自從開了交易所,每天睡不著,擔心客戶的資產被盜。就連 OK創始人徐明星,在創業初期也曾同樣經歷過這種心情。現在交易所的創始人們也不例外,牛市來了,他們眼中最大的空頭,可能是駭客。
畢竟趁牛市賣幣賺得多。如區塊鏈安全公司 PeckShield (派盾)副總裁吳家志所言,攻擊交易所的駭客,都是熟悉交易所繫統、瞭解加密貨幣的一群人,因此賣盜來的幣也講究時機。“比特幣站上 8000 美元之後,之前監控的駭客地址又開始活動了,其中的幣經數度轉手之後往往流入交易所套現。”
隨著行情而來的,是交易所資金體量的成倍上漲。自然,這個兵家必爭之地又成為創業者和資本追逐的熱點,同時也成為了駭客的目標。慢霧統計,2019 年二季度以來,包括幣安、Coinbase在內的近10家交易所已被駭客成功攻擊,損失超 7600 萬美元。多家無名的交易所因被駭客攻擊而關停,沒有關停的,可能只是因為賠得起錢。
交易所們熬過了熊市的慘淡,卻沒躲過牛市的駭客。
盜幣驚魂,創始人寢食難安
幣創走了,留下一句“交易所的坑,實難為繼”。令人感慨。業內人士透露,在幣安被盜7000枚比特幣(5月初)前後,不少交易所也慘遭駭客洗劫,因此而承受關停壓力的小交易所不少。
一家小交易所的創始人,此後壓力巨大。“雖然後來把窟窿填上了,但據說創始人自此之後常失眠睡不著,精神幾近崩潰。堅持了幾個月實在不行,遂決定關站。”
OK創始人徐明星曾經夢見有人綁架了他,讓他交出比特幣。投中網報道,在夢中驚醒的他,第二天重新設計了交易所的安全機制,將冷錢包金鑰交給多人管理,建立異地備份。
交易所安全的歷史上不乏前車之鑑,門頭溝、Bitfinex 被盜 10 萬比特幣的驚天窟窿,至今仍深刻影響著相關當事人。
每一個坐上交易所 CEO 位置的人,就好比突然獲得王位的達摩克利斯。擺在他面前的,除了眼前的美酒佳人,還有王位上方僅用一根馬鬃懸掛著的利劍。對於交易所而言,這支利劍就是隨時面臨的駭客攻擊,億萬財富也可能在一夕之間拱手送人。
“所有開交易所的最擔心被盜幣。沒有最安全,只能更安全一點,再安全一點。”HB.top 交易所創始人姚遠坦言,“駭客和政策禁令一樣,是交易所最關注的兩大問題。”
在每次發生盜幣時,都會刺激姚遠的神經。幣安被盜的第二天,趙長鵬線上上直播中安撫使用者、細述賠償方案。“看得出他一晚上都很憔悴。發生了這種事,不得不買單。很擔心發生在我身上。”姚遠坦言。
別人的錢包不敢用,自己做的也不敢用
交易所每天需要準備足夠的流動性用於提幣。據業內人士透露,一些交易所走賬、提錢,是幾個創始人每天早上一起操作,“想想還是很手工的,戰戰兢兢的,一不小心錢沒了咋整?”
這樣的儀式感,每天都在提醒,他們是行業最大的中心,也是最大的靶子。
“不止一個交易所創始人對我們說過,自己很擔心、睡不著,然後也多次在交流中囑託我們要做好檢測,加強系統安全。”慢霧科技合夥人兼安全負責人海賊王告訴Odaily星球日報。
一位交易所領域的創業者表示,“中心化交易所對創始人的折磨其實挺大的,畢竟能賠的起錢的屈指可數。交易所要自己做錢包,別人的錢包不敢用,有的連自己人做的錢包也不敢用。”
創始人們的焦慮並非沒有來由。據慢霧團隊提供的資料,2019 年二季度以來,包括幣安、Coinbase 在內的近 10 家交易所已被駭客成功攻擊,損失超 7600 萬美元。
每天,姚遠都能從自家交易所購買的阿里雲和亞馬遜雲上,看到分析日誌中提交的惡意掃描和攻擊伺服器的報告。“看著很焦慮,我們不得不每天打起 12 分精神、謹小慎微的運營,反覆查驗系統的健康指標。雖然枯燥但很重要。”
在恐懼的支配下,一些頭部交易所不惜重金挖掘資深安全人員。
“安全人員的行業平均工資,相比於同等資歷的程式設計師通常高出一倍。對於有特殊能力的人甚至不設上限,給出的 Offer 超過老闆也有可能。“吳家志告訴 Odaily星球日報。
吳家志坦言,有段時間幾個合夥人先後收到了獵頭髮出的 Offer,“大家一交流才發現都是同一家頭部交易所發出的”。
除了人員投入,還有錢包和託管服務等投入。根據 Coinbase 一年前公佈的報價,其託管服務會一次性收取 10 萬美元,在此基礎上每月增加 10 個基點,而且要求客戶的加密資產餘額不得低於 1000 萬美元。
安全成本之高,確實不是一般的交易所能承擔。幣創創始人在微博表示,安全成本是選擇關停的原因之一:“小團隊開發資源極其有限,實在無法在保持功能進度的前提下,傾斜大量精力在安全上。”
交易安全的坑,數不勝數
如此之高的安全素養,都是交易所踩過的坑給教的。
1、耐心駭客臥底半年終收網
5 月初,幣安被盜。北京鏈安分析認為,問題出在了,幣安內網遭到駭客長期滲透,由此輕鬆獲取使用者金鑰及其他相關資訊,進而將其中的幣提走。
而在此之前的一個多月,DragonEx、BiKi 等平臺剛被駭客組織 Lazarus 採取類似手法“滲透”。
據 360安全專家介紹道,Lazarus 通常會用半年的時間將交易所內部架構調查清楚,而後偽裝身份與交易所人員進行長期的溝通交流。
“都是朋友了,誰會有那麼強的防備心?”360安全專家介紹說。等時機成熟後便向交易所人員推薦加入惡意程式碼的自動交易軟體等。交易所人員一旦中招,駭客便可在雲端控制該臺電腦,獲得自己想要的資訊和許可權,為所欲為。
“從去年 10 月開始準備,終於在今年 1 月和 3 月收網。”耐心的 Lazarus 在收網時,僅 DragonEx 一家便獲利 4000 萬元。“面對這類長時間、精心設計的陷阱,大多企業都頂不住的。”360安全專家補充道。
2、挑安全人員意志薄弱時下手
平常的駭客,即使沒有 Lazarus 如此耐心,為提高成功率,在前期測試好之後,也會埋伏至適當時機再下手。
姚遠最不喜歡逢年過節,因為此時最是危險、要全力防著這些人。“駭客全年無休地盯著你個小金庫,即使在大年初一初二也有人被盜。駭客還晝伏夜出,凌晨兩點到五六點間也要有人值班監控。“故此,僅有 10 人團隊的 HB.top,安全人員就佔了 3 個。”
3、不要隨便吹自己安全做得多好
安全無小事,一出出大事。但仍有交易所忽略這條箴言。
安全行業從業者 Ken 告訴 Odaily星球日報,交易所忌高調浮誇。有的交易所可能上線沒多久,沒出過問題,於是在社交媒體上吹捧自己的技術如何強大安全。
“什麼?那我得挑戰一下。駭客看到後很可能就來勁了。所以,安全事宜要默默做,用少漏洞、零損失說話。”Ken 說道。
4、被盜幣還不知道為啥才最慘
風險預警只是安全攻防中的前半場,另一半場發生在駭客攻擊後的處理能力,如處置妥當無疑能將損失降到最低甚至是零。
派盾團隊有時會遇到被攻擊的客戶尋求幫助。這時令人頭疼的是,知道被攻擊的事實,卻不知道問題出在了哪兒。
“剛開始從業的時候會覺得很懵、壓力很大,有時需要連續熬個一兩個夜才將問題排查好,後來慢慢習慣了。”吳家志表示。
去年 7 月,HB.top 發現錢包中少了幾百個 USDT,於是迅速排查,發現有駭客在發動假充值攻擊,也即駭客向交易所賬戶中假裝衝入 USDT,實際卻利用交易所的機制漏洞(在 USDT 還未到賬時便給了假充值賬戶提幣權),讓駭客在數分鐘內提現,於是造成了虧空。
發現問題後,HB.top 立即對駭客賬戶進行排查,並調整機制,在核準到賬記錄後才開放提幣,由此阻擊了駭客更大金額的假充值。
後來的事實證明,駭客的這種“創新”攻擊手法,將大量交易所攻陷了,某些交易所為此損失多達數百萬 USDT。
總結起來,很多從業者都認為,在交易所安全的各個環節裡,最脆弱的是人。
首先是當老闆的安全意識有多高,在私鑰儲存時願意相信的人的範圍有多大。其次,在安全投入、機制設定和安全教育上有沒有做到位。
正如姚遠所言,人性薄弱的地方,就應該用制度來約束。譬如一些公司設定了內外閘道器卡,實行網斷隔離,還規定所有員工均需安裝防毒軟體、不要點開未知連結,等等。
丟幣不可怕,可怕的是交易所沒錢賠
交易所自身安全,是一方面;資產安全的另一方面,則是交易使用者。
上述創業者認為,使用者在選擇交易所時並不會太多評估其安全性如何,畢竟大所也會被盜。
那麼使用者主要看什麼呢?
關鍵是看交易所在丟幣之後能不能賠得起這個錢。這個涉及到交易所是否設立盜幣賠付基金,並在攻擊發生後的行動。若交易所賠付金準備到位,被盜幣也有可能為品牌價值錦上添花。“大交易所安不安全我不知道,但是我知道他不會跑路。”
目前來看,大小交易所在丟幣後都傾向於全額賠付。
但在安全從業者看來,有一類交易所的安全性會讓人頗為顧慮——那些突然間火起來的交易所黑馬。
很多交易所早期並不注重安全防護,在快速發展起來後也容易成為駭客眼中的 Easy Girl。我們看到,3 個月以來,像 Biki、抹茶這樣的交易所新貴就曾先後被駭客洗劫。
吳家志坦言,相比於兩年前,現在從業者的安全意識和防護技術確有提高。部分交易所甚至購買了價格不菲的服務,譬如託管錢包和 AWS 的金鑰託管服務(KMS)等。
在多措並舉的情況下,我們可以看出被盜交易所的數量明顯下降。
資料來自:慢霧
但安全從業者都知道,人造的系統有各種被攻克的可能。換言之,安全問題乃是交易所的阿喀琉斯之踵,會伴隨行業永遠存在。
