比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > XRP > Info

被盜10億元、泄露上億條信息——交易所安全危機下BISS幣市為何從未失守_GATE

Author:

Time:1900/1/1 0:00:00

“知丈之堤,以螻蟻之穴潰;百尺之室,以突隙之熾焚。”

——《韓非子·喻老》

安全漏洞之于加密貨幣交易所,就像蟻穴之于長堤,星星之火之于木屋,一旦疏忽就可能功虧一簣。

在交易所與黑客之間曠這場曠日持久的“暗戰”中,交易所時刻如履薄冰。即便這樣,2019年上半年以來,交易所被盜事件依舊頻繁發生。全球范圍內,知名交易所丟幣與信息泄露事件就有14起,被盜金額超過1.4億美金,超過1億條用戶信息遭到泄露。

服務器故障、釣魚鏈接、安裝包后門、API秘鑰與2FA代碼泄露、交易所底層漏洞、交易所二次審查漏洞、內部員工泄密等等,這些也許你根本沒聽到過的名詞,都有可能讓交易所瞬間陷入破產邊緣。

發生在8月23日的亞馬遜旗下AmazonWebServices(AWS)緩存系統問題就是最鮮活的反面案例,該事件導致眾多交易所交易出現充提幣業務受阻、價格異常,也讓一些交易所因此蒙受損失。有網友表示,”以0.3美元成交了40多枚BTC“,戲稱“暴富就在5分鐘完成”。

交易所面對這些強大的“黑暗勢力”的威脅又該如何應對?目前加密世界的安全形勢究竟又是怎樣的?BISS交易所又是如何規避這些風險的?

1、14起黑客事件,損失近10億

“交易所漏洞很多,它們不太注重安全。通常情況下,9成漏洞是在沒有意識的情況下暴露的,而現在交易所的漏洞,9成是因為配置不當造成的。數字貨幣領域的交易所,幾乎都存在在大大小小的安全漏洞。”

SushiSwap:正通過白帽回收被盜資金并制定返還用戶資金的計劃:4月10日消息,SushiSwap 發布 RouteProcessor2 漏洞更新報告,稱開發團隊正在識別所有受 RouteProcessor2 漏洞影響的地址,并正在進行多項通過白帽回收挽救資金的行動。此外,SushiSwap 正在制定返還獲救資金的計劃。完成后,將通過Sushi Twitter 和 Discord上的公告進行傳達。[2023/4/10 13:54:47]

近期,以擅長挖掘交易所漏洞著稱的白帽黑客Chris_L在DVP大賽上這樣說道。按照Chris_L的說法,加密貨幣交易所安全問題仍然十分嚴重,大多數漏洞都是交易所在“配置不當”導致的。

大量出現的交易所安全事件印證了Chris_L的說法。2019年上半年以來,知名交易所丟幣與信息泄露事件就有14起,被盜金額超過1.3億美金,超過1億條用戶信息遭到泄露。

通過觀察業已發生的交易所安全事件,可將這些盜幣事件分為三類:一類是平臺自身的技術風控防御系統缺陷,黑客利用安全漏洞入侵平臺偷盜數字貨幣;第二類是平臺安全教育不到位,內部人員操作不當導致黑客入侵內部系統;第三類是交易所泄露客戶信息,特別惡劣情況下,甚至出現惡意買賣個人信息現象。

對弈第一種安全事件而言,黑客一般利用釣魚鏈接、API秘鑰與2FA代碼泄露、交易所底層漏洞、交易所二次審查漏洞等等方式盜幣。

以2019年5月份某知名交易所被盜7047枚比特幣為例,由于交易所本身安全漏洞,導致黑客能夠獲得大量用戶API密鑰與2FA代碼,在比特幣區塊高度575012處從交易所熱錢包中盜取了7074枚BTC。按照當時比特幣價格6000美金計算,這筆資產價值超過4000萬美金。

分析師:Gate.io隱瞞2018年2.3億美元被盜事件,且其四個錢包資產僅有4.79億美元:11月15日消息,鏈上分析師Lookonchain在社交媒體上稱,鏈上偵探ZachXBT披露加密交易所Gate.io曾在2018年4月21日被朝鮮黑客盜取了2.3億美元,至今未向客戶公布。鏈上數據顯示,Gate.io的熱錢包第一筆交易也是在2018年4月21日,這表明Gate.io隱瞞了資金被盜的事實。

Lookonchain還表示,通過分析Gate.io在以太坊上的4個錢包,發現Gate.io只有4.79億美元的資產。Gate.io持有7136.51萬枚GT和3139008926439枚SHIB,加起來占總資產的61%。 Gate.io僅持有53930枚ETH和3198萬枚USDT,加起來僅占總資產的21%。[2022/11/15 13:08:19]

今年6月份凌晨,黑客利用某交易所風險控制團隊二次審查過程中的一個漏洞,攻擊進入交易所熱錢包,將930萬XRP和250萬ADA盜走。這些加密貨幣在價值300萬美金。

除此之外,交易所安全教育不到位,也有會導致安全事件。

今年3月末,某交易所客服從陌生人處獲取并打開了一個帶有后門的“交易軟件”安裝包,攻擊者通過此安裝包內后門獲取內部人員權限滲透進內網進而成功獲取數字貨幣錢包私鑰。此次攻擊導致交易所損失財產超過600萬美元。對交易所幾乎造成了毀滅性打擊。

除了以上,近期交易所信息泄露事件也逐漸增多。

2、上億條信息泄露,信息安全迫在眉睫

Transit Finance被盜資產的約70%已被退回:10月2日消息,Transit Finance官方消息顯示,黑客已將 70% 左右的被盜資產退回到以下兩個地址:

以太坊鏈:0xfab745c5ee6c59c09605a40464232930892ba48c

幣安智能鏈:0xfab745c5ee6c59c09605a40464232930892ba48c

為了確保資產安全,Transit Finance會將其轉移到以太坊和BSC上的新地址:0xD989f7B4320c6e69ceA3d914444c19AB67D3a35E[2022/10/2 18:37:25]

2019年以來,逐漸增多的交易所客戶信息泄露事件越成為人們日益關注的焦點。從白帽黑客Chris_L近兩年挖掘的交易所漏洞的對比,可以看到,信息泄漏類的漏洞占比顯著提高,從2018年的15.6%上升至2019年的27.3%。

近期出現的交易所信息泄露事件,也充分印證了這個現狀。

今年7月24日,專注于虛擬私人網絡的網站vpnMentor發現,某家數字貨幣貸款平臺超8600萬條用戶私人數據被盜,其中包括完整的個人身份信息、信用卡號碼和信用卡驗證值、銀行賬戶信息,以及用戶加密錢包和交易的詳細數據。

時隔一日,7月25日,瑞典加密貨幣交易所QuickBit發布聲明稱,其數據庫問題導致部分用戶敏感數據被泄露。曝光的信息包括姓名、地址、電子郵件地址和信用卡信息,涉及用戶數量占交易所用戶總數的2%。

動態 | 監測顯示:Upbit被盜資金已被拆分到兩個地址:據Tokenview鏈上數據監測,此前Upbit被盜的以太坊今日出現轉賬活動。被盜資金現已被拆分到0xc7d64e開頭和0x3408e開頭的兩個地址,不排除后續黑客對該筆資金進行繼續拆分的可能。接收地址1:0xc7d64e6509333a3b68f6fc09d7d19404bfdd229a;接受地址2:0x3408edca2d47ddaa783a3563d991b8ddebcd973b。[2019/11/28]

在不到一個月之后,8月7日,幣安交易所發生了“KYC”事件。

事件爆發之前,幣安收到一位不明用戶威脅,要求幣安以300個比特幣的籌碼,換取他聲稱掌握的關于Binance的1萬個KYC信息。在沒有馬上拿到勒索款后,8月7日,Telegram備注名為“GuardianM”的用戶開始向公眾和媒體傳播相關信息。目前該事件并沒有下文。

當然,近期用戶頻繁收到打著各大交易所名義給用戶打電話、加微信的現象,也充分說明交易所信息泄露并不是個別現象。

頻繁發生的交易所信息泄露事件,讓眾多投資者不堪其擾,各出奇招應對。

“我弄了幾張嶄新的手機卡,準備每張手機卡注冊一家交易所,做好標記封存起來,看看誰會賣掉我的信息。”某位幣圈資深投資者在微博上這樣說道。

出現這些戲現象背后的原因究竟是什么?

3、交易所安全漏洞的根本原因

“的確遇到了很多困難,但是最大的困難還是技術人才的匱乏。經常開玩笑說我們是一邊造飛機,一邊招工匠,而且招來的的工匠以前還是造汽車的。”

動態 | Zaif交易所披露了6000萬美元加密貨幣被盜退款計劃:日本加密貨幣交易所Zaif背后的技術局(Tech Bureau)公布了一項退款計劃,以賠償上月該平臺遭遇的6000萬美元黑客攻擊。科技局表示,財政辦公室將恢復客戶補償程序,該程序將使用交易所自己的比特幣和比特幣現金,向丟失這兩項加密資產的用戶退款。與此同時,科技部門表示,對于被盜的monacoin,Fisco將以每單位144.548日元(約合1.28美元)的價格向用戶返還日元。科技局隨后表示,將解散其加密貨幣兌換業務,并取消在日本金融市場監管機構——日本金融廳(Financial Services Agency)注冊的許可證。[2018/10/11]

擁有騰訊云平臺和某大型券商核心系統的架構設計經驗,同時也是BISS交易所技術負責人王飛,在談到交易所開發過程中所遇到的最大的困難時,這樣“吐槽”道。按照王飛的說法,人才匱乏是交易所面臨的最大問題,安全崗位更是如此。

從整個互聯網情況來看,過去幾年安全人員的復合增長率約為6%,但需求的增長實際上是15%。到2021年,全球大概會有350萬個安全崗位無法被填滿,其中存在很大的缺口。從區塊鏈行業角度來看,更是如此。新的區塊鏈項目超過萬家,但是真正提供安全服務的企業不到50家,供不應求。

"我認為交易所是一個50%金融30%互聯網20%區塊鏈組成的系統,然而金融和互聯網似乎又總是存在一個不可調和的方向性矛盾,所以最終我們轉向找優秀的人,聰明的人然后快速培養成需要的人。”針對交易所人才匱乏問題,王飛給出了自己的解決方案。

“這個策略到目前為止是有效的,我們的團隊里面背景五花八門,但是每個人都各有所長,能夠和團隊內其他人形成互補。"王飛說道。

當然,人才匱乏只是導致交易所安全問題的一個方面。交易所之所以容易被盜,還有其它方面的原因導致:

一、交易所安全投入不足:有的交易所圖省事,代碼是買來的,又沒有投入足夠的人力財力對代碼進行安全審計,導致交易所漏洞百出。

二、交易所安全意識不足:眾多項目在生態和技術擴展上沒有把構建完整的安全防護體系作為首要的任務。表現在很多交易所的工作人員沒什么安全意識,隨便下載未知來源的軟件等等。發生在2018年韓國交易所Bithumb被盜事件之后,韓國信息通訊部和互聯網振興院發現了21家交易所大部分存在完全問題,也很能說明這個問題。

三、黑客犯罪成本低:加密貨幣是完全獨立于銀行系統之外的網絡財富,一旦被黑客盜竊,除非數額巨大,否則很難受到法律保護,很渴犯罪成本低。

四、加密貨幣的特殊性:加密貨幣一旦丟失,黑客通過錯綜復雜的洗錢操作之后,很難追回。

信息泄露背后,手機號、郵箱、銀行卡號、省份證信息等都成為黑市有價商品。而交易所漏洞,則將投資者財產置于危險境地。那么針對這些安全隱患,交易所到底應該怎么做?

4、從技術上解決問題,才是王道

BISS交易所自從BISS上線以來,未發生任何一起丟幣、泄露客戶信息事件,那么,面對日益嚴重的交易所信息泄露事件,BISS交易所又是如何做到的?

“BISS交易所將所有的用戶信息置于自己的服務器上。所有對這些數據的訪問,都遵循最小權限原則,即每個程序或管理員的權限精確到每種數據類型,所有對資產數據的寫入操作都將被拒絕,必須通過內建的存儲過程來操作。”王飛說道。

對于像秘鑰、驗證碼這樣的客戶敏感數據,都被存儲在HSM可信區內生成和存儲,這些敏感數據根都被用戶自己持有的密碼保護。所有離開機房的用戶數據,都會被脫敏處理,存儲設備將會被多次消磁處理。

“有了以上保護措施,即使BISS系統管理員也沒有權限更改和重置這些數據。“在總結BISS交易所的客戶信息安全防范措施時,王飛這樣總結道

其次,對交易所而言,資產安全與信息安全同等重要,而交易所風控又與交易所資產安全緊密相關。那么BISS交易所又是如何做好風控體系的?

”以提現為例,今年上半年很多用戶都在吐槽‘自動提現那么簡單,很多更小的交易所都能支持,為什么你們不行?‘。其實,自動提現在技術上就是一個開關而已,但難的是’安全的自動提現‘。所以我們在BISS風控系統達到我們認為的安全極限之前,絕對不能自動審核提現。直到六月份,我們這個目標才完成。”王飛說道。

當然交易所自動提現是否開放只是交易所風控是否達標的一個方面。

在王飛看來,交易所的資金安全問題符合“短板理論”,即交易所是一個木桶,資金是桶里面的水,每個幣種就是一塊木板。當某個幣出現資金安全問題的時候,這塊木板就會變短,水就會順著這塊短板流出來。

所以對于交易所來說,任何單點風險都會導致系統性風險,對于一個同時支持上百個幣種和多種交易產品的交易所來說,風控系統必須在梳理清楚所有業務模型的前提下,實現主動或被動的分析與控制邏輯。在王飛看來,要想這個難度甚至超過原有系統的設計和實現,但是BISS一直都在朝這個方向努力。

BISS目前最大的風控力度放在了鏈上對賬風控,即實現系統內資產和鏈上資產的實時對賬,然后用我們自己的一套風控模型參數對對賬結果進行參數化控制和輸出,控制自動提現和其他多個資金下游業務。這個邏輯聽起來很簡單,但是兩邊的資產清算都存在大量分支和條件邏輯,系統調教會花費大量精力。為了結果的有效性,風控系統甚至不使用自己私有部署的區塊鏈節點,而從第三方瀏覽器爬取數據,以防止內部節點同時污染錢包系統和風控系統。

這種做法是最“簡單”,但也是最有效的,因為最終會導致交易所損失的,就是鏈上資產少于系統資產。不管是內部攻擊、外部攻擊、鏈上攻擊,都繞不開這一點。

除此之外BISS交易所系統內也設置了二次清算、交易資產回溯、敏感操作審計、資產操作陷阱等多個子風控模塊,應對可能發生的各種風險場景。

最后,針對今年3月份,Bithumb發生的疑似內部人員與黑客勾結盜取交易所資產事件,BISS又是如何應對這種現象的?

“我們內部把BISS的錢包方案叫做“無秘鑰”方案。基于全球Top1提供商的HSM硬件加密模塊二次開發而成,很巧妙的將私鑰分離成數據和算法兩部分分開管理。HSM保證了私鑰永遠不可能被讀取,算法程序一旦升級,所有秘鑰會被立即清除,必須重新授權恢復。”王飛介紹道。

也就是說,BISS的秘鑰不可能對外泄露。

但是,對于加密貨幣而言,與銀行資產最大的區別就是擁有唯一的秘鑰,BISS的秘鑰是如何內部保存的?

“BISS冷錢包和熱錢包其實是同構的,基于HSM提供的備份能力,將秘鑰分散到多張IC芯片卡內,每張卡片由保管人設置口令,超過半數的卡片即可恢復完整秘鑰。”

冷錢包秘鑰恢復后,HSM一但關機或重啟,秘鑰數據同樣會被立即清除,從根本上杜絕了任何泄露的可能。”

由于整套方案的設計實現使用了大量非常規的技術手段,對接起來異常繁瑣,導致我們的項目嚴重延期。團隊內我們經常開玩笑說,就算有人黑進我們的系統,并且獲得了所有設計資料,可能也需要兩個月才能把協議調通,因為我們自己也花了這么長時間。“王飛總結道。

——————

對加密貨幣交易所而言,與黑客之間的對抗就是一場沒有硝煙的戰爭、沒有退路的攻守道,任何一次防守失敗都有可能導致“千里之堤,潰于蟻穴”。

對交易所而言,風控安全不可“畢其功于一役”,而是時刻保持“枕戈待旦,如臨大敵”。

Tags:BISISS加密貨幣GATEUbisoftISS價格加密貨幣總市值最高多少gate.io官方登錄網頁版登錄

XRP
七夜言幣:數字貨幣的“美元化”特征及政策建議_LIB

數字貨幣的“美元化”特征及政策建議——基于匯率和利率影響的實證分析 來源:中國貨幣市場? 從美元對人民幣(7.0996,?0.0130,?0.18%)方向看,存在單向顯著的因果關系.

1900/1/1 0:00:00
主打金融衍生品交易的DUO Staking助力下將大有可為_KING

自金融產品問世之后,金融衍生品超越金融產品,成為重頭戲。據統計,目前全球金融市場中,證券、債券的總市值為180萬億美元,基于這些金融產品開發出來的金融衍生品市值規模就高達600萬億美元,兩者比例.

1900/1/1 0:00:00
BKEX Global 關于下架XPX的公告_GLO

親愛的BKEXer: 本著保護用戶的宗旨,BKEXGlobal為保證交易幣種的高標準,將定期對平臺內的代幣進行綜合性審查;如項目方出現對投資者不利因素,我們將采取對應措施,并下架對應項目.

1900/1/1 0:00:00
一文讀懂區塊鏈的共識機制_區塊鏈

前言:本文簡單明了地闡述了達成共識的兩個主要流程:區塊的提議和區塊的共識達成。區塊的提議主要涉及到PoW和PoS機制,也就是工作量證明和權益證明的機制,用以抵抗女巫攻擊,安全地選出可靠的區塊提議.

1900/1/1 0:00:00
Staking新玩法:鎖倉的幣也能賣_AKI

Staking衍生品的戰爭尚未燃起,這可能也是開發者們的好時機。人在幣圈走,哪能不被套。在被Algorand套住之前,陳佳明還被Iris21天的解鎖機制套住。兩相比較,陳佳明對后者更為惱火.

1900/1/1 0:00:00
NEM (XEM) 2月25日上線RightBTC公告_BTC

尊敬的用戶, RightBTC交易平臺將于2019年2月25號正式上線NEM(XEM)交易,此次上線開通的交易對為: XEM/BTC XEM/ETH NEM發布Symbol進展:主網發布時間暫定.

1900/1/1 0:00:00
ads