区块见闻 区块见闻
Ctrl+D收藏区块见闻
首页 > 酷币下载 > 正文

加密货币:被盗10亿元、泄露上亿条信息——交易所安全危机下BISS币市为何从未失守_eaglenetwork

作者:

时间:

“知丈之堤,以蝼蚁之穴溃;百尺之室,以突隙之炽焚。”

——《韩非子·喻老》

安全漏洞之于加密货币交易所,就像蚁穴之于长堤,星星之火之于木屋,一旦疏忽就可能功亏一篑。

在交易所与黑客之间旷这场旷日持久的“暗战”中,交易所时刻如履薄冰。即便这样,2019年上半年以来,交易所被盗事件依旧频繁发生。全球范围内,知名交易所丢币与信息泄露事件就有14起,被盗金额超过1.4亿美金,超过1亿条用户信息遭到泄露。

服务器故障、钓鱼链接、安装包后门、API秘钥与2FA代码泄露、交易所底层漏洞、交易所二次审查漏洞、内部员工泄密等等,这些也许你根本没听到过的名词,都有可能让交易所瞬间陷入破产边缘。

发生在8月23日的亚马逊旗下AmazonWebServices(AWS)缓存系统问题就是最鲜活的反面案例,该事件导致众多交易所交易出现充提币业务受阻、价格异常,也让一些交易所因此蒙受损失。有网友表示,”以0.3美元成交了40多枚BTC“,戏称“暴富就在5分钟完成”。

交易所面对这些强大的“黑暗势力”的威胁又该如何应对?目前加密世界的安全形势究竟又是怎样的?BISS交易所又是如何规避这些风险的?

1、14起黑客事件,损失近10亿

“交易所漏洞很多,它们不太注重安全。通常情况下,9成漏洞是在没有意识的情况下暴露的,而现在交易所的漏洞,9成是因为配置不当造成的。数字货币领域的交易所,几乎都存在在大大小小的安全漏洞。”

派盾:Curve漏洞被盗事件目前已退回5230万美元,占比73%:金色财经报道,据派盾PeckShieldAlert监测,Ethereum上价值约7350万美元的加密货币在Curve Reentrancy漏洞中被盗。到目前为止,其中约73%(约5230万美元)已被退回。Ethereum上剩余的价值约1970万美元的加密货币尚未被Curve CRV-ETH漏洞利用者归还(0xb752…b324)。

目前为止,返还资金明细如下:Alchemix Fi返还全部,2200万美元(包括7,258ETH+4,821 alETH);Jpegd Frontrunner返还90%,1150万美元(相当于5,495.4WETH);Metronome返回(160万美元)+CRV池(530万美元);c0ffeebabe.eth返回700万美元;Alchemix(白帽行动)1300万美元。[2023/8/7 21:29:09]

近期,以擅长挖掘交易所漏洞著称的白帽黑客Chris_L在DVP大赛上这样说道。按照Chris_L的说法,加密货币交易所安全问题仍然十分严重,大多数漏洞都是交易所在“配置不当”导致的。

大量出现的交易所安全事件印证了Chris_L的说法。2019年上半年以来,知名交易所丢币与信息泄露事件就有14起,被盗金额超过1.3亿美金,超过1亿条用户信息遭到泄露。

通过观察业已发生的交易所安全事件,可将这些盗币事件分为三类:一类是平台自身的技术风控防御系统缺陷,黑客利用安全漏洞入侵平台偷盗数字货币;第二类是平台安全教育不到位,内部人员操作不当导致黑客入侵内部系统;第三类是交易所泄露客户信息,特别恶劣情况下,甚至出现恶意买卖个人信息现象。

Beosin:Thoreum Finance项目被黑客攻击,被盗资金约58万美元:金色财经报道,据Beosin EagleEye 安全预警与监控平台检测显示,Thoreum Finance项目被黑客攻击,涉及金额约为58万美元。由于ThoreumFinance项目方创建的未开源合约0x79fe的transfer函数疑似存在漏洞,当transfer函数的from和to地址相同时,由于使用临时变量存储余额,导致给自己转账时,余额会成倍增加,攻击者重复操作多次,最终获利2000BNB。

Beosin安全团队通过Beosin Trace进行追踪,发现被盗资金已全部转入tornado cash。[2023/1/19 11:21:19]

对弈第一种安全事件而言,黑客一般利用钓鱼链接、API秘钥与2FA代码泄露、交易所底层漏洞、交易所二次审查漏洞等等方式盗币。

以2019年5月份某知名交易所被盗7047枚比特币为例,由于交易所本身安全漏洞,导致黑客能够获得大量用户API密钥与2FA代码,在比特币区块高度575012处从交易所热钱包中盗取了7074枚BTC。按照当时比特币价格6000美金计算,这笔资产价值超过4000万美金。

今年6月份凌晨,黑客利用某交易所风险控制团队二次审查过程中的一个漏洞,攻击进入交易所热钱包,将930万XRP和250万ADA盗走。这些加密货币在价值300万美金。

除此之外,交易所安全教育不到位,也有会导致安全事件。

今年3月末,某交易所客服从陌生人处获取并打开了一个带有后门的“交易软件”安装包,攻击者通过此安装包内后门获取内部人员权限渗透进内网进而成功获取数字货币钱包私钥。此次攻击导致交易所损失财产超过600万美元。对交易所几乎造成了毁灭性打击。

PeckShield:多名用户MetaMask钱包中的POAP被盗:金色财经报道,PeckShield在社交媒体上表示,多名用户MetaMask钱包中的POAP被盗,需尽快取消此前在NFT交易市场Eporio上所有的对POAP的授权。[2022/7/4 1:49:30]

除了以上,近期交易所信息泄露事件也逐渐增多。

2、上亿条信息泄露,信息安全迫在眉睫

2019年以来,逐渐增多的交易所客户信息泄露事件越成为人们日益关注的焦点。从白帽黑客Chris_L近两年挖掘的交易所漏洞的对比,可以看到,信息泄漏类的漏洞占比显著提高,从2018年的15.6%上升至2019年的27.3%。

近期出现的交易所信息泄露事件,也充分印证了这个现状。

今年7月24日,专注于虚拟私人网络的网站vpnMentor发现,某家数字货币贷款平台超8600万条用户私人数据被盗,其中包括完整的个人身份信息、信用卡号码和信用卡验证值、银行账户信息,以及用户加密钱包和交易的详细数据。

时隔一日,7月25日,瑞典加密货币交易所QuickBit发布声明称,其数据库问题导致部分用户敏感数据被泄露。曝光的信息包括姓名、地址、电子邮件地址和信用卡信息,涉及用户数量占交易所用户总数的2%。

在不到一个月之后,8月7日,币安交易所发生了“KYC”事件。

事件爆发之前,币安收到一位不明用户威胁,要求币安以300个比特币的筹码,换取他声称掌握的关于Binance的1万个KYC信息。在没有马上拿到勒索款后,8月7日,Telegram备注名为“GuardianM”的用户开始向公众和媒体传播相关信息。目前该事件并没有下文。

声音 | 赵东:币安被盗可能只是一系列黑客事件的开始,各平台需严查自身安全问题:针对币安热钱包被盗一事,赵东发微博称:“突然想到,就不负责地阴谋论一下,币安被盗可能只是一系列黑客事件的开始,希望此事给大家敲响警钟,各家平台严查自身安全问题。你的系统可能早就被黑客潜伏大半年或者N年了。现在没丢币不代表没有安全问题。 ????”[2019/5/9]

当然,近期用户频繁收到打着各大交易所名义给用户打电话、加微信的现象,也充分说明交易所信息泄露并不是个别现象。

频繁发生的交易所信息泄露事件,让众多投资者不堪其扰,各出奇招应对。

“我弄了几张崭新的手机卡,准备每张手机卡注册一家交易所,做好标记封存起来,看看谁会卖掉我的信息。”某位币圈资深投资者在微博上这样说道。

出现这些戏现象背后的原因究竟是什么?

3、交易所安全漏洞的根本原因

“的确遇到了很多困难,但是最大的困难还是技术人才的匮乏。经常开玩笑说我们是一边造飞机,一边招工匠,而且招来的的工匠以前还是造汽车的。”

拥有腾讯云平台和某大型券商核心系统的架构设计经验,同时也是BISS交易所技术负责人王飞,在谈到交易所开发过程中所遇到的最大的困难时,这样“吐槽”道。按照王飞的说法,人才匮乏是交易所面临的最大问题,安全岗位更是如此。

从整个互联网情况来看,过去几年安全人员的复合增长率约为6%,但需求的增长实际上是15%。到2021年,全球大概会有350万个安全岗位无法被填满,其中存在很大的缺口。从区块链行业角度来看,更是如此。新的区块链项目超过万家,但是真正提供安全服务的企业不到50家,供不应求。

动态 | PeckShield发布EOS高危账号预警 存在“彩虹”攻击被盗风险:近日区块链安全公司PeckShield在分析EOS账户安全性时发现,部分EOS用户正在使用的秘钥存在严重的安全隐患。问题的根源在于部分秘钥生成工具允许用户采用强度较弱的助记词组合,而通过这种方式生成的秘钥很容易存在“彩虹”攻击,进而导致账户数字资产被盗。针对此安全威胁,为了帮助用户减少可能的经济损失,PeckShield安全人员定制了一套危机解决方案:

1、披露因助记词使用问题导致的资产被盗漏洞细节,并呼吁EOS社区用户加强安全防范,避免使用空助记词或较弱的助记词组合;

2、启用EOSRescuer(peckshield.com/eosrescuer)公共查询服务,用户可一键查阅自己的账号是否存在安全风险;

3、将已经监测到的存在高安全风险的用户资产暂时转移到特定的安全账户,受影响用户可联系PeckShield进行认领。为确保用户利益不受侵害,PeckShield会将上述安全账户的所有记录透明公开,并接受第三方媒体的监督。注:用户认领时需提供EOS账户所有权的证明,包括必要的交易记录等。[2018/7/11]

"我认为交易所是一个50%金融30%互联网20%区块链组成的系统,然而金融和互联网似乎又总是存在一个不可调和的方向性矛盾,所以最终我们转向找优秀的人,聪明的人然后快速培养成需要的人。”针对交易所人才匮乏问题,王飞给出了自己的解决方案。

“这个策略到目前为止是有效的,我们的团队里面背景五花八门,但是每个人都各有所长,能够和团队内其他人形成互补。"王飞说道。

当然,人才匮乏只是导致交易所安全问题的一个方面。交易所之所以容易被盗,还有其它方面的原因导致:

一、交易所安全投入不足:有的交易所图省事,代码是买来的,又没有投入足够的人力财力对代码进行安全审计,导致交易所漏洞百出。

二、交易所安全意识不足:众多项目在生态和技术扩展上没有把构建完整的安全防护体系作为首要的任务。表现在很多交易所的工作人员没什么安全意识,随便下载未知来源的软件等等。发生在2018年韩国交易所Bithumb被盗事件之后,韩国信息通讯部和互联网振兴院发现了21家交易所大部分存在完全问题,也很能说明这个问题。

三、黑客犯罪成本低:加密货币是完全独立于银行系统之外的网络财富,一旦被黑客盗窃,除非数额巨大,否则很难受到法律保护,很渴犯罪成本低。

四、加密货币的特殊性:加密货币一旦丢失,黑客通过错综复杂的操作之后,很难追回。

信息泄露背后,手机号、邮箱、银行卡号、省份证信息等都成为黑市有价商品。而交易所漏洞,则将投资者财产置于危险境地。那么针对这些安全隐患,交易所到底应该怎么做?

4、从技术上解决问题,才是王道

BISS交易所自从BISS上线以来,未发生任何一起丢币、泄露客户信息事件,那么,面对日益严重的交易所信息泄露事件,BISS交易所又是如何做到的?

“BISS交易所将所有的用户信息置于自己的服务器上。所有对这些数据的访问,都遵循最小权限原则,即每个程序或管理员的权限精确到每种数据类型,所有对资产数据的写入操作都将被拒绝,必须通过内建的存储过程来操作。”王飞说道。

对于像秘钥、验证码这样的客户敏感数据,都被存储在HSM可信区内生成和存储,这些敏感数据根都被用户自己持有的密码保护。所有离开机房的用户数据,都会被脱敏处理,存储设备将会被多次消磁处理。

“有了以上保护措施,即使BISS系统管理员也没有权限更改和重置这些数据。“在总结BISS交易所的客户信息安全防范措施时,王飞这样总结道

其次,对交易所而言,资产安全与信息安全同等重要,而交易所风控又与交易所资产安全紧密相关。那么BISS交易所又是如何做好风控体系的?

”以提现为例,今年上半年很多用户都在吐槽‘自动提现那么简单,很多更小的交易所都能支持,为什么你们不行?‘。其实,自动提现在技术上就是一个开关而已,但难的是’安全的自动提现‘。所以我们在BISS风控系统达到我们认为的安全极限之前,绝对不能自动审核提现。直到六月份,我们这个目标才完成。”王飞说道。

当然交易所自动提现是否开放只是交易所风控是否达标的一个方面。

在王飞看来,交易所的资金安全问题符合“短板理论”,即交易所是一个木桶,资金是桶里面的水,每个币种就是一块木板。当某个币出现资金安全问题的时候,这块木板就会变短,水就会顺着这块短板流出来。

所以对于交易所来说,任何单点风险都会导致系统性风险,对于一个同时支持上百个币种和多种交易产品的交易所来说,风控系统必须在梳理清楚所有业务模型的前提下,实现主动或被动的分析与控制逻辑。在王飞看来,要想这个难度甚至超过原有系统的设计和实现,但是BISS一直都在朝这个方向努力。

BISS目前最大的风控力度放在了链上对账风控,即实现系统内资产和链上资产的实时对账,然后用我们自己的一套风控模型参数对对账结果进行参数化控制和输出,控制自动提现和其他多个资金下游业务。这个逻辑听起来很简单,但是两边的资产清算都存在大量分支和条件逻辑,系统调教会花费大量精力。为了结果的有效性,风控系统甚至不使用自己私有部署的区块链节点,而从第三方浏览器爬取数据,以防止内部节点同时污染钱包系统和风控系统。

这种做法是最“简单”,但也是最有效的,因为最终会导致交易所损失的,就是链上资产少于系统资产。不管是内部攻击、外部攻击、链上攻击,都绕不开这一点。

除此之外BISS交易所系统内也设置了二次清算、交易资产回溯、敏感操作审计、资产操作陷阱等多个子风控模块,应对可能发生的各种风险场景。

最后,针对今年3月份,Bithumb发生的疑似内部人员与黑客勾结盗取交易所资产事件,BISS又是如何应对这种现象的?

“我们内部把BISS的钱包方案叫做“无秘钥”方案。基于全球Top1提供商的HSM硬件加密模块二次开发而成,很巧妙的将私钥分离成数据和算法两部分分开管理。HSM保证了私钥永远不可能被读取,算法程序一旦升级,所有秘钥会被立即清除,必须重新授权恢复。”王飞介绍道。

也就是说,BISS的秘钥不可能对外泄露。

但是,对于加密货币而言,与银行资产最大的区别就是拥有唯一的秘钥,BISS的秘钥是如何内部保存的?

“BISS冷钱包和热钱包其实是同构的,基于HSM提供的备份能力,将秘钥分散到多张IC芯片卡内,每张卡片由保管人设置口令,超过半数的卡片即可恢复完整秘钥。”

冷钱包秘钥恢复后,HSM一但关机或重启,秘钥数据同样会被立即清除,从根本上杜绝了任何泄露的可能。”

由于整套方案的设计实现使用了大量非常规的技术手段,对接起来异常繁琐,导致我们的项目严重延期。团队内我们经常开玩笑说,就算有人黑进我们的系统,并且获得了所有设计资料,可能也需要两个月才能把协议调通,因为我们自己也花了这么长时间。“王飞总结道。

——————

对加密货币交易所而言,与黑客之间的对抗就是一场没有硝烟的战争、没有退路的攻守道,任何一次防守失败都有可能导致“千里之堤,溃于蚁穴”。

对交易所而言,风控安全不可“毕其功于一役”,而是时刻保持“枕戈待旦,如临大敌”。

标签:加密货币ANGLEGLE数字货币加密货币市场总市值是多少TangleV3eaglenetwork数字货币交易app哪个好一点

酷币下载热门资讯
Money:研报 | 央行数字货币研究报告(一)_数字货币交易所开发系统

背景介绍 2019年8月10日,中国人民银行支付结算司副司长穆长春在第三届中国金融四十人论坛上表示,“央行数字货币现在可以说是呼之欲出了”。中国央行数字货币,自2014年开始研发,如今已有五年.

ANGLE:FUSION与Xangle合作 为交易所和代币持有者提供机构评级报告_GLE

FUSION非常乐意提供信息来帮助Xangle社区和交易所及时获取关于项目最新、最准确的信息。在当今加密货币领域中,我们看到了两个与信息相关的紧迫问题: 1.不准确信息的泛滥.

LOEx国际站9月18日15:30独家首发上线ATII

亲爱的LOEx用户: LOEx交易所即将独家首发上线ATII,并开放ATII/USDT的交易对,具体时间如下:LOEx于新加坡时间9月2日15:30开放ATII充币业务.

HTT:关于WBFex上线BZC的公告_区块链

尊敬的WBFex用户: WBFex即将上线BZC,在开放区上线BZC/USDT交易对,具体情况如下:充值时间:2019/08/2710:00交易时间:2019/08/2811:00BitDAO社.

BTC:钱包突然多了几百聪比特币 小心是粉尘攻击|金色百科_加密货币有哪几种类型

8月16日,区块链数据公司Glassnode在推特上称,在最近发生的莱特币“粉尘攻击”中,受影响的地址达294582个.

BTC:8.25早间行情:BTC 延续震荡 山寨币或将复苏_BTCP币

从大的趋势来看,BTC仍然处于日线级别MA60-MA90均线所构筑的区间内运行;小时线级别,近期的K线走势,整体在9800-10500美金小区间震荡,9800美金为短线支撑.