繼 2019年1 月份的新加坡 Cryptopia 交易所(C 網)、2 月份創始人意外死亡的加拿大最大的交易平臺 QuadrigaCX 之後,又有一家交易所出事了,這次是老牌交易所—DragonEx。
在發現資產被轉移之後,DragonEx 迅速公佈了被盜資產的去向,並懇請所有交易所協助調查凍結,來阻斷該資金流通。
這筆資產能否被追回來尚不可知,但是交易所一次次的被盜事件一再地為我們敲響警鐘。交易所在做好預防工作的同時,善後工作也是必不可少的。
縱觀之前各大交易所在被盜之後,他們都做了什麼?後來又怎麼樣了?
- 01 -
一蹶不振,最終破產倒閉
說起破產倒閉的交易所,最有名的當然是時至今日依舊影響力巨大的 MtGox,但是除了它之外,其實還有許多因為駭客而受到毀滅性打擊的交易所。
2012 年 3 月、5 月和 7 月,老牌交易所 Bitcoinica
連續遭遇三次駭客攻擊,其中,3 月份丟失了 43,554 個比特幣,5 月份丟失了 18,000 個比特幣,7 月份再度丟失了 40,000 個比特幣和 4 萬美元。
每次盜幣事件發生之後,創始人 Ryan
Zhou 都會關閉伺服器並在 Bitcointalk 等論壇上釋出新聞宣告來安撫投資者,並承諾向客戶全額退款。然而當時將系統安全、存款等業務全部外包出去來維持“低成本運作”的 Bitcoinica 根本無力抵抗駭客的一次次攻擊(也有一說是 Ryan 監守自盜),損失慘重的 Bitcoinica 也無力賠償投資者的損失,最終在 2012 年 11 月黯然登出。(不過 Ryan 近期又出現了,還在一家叫 coinjar 的交易所裡當 CTO)。
2012 年 9 月,與 Bitcoinica 的被盜過程類似,當時的全球第四大美元交易所 Bitfloor
的伺服器也被駭客入侵,並被盜走了 24,000 個比特幣(當時價值約 25 萬美元)。遭遇了毀滅性打擊的創始人 Roman
Shtylman 在次年 4 月決定關閉 Bitfloor,並向客戶退還存款。
Bitfloor 退還存款
儘管 Roman Shtylman 向使用者保證,他們將在未來幾天收回所有的資產,但是直到 2013 年 9 月,投資者們也沒有全額收回投資款項。
2014 年 2 月 7 日,當時規模最大的交易所 MtGox
(處理的比特幣交易佔全球的 70%)也遭遇了駭客攻擊。在損失了 85 萬 BTC (當時價值 4.7 億美元)之後,MtGox 無奈之下申請破產。時至今日,法院還在對其進行破產清算,並最終決定對客戶的賠償措施。
MtGox 對客戶的賠償郵件
有趣的是,這三個破產倒閉的交易所有一個共同點——2017 年,美國當局在希臘逮捕了俄羅斯人 Alexander
Vinnik,他控制的錢包不僅有 MtGox 被盜的比特幣,還包括 Bitcoinica、Bitfloor 的錢包。
- 02 -
僥倖生存,最終苦盡甘來
除了那些因遭受攻擊而黯然倒閉的交易所,還有很多交易所雖然遭受了盜幣,但是並沒有走上破產之路,而是頑強地生存了下來,最終苦盡甘來了。
2014 年 3 月,剛剛成立兩個月的 Poloniex 交易所
被入侵,駭客在盜走交易所加密貨幣總儲備的 12.3% 後被提現系統注意到了異常,並隨即被關閉了賬戶通道。
不過,負責任的創始人 Tristan
D’Agosta 選擇了積極面對,並在被盜幣後宣告會 100% 償還因攻擊所丟失的比特幣。事實上,最終他們也將被盜的 97 個 BTC 全部賠償給了客戶。
Poloniex 的賠償宣告
Poloniex 的一位使用者,以色列 Uppbit.com 的 CEO Dor
Konforty 對 coindesk 說,這家公司償還過程中保持透明非常令人印象深刻。最終,Poloniex 憑藉著優秀的處理措施倖存了下來,並於 2018 年被收購。
2015 年 1 月,歐洲比特幣交易平臺 Bitstamp (郵局)在週末期間遭到了襲擊,約 19,000 枚比特幣從熱錢包被盜。幸運的是,Bitstamp
90% 的幣都儲存在沒有受到影響的冷錢包裡,並在發現盜幣之後當機立斷,迅速將剩餘資金轉移到冷錢包內,才沒有使損失擴大。
Bitstamp 將剩餘資金轉移到冷錢包內
Bitstamp 在事件發生之後也做出了正確的選擇,自己承擔了損失——沒有 Bitstamp 的客戶在駭客攻擊中損失一分錢。此後,Bitstamp 就沒有出現過任何重大的安全問題。
2016 年 8 月,最大的比特幣交易所之一 Bitfinex
被駭客避開了多重簽名之後盜走了 119,756 個比特幣(時值 7500 萬美元),這也是繼 MtGox 被盜後發生的第二大交易所被盜事件。諷刺的是,Bitfinex 進行 BitGo 提供的多重簽名交易軟體升級本是為了提高安全,卻沒想到軟體內含有漏洞。
而在近 12 萬個比特幣被盜後,Bitfinex 的解決方案竟是使用者平攤:
Bitfinex 公告
公告中聲稱,平臺被盜損失必須先平攤到所有使用者賬戶。即每個在 Bitfinex 擁有賬戶的使用者將會被扣除 36.067% 資金,而不管這個賬戶的比特幣是否受到損失。同時,Bitfinex 會給每位受損使用者相應數量的 BFX 代幣,每個代幣能代替 1 美元(相當於打欠條),本週平臺可能會開放代幣的交易功能,未來可向
Bitfinex 全額贖回損失款項,也可選擇交換 Bitfinex 母公司 iFinex 的股票。
儘管這個決定當時受到了使用者的強烈反對,並且一度快要上法院,但是透過代幣進行股權融資,並使用營業額按月賠償客戶後逐步彌補虧空的 Bitfinex,最終艱難的熬了過來。
- 03 -
安全升級,但是事故依舊頻繁發生
轉眼之間,時間來到了 2018 年,有了很多前輩經驗的交易所紛紛進行了安全升級,但是依舊擋不住“道高一尺,魔高一丈”的駭客們。
2018 年 1 月,日本交易所 Coincheck
被盜取了 5 億個 NEM。駭客取出 NEM 後迅速兌換成其他加密貨幣,以至於 NEM 基金會放棄了恢復工作。這次損失高達 5.3 億美元,已經超過了 2014 年 MtGox 造成的損失。
Coincheck 在東證開記者招待會
Coincheck 在被黑後隨即凍結提現,並宣告將以每枚新經幣近 81 美分的價格,對駭客事件中的 26 萬名受損客戶進行全額補償,補償金將使用交易所自有資金。這一及時的舉動穩住了使用者,交易所最終得以存活了下來。
2018 年 3 月,排名第一的交易所幣安
被駭客攻擊,開創首次駭客攻擊使用者無客觀損失的案例。駭客透過非法入侵幣安使用者的賬戶,將使用者各種各樣的代幣即時幣幣交易換成
BTC,在爆拉山寨幣種之後,駭客並未趁機提幣取現,而是悄然離場。
事實上,在拋售使用者的各種代幣前,其已經在全世界各個交易所上掛出「代幣做空單」,在大盤下跌時獲得收益。
整個過程透過幣安的影響力獲得利益,未提取使用者代幣在客觀上也沒構成損失,開創駭客攻擊交易所獲利的新模式。
2018 年 6 月,兩家韓國交易所 (Coinrail 和 Bithumb)
的熱錢包遭遇了攻擊,其中 Coinrail 損失了 5300 個比特幣 (價值接近 4000 萬美元),Bithumb 損失了近 3100 萬美元。
Bithumb 交易所
其中,Coinrail 及時追回了丟失總量的三分之二,但是在賠付方案中選擇由加密貨幣發行方而不是交易所來賠償使用者損失。
相比之下,Bithumb 的宣告則比較大氣,該交易所表示將用公司資金全額補償受損客戶。
2018 年 9 月 20 日,日本數字貨幣交易所 Zaif
宣佈遭受駭客攻擊,損失達到 5967 萬美元。其中 1959 萬美元屬於該交易所自有資金,其餘 4007 萬美元屬於客戶資金。
Zaif 交易所
在遭遇變故之後,該交易所運營商 Tech
Bureau 宣佈,計劃透過將 ZAIF 大部分股份出售給日本另一持牌合法交易所 FISCO 交易所母公司——Fisco 數字資產集團(FISCO Digital
Asset Group)來換取資金,以賠償受損客戶 45 億日元的加密貨幣。
除了上述之外,整個 2018 年還有很多交易所遭到了重大安全事故:
除了交易所之外,區塊鏈領域的安全事件還有很多很多,常見的就有智慧合約漏洞、數字錢包漏洞、DApp 漏洞、礦池漏洞等等。在區塊鏈行業快速發展的同時,我們也希望廣大使用者能夠提高警惕,儘量遠離小型交易所,共同享受行業發展帶給我們的紅利。
