每日最新頭條.有趣資訊

四大網絡安全機構會診“幣安案”:一場蓄謀已久的攻擊

圖片來源@視覺中國

5月8日凌晨1:15:24(台灣時間),幣安交易所遭遇到黑客的大規模系統性攻擊。黑客使用網絡釣魚、病毒等複合型攻擊手段,獲得大量用戶API密鑰,谷歌驗證2FA碼以及其他相關信息。在這一次安全事件中,黑客從幣安交易所提走7000比特幣。

據幣安官方解釋,這次黑客攻擊僅影響到了他們的BTC熱錢包(其中約佔幣安BTC總持股量的2%),其他錢包安全無恙,此次事件沒有用戶資金受到影響。幣安表示將使用“SAFU基金”全額承擔本次攻擊的全部損失,同時表示在未來一周內會暫停所有充值和體現交易,以便對系統和账戶進行全面的安全檢查。

本次安全事件導致了市場的波動,同時讓幣安又一次走上了輿論的風口浪尖。外界根據幣安的公告以及趙長鵬之後的直播內容對此次安全事件的細節產生了不少猜測。

鏈得得App對北京鏈安、安比(SECBIT)實驗室、PeckShield(派盾)等數家區塊鏈領域安全服務提供商進行了獨家專訪,對此次事件的細節有了一個大體的了解。

對於此次被盜的原因,北京鏈安安全專家Hardman、安比(SECBIT)實驗室創始人郭宇和一位不願透露姓名的神秘“白帽黑客”均認為,根據攻擊手法來看,黑客入侵了系統內部,雖然最終沒拿到私鑰,但在潛伏之後於合適時機發起特殊轉账到攻擊者控制的一批比特幣地址,這筆轉账沒觸發常規風控。

北京鏈安安全專家Hardman通過對比特幣5億多的全量地址進行分析後發現,本次被盜不是因為幣安熱錢包私鑰被盜導致丟幣,而是因為黑客通過發起提幣流程,提取了20筆單筆大於100btc的比特幣造成了近7000個比特幣的被盜。

從幣安官網可以看到,24h內提現額度超過100BTC需要聯繫幣安開通。而在此次提幣過程中發生了20筆單筆提幣超過100btc的提幣請求,並且幣安的風控系統並沒有預警。

Hardman認為,這些線索說明幣安的風控系統存在缺陷,未及時攔截20筆單筆提幣超過100btc的高風險交易。

另外一方面,至少20個用戶的API交易密鑰和谷歌驗證2FA碼失竊,並且這20個用戶加起來在幣安的存款超過7000個btc,屬於超級大戶。這可能是黑客通過長期的釣魚和投放後門軟體,截獲了並控制了大批的幣安客戶。

這說明可能是幣安的驗證系統被黑客長期APT滲透,幣安驗證系統部分被攻破,並且黑客經過長期潛伏,一直等到有大客戶提幣的時候才進行攻擊。

這一點也在趙長鵬之後的直播中得到了印證:趙長鵬在推特直播中表示,黑客此前已經發現系統安全漏洞,但一直很耐心,直到系統出現大額交易才下手盜幣。

幣安在公告中表示,將對系統和账戶進行徹底的安全檢查。PeckShield(派盾)創始人蔣旭憲認為,此次安全檢查的目的主要包含以下幾點:第一是對API的訪問和相關敏感操作需要確保是用戶的行為,而不是被攻擊者劫持的操作,中間需要加強並完善已有的用戶認證環節

第二是如果中心化交易所開啟自動化提幣的,應做一定額度的分級,一旦部門時間內出現超大額提幣需求,而且是轉移到大量新創建地址的,需要立即觸發緊急風控機制並轉為人工審核提幣,盡可能提早發現並預防攻擊的持續進行;

北京鏈安安全專家Hardman則認為除了以上幾點外,用戶教育和安全意識培養也是幣安未來的重點投入對象。

對於幣安對此次安全事件的處理,受訪者大多持肯定態度。

PeckShield(派盾)創始人蔣旭憲認為,這次攻擊事情的披露流程還是相當透明和客觀的。整個社區也是及時獲得信息並同步相應進展。尤其是接下來的徹底的幣安的內部安全審查和被盜幣的資產追蹤,都有社區的努力和參與。

北京鏈安安全專家Hardman表示,這一事件實際上是幣安自己通過公告披露的,如果他們不主動披露,在鏈上我們看到的也只是一筆筆從幣安轉出的大額轉账。所以,幣安這種開誠布公的態度是值得欣賞的,作為一種表率和示範,有利於增強行業的透明度。同時,在這一事件後,幣安主動進行自我安全徹查的態度也是嚴肅和對用戶負責的,因為從幣安舉措來看,一周時間停止衝提幣是會影響其業務和收益的,也是它們付出的安全完善上的成本。

當然,在這個過程中會對用戶造成不便,影響用戶體驗,在這方面或許幣安未來需要對可能的安全事件進行進一步的預案,以免對用戶的正常業務造成過長時間的影響。

而在此次安全事件之外,中心化交易所存在的弊端也再一次成為了討論的核心。安比(SECBIT)實驗室創始人郭宇認為,從安全角度來說,當一個系統足夠複雜又承載了大量資金時,則一定會有黑客盯上,嘗試攻擊獲利。中心化交易所對於黑客而言就是一個充滿吸引力的金庫,而複雜的黑盒系統很難做到不可攻破。

這件安全事件或許應該敦促我們進一步反思:利用中心化的系統來守護去中心化的資產到底是不是一條正確的道路。隨著 DEX 和 DeFi 的興起,用戶資金的安全假設,可以縮小落至一個開源的智能合約和一條公鏈的安全上,並分散至用戶保管好自己的私鑰上。這或許是解決交易所安全問題的另外一種高效辦法。(本文首發鏈得得,授權鈦媒體App發布)

獲得更多的PTT最新消息
按讚加入粉絲團