNwMURY開頭的地址也出現異動。黑客又以同樣的方式,頻繁打包交易,切碎被盜資金。截至目前,幣安被盜7,074枚BTC分散后的7個主要地址中,已有3個地址共計3,180枚BTC開始密集洗錢,其中大部分小額地址存洗錢成功可能。[2019/6/16]
2019年以來,逐漸增多的交易所客戶信息泄露事件越成為人們日益關注的焦點。從白帽黑客Chris_L近兩年挖掘的交易所漏洞的對比,可以看到,信息泄漏類的漏洞占比顯著提高,從2018年的15.6%上升至2019年的27.3%。
近期出現的交易所信息泄露事件,也充分印證了這個現狀。
今年7月24日,專注于虛擬私人網絡的網站vpnMentor發現,某家數字貨幣貸款平臺超8600萬條用戶私人數據被盜,其中包括完整的個人身份信息、信用卡號碼和信用卡驗證值、銀行賬戶信息,以及用戶加密錢包和交易的詳細數據。
時隔一日,7月25日,瑞典加密貨幣交易所QuickBit發布聲明稱,其數據庫問題導致部分用戶敏感數據被泄露。曝光的信息包括姓名、地址、電子郵件地址和信用卡信息,涉及用戶數量占交易所用戶總數的2%。
在不到一個月之后,8月7日,幣安交易所發生了“KYC”事件。
李啟威評Bithumb被盜:令人感到有望的是Bithumb能對被盜數字貨幣負責:據李啟威最新消息:盡管3000萬美元不是個小數字,令人感到有望的是Bithumb能對被盜數字貨幣負責。我已經說過好多次,聰明點,在交易所上保存那些你經常交易的數字貨幣,在交易完成后應馬上取款。[2018/6/20]
事件爆發之前,幣安收到一位不明用戶威脅,要求幣安以300個比特幣的籌碼,換取他聲稱掌握的關于Binance的1萬個KYC信息。在沒有馬上拿到勒索款后,8月7日,Telegram備注名為“GuardianM”的用戶開始向公眾和媒體傳播相關信息。目前該事件并沒有下文。
當然,近期用戶頻繁收到打著各大交易所名義給用戶打電話、加微信的現象,也充分說明交易所信息泄露并不是個別現象。
頻繁發生的交易所信息泄露事件,讓眾多投資者不堪其擾,各出奇招應對。
“我弄了幾張嶄新的手機卡,準備每張手機卡注冊一家交易所,做好標記封存起來,看看誰會賣掉我的信息。”某位幣圈資深投資者在微博上這樣說道。
出現這些戲現象背后的原因究竟是什么?
3、交易所安全漏洞的根本原因
“的確遇到了很多困難,但是最大的困難還是技術人才的匱乏。經常開玩笑說我們是一邊造飛機,一邊招工匠,而且招來的的工匠以前還是造汽車的。”
擁有騰訊云平臺和某大型券商核心系統的架構設計經驗,同時也是BISS交易所技術負責人王飛,在談到交易所開發過程中所遇到的最大的困難時,這樣“吐槽”道。按照王飛的說法,人才匱乏是交易所面臨的最大問題,安全崗位更是如此。
CoinDash:2萬被盜ETH已找回,產品將如期發布:CoinDash發布公告,此前被盜的2萬ETH已經從黑客所在地址找回,CoinDash產品的發布仍定于2月27日。CoinDash首席執行官Alon Muroch:“我們已通知以色列的反恐網絡恐怖組織,黑客的以太坊地址將繼續被追蹤和監控以發現任何可疑活動。”[2018/2/23]
從整個互聯網情況來看,過去幾年安全人員的復合增長率約為6%,但需求的增長實際上是15%。到2021年,全球大概會有350萬個安全崗位無法被填滿,其中存在很大的缺口。從區塊鏈行業角度來看,更是如此。新的區塊鏈項目超過萬家,但是真正提供安全服務的企業不到50家,供不應求。
"我認為交易所是一個50%金融30%互聯網20%區塊鏈組成的系統,然而金融和互聯網似乎又總是存在一個不可調和的方向性矛盾,所以最終我們轉向找優秀的人,聰明的人然后快速培養成需要的人。”針對交易所人才匱乏問題,王飛給出了自己的解決方案。
“這個策略到目前為止是有效的,我們的團隊里面背景五花八門,但是每個人都各有所長,能夠和團隊內其他人形成互補。"王飛說道。
當然,人才匱乏只是導致交易所安全問題的一個方面。交易所之所以容易被盜,還有其它方面的原因導致:
一、交易所安全投入不足:有的交易所圖省事,代碼是買來的,又沒有投入足夠的人力財力對代碼進行安全審計,導致交易所漏洞百出。
二、交易所安全意識不足:眾多項目在生態和技術擴展上沒有把構建完整的安全防護體系作為首要的任務。表現在很多交易所的工作人員沒什么安全意識,隨便下載未知來源的軟件等等。發生在2018年韓國交易所Bithumb被盜事件之后,韓國信息通訊部和互聯網振興院發現了21家交易所大部分存在完全問題,也很能說明這個問題。
三、黑客犯罪成本低:加密貨幣是完全獨立于銀行系統之外的網絡財富,一旦被黑客盜竊,除非數額巨大,否則很難受到法律保護,很渴犯罪成本低。
四、加密貨幣的特殊性:加密貨幣一旦丟失,黑客通過錯綜復雜的洗錢操作之后,很難追回。
信息泄露背后,手機號、郵箱、銀行卡號、省份證信息等都成為黑市有價商品。而交易所漏洞,則將投資者財產置于危險境地。那么針對這些安全隱患,交易所到底應該怎么做?
4、從技術上解決問題,才是王道
BISS交易所自從BISS上線以來,未發生任何一起丟幣、泄露客戶信息事件,那么,面對日益嚴重的交易所信息泄露事件,BISS交易所又是如何做到的?
“BISS交易所將所有的用戶信息置于自己的服務器上。所有對這些數據的訪問,都遵循最小權限原則,即每個程序或管理員的權限精確到每種數據類型,所有對資產數據的寫入操作都將被拒絕,必須通過內建的存儲過程來操作。”王飛說道。
對于像秘鑰、驗證碼這樣的客戶敏感數據,都被存儲在HSM可信區內生成和存儲,這些敏感數據根都被用戶自己持有的密碼保護。所有離開機房的用戶數據,都會被脫敏處理,存儲設備將會被多次消磁處理。
“有了以上保護措施,即使BISS系統管理員也沒有權限更改和重置這些數據。“在總結BISS交易所的客戶信息安全防范措施時,王飛這樣總結道
其次,對交易所而言,資產安全與信息安全同等重要,而交易所風控又與交易所資產安全緊密相關。那么BISS交易所又是如何做好風控體系的?
”以提現為例,今年上半年很多用戶都在吐槽‘自動提現那么簡單,很多更小的交易所都能支持,為什么你們不行?‘。其實,自動提現在技術上就是一個開關而已,但難的是’安全的自動提現‘。所以我們在BISS風控系統達到我們認為的安全極限之前,絕對不能自動審核提現。直到六月份,我們這個目標才完成。”王飛說道。
當然交易所自動提現是否開放只是交易所風控是否達標的一個方面。
在王飛看來,交易所的資金安全問題符合“短板理論”,即交易所是一個木桶,資金是桶里面的水,每個幣種就是一塊木板。當某個幣出現資金安全問題的時候,這塊木板就會變短,水就會順著這塊短板流出來。
所以對于交易所來說,任何單點風險都會導致系統性風險,對于一個同時支持上百個幣種和多種交易產品的交易所來說,風控系統必須在梳理清楚所有業務模型的前提下,實現主動或被動的分析與控制邏輯。在王飛看來,要想這個難度甚至超過原有系統的設計和實現,但是BISS一直都在朝這個方向努力。
BISS目前最大的風控力度放在了鏈上對賬風控,即實現系統內資產和鏈上資產的實時對賬,然后用我們自己的一套風控模型參數對對賬結果進行參數化控制和輸出,控制自動提現和其他多個資金下游業務。這個邏輯聽起來很簡單,但是兩邊的資產清算都存在大量分支和條件邏輯,系統調教會花費大量精力。為了結果的有效性,風控系統甚至不使用自己私有部署的區塊鏈節點,而從第三方瀏覽器爬取數據,以防止內部節點同時污染錢包系統和風控系統。
這種做法是最“簡單”,但也是最有效的,因為最終會導致交易所損失的,就是鏈上資產少于系統資產。不管是內部攻擊、外部攻擊、鏈上攻擊,都繞不開這一點。
除此之外BISS交易所系統內也設置了二次清算、交易資產回溯、敏感操作審計、資產操作陷阱等多個子風控模塊,應對可能發生的各種風險場景。
最后,針對今年3月份,Bithumb發生的疑似內部人員與黑客勾結盜取交易所資產事件,BISS又是如何應對這種現象的?
“我們內部把BISS的錢包方案叫做“無秘鑰”方案。基于全球Top1提供商的HSM硬件加密模塊二次開發而成,很巧妙的將私鑰分離成數據和算法兩部分分開管理。HSM保證了私鑰永遠不可能被讀取,算法程序一旦升級,所有秘鑰會被立即清除,必須重新授權恢復。”王飛介紹道。
也就是說,BISS的秘鑰不可能對外泄露。
但是,對于加密貨幣而言,與銀行資產最大的區別就是擁有唯一的秘鑰,BISS的秘鑰是如何內部保存的?
“BISS冷錢包和熱錢包其實是同構的,基于HSM提供的備份能力,將秘鑰分散到多張IC芯片卡內,每張卡片由保管人設置口令,超過半數的卡片即可恢復完整秘鑰。”
冷錢包秘鑰恢復后,HSM一但關機或重啟,秘鑰數據同樣會被立即清除,從根本上杜絕了任何泄露的可能。”
由于整套方案的設計實現使用了大量非常規的技術手段,對接起來異常繁瑣,導致我們的項目嚴重延期。團隊內我們經常開玩笑說,就算有人黑進我們的系統,并且獲得了所有設計資料,可能也需要兩個月才能把協議調通,因為我們自己也花了這么長時間。“王飛總結道。
——————
對加密貨幣交易所而言,與黑客之間的對抗就是一場沒有硝煙的戰爭、沒有退路的攻守道,任何一次防守失敗都有可能導致“千里之堤,潰于蟻穴”。
對交易所而言,風控安全不可“畢其功于一役”,而是時刻保持“枕戈待旦,如臨大敵”。
親愛的KuCoin用戶:作為全民的交易所,KuCoin一直秉承著為用戶創造價值的愿景。為了給KuCoin平臺上的Loki(LOKI)持幣用戶帶來更多收益,KuCoin將推出LOKISoftSta.
1900/1/1 0:00:00巴比特現場報道,美國當地時間8月24日上午,“2019比原鏈全球開發者大會”在美國舊金山FortMasonCowellTheater正式開幕.
1900/1/1 0:00:00親愛的用戶: 胖比特國際站已上線項目V-ID(VIDT)并支持VIDT/ETH交易對,現已開放交易.
1900/1/1 0:00:00分享時間:2019年8月23日17:00分享主題:BiKi與項目彼此賦能,改寫行業格局!微信社群:羊駝區塊鏈VIP學習群主持人:瀟瀟,引擎資本品牌VP分享嘉賓:Jme.
1900/1/1 0:00:00本文觀點僅代表個人,僅限交流學習,所有內容不構成任何投資建議。想及時了解更多行情信息,請添加官方進群:jiamibaoluo近期的市場情況,總體是處于一種頻繁震蕩的局面.
1900/1/1 0:00:00親愛的大幣網(Dcoin)用戶,PERL將于8月26日上線大幣網(Dcoin),具體時間安排如下,邀請您體驗!8月26日20:00PERL開放充幣8月26日20:00PERL/USDT開啟交易.
1900/1/1 0:00:00