幣安又遭勒索,這次是300個比特幣。
8月7日,幣安透過微博表示,收到收到一名身份不明人士的威脅,被要求以300個比特幣的籌碼換取他聲稱掌握的關於Binance的1萬個KYC資訊。因沒有馬上拿到勒索款,該身份不明人士透過網路洩露所掌握資訊。
但幣安認為目前尚不能證明這些資料來自他們平臺。
《每日經濟新聞》記者注意到,這並不是幣安本年度第一次出現問題。今年5月,幣安因駭客攻擊技術,被盜7000個比特幣,約4000萬美元。去年3月,幣安也曾發生鎖定提現事件。
多家加密貨幣交易所因遭到駭客攻擊,至少已造成約人民幣7.8億元的損失。什麼原因導致屢次發生交易所屢次被盜的事件?
幣安懸賞25個比特幣求勒索者資訊
8月7日,幣安透過微博公佈被勒索300比特幣事件的始末。幣安稱,近期收到一位身份不明人士的威脅,被要求以300個比特幣的籌碼換取他聲稱掌握的關於Binance的1萬個KYC資訊。
幣安表示已成立安全小組調查案件,目前案件和資料的準確來源仍在調查中。
因為沒有馬上拿到勒索款,這位身份不明人士隨即開始向公眾和媒體傳播相關資訊。但是,幣安表示,在電報群傳播的資料和幣安後臺中的資料不同。因為幣安的內部資訊全部採用了電子水印,網上傳播的圖片沒有幣安特定的電子水印。
在對網上傳播的圖片進行初步稽覈之後,幣安稱,所有圖片的日期都是2018年2月。在此期間,由於工作量巨大,幣安曾有一週將部分KYC稽覈外包給第三方服務公司。
目前,幣安正在和第三方服務公司核對所有資訊。並表示並將繼續進行調查,保持資訊同步。
幣安認為這些資料和之前媒體報道的KYC釣魚事件中涉及的資料為同一批。幣安稱,當時,駭客號稱同時掌握多個交易所的KYC資訊。當被詢問證明資料來源時,這位向Binance勒索300個比特幣的不明人士拒絕提供相關證據,並且直接以“白帽駭客”的虛假身份向媒體提供資訊。幣安已經聯絡了相關的執法部門,將密切合作追蹤此人行跡。
同時,幣安以25個比特幣作為酬賞,希望能獲得該身份不明人士相關的資訊。
曾被盜取7000枚比特幣 價值約4000萬美元
今年5月8日,幣安稱被盜7000枚比特幣,幣安CEO趙長鵬與使用者溝通了駭客事件。
趙長鵬稱,其遇到了非常聰明並且長期潛伏的駭客,駭客團體使用了複合型的攻擊技術,繞過了幣安的風控系統,提走了7000個比特幣(其中約佔幣安BTC總持股量的2%),約4000萬美元。並表示,幣安設立了安全基金SAFU來承擔這次損失,不會有任何使用者有任何損失。
透過訪問區塊記錄,可以看到這個轉賬是這次事件的唯一轉賬記錄。冷錢包沒有受到影響,受到影響的只是比特幣熱錢包,其它錢包和資產都是安全的。
此後,幣安宣佈將暫停充值和提幣,以保證從所有資料中完全消除攻擊隱患,重建並恢復系統。由於資料庫和系統架構非常大,預計需要一個星期左右完成。
不得不提的是,去年3月,幣安也曾發生鎖定提現事件。
去年3月8日,幣安公告稱,已經回滾所有異常交易,提現功能已經恢復。此前,幣安風控系統監控到大規模的攻擊,鎖定了提現需求,阻止盜幣行為,反向鎖定31個賬戶,攻擊者在本次嘗試中被Binance凍結了大量資產。
加密貨幣交易所為什麼屢次被盜?
據《每日經濟新聞》記者不完全統計,2019年,包括紐西蘭加密貨幣交易所、Coinmama交易所、DragonEX龍網交易所、韓國Bithumb交易所、幣安交易所、日本持牌加密貨幣交易所BITPoint Japan等因遭到駭客攻擊共造成約人民幣7.8億元的損失。
加密貨幣交易所屢次發生被盜事件,這類交易所的產生過程是否利用了區塊鏈技術?什麼原因導致屢次發生加密貨幣交易所屢次被盜的事件?
北京大學深圳研究生院副教授雷凱對《每日經濟新聞》記者表示,這裡存在三個方面的計算機系統,加密貨幣、交易所以及交易所相關程式。
標準的加密貨幣一般是利用區塊鏈技術,它的交易結算是去中心化的,不需要人工參與,能夠保證交易的真實性、有效性,並透過共識演算法來進行分配。
加密貨幣交易所就像天貓、淘寶一樣,負責把買方和賣方進行撮合交換。有一些交易所號稱是分散式區塊鏈交易所,但它並不保證交易結算的可信任關係,而只是撮合買賣關係。加密貨幣交易所在沒有公開程式碼、沒有經過第三方監管和驗證的前提下,很難判斷是否利用了區塊鏈技術。
加密貨幣在維護其價值時是用了區塊鏈技術,加密貨幣產生後,會有一套自動執行的程式(這類程式被稱為智慧合約)來自動處理交易,程式一般很難避免沒有bug。
什麼原因導致屢次發生加密貨幣交易所屢次被盜的事件?雷凱分析了三種情況。
第一種,挖礦產生比特幣等數字貨幣的過程是開放的,不論好人還是壞人都能參與進來。如果某個人擁有超過51%的算力,就可以掌握更大的話語權。相當於全世界一半以上的人都說這個錢不是你的,即使這個錢本來是你的,也可能少數服從多數,將你的錢說成別人的。
第二種,加密貨幣交易所的安全性有問題。交易平臺是用程式寫的,當程式被攻擊時,會產生你的錢分配給別人這類事件。常見的情況是,區塊鏈分叉時(從低版本向高版本擴容),有些人會利用分叉的間隙進行攻擊,比如算力攻擊、身份攻擊等。因為分叉是一個去中心化的過程,一旦分叉程式沒寫好,就可能產生B冒充A的身份,盜取本來應該分配給A的幣這類被盜事件,這不能直接說與區塊鏈有關,而是一種加密貨幣交易所的程式。這與銀行系統升級類似,但是,銀行是在中心保護內的升級,對外停止服務,所以銀行可以發現各種錯誤,不會被人利用。
第三種,數字貨幣在使用者的錢包裡,但是錢包金鑰被盜,也會產生數字貨幣被盜的情況。相當於家裡鑰匙被偷了,小偷把家裡的黃金偷走。每種情況的影響範圍是不一樣的。
雷凱表示,區塊鏈技術是把雙刃劍,有它的優點,也有缺點。比如匿名性。匿名性很難判別一個人真正的身份,他也可能有多個身份。因此,加密貨幣交易所實際上是按照規則和共識去執行,過分強調規則也會導致一些不合理的錯誤發生。另外,區塊鏈的代價非常高,一旦確認很難進行更正,如果一種確認是錯誤的,大家會把這種錯誤當作是真是的。
