北京時間9月26日凌晨,著名交易所庫幣(kucoin)發生盜幣事件,從比特幣到erc20 usdt以及其它erc20標準代幣,甚至eos usdt都遭受了損失。事發後,庫幣也以公開的態度及時通報了這起事件,庫幣國際ceo johnny也透過直播的方式通報了整個事件的來龍去脈和最新進展。就目前情況看,整個事態正向著可控的方向發展,而我們透過chainsmap鏈上追溯系統也參與了對相關資產的流向分析和追蹤,接下來就讓我們對這起事件做一個階段性的回顧。
發生了什麼?
庫幣視角:
庫幣ceo johnny表示,2020年9月26日02:51分,庫幣團隊收到第一次風控系統報警,發現了一個反常的eth轉賬記錄,轉賬目標地址為:0xeb31973e0febf3e3d7058234a5ebbae1ab4b8c23,接著多起異常交易發生,庫幣隨即啟動應對機制。
chainsmap鏈上視角:
如今,如果你開啟著名的以太坊區塊瀏覽器etherscan,0xeb31973e0febf3e3d7058234a5ebbae1ab4b8c23已經被標記為盜竊標記
etherscan會根據相關token動態價格計算地址上的代幣資產總值,因此,目前主流外媒基於鏈上轉賬記錄資料,大多報道稱庫幣此次有1.5億美金被轉出。經庫幣團隊確認,在駭客大規模轉出庫幣資產的同時,庫幣錢包團隊也在轉出資產“避險”,如已被tether和bitfinex凍結的3500萬usdt,其中有1300萬為庫幣錢包團隊轉出,2200萬為駭客轉出。
據此,庫幣也一直未公佈實際的涉案金額,庫幣ceo johnny也表示,由於很多受影響的代幣為erc-20代幣,他們的價值評估工作仍在進行中,庫幣將在確認後公佈具體的代幣和金額。
從交易記錄來看,該地址首筆入賬交易發生於北京時間9月26日02:49:18,該交易即竊取了超過1388萬枚erc20 usdt。
而本其事件另一特點在於,除了主流的erc20 usdt之外,它大批次的盜取了庫幣熱錢包的各類代幣。同時,從行為模式來看,駭客很可能採取了一種程式碼遍歷盜幣的方式,對各類代幣不做餘額驗證,輪詢發出轉移指令,於是,我們可以看到一些轉賬金額為0的代幣轉賬,只是消耗了一些gas,這對於駭客來說也確實是一種更加“高效”的轉移方式。
在比特幣方面,透過chainsmap檢測系統分析,9月26日 03:05:37,庫幣熱錢包連續向一個地址連續轉賬,總額達1008 btc,同時還轉入了999160 omni usdt
庫幣的應對
庫幣視角:
庫幣ceo johnny表示,庫幣技術人員事發後即成立應急小組,建立緊急溝通群,開始排查和摸索現在系統當中的一些行為邏輯。
同時,庫幣運維人員緊急關閉錢包伺服器,並開始轉移熱錢包的存量資金到冷錢包,而相關的交易所充提業務也暫停。
對於使用者,庫幣釋出了相關公告,鄭重表示,若有使用者在此次事件中遭受損失,全部將由庫幣及其保險基金一力承擔。
chainsmap鏈上視角:
從庫幣erc20 usdt來看,在9月26日06:28之後就基本暫停,其比特幣相關交易則在當日凌晨4:34之後便不再有向熱錢包的使用者轉賬歸集,
同時,我們也可以看到庫幣網緊急將其受攻擊熱錢包中的其它代幣進行了轉移,從事發後措施來看,庫幣在這些環節反應還是比較迅速和到位的。
鏈上堵截:行業聯動,駭客或竹籃打水一場空
庫幣視角:
庫幣ceo johnny表示,庫幣目前已經與包括火幣、幣安、okex、bybit、bitmax等全球主流交易平臺、專案方、安全機構以及警方取得聯絡,已經採取了一部分有效措施,正在全力的追捕這些資產。
chainsmap鏈上視角:
我們得知此事後,很快開啟了相關資產的監控以及與庫幣的聯動配合機制,很快便發行了一批erc20 usdt的動向。
可以看到駭客建立了一個獨立地址,先進行了1usdt的轉賬測試,接著直接打入5萬usdt,這樣的交易組進行了兩次分別達到兩個地址,此後,駭客又將這兩個地址中的usdt部分打入到入0xdf0921開頭地址,相關usdt開始進一步分散轉賬,有11000枚usdt流入到抹茶交易所。對此,我們也將相關資訊及時向相關交易所同步,並進行通告,抹茶也很快做了相關賬戶的凍結。
與此同時,庫幣ceo johnny在直播中沒有提及的一點是,庫幣顯然與usdt發行方泰達進行了聯絡。而泰達也給予了積極響應,透過智慧合約直接將相關usdt進行鏈上凍結,與此同時,bitfinex也宣佈凍結了庫幣流出的eos usdt。
從目前來看,被盜的其餘erc20代幣和比特幣暫未有所動作,在行業的圍追堵截之下,駭客要想完全將這筆資產進行充分的轉移和變現將難度和成本極大。
事實上,就在北京時間9月26日21:18:35,駭客再度試圖轉移usdt資產
顯然,這筆被凍結的資產的轉移已經被阻止,不止此時的駭客心中是何感想?
餘波:交易所該如何應對資產安全
庫幣安全事件已經過去超過24小時,圍繞事件本身的喧囂也漸漸散去
和往常一樣,作為今天的知名地址,駭客轉移資產的地址已經成為一個塗鴉板和廣告牌,一些怪異的token被轉入這個地址進行展示和調侃,這也算這個行業一個黑色幽默般的現象。
當然,更加嚴肅的問題還留待我們繼續思考,關於庫幣相關安全事件發生的原因,還需庫幣進一步調查和對外公佈。但是,對於任何交易所來說,做好內部風控防範道德風險,做好不同業務網路間的隔離,以及落實多籤機制都是最基本的,卻需要紮實執行的安全措施。
同時,庫幣安全事件也體現出,除了防患於未然之外,當安全事件發生後,合理的應對也將有效減少損失。從這個角度來看,庫幣在這起事件中還是有可圈可點之處,如相對快速的發現問題並緊急保護現有資產,及時發動行業進行聯防,特別是抓住關鍵環節儘可能阻止關鍵資產的進一步轉移。當然,很關鍵的一點還有公開,庫幣及時公開遭受攻擊的資訊,並由ceo透過直播方式傳達資訊,還是和有效的達到了溝通的效果,這些做法或許都值得其他交易所放入自己的預案策略之中。
對於交易所來說,資產安全可謂重中之重的事宜,我們希望各大交易所在接下來更加重視安全措施。而作為專業的技術安全機構和鏈上資產追溯專業服務提供商,我們也願為行業賦能,保障客戶和其使用者的資產安全。
轉自:https://www.bishijie.com/shendu/132172.html
