新闻快讯
< >

让人后怕的一次数字货币黑客事件

E安全3月10日文 2017年,E小编终于跃跃欲试的在暴利的诱惑下,入手了第一枚比特币,期间经历7000—1.2万——1.4万——1.7万的价格波动,然而小编在1.4万——1.7万区间停下了脚步,尽管比特币一直再涨,小编却一直在亏损。当比特币第一次涨到3万+的时候,E小编无奈流下了悔恨的泪水......但已经没胆量再入手了。到2017年下半年,比特币价格突破10万......体会到了一种扎心的疼。

直到2018年3月7日......仅次于OKEx、交易量排名全球第二的主要数字货币交易所币安(Binance)发生了万万没想到的黑客事件。

让人后怕的一次数字货币黑客事件-E安全

E小编细细研究之后,得出了以下....供曾经的韭菜参考......

一、事件回顾

2018年3月7日,福布斯数字货币富豪榜排行第三的币安交易所大量用户账户异常,黑客通过钓鱼攻击获取了部分用户的账户及密码,但这一次黑客并没有直接将受害者的数字货币提出,他们在1小时内用10000个比特币(BitCoin,BTC)让一个并不怎么火的VIA(Viacoin)币迅速暴涨,将用户的现有货币以市价卖出,兑换成 BTC,并且高价买入VIA币,导致VIA币在几小时内暴涨了110倍。一时间不明真相的散户开始慌乱抛售代币、绝大多数币种(除了比特币及少数几个币种)开始下跌,全球代币交易所也随之震动。

让人后怕的一次数字货币黑客事件-E安全

黑客预判到交易所会立即停止所有账户提现来挽回损失,所以他们最大的利润并不从币安上获取,而是来自于之前在全世界各个交易所上早就挂出的“”,在涨跌之间,轻易完成了韭菜收割。据悉除了币安之外,全球还有9个交易所也上线了VIA。

让人后怕的一次数字货币黑客事件-E安全

事件发生后24小时内,币安交易量高达20亿美元左右,除开黑客的交易量,想必韭菜们在颤抖中也贡献了不少操作。目前受此事件影响,比特币大跌10%。以全球总计1700万个比特币计算,比特币一夜蒸发170亿美元。

让人后怕的一次数字货币黑客事件-E安全

二、智商碾压韭菜,你脱身了吗?

此次事件中的黑客,明显具备丰富的金融知识,在整过行动过程中,有着几乎毫无破绽的资源调度、平台协调能力,这也表明攻击者们早有预谋,策划良久。在有组织、有纪律、有知识、有“财富”、有计谋的黑客面前,E小编只能感慨,幸好早日脱身,不然这次就在不明真相中默默地倾家荡产了。

三、数字货币交易存在哪些风险?

币安用户反映,此次事件中币安账户的 Google 二步验证没有起效,币安在 Reddit 确认此次账号被盗与 API 有关。

钓鱼网站真假难辨

据调查此次币安黑客事件的调查人员表示,黑客大概两周之前就开始准备,他们精心制作了几个模仿币安的钓鱼网站,其中一个网站甚至还同步了币安上的黑客事件声明,诱导用户去网站上登录用户名和密码。

让人后怕的一次数字货币黑客事件-E安全

币安漏洞与“API”功能

黑客最终通过钓鱼网站,掌握了31个账户。然而,获得用户名和密码也没有什么作用,因为还需要手机验证码等二次验证,才能将用户的币提走。但黑客却发现币安的一个漏洞:知道了用户名和密码,就可以直接开通“API”功能。

这个API,是一个量化投资的机器人,可以帮助交易量巨大、需要随时面对市场变动的“大客户”批量做账户的买入卖出操作。通常,交易所在开通API的时候,还会进行二次验证,但据调查人员表示,币安并没有这个步骤,这就让黑客有了可乘之机。

“内鬼”风险

黑客缘何能够对币安交易平台如此熟悉,能够在极短的时间内完成割韭菜?或许他们真的是技术牛掰,但会不会也有可能存在“内鬼”呢?(请容许E小编的内心黑暗一下下)我们都知道,在安全领域的安全防护方面,人的因素能够严重影响安全防护的能力。很多安全事件的发生归根结底都是人的问题。除了技术问题之外,还应在安全领域尽量规避所谓的“内鬼风险”。如果“人”没有问题,那将会大大降低安全领域所面临的风险和威胁。

四、当前数字货币交易真的是“去中心化”?

币安交易平台进行的安全防护是否存在不到位之处?当前,区块链在互联网金融领域应用最为广泛,数字货币的匿名交易特性让监管变得有心无力。尽管数字货币中“去中心化”越来越热,但却不意味着真正的安全,毕竟传统安全的安全问题依然不可避免,例如如web漏洞,系统漏洞,接口漏洞仍然存在,身份验证等数字货币安全问题的引入,需要企业针对数字货币的交易系统做更多的安全保障:在做好传统安全防护的基础上,还需要对交易所的用户数据,交易数据,数据链路等敏感信息进行更强的加密和隔离,控制外部接口等手段提升安全性。这些问题是数字货币交易所普遍存在的问题。

此次“币安黑客事件”中,黑客通过恶意操作让币安交易所币种价格波动辐射全球其他交易所,引发部分吃瓜群众如今的数字货币交易并非“去中心化”的思考。

让人后怕的一次数字货币黑客事件-E安全

用去中心化的技术进行点对点交易,而不是通过目前大量交易所采用的方式进行中心化交易。货币通过去中心化联系,随着越来越多人加入数字货币大营,交易量实时变化,数量巨大,很多交易平台为了交易方便等因素并没有真正的去中心化,这让本身去中心化的数字货币中的部分环节又回到中心化模式。

五、数字货币交易监管道路任重道远

据统计,2017年全球共发生了数十起交易所遭遇黑客攻击事件,损失金额达到5亿美金左右。目前全球数字货币交易所约7000家,动辄千万的上币费,让交易所成为最赚钱的一块生意。但是,监管却长期处于真空阶段。

全球范围内,在数字货币监管方面,日本和美国近期出台了相关措施。美国证券交易委员会(SEC)的市场、交易与执法部门发布公告,提醒投资者注意数字化资产交易使用的非法平台,暗示SEC对此类交易平台的监管行动趋严。SEC认为,此类在线平台提供的数字化资产交易机制符合联邦证券法定义的“证券”范畴(securities),这些平台也符合“全国性质证券交易所”的定义(exchange)。因此,上述平台必须跟SEC注册成为证券交易所,或者申请豁免注册资格。

但目前关于数字货币监管所采取的相关措施是远远不够的,仍需要各国乃至全球的相关部门加大力度,重拳出击,最大限度地规避相关风险和威胁,维护广大用户的财产安全及相关利益。

此次事件让黑客们尝到了甜头,同时充满了刺激与“胜利”的多巴胺,今后针对虚拟货币交易所及韭菜们的攻击也不会因此停歇,或许真如此前安全专家的预言,当好几波儿黑客都想从同一交易平台获取资金进行地盘争夺时,或将导致交易平台崩溃甚至更多重创行业及用户的事件发生。

人生哪能不劳而获、一夜暴富是不可能实现的,E小编还是踏踏实实多搬两块砖吧...

E安全注:本文系E安全独家报道,转载请联系授权,并保留出处与链接,不得删减内容。联系方式:① 微信号zhu-geliang ②邮箱eapp@easyaq.com
@E安全,最专业的前沿网络安全媒体和产业服务平台,每日提供优质全球网络安全资讯与深度思考,欢迎关注微信公众号「E安全」(EAQapp),或登E安全门户网站www.easyaq.com , 查看更多精彩内容。