本文將會圍繞駭客攻擊加密貨幣的方法、案例以及對策展開討論。本節將分析最常見的駭客攻擊策略,並編匯收集被公開發布過的關於安全問題的資訊,以及羅列出存在記錄的駭客事件清單。清單上的全部內容都來源於可靠新聞並附有來源註釋。這些資訊將有助於加密貨幣持有使用者和交易平臺制定交易系統防禦措施,以反抗駭客攻擊。駭客攻擊方法與人們的普遍認知相反,絕大多數駭客攻擊都是以社會工程 (social engineering)的形式完成的。Social engineering 是指利用欺騙手段來操縱個人,使其無意間洩露可以被用於欺詐目的的機密或個人資訊。下面提供的交易駭客攻擊列表將證明,駭客繞過系統制定的安全措施的方法通常都是以這種手段實現的,實際上很少需要使用中斷加密的方法。一些 social engineer-ing 駭客的普遍形式是:手機/電子信箱劫持; 通常情況下,駭客利用從社交媒體檢索到的個人資訊,冒充目標,並從受害人的行動電話運營商獲得新的手機 SIM 卡,或者重設受害人電子信箱密碼。這就使得駭客能夠訪問所有型別的賬號、獲得各式各樣的資訊,而駭客所盜取的資訊中,就有可能包含加密貨幣交易所員工的資訊。網路釣魚; 作為迄今為止最常見的盜取他人賬戶的方式,許多人都採取了防範措施,或者受到賬戶平臺的反釣魚保護。然而在 2014 年 7 月,這種釣魚技術被成功用於從 Cryptsy 竊取 950 萬美金 (見下文)。網路釣魚經常要求人們在看上去合法合規的網站上登入他們的賬戶,從而獲取登陸資料。鑑於釣魚網站和釣魚郵件的無處不在,有人在一個漫不經心的時刻上當受騙只是時間問題。惡意軟體; 2015 年 1 月,多名位元股員工被騙將惡意軟體下載到了他們的工作電腦上,損失共計 520 萬美元。該技術還會利用目標的興趣愛好來誘使他們下載惡意軟體。防禦 social engineering 駭客; 世界上極少有資料庫是沒有經過加密的。由於中斷此類加密是幾乎不可能的,因此攻擊這些資料庫就必須要致力於獲取用於解密資料庫的私鑰或者密碼。因此,大多數交易所被黑只可能是由於糟糕的資訊保安協議導致的。大多數情況下,包含交易所客戶全部私鑰的加密資料庫密碼只掌握在幾個關鍵員工手中,這些員工就可以成為低成本 social engineering 攻擊的目標。這種型別的資料洩漏不僅在中心化系統中非常常見,而且也是造成系統最大損失的關鍵點。總結性地說,加密貨幣本身很少被黑,但是它們的核心協議或者共識機制卻是有可能受到損害的。這幾乎總是設計不當的共識機制和中心化系統的最終結局——人為失誤造成的嚴重損失。從下面列出的駭客攻擊、下圖中的錢包客戶端和去中心化私鑰系統的情況可以推斷,將資產儲存在離線冷錢包裡以及多簽名身份驗證,是最重要的駭客資金盜取防禦措施。交易所駭客攻擊事件時間線2011 年 6 月 Mt. Gox,875 萬美金;早期規模最大、最重要的加密貨幣交易所,同時也是第一個已知的加密貨幣交易所駭客受害者。這起事故的原因——我們必須假設——是由於其低標準的安全措施導致的。當時總部位於日本的 Mt. Gox 沒有使用任何一種版本控制軟體,這意味著任何一位程式設計師都可能出於意外而撤銷同事的全部工作,如果他們恰好在同一個檔案上編輯程式碼。就在駭客攻擊前不久,比特幣交易所引入了一個新測試環境,因此舊版本的軟體更改已經被推送到交易所客戶,並處於未經測試的狀態。2011 年 10 月 Bitcoin7,5 萬 美 金; Bitcoin7—— 當 時 全 球 第 三 大BTC/USD 交易所——成為了俄羅斯駭客組織的目標。10月 5 日,該交易所網站向使用者釋出了一條資訊,稱“攻擊本身不是僅僅針對 bitcoin7.com 伺服器,而是對於屬於同一網路的其他網站和伺服器也都採取了行動。最終駭客們成功突破了整個網路,並導致隨後對 bitcoin7.com 網站的嚴重破壞。”最初的突破無論發生在哪個層面,都能讓駭客們接觸到網站的熱錢包。駭客攻擊後不久,Bitcoin7 便永遠地關門大吉了。2012 年 3 月 Bitcoinica,22.8 萬美金;Bitcoinica 是利用名為 Linode 的網路主機發動駭客攻擊的最突出受害者之一。Bitcoinica 的CEO周同在最初表示損失了1萬枚BTC後,向Ars Technica承認實際上丟失了 4.3554 萬枚比特幣,所有這些幣全都存放在 Linode 伺服器上的未加密熱錢包裡。2012 年 5 月 Bitcoinica,8.7 萬美金;第一次駭客攻擊後 10 周,Bitcoinica又一次被盜取了一筆資金。這一次不僅是丟失比特幣,甚至 Bitcoinica 使用者資料庫也遭到嚴重破壞。姓名、電子信箱地址、密碼和其他敏感資料全部被盜,儘管這些資訊被儲存在具有不同加密方案的獨立資料中心的獨立伺服器上。2012 年 7 月 Bitcoinica,30 萬美金;第三次攻擊令 Bitcoinica 再次丟失了客觀數量的比特幣。然而,關於駭客是內部監守自盜的傳言永遠無法被證實。2012 年 9 月 Bitfloor,25 萬美金; 截至 2012 年 9 月,總部位於紐約的Bitfloor 是以美元做交易的第四大交易所。在攻擊中,駭客獲得了交易所錢包金鑰的未加密備份。此備份是在 Bitfloor創始人 Roman Shtylman 進行手動升級並將資料存入磁碟上的未加密分割槽是建立的。被洩露的錢包鑰匙被用於清空Bitfloor 上的大量熱錢包。2013 年 5 月 • Vircurex,16 萬美金; 一個人為錯誤導致了 1454 枚 BTC,225.263 枚 TRC 和 23.400 枚 LTC 被盜。根據 2013 年 5 月Vircurex 的報告,駭客獲得了他們託管服務商的 VPS 控制賬戶的登入憑據,然後成功請求到了所有伺服器的重置根密碼。2013 年 6 月 • Picostocks,13 萬美金; 6 月 10 日,Picostocks 的發言人在bitcointalk.org 論壇上透露,多個賬戶是使用相同的密碼操作的,這就給駭客提供了進入交易所錢包的許可。2013 年 11 月 • Picostocks,300 萬美金; 同年 11 月,Picostocks 又被盜取了一筆大得多的金額。由於此次被黑的一部分錢包是冷錢包,無法被透過網際網路訪問,因此駭客有可能是內部人員。2014 年 2 月 • Mt. Gox,4.6 億美金; 這是有史以來第二大的加密貨幣交易所駭客攻擊。鑑於相對較小的加密貨幣市場,這是影響力最大的攻擊事件。“危機戰略草案”中顯示,駭客多年以來一直在利用同一個 bug 針對該公司進行研究。“危機戰略草案”洩露後,Mt. Gox 承認損失了 4.6 億美元 。來自該公司內部的事後資料報告稱,他們曾經使用的原始碼可以說是“一塌糊塗”。自 2011 年 6 月的駭客攻擊以來,Mt. Gox 的安全措施似乎並沒有得到充分加強。2014 年 3 月 • Cryptorush,57 萬美金; BlackCoin 釋出了他們區塊鏈的一個新分叉,其中產生了一個 bug 使得 BlackCoin 的所有者能夠兌現幣他們實際擁有的資金更大的金額。官方宣告的副本現儲存在 bitcointalk.org 論壇上。2014 年 3 月 • Poloniex,6.4 萬美金;一個類似的 bug,利用交易被安排發生在同一時刻,從而提取多於超過錢包內實際儲存的金額,以達到從 Poloniex 上盜取資金的目的。2014 年 3 月 • Flexcoin,,60 萬美金; 在對加密貨幣儲存服務提供商進行攻擊後,所有的熱錢包全部被清空。駭客進入 Flexcoin 系統的手段,目前尚不清楚。2014 年 7 月 • Cryptsy,950 萬美金; 這一嚴重的駭客攻擊事件,直到發生兩年後該公司宣佈破產的時候才被公開。在最初針對技術問題的一番指責過後,Cryptsy 據稱在破產前成為了網路釣魚的攻擊目標,並被迫暫停了交易。2014 年 8 月 • BTER,165 萬美金; 儘管 BTER 透過談判,使駭客歸還了部分被盜資金而減少了他們的損失,但一位開發者聲稱問題完全在於交易所本身,而駭客攻擊造成的損失本身是可以避免的。2014 年 10 月 • Mintpal,130 萬美金; Mintpal 的駭客攻擊情況以及其隨後的破產原因依然不清楚。2017 年,Ryan Kennedy 因欺詐和洗錢罪名被帶到英國法院,並在駭客攻擊後得到了交易所,這引起了人們對其內部人員的懷疑。2015 年 1 月 • 796Exchange,23 萬美金; 即使將伺服器遷移到高度安全的雲端站點,也無法保護當時交易量最大的交易所避免被駭客成功攻擊。在發現了系統弱點之後,駭客們能夠欺騙客服部門,讓他們把比特幣傳送到錯誤的錢包裡。796Exchange的總裁 Nelson Yu 告訴 cointelegraph.com,” 準確地說,錢包系統在這次事件中一點也不受影響。資金盜取發生在基金的交易過程中。”2015 年 1 月 • Bitstamp,520 萬美金; 2015 年的 Bitstamp 駭客劫案是眾多複雜的網路釣魚攻擊中一個很好的例子。多個員工被鎖定,並透過利用他們的興趣愛好資訊被誘騙下載惡意軟體。透過這種手段,攻擊者獲得了對兩個伺服器的訪問權,其中包含 Bitstamp 熱錢包的密碼。2015 年 2 月 • BTER,175 萬美元; 駭客針對 BTER 的第二次攻擊尤為重要,因為這次他們襲擊的目標是 BTER 的冷錢包。他們是如何做到這一點的,至今仍然是個謎。2016 年 4 月 • Shapeshift,23 萬美金; Shapeshift 的駭客攻擊時為數不多的,可以追溯到該公司一名員工的駭客攻擊之一。在盜取了 13 萬美金之後,他們把敏感資訊賣給了一名駭客。據信,駭客製造了第二筆盜竊,金額為 10 萬美金。2016 年 5 月 • Gatecoin,214 萬美金;這次駭客攻擊是一個久經考驗的策略的轉折點。攻擊者似乎改寫了系統,使其將存款轉賬儲存在熱錢包中,而不是應該存放的冷錢包中,以此增加了後來被盜走的金額。2016 年 8 月 • Bitfinex,7 千 7 百萬美金; Bitfinex 使用 BitGo 的多簽名錢包系統,被許多人認為是極其安全的。然而,駭客一定是設法獲得了私人錢包的鑰匙以及 BitGo 的 API 的關鍵點,直到今天仍然留下了許多關於攻擊性質和過程的問題。2017 年 2 月 • Bithump,1 百萬美金; 駭客成功地獲取了超過 3 萬名Bithump 使用者的個人資訊。資料洩露是該公司一名員工的私人電腦被駭客攻擊的結果。然後,這些資訊被用來進行欺詐通話,以竊取使用者的身份驗證程式碼。2017 年 4 月 • Youbit,530 萬美金; 之後被稱為”Yapizon” 的韓國交易所的四個熱錢包被成功攻擊並清空。被盜金額相當於公司總資產的 36%。2017 年 2 月 • Youbit, “全部資產的 17%”; 在 Youbit 發生的第二起駭客搶劫案迫使交易所宣佈破產。這兩起襲擊事件都是鄰國朝鮮的間諜機構所為,但這些說法無法核實。2018 年 1 月 • Coincheck,5 億美金; 由於安全手段不足,Coincheck 成為了這一大規模駭客搶劫案的輕鬆目標。交易所不進將其客戶的資產儲存在熱錢包中,而且也沒有用已經成為行業標準的多簽名身份驗證起來保護這些錢包。2018 年 2 月 • Bitgrail,1.87 億美金; 人們對義大利 Bitgrail 在今年 2 月向當局提交的駭客攻擊瞭解甚少。根據交易所自己的說法,造成損失的具體日期甚至無法確定。自然地,對 Francesco Firano 本人作為 CEO 策劃盜竊資金的指控不斷上升,但是沒有任何證據可以證明這一點。Firano 試圖將責任推卸給BitGrail 使用的 Nano 令牌區塊鏈背後的開發者。2018 年 6 月 • Coinrail,4 千萬美金; Coinrail 時另一個在被駭客攻擊後不得不關閉的交易所。儘管該公司 70% 的資產都存放於冷錢包中,但駭客仍然盜走了 4 千萬美金。這一事件標誌著韓國交易所在幾個月內第三次被駭客攻擊,這意味著加密貨幣交易所駭客們集中在亞洲。2018 年 9 月 • Zaif,6 千萬美金; 總部設在日本的 Zaif 措手不及,因為駭客從他們的熱錢包偷走了 6 千萬美金。該公司只有透過與Fisco 合作才能生存,而 Fisco 制服了 4.45 億美金的被盜金額,以獲得交易所股權的大部分份額。
加密貨幣交易所駭客攻擊損失金額總量。
總結
透過觀察這些駭客,可以總結出一些有趣的資訊:
1. 大多數成功攻擊的加密貨幣交易所的事件,發生在總部設於亞洲的公司身上。
2. 上面提到的絕大多數駭客攻擊的都是被集中管理的熱錢包。
3. 被列舉的許多攻擊事件都是由於人為錯誤導致的,即資料未在加密情況下儲存、更新在沒有質量保證的情況下推送、偽裝成客戶的駭客沒有被發現,或者交易所員工成為網路釣魚目標。
透過使用客戶端錢包,和在私鑰上進行多重簽名身份驗證,真正的去中心化加密貨幣交易所大大降低此類駭客攻擊成功的可能性。除此之外,這也讓公司員工更加難以實現從內部挪用資金。
更多數字貨幣資訊:www.qukuaiwang.com.cn/news
