今天中午,Twitter 上專門監測大額轉賬的賬戶 Whale Alert 連續發出多條推文,顯示 Upbit 交易所在向未知錢包和 Bittrex 交易所連續進行大額轉賬。
根據 Whale Alert 推文顯示的資料,區塊律動 BlockBeats 統計了一下,包括 34.2 萬個 ETH、11 億個 TRX、 863 萬個 EOS,以及 872 萬個 XLM 等多個幣種在幾個小時內被轉走,總金額超過 1 億美元。
大額轉賬並不少見,但一個交易所連續對外進行大額轉賬,絕非正常現象。韓國知名入口網站 Naver 關注到這一異動,短時間內,數筆總金額超過 1 億美元的轉賬,Naver 開始懷疑 Upbit 被盜了。
訊息很快發酵,Upbit 被盜的流言漸起,不過不少人對此持有不同觀點,認為這僅是一次普通的交易所內部轉賬。因為公開資料顯示,Upbit 是融科技公司 Dunamu 與美國交易所 Bittrex 合作推出的一家加密貨幣交易所,換句話說,Upbit 的背後是 Bittrex。這些大額轉賬中有從 Upbit 向 Bittrex 的轉賬,所以他們不認為 Upbit 被盜了。
然而傍晚 Upbit 交易所發出公告,承認自己的以太坊熱錢包損失了 34.2 萬個 ETH,損失金額 4980 萬美元。當他們發現可能被盜後,很快將熱錢包中其他資產轉移到了冷錢包,也就發生了連續數筆大額轉賬。
雖然這可能是 Upbit 交易所歷史上第一次發生資產損失,但這絕不是交易所歷史上的第一次被盜,更可以肯定的,這次事件也不會是交易所歷史上最後一次資產被盜。
2019 年發生過哪些被盜事件
隨著近年來加密貨幣行業的飛速發展,安全一直是行業中經久不衰的話題,在所有被盜主體中,交易平臺是被盜重災區,以至於有人戲稱交易所賺的錢,最終為駭客「打工」了。
據不完全統計,今年以來,駭客已經卷走了多家交易所價值數億美金的代幣,即便是聲稱已配備了頂級安全系統的交易所,也沒能倖免,這些頻頻發生的安全事件,不斷挑戰著交易者脆弱的神經。
包括 Bitrue、龍網、Bitpoint、QuickBit 等在內的交易所都成了駭客攻擊的物件,或是淪為駭客的「提款機」,或是使用者私密資訊被洩露,這些平臺也因此被使用者詬病。
今年 3 月,交易所龍網(DragonEx)的錢包遭遇駭客入侵,導致使用者以及平臺的數字資產被盜,事件發生後,平臺暫停了交易充提等所有基礎服務。隨後,龍網向多個國家司法機關報警備案、展開調查,對於此次損失,交易所承諾負責到底。
6 月 27 日凌晨,駭客利用該平臺風險控制團隊二次審查過程中的漏洞,進入了 Bitrue 使用者的熱錢包,導致約 430 萬美元的 XRP 和 ADA 被盜,對於這部分資金損失,交易所稱會 100% 返還使用者。7 月,日本持牌加密貨幣交易所 Bitpoint(BPJ)遭受駭客攻擊,預計損失了約 35 億日元(約 3200 萬美元),隨後,BitPoint 宣稱找到其中的 230 萬美元。
不僅是資金被盜,使用者存放在平臺的私密資訊也曾被洩露。今年 7 月底,瑞典加密貨幣交易所 QuickBit 釋出宣告稱,由於資料庫問題導致部分使用者敏感資料被洩露,包括姓名、地址、電子郵件地址和信用卡等私密資訊被曝光,一時間人心惶惶。
除了交易所,專案方同樣被駭客盯上了。今年 9 月 26 日,駭客獲得了一些儲存在離線裝置加密檔案中的恢復種子的備份資料,導致前 Algo Capital GP LLC(「Algo Capital」) 技術長 Pablo Yabo 管理的幾個錢包被盜,導致價值 150 萬~190 萬美元的加密資產丟失。不過隨後,Algo Capital 的管理合夥人承諾將償還受影響資金。
更不用說 EOS 這個被稱為「駭客提款機」的網路,直到今年,駭客依舊可以在未設定黑名單的出塊節點手中轉走贓款,EOS 上的 DApp 依舊被駭客攻擊,甚至專案方的 CPU 都會被駭客佔用去薅羊毛。
而如果把時間維度拉長,類似的事件更多。據今年年初區塊律動 BlockBeats 釋出的《2018 年度區塊鏈安全報告》,去年區塊鏈安全事件共發生了 138 起,較前一年暴增 820%,造成經濟損失高達 22.38 億美元。進入 2019 年後,區塊鏈安全事故數量有增無減,僅 1 月份的前兩週就發生了 6 起安全事故。
這筆錢可以去哪兒
一般駭客的正常操作,就是賣幣,把這些盜來的幣在其他交易所賣掉兌現。當然這也不是特別簡單的,為了擺脫追蹤,駭客需要在將 34 萬個 ETH 分散到不同地址,轉移到不同交易所,分批拋售。
但現在,因為被盜的幣是以太坊,以及以太坊上生態的繁榮,駭客有了新的選擇——DeFi。這也不是沒有先例。
今年 1 月駭客攻擊了紐西蘭的虛擬貨幣交易所 Cryptopia,盜取了 30,790 個 ETH,駭客並不著急兌現,而是把一部分 ETH 放進了以太坊去中心化金融平臺 Compound 中。
以太坊上有很多類似 Compound 的去中心化金融平臺,使用者可以在平臺上借貸、抵押,以及生息。駭客在 Compound 上存入 ETH,有兩個「好處」:一是可以理財,平臺可以提供儲存利息;二是可以混淆洗錢,當使用者取款時,取出的不一定就是自己儲存的 ETH,就像是銀行一樣,銀行將使用者的存款都放在一起,取款時無法追溯來源。
這次的 Upbit 也一樣,駭客同樣可以效仿他的「前輩」,把贓款放進 DeFi 應用中,比如 MakerDAO,或者 Compound。
MakerDAO 的特點是用 ETH 抵押生成穩定幣 DAI,DAI 可以在平臺上理財生息,駭客可以利用 Defi 理財,或者退還 DAI,換回 ETH,增加追蹤難度。在 Compound 中,駭客可以存入 ETH 理財,或者混淆洗錢。
Upbit 的這筆贓款目前還在錢包中,駭客下一步動作無法猜測。11 月 27 日晚,幣安宣佈如果發現被盜 ETH 轉移到了幣安馬上封鎖地址,其他交易所也勢必會有同樣的操作。在此之前的多次盜幣事件中,多家交易所也曾一起發起黑名單行動,防止駭客資產流入或洗白。
隨著加密貨幣成為投資者的新選擇,整個市場也在飛速發展,隨著市場擴大,駭客的攻擊技術也在不斷演進,攻擊手段也越來越複雜,每次發生駭客攻擊事件,安全問題總會被重提。對加密貨幣行業來說,這場平臺與駭客的對戰還將持續上演。
而本意為使用者實現去中心化借貸金融服務的 DeFi 平臺,也被駭客賦予了新的使命。曾經有人說比特幣最大的應用就是贓款的轉移,那麼當 Defi 也成為駭客轉移財產渠道後,這對 Defi 來說,是好是壞呢?
(區塊律動 BlockBeats 提醒,根據銀保監會等五部門於 2018 年 8 月釋出《關於防範以「虛擬貨幣」「區塊鏈」名義進行非法集資的風險提示》的檔案,請廣大公眾理性看待區塊鏈,不要盲目相信天花亂墜的承諾,樹立正確的貨幣觀念和投資理念,切實提高風險意識;對發現的違法犯罪線索,可積極向有關部門舉報反映。)