“知丈之堤,以螻蟻之穴潰;百尺之室,以突隙之熾焚。”
——《韓非子·喻老》
安全漏洞之于加密貨幣交易所,就像蟻穴之于長堤,星星之火之于木屋,一旦疏忽就可能功虧一簣。
在交易所與黑客之間曠這場曠日持久的“暗戰”中,交易所時刻如履薄冰。即便這樣,2019年上半年以來,交易所被盜事件依舊頻繁發生。全球范圍內,知名交易所丟幣與信息泄露事件就有14起,被盜金額超過1.4億美金,超過1億條用戶信息遭到泄露。
服務器故障、釣魚鏈接、安裝包后門、API秘鑰與2FA代碼泄露、交易所底層漏洞、交易所二次審查漏洞、內部員工泄密等等,這些也許你根本沒聽到過的名詞,都有可能讓交易所瞬間陷入破產邊緣。
發生在8月23日的亞馬遜旗下AmazonWebServices(AWS)緩存系統問題就是最鮮活的反面案例,該事件導致眾多交易所交易出現充提幣業務受阻、價格異常,也讓一些交易所因此蒙受損失。有網友表示,”以0.3美元成交了40多枚BTC“,戲稱“暴富就在5分鐘完成”。
交易所面對這些強大的“黑暗勢力”的威脅又該如何應對?目前加密世界的安全形勢究竟又是怎樣的?BISS交易所又是如何規避這些風險的?
1、14起黑客事件,損失近10億
“交易所漏洞很多,它們不太注重安全。通常情況下,9成漏洞是在沒有意識的情況下暴露的,而現在交易所的漏洞,9成是因為配置不當造成的。數字貨幣領域的交易所,幾乎都存在在大大小小的安全漏洞。”
Celsius就價值數百萬美元的被盜資產向前投資經理提起訴訟:8月24日消息,Celsius網絡向前投資經理Jason Stone和KeyFi Inc提起訴訟,聲稱其利用職位竊取價值數百萬美元的加密資產以謀取個人利益。該訴訟已在紐約南區的美國破產法院提起。
據了解,2021年9月, Jason Stone訪問了Celsius的0xb1錢包,竊取了價值140萬美元的加密貨幣,然后通過Tornado Cash服務將其轉移。[2022/8/24 12:45:01]
近期,以擅長挖掘交易所漏洞著稱的白帽黑客Chris_L在DVP大賽上這樣說道。按照Chris_L的說法,加密貨幣交易所安全問題仍然十分嚴重,大多數漏洞都是交易所在“配置不當”導致的。
大量出現的交易所安全事件印證了Chris_L的說法。2019年上半年以來,知名交易所丟幣與信息泄露事件就有14起,被盜金額超過1.3億美金,超過1億條用戶信息遭到泄露。
通過觀察業已發生的交易所安全事件,可將這些盜幣事件分為三類:一類是平臺自身的技術風控防御系統缺陷,黑客利用安全漏洞入侵平臺偷盜數字貨幣;第二類是平臺安全教育不到位,內部人員操作不當導致黑客入侵內部系統;第三類是交易所泄露客戶信息,特別惡劣情況下,甚至出現惡意買賣個人信息現象。
對弈第一種安全事件而言,黑客一般利用釣魚鏈接、API秘鑰與2FA代碼泄露、交易所底層漏洞、交易所二次審查漏洞等等方式盜幣。
以2019年5月份某知名交易所被盜7047枚比特幣為例,由于交易所本身安全漏洞,導致黑客能夠獲得大量用戶API密鑰與2FA代碼,在比特幣區塊高度575012處從交易所熱錢包中盜取了7074枚BTC。按照當時比特幣價格6000美金計算,這筆資產價值超過4000萬美金。
Acala:黑客攻擊系iBTC/aUSD池配置錯誤,相關被盜資產已被禁止轉移:8月14日消息,Acala發推表示,此前的黑客攻擊系iBTC/aUSD流動性池的配置錯誤,導致大量aUSD的錯誤開采。該配置錯誤已被糾正,收到錯誤鑄造的aUSD的錢包地址已被確定,Acala正在對這些地址進行鏈上活動追蹤。
據初步的鏈上追蹤顯示,99%以上錯誤鑄造的aUSD仍在Acala平行鏈上,被兌換為ACA或其他Token。在Acala社區集體治理決定如何解決錯誤鑄幣之前,留在Acala平行鏈上的這些錯誤鑄造的aUSD及其兌換Token將被禁止轉移。[2022/8/14 12:24:51]
今年6月份凌晨,黑客利用某交易所風險控制團隊二次審查過程中的一個漏洞,攻擊進入交易所熱錢包,將930萬XRP和250萬ADA盜走。這些加密貨幣在價值300萬美金。
除此之外,交易所安全教育不到位,也有會導致安全事件。
今年3月末,某交易所客服從陌生人處獲取并打開了一個帶有后門的“交易軟件”安裝包,攻擊者通過此安裝包內后門獲取內部人員權限滲透進內網進而成功獲取數字貨幣錢包私鑰。此次攻擊導致交易所損失財產超過600萬美元。對交易所幾乎造成了毀滅性打擊。
除了以上,近期交易所信息泄露事件也逐漸增多。
2、上億條信息泄露,信息安全迫在眉睫
2019年以來,逐漸增多的交易所客戶信息泄露事件越成為人們日益關注的焦點。從白帽黑客Chris_L近兩年挖掘的交易所漏洞的對比,可以看到,信息泄漏類的漏洞占比顯著提高,從2018年的15.6%上升至2019年的27.3%。
Defiance Capital創始人Arthur錢包疑似被盜,Azuki、CloneX等60枚NFT被轉移:3月22日消息,Defiance Capital創始人Arthur熱錢包疑似被盜。OpenSea數據顯示,Arthur的錢包地址0x4C53c32980ccE49aaA4bCc53Eef3f143Bc27E0aF中,包括17枚azuki、5枚cloneX在內的的60枚NFT在鏈上被轉移。Arthur本人在社交媒體上回應,目前尚不確定發生了什么。[2022/3/22 14:10:21]
近期出現的交易所信息泄露事件,也充分印證了這個現狀。
今年7月24日,專注于虛擬私人網絡的網站vpnMentor發現,某家數字貨幣貸款平臺超8600萬條用戶私人數據被盜,其中包括完整的個人身份信息、信用卡號碼和信用卡驗證值、銀行賬戶信息,以及用戶加密錢包和交易的詳細數據。
時隔一日,7月25日,瑞典加密貨幣交易所QuickBit發布聲明稱,其數據庫問題導致部分用戶敏感數據被泄露。曝光的信息包括姓名、地址、電子郵件地址和信用卡信息,涉及用戶數量占交易所用戶總數的2%。
在不到一個月之后,8月7日,幣安交易所發生了“KYC”事件。
事件爆發之前,幣安收到一位不明用戶威脅,要求幣安以300個比特幣的籌碼,換取他聲稱掌握的關于Binance的1萬個KYC信息。在沒有馬上拿到勒索款后,8月7日,Telegram備注名為“GuardianM”的用戶開始向公眾和媒體傳播相關信息。目前該事件并沒有下文。
Casa聯合創始人:2020年比特幣被盜數量創歷史最低水平:加密貨幣托管公司Casa聯合創始人兼CTO Jameson Lopp發推文稱:“比特幣的安全性似乎正在改善。在2020年期間,被公布的重大盜竊案中,只有4366枚比特幣被盜。這比2019年下降了92%,僅占總供應量的0.02%,是歷史最低水平。”[2020/12/31 16:07:35]
當然,近期用戶頻繁收到打著各大交易所名義給用戶打電話、加微信的現象,也充分說明交易所信息泄露并不是個別現象。
頻繁發生的交易所信息泄露事件,讓眾多投資者不堪其擾,各出奇招應對。
“我弄了幾張嶄新的手機卡,準備每張手機卡注冊一家交易所,做好標記封存起來,看看誰會賣掉我的信息。”某位幣圈資深投資者在微博上這樣說道。
出現這些戲現象背后的原因究竟是什么?
3、交易所安全漏洞的根本原因
“的確遇到了很多困難,但是最大的困難還是技術人才的匱乏。經常開玩笑說我們是一邊造飛機,一邊招工匠,而且招來的的工匠以前還是造汽車的。”
擁有騰訊云平臺和某大型券商核心系統的架構設計經驗,同時也是BISS交易所技術負責人王飛,在談到交易所開發過程中所遇到的最大的困難時,這樣“吐槽”道。按照王飛的說法,人才匱乏是交易所面臨的最大問題,安全崗位更是如此。
從整個互聯網情況來看,過去幾年安全人員的復合增長率約為6%,但需求的增長實際上是15%。到2021年,全球大概會有350萬個安全崗位無法被填滿,其中存在很大的缺口。從區塊鏈行業角度來看,更是如此。新的區塊鏈項目超過萬家,但是真正提供安全服務的企業不到50家,供不應求。
Yearn.Finance:yVaults未受到Pickle Finance被盜用事件的影響:Yearn.Finance官方剛剛發布推文稱,Yearn沒有任何資金存入Pickle Finance產品,yVaults也沒有受到最近Pickle Finance被盜用事件的影響。[2020/11/22 21:38:26]
"我認為交易所是一個50%金融30%互聯網20%區塊鏈組成的系統,然而金融和互聯網似乎又總是存在一個不可調和的方向性矛盾,所以最終我們轉向找優秀的人,聰明的人然后快速培養成需要的人。”針對交易所人才匱乏問題,王飛給出了自己的解決方案。
“這個策略到目前為止是有效的,我們的團隊里面背景五花八門,但是每個人都各有所長,能夠和團隊內其他人形成互補。"王飛說道。
當然,人才匱乏只是導致交易所安全問題的一個方面。交易所之所以容易被盜,還有其它方面的原因導致:
一、交易所安全投入不足:有的交易所圖省事,代碼是買來的,又沒有投入足夠的人力財力對代碼進行安全審計,導致交易所漏洞百出。
二、交易所安全意識不足:眾多項目在生態和技術擴展上沒有把構建完整的安全防護體系作為首要的任務。表現在很多交易所的工作人員沒什么安全意識,隨便下載未知來源的軟件等等。發生在2018年韓國交易所Bithumb被盜事件之后,韓國信息通訊部和互聯網振興院發現了21家交易所大部分存在完全問題,也很能說明這個問題。
三、黑客犯罪成本低:加密貨幣是完全獨立于銀行系統之外的網絡財富,一旦被黑客盜竊,除非數額巨大,否則很難受到法律保護,很渴犯罪成本低。
四、加密貨幣的特殊性:加密貨幣一旦丟失,黑客通過錯綜復雜的洗錢操作之后,很難追回。
信息泄露背后,手機號、郵箱、銀行卡號、省份證信息等都成為黑市有價商品。而交易所漏洞,則將投資者財產置于危險境地。那么針對這些安全隱患,交易所到底應該怎么做?
4、從技術上解決問題,才是王道
BISS交易所自從BISS上線以來,未發生任何一起丟幣、泄露客戶信息事件,那么,面對日益嚴重的交易所信息泄露事件,BISS交易所又是如何做到的?
“BISS交易所將所有的用戶信息置于自己的服務器上。所有對這些數據的訪問,都遵循最小權限原則,即每個程序或管理員的權限精確到每種數據類型,所有對資產數據的寫入操作都將被拒絕,必須通過內建的存儲過程來操作。”王飛說道。
對于像秘鑰、驗證碼這樣的客戶敏感數據,都被存儲在HSM可信區內生成和存儲,這些敏感數據根都被用戶自己持有的密碼保護。所有離開機房的用戶數據,都會被脫敏處理,存儲設備將會被多次消磁處理。
“有了以上保護措施,即使BISS系統管理員也沒有權限更改和重置這些數據。“在總結BISS交易所的客戶信息安全防范措施時,王飛這樣總結道
其次,對交易所而言,資產安全與信息安全同等重要,而交易所風控又與交易所資產安全緊密相關。那么BISS交易所又是如何做好風控體系的?
”以提現為例,今年上半年很多用戶都在吐槽‘自動提現那么簡單,很多更小的交易所都能支持,為什么你們不行?‘。其實,自動提現在技術上就是一個開關而已,但難的是’安全的自動提現‘。所以我們在BISS風控系統達到我們認為的安全極限之前,絕對不能自動審核提現。直到六月份,我們這個目標才完成。”王飛說道。
當然交易所自動提現是否開放只是交易所風控是否達標的一個方面。
在王飛看來,交易所的資金安全問題符合“短板理論”,即交易所是一個木桶,資金是桶里面的水,每個幣種就是一塊木板。當某個幣出現資金安全問題的時候,這塊木板就會變短,水就會順著這塊短板流出來。
所以對于交易所來說,任何單點風險都會導致系統性風險,對于一個同時支持上百個幣種和多種交易產品的交易所來說,風控系統必須在梳理清楚所有業務模型的前提下,實現主動或被動的分析與控制邏輯。在王飛看來,要想這個難度甚至超過原有系統的設計和實現,但是BISS一直都在朝這個方向努力。
BISS目前最大的風控力度放在了鏈上對賬風控,即實現系統內資產和鏈上資產的實時對賬,然后用我們自己的一套風控模型參數對對賬結果進行參數化控制和輸出,控制自動提現和其他多個資金下游業務。這個邏輯聽起來很簡單,但是兩邊的資產清算都存在大量分支和條件邏輯,系統調教會花費大量精力。為了結果的有效性,風控系統甚至不使用自己私有部署的區塊鏈節點,而從第三方瀏覽器爬取數據,以防止內部節點同時污染錢包系統和風控系統。
這種做法是最“簡單”,但也是最有效的,因為最終會導致交易所損失的,就是鏈上資產少于系統資產。不管是內部攻擊、外部攻擊、鏈上攻擊,都繞不開這一點。
除此之外BISS交易所系統內也設置了二次清算、交易資產回溯、敏感操作審計、資產操作陷阱等多個子風控模塊,應對可能發生的各種風險場景。
最后,針對今年3月份,Bithumb發生的疑似內部人員與黑客勾結盜取交易所資產事件,BISS又是如何應對這種現象的?
“我們內部把BISS的錢包方案叫做“無秘鑰”方案。基于全球Top1提供商的HSM硬件加密模塊二次開發而成,很巧妙的將私鑰分離成數據和算法兩部分分開管理。HSM保證了私鑰永遠不可能被讀取,算法程序一旦升級,所有秘鑰會被立即清除,必須重新授權恢復。”王飛介紹道。
也就是說,BISS的秘鑰不可能對外泄露。
但是,對于加密貨幣而言,與銀行資產最大的區別就是擁有唯一的秘鑰,BISS的秘鑰是如何內部保存的?
“BISS冷錢包和熱錢包其實是同構的,基于HSM提供的備份能力,將秘鑰分散到多張IC芯片卡內,每張卡片由保管人設置口令,超過半數的卡片即可恢復完整秘鑰。”
冷錢包秘鑰恢復后,HSM一但關機或重啟,秘鑰數據同樣會被立即清除,從根本上杜絕了任何泄露的可能。”
由于整套方案的設計實現使用了大量非常規的技術手段,對接起來異常繁瑣,導致我們的項目嚴重延期。團隊內我們經常開玩笑說,就算有人黑進我們的系統,并且獲得了所有設計資料,可能也需要兩個月才能把協議調通,因為我們自己也花了這么長時間。“王飛總結道。
——————
對加密貨幣交易所而言,與黑客之間的對抗就是一場沒有硝煙的戰爭、沒有退路的攻守道,任何一次防守失敗都有可能導致“千里之堤,潰于蟻穴”。
對交易所而言,風控安全不可“畢其功于一役”,而是時刻保持“枕戈待旦,如臨大敵”。
8月23日,由金色財經主辦,TechTemple協辦,BHDCommunity首席合作的金色沙龍第37期北京站“POC—共識機制下的硬盤挖礦前景”在北京朝陽區工體北路四號院80號樓3層科技寺創業.
1900/1/1 0:00:00歡迎關注:DigitInsight,我們將持續輸出優質行業研究報告。7月11日,美國證券交易委員會已批準區塊鏈公司Blockstack根據RegA規則出售價值2800萬美元的代幣.
1900/1/1 0:00:00據彭博社報道,市值第二大的加密貨幣以太坊網絡如今正在被穩定幣USDT的發行者Tether所堵塞.
1900/1/1 0:00:00北京時間8月26日8點,反映加密貨幣市場整體走勢的ChaiNext100指數報893.18點,過去24小時下跌0.12%,成交額293.37億美元,成交較前24小時減少6.30%.
1900/1/1 0:00:00公告編號:2019082303各位關心ZBG.COM的項目方和投資者們:ZBG.com將于HKT2019年8月29日上線GPC,將于HKT2019年8月28日15:00開放充值.
1900/1/1 0:00:00本周早些時候,知名初創公司孵化器YCombinator為2019年夏季的一批創業公司舉行了“演示日”。YCombinator初創公司每年兩次在舊金山登臺,向投資者推介自己的想法.
1900/1/1 0:00:00