一、Cashaa被盜幣事件簡述
Coin Crunch在2020年7月10日收到一封投訴信,受害者稱自己在1:23分登入並進行兩筆交易後,自己的1.06005561 BTC被盜。被盜BTC轉進了地址
14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek。
投訴憑證如下所示:(根據官方描述,為保護投訴人隱私,僅擷取憑證第一頁)
△圖1
而後不久,Cashaa公司涉及的總計8個比特幣錢包,共計335.91312085個比特幣(約310萬美金)被攻擊者透過同樣的手段轉移到同一個地址
14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek。
事件發生後,Cashaa的CEO Kumar Gaurav對此次事件做出了迴應,聲稱此次事件只是個例,Cashaa其餘賬戶的餘額仍是安全的,並呼籲各大交易所禁止此次事件的相關地址提現,否則就是『助紂為虐』,幾乎所有的交易所都積極響應了Cashaa的呼籲。
根據Cashaa給出的解釋,本次事件是因為一個僱員使用了自己的私人電腦造成的,駭客透過瀏覽器session控制了僱員的電腦,但具體攻擊方式還在調查中。
Cashaa公司此前並不允許使用個人電腦,此次員工使用個人電腦是因為僱員裝置故障,Cashaa公司考慮到『客戶體驗』於8號為其臨時開通許可權。僱員在10號使用電腦操作後,不久336 BTC便被盜走。根據線上地址來看,被盜的BTC在轉移過程中還進行了混幣。
二、Cashaa被盜幣事件分析
成都鏈安·安全實驗室針對此次事件進行分析,本次涉及BTC是在僱員操作後很短的時間內被盜的,且轉移過程中流入混幣,這說明駭客對區塊鏈技術早有積累,很有可能是相關從業人員或黑產成員。
根據Cashaa給出的資訊,僱員在8號獲得許可,在10號就遭受攻擊,這太過於巧合,我們相信Cashaa公司在對員工電腦進行臨時授權前,應當是會對員工電腦進行過安全檢查的。這裡我們推測這是一起有極高針對性的攻擊,駭客極有可能瞄準Cashaa已久,對公司內部成員和動向都非常瞭解,才能在這麼短的時間內,控制僱員的電腦;但也不排除內部人員配合作案的可能性。
針對於目前掌握到的資訊,我們推測有兩種可能性:
攻擊者是專業從事相關黑產的團伙,其瞄準Cashaa已久,掌握著公司相關人員資訊和網路管理制度,透過傳統攻擊手段持續性的對公司人員的資訊裝置進行攻擊,或已掌握部分系統的許可權,此次攻擊是建立在前期攻擊基礎上進行的。
公司內部有相關人員配合作案,將公司資訊洩露給了攻擊實施者,再針對性的配合社工手段進行攻擊,拿到僱員電腦許可權。
三、安全建議
針對此次事件,成都鏈安呼籲各大交易所和錢包服務商,『千里之堤 毀於蟻穴』。網路安全建設是一個面,任何薄弱點都能可能成為擊垮堤壩的『蟻穴』。
1、從交易所出發:伺服器層、網路層、終端層、智慧合約層、業務層、安全管理制度等各個層面的安全都不可或缺;一旦出現短板,即使其他方面做的再好,也無濟於事。
2、 『安全』永遠是一個博弈的過程,沒有攻不破的系統。隨著技術的不斷髮展,原先所謂『安全』的系統也會變得不安全,因此與第三方安全公司建立持續的合作關係也是不可或缺的。
3、對於安全體系來講,人往往是最薄弱的環境,隨時存在『違規操作』的可能性,加強員工的資訊保安意識,切實實施良好的安全管理制度可以規避很大的風險。
4、『亡羊補牢,為時不晚』。在遭受駭客攻擊後,交易所應第一時間向專業的安全公司尋求幫助,追蹤資金動向,儘可能將公司的損失降到最低。
