设为首页|收藏本站|
发帖
登录 注册
西兔生活网 华人生活 都市圈 币安遭黑客攻击损失 4100 万美元,16层安全机制为何挡不 ...
回复 发帖
123下一页
返回列表 发新帖
开启左侧

[财经] 币安遭黑客攻击损失 4100 万美元,16层安全机制为何挡不住黑手?

[复制链接]
56342 20
魅蓝妖妖 发表于 2019-5-10 00:05:08 | 只看该作者 打印 上一主题 下一主题
 
最大加密货币交易所币安 8 日爆发黑客攻击,损失 7000 枚比特币,价值约达 4100 万美元。这是币安成立以来发生的第三次重大安全事故,且这次更直接重创币安自身。
尽管损失金额应不至于冲击营运,但其 CEO 赵长鹏曾在过去采访中对 DeepTech 透露,币安拥有 16 层安全机制。那么,为何仍挡不住黑客?
币安是一般公认全球按交易量计最大的加密货币交易所,而这是继去年 3 月、7 月分别传出黑客攻击事件后,外界所知的币安自成立以来发生的第三次重大安全事故。
不同的是,前两次币安事后均未公布自身实质损失,而这次则是一次损失 4100 万美元。
以币安一年获利至少数亿美元而言,这一损失应不足以对其营运产生冲击,真正冲击的,是行业与用户对币安的品牌、及其安全技术的信心。

币安遭黑客攻击损失 4100 万美元,16层安全机制为何挡不住黑手? 第1张图片


图|币安交易所创始人兼 CEO 赵长鹏(来源:Binance)
去年币安交易所创始人兼 CEO 赵长鹏曾在接受 DeepTech 专访时表示,”安全”是币安最核心的两大优势之一。他说,”我们在速度上有绝对的优势,另外就是安全上一直非常稳定,这两块是币安很核心的优势。”
当时他就向 DeepTech 直言,币安”绝对是黑客最大的攻击目标”。据其指出,币安创立以来不断遭受大量攻击,有些时候运气好可以几天不被攻击,但不好的时候,一天被攻击次数甚至多达 10 次、20 次,且攻击力道非常猛烈。
而这次事件是在北京时间 5 月 8 日凌晨,赵长鹏通过推特表示,币安需要进行一些计划外的服务器维护,这将影响到资金的存取,约持续几个小时,但不会影响到交易。并表示大家不必惊慌(No Need to FUD),资金是安全的(funds are #safu)。
几小时后,币安发布公告称,北京时间凌晨 3 点左右,其发现了交易所存在大规模的安全漏洞(large scale security breach)。恶意攻击者(maliciousactors)使用了一系列技术手段:钓鱼、病毒以及其他攻击方式,获取了用户的 API 密钥、二步验证码以及”潜在的其他信息”(potentiallyother info)。
据区块浏览器 BlockchAIn.com 上一段交易记录,黑客从中盗取了 7000 枚比特币,价值约 4100 万美元。
该公告进一步指出,可能还有一些受影响的账户尚未被识别到。此次漏洞仅影响到了币安热钱包中的比特币,大约占其持有的比特币总量的 2%,且以上交易是唯一受影响的交易。
公告显示,该笔交易完成后触发了系统内部警报,随后币安立刻停止了所有的提现。在接下来的一个周中,币安将进行”全面的安全检查”,资金的存取都将被暂停,而交易将会继续。不过赵长鹏在公告中有警告用户”黑客仍有可能控制部分账户”。
“我们所有的其他钱包都是安全无损的,”赵长鹏在币安的公告中如是说道,他进一步补充,”黑客们耐心地进行等待,并在恰当的时机以多个看似独立的账户,实施了准备充分的盗窃。该笔交易的结构通过了我们现有安全系统的检测。很不幸的是,我们并没有能在事发前顺利阻断这笔交易。”
16 层防护失灵,黑客如何渗透币安?

“没能在事发前顺利阻断这笔交易”,究竟意味币安的安全机制出现了什么程度的失灵呢?
赵长鹏曾透露,币安在安全机制设计上有 16 层防护,”目前为止(指受访当时)最多只被攻击触及到第 3 层”。这 16 层防护分成很多不同维度,包括业务安全、物理安全、网络安全等,每个维度再进一步分层,所以总计自我定义出16 层。
理想上,是在外来攻击开始渗透第 1 层、第 2 层的时候,币安就能够察觉并加以处理。但此次攻击事件说明,币安的安全机制虽多达 16层,但仍有可渗透攻击的漏洞。
区块链安全公司北京链安对媒体分析,币安此次失窃可能是因为内网遭受黑客的长期 APT 渗透,而非单个或者批量用户被钓鱼病毒入侵导致,且被盗的 7000 多个比特币散落在 40 多个黑客控制的钱包地址当中,并没有发生转移。
另一区块链安全公司 Peckshield 随后跟进称,共有 7074 枚比特币失窃,其被存储于 20 个主要地址中,并未进一步扩散。
成都链安深度分析后认为,黑客是通过 API 接口在同一时间发起了提币操作,而用户的 API key 和 Secret key 可能泄露,由于有些用户可能没有配置对 IP 的限制和开放提现功能的限制,因而黑客得以绕过验证码、短信和二步验证码等安全措施提现。
成都链安还进一步指出了用户泄露信息的可能途径:
1、普通用户一般不会使用 APIkey,一般是高级用户用于代码中实现自动化交易,可能是用户源码泄露导致 API Secret key 泄露;
2、用户被钓鱼攻击,输入了 APIkey 和 Secret key 被黑客截取;
3、用户的 API key 和 Secret key 保存的电脑被攻击窃取;
4、币安交易所系统原因导致用户 APIkey 和 Secret key 泄露,其中只有 71 个用户开放了提现功能,被盗币。
据赵长鹏表示,包括 Coinbase 在内的一众交易所表示,会将可能的黑客地址拉入黑名单,以阻止其将资金存入别的交易所。赵长鹏在推特上@了 Coinbase,并对包括 Coinbase 以及其他交易所在内的同行表示了感谢。
如何赔付相关损失?

关于用户损失的赔付方面,公告指出,其将使用”用户资产安全基金”(SecureAsset Fund for Users, 又称 SAFU)来赔付用户损失。该基金成立于 2018 年 7 月 3 日,资金来源是客户交易手续费的 10% 的划转,其成立初衷在于在极端情况下(in extreme cases)保护币安的用户。该基金的相关资金都存储在币安的冷钱包中。
一些业内人士在事发后立即表示愿给予币安资金支持,不过赵长鹏在推特上予以婉谢,表示币安感谢各路人士和机构的支持,但币安有足够的资金来赔付客户的损失。
他说,币安只是受损了,但并没有破产(We're hurt,but not broke)。并进一步表示,币安的慈善事业仍在推进,如果想要资助的话,可以考虑下资助慈善项目(Our Charity efforts will continue, please consider to donate to those)。
不过有媒体估算,币安 SAFU 基金成立至今共约 10 个月时间,累积金额应不到 2000 万美元,远低于此次损失的 4100 万美元。若此一估算为真,则 SAFU 或不足以赔付此次用户的损失。
一度考虑区块回滚弥补损失

另外,值得注意的是,据赵长鹏在推特所言,他曾一度考虑采用区块回滚来弥补损失。
从推特相关讨论来看,有网友主动建议币安采用区块回滚的方式来弥补损失,比特币核心开发者 Jeremy Rubin 也在推特上向赵长鹏提出了类似建议,赵长鹏回应称将谨慎考虑这一建议,而 Primitive Venture 的合伙人 Dovey Wan 则表示其在询问了一些大的矿池后发现这并非一个可行的方案。
不久后,赵长鹏在推特上表示,经过同包括 Jeremy Rubin 、Prestwich、Bcmakes、Hasufl 以及吴忌寒等在内的多方讨论后,币安决定不采取回滚区块的方式来弥补损失。并罗列了如果采用回滚区块的方式后,其带来的优缺点。

币安遭黑客攻击损失 4100 万美元,16层安全机制为何挡不住黑手? 第2张图片

据他指出,优点包含:1. 我们可能通过给予矿工费用来”报复”黑客;2. 阻止未来可能的黑客攻击;3. 探索比特币网络如何应对这类问题的可能性。

币安遭黑客攻击损失 4100 万美元,16层安全机制为何挡不住黑手? 第3张图片

而缺点则包含:1. 破坏了比特币网络的公信力;2. 造成比特币网络和社区的分裂。这些伤害超过 4000 万美元。3. 黑客证明了我们的设计以及用户间存在的弱点,而这在以前是不明显的。4. 尽管这对我们来说是个昂贵的教训,但它不仅是个教训。保证用户的资金安全更是我们的责任。
尽管赵长鹏很快表示放弃此一方案,但相关讨论已带来大量争议。因为,此一方案若真的付诸实行,无论成功与否,对于加密货币去中心化的精神都是一大打击。
不过,相较于去年 3 月,币安遭遇黑客攻击后,引发市场恐慌效应,比特币在不到 2 小时内就大跌了 1,000 美元。本次加密货币市场反应则是相当平淡。
截止 8 日下午发稿时间,除了币安币(BNB)在过去 24 小时录得约 6% 的跌幅,市值前十名的其他币种虽普遍下跌,但幅度并不大,比特币仅录得 0.55% 的跌幅。


下一篇:央行出手!人民币大涨超600点 复盘历史哪些行业或受益?
标签:成立约达币安成立黑客攻击
@



1.西兔生活网 CTLIVES 内容全部来自网络;
2.版权归原网站或原作者所有;
3.内容与本站立场无关;
4.若涉及侵权或有疑义,请点击“举报”按钮,其他联系方式或无法及时处理。
举报

关联主题
回复

使用道具 举报

 

精彩评论20

正序浏览
跳转到指定楼层
沙发
bettyjj 发表于 2019-5-10 00:05:13 | 只看该作者
 
我也不知道比特币为什么这么值钱,个人觉得比特币不具备货币属性,不具备一般等价物的特性。当然我确实不懂,也不知道这是炒起来的还是怎么样,反正我是不碰。
回复 支持 反对

使用道具 举报

 
板凳
锅炉医生 发表于 2019-5-10 00:05:57 | 只看该作者
 
以前我就觉得比特币就是概念,就是操作,它是不值钱的,后来他慢慢的长,我还是坚持不为所动,等他长到以前的时候,我认为会泡,泡沫破裂,他没有又涨到2000,我还是坚持我的想法,跟他到5000的时候我疑惑了,虽然,我仍然坚持我自己的想法,然后他在我疑惑的眼神中涨到了一万多,虽然现在它跌价了,但是我仍旧疑惑,它为什么值钱呢?为什么没有破灭呢?后来我终于明白原来,她的价值不是它本身的价值,而是而是他有其他的利用的属性,这个属性是很多有钱人都需要的,只有这一个属性,就可以支持他一直成长,任何一个东西,他体量多了,他都不会轻易倒下,百足之虫,死而不僵,无数人,会推着他不让他轻易的破灭的
回复 支持 反对

使用道具 举报

 
地板
HP2820038 发表于 2019-5-10 00:06:45 | 只看该作者
 
有没有高手黑客,本地时时彩盘口,黑到后台,赢几千万都有,要的合作,有事我全扛
回复 支持 反对

使用道具 举报

 
5#
vgwo74q 发表于 2019-5-10 00:06:56 | 只看该作者
 
在交易所注册的用户,用户的私钥都在交易所里,用户自己都拿不到私钥。大家要明白这件事。所以如果丢失的是这部分用户的话,那你们自己猜吧。如果用户是在链上自己注册的,私钥在自己手里,如果丢了币,真不能怪交易所。
回复 支持 反对

使用道具 举报

 
6#
祼身引诱 发表于 2019-5-10 00:07:31 | 只看该作者
 
为啥支付宝没被攻击?
回复 支持 反对

使用道具 举报

 
7#
叶如意 发表于 2019-5-10 00:07:53 | 只看该作者
 
你能喊醒装睡的人吗?币安监守自盗你拿什么防!
回复 支持 反对

使用道具 举报

 
8#
绿地集团 发表于 2019-5-10 00:08:08 | 只看该作者
 
自己黑客,黑自己,然后发新闻上头条,让我们知道了还有币安这玩意儿。。。[抠鼻]
回复 支持 反对

使用道具 举报

 
9#
糟毛豆 发表于 2019-5-10 00:08:26 | 只看该作者
 
比特币太值钱了,7000枚比特币价值4100万美元约2.5亿RMB
回复 支持 反对

使用道具 举报

 
10#
momobbuying 发表于 2019-5-10 00:08:53 | 只看该作者
 
啊,才知道比特币是中国创始的?
回复 支持 反对

使用道具 举报

 
123下一页
返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

魅蓝妖妖白金会员

0关注

7粉丝

340帖子

热门图文
热门帖子
排行榜
活跃网友
返回顶部快速回复上一主题下一主题返回列表APP下载手机访问
Copyright © 2016-2028 CTLIVES.COM All Rights Reserved.  西兔生活网  小黑屋| GMT+8, 2024-9-13 03:27