Cashaa是一家總部位於倫敦的加密錢包和銀行服務提供商。
安全本該是數字貨幣錢包的第一生命線。Cashaa宣稱使用“無風險”的支付閘道器,按理說可以保障資產安全。然而,威脅還是無處不在。
7月11日北京時間凌晨8點10分,CertiK天網系統 (Skynet) 檢查到在比特幣區塊638606和638692處Cashaa交易所發生交易異常,安全研究員迅速介入調查,詳細研究了攻擊者針對Cashaa交易所擁有的比特幣錢包發動兩次攻擊過程。
隨後,CertiK於第一時間在金色財經等媒體上釋出了相關新聞和訊息。
事件回顧
第一次攻擊發生於7月10日北京時間晚6點57分,受害者Cashaa的比特幣錢包之一
1Jt9mebBwqCk8ijrVDoT5aySu2q9zpeKde被盜用並向攻擊者賬戶
14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek轉移了1.05977049個BTC(約合9800美元)。攻擊者透過某種方式入侵受害者電腦,受害者在Blockchain.info上的比特幣錢包被盜,並向攻擊者賬戶轉移了BTC。
第二次攻擊發生於7月11日北京時間凌晨8點10分,受害者Cashaa的總計8個比特幣錢包,共計335.91312085個比特幣(約310萬美金)被攻擊者透過同樣的手段轉移到同一個
14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek地址中。
官方宣告及解析
根據Cashaa對該事件的官方宣告,這起攻擊發生的過程是攻擊者滲透攻擊進入“Cashaa India Over-the-counter”(OTC,場外交易市場)僱員的電腦,操縱電腦從而盜取了受害者賬戶的所有資金。
印度東德里(East Delhi)的一位OTC交易經理與7月10日發生首次攻擊有關。早在7月8日,該僱員報告過公司提供給他的機器存在故障,因此他請求透過使用自己的個人電腦來進行操作。為了保證使用者體驗,一向不允許使用個人電腦的Cashaa經管理層決議同意了這個請求。
Cashaa官方宣告中稱,攻擊者是透過被攻擊電腦中瀏覽器的活動程序(active sessions in the browser)來控制的該電腦。現在被確認的攻擊方式有phishing,病毒以及其他攻擊方式,但是官方並沒有確認最終的攻擊手段。被盜取的比特幣被轉移到14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek地址後,被最終轉移到多個錢包地址中。
Cashaa接到該僱員的事故報告後,立刻開啟了內部調查,並向德里數字犯罪署(Delhi Cyber Crime Bureau)進行了報告,報告編號為20807200031555。與此同時,Cashaa也向其社羣以及相關數字貨幣交易所進行了相關報告,共享了駭客的比特幣錢包地址。其中,Cashaa告知了所有主要交易所,包括WazirX,Binance,CoinDCX和Bitbns,並敦促他們監測與此地址相關聯的所有交易。
在攻擊事件發生後,被攻擊的電腦已經被封存當做調查物證,涉事僱員也暫時被停職,直至調查結束。事件發生後,Cashaa也召開了董事會進行商議,但到目前為止,並沒有官方宣佈如何進行賠償。預計官方會於7月底公佈所有細節,包括攻擊方法和賠償方式。屆時CertiK將會繼續跟蹤分析該起事件。
社羣支援
ZebPay,WazirX,CoinDCX及Bitbns等交易所的高層管理人員均已在Twitter(推特)上發表了對Cashaa給予支援的推文,並表示他們將採取一切必要的預防措施,以確保這些資金在他們力所能及的範圍內不流動。
社羣中有人傳言該起事件是內部僱員所為,針對該問題,Cashaa根據對該起事件進行調查的數字犯罪調查公司的反饋,認為本起事件並不應該為內部僱員所為。目前由於調查並未結束,因此尚不能對攻擊事件下定論。
攻擊事件發生後,Cashaa宣佈將會與Anti-Money Laundering(AML,反洗錢)企業合作,定製專屬鏈上AML工具,幫助減少數字貨幣犯罪。
防範建議
交易環境複雜的作業系統、瀏覽器、網路環境都將使交易存在很大的安全隱患。目前國內大部分基於手機平臺(MTK)的錢包,都可以被攻擊。透過匯出錢包韌體,不僅可以看到多個幣種的快取資訊,還可以找到生成助記詞的各種庫。
很多開發團隊在以業務優先的原則下,對自身錢包產品的安全性並未同等重視。一旦出現了安全性問題,將會導致大量使用者出現賬戶貨幣被盜。資產一旦被盜,將會無法掛失,並且很難被追回。
CertiK團隊總結了以下幾點建議:
1. 數字貨幣攻擊是多技術維度的綜合攻擊,需要考慮到在數字貨幣管理流透過程中所有涉及到的應用安全,包括電腦硬體、區塊鏈軟體,錢包等區塊鏈服務軟體,智慧合約等。當然,由於員工安全意識薄弱帶來的一些安全隱患也不能排除,而往往這方面是人們最難察覺到並且最容易忽略的。
2. 攻擊者對於將要採取的攻擊方式經常會進行測試後再進行大規模採用進行攻擊。因此需要重視對於潛在攻擊方式的檢測和監視,不要多次受到同一方式的攻擊。
3. 加強數字貨幣賬戶安全保護方法,使用物理加密的離線冷儲存(cold storage)來儲存重要數字貨幣。許多最著名的交易所都利用硬體錢包或硬體安全模組來儲存和處理所管理的加密資產。雖然沒有一個系統可以具有100%的安全性,但這樣的系統被破壞的概率更低。
4. 聘請專業的安全團隊進行網路層面的測試,並透過遠端模擬攻擊來尋找漏洞。比如CertiK團隊,會模擬真實環境中駭客攻擊的方式來攻擊系統中最薄弱的部分,以找到系統的漏洞和薄弱環節。入侵一個系統的突破口可能是在Web應用中的遠端程式碼執行漏洞,可能是伺服器上執行的舊版軟體,也可能一位員工無意中執行了測試團隊傳送的釣魚郵件中的後門程式。
而在CertiK專業的檢測過程中,將會對包括系統架構以及員工等所有可能被攻擊的環節進行逐一排查和測試,讓那即便只剩下0.00000000000001%被攻擊的可能性都不復存在。
