本节将分析最常见的黑客攻击策略,并编汇收集被公开发布过的关于安全问题的信息,以及罗列出存在记录的黑客事件清单。清单上的全部内容都来源于可靠新闻并附有来源注释。这些信息将有助于加密货币持有用户和交易平台制定交易系统防御措施,以反抗黑客攻击。
黑客攻击方法
与人们的普遍认知相反,绝大多数黑客攻击都是以社会工程 (social engineering)的形式完成的。Social engineering 是指利用欺骗手段来操纵个人,使其无意间泄露可以被用于欺诈目的的机密或个人信息。下面提供的交易黑客攻击列表将证明,黑客绕过系统制定的安全措施的方法通常都是以这种手段实现的,实际上很少需要使用中断加密的方法。一些 social engineer-ing 黑客的普遍形式是:
手机/电子信箱劫持; 通常情况下,黑客利用从社交媒体检索到的个人信息,冒充目标,并从受害人的移动电话运营商获得新的手机 SIM 卡,或者重设受害人电子信箱密码。这就使得黑客能够访问所有类型的账号、获得各式各样的信息,而黑客所盗取的信息中,就有可能包含加密货币交易所员工的信息。
网络钓鱼; 作为迄今为止最常见的盗取他人账户的方式,许多人都采取了防范措施,或者受到账户平台的反钓鱼保护。然而在 2014 年 7 月,这种钓鱼技术被成功用于从 Cryptsy 窃取 950 万美金 (见下文)。网络钓鱼经常要求人们在看上去合法合规的网站上登录他们的账户,从而获取登陆数据。鉴于钓鱼网站和钓鱼邮件的无处不在,有人在一个漫不经心的时刻上当受骗只是时间问题。
恶意软件; 2015 年 1 月,多名比特股员工被骗将恶意软件下载到了他们的工作电脑上,损失共计 520 万美元。该技术还会利用目标的兴趣爱好来诱使他们下载恶意软件。
防御 social engineering 黑客; 世界上极少有数据库是没有经过加密的。由于中断此类加密是几乎不可能的,因此攻击这些数据库就必须要致力于获取用于解密数据库的私钥或者密码。因此,大多数交易所被黑只可能是由于糟糕的信息安全协议导致的。大多数情况下,包含交易所客户全部私钥的加密数据库密码只掌握在几个关键员工手中,这些员工就可以成为低成本 social engineering 攻击的目标。这种类型的数据泄漏不仅在中心化系统中非常常见,而且也是造成系统最大损失的关键点。
总结性地说,加密货币本身很少被黑,但是它们的核心协议或者共识机制却是有可能受到损害的。这几乎总是设计不当的共识机制和中心化系
统的最终结局——人为失误造成的严重损失。
从下面列出的黑客攻击、下图中的钱包客户端和去中心化私钥系统的情况可以推断,将资产存储在离线冷钱包里以及多签名身份验证,是最重要的黑客资金盗取防御措施。
交易所黑客攻击事件时间线
2011 年 6 月 Mt. Gox,875 万美金;
早期规模最大、最重要的加密货币交易所,同时也是第一个已知的加密货币交易所黑客受害者。这起事故的原因——我们必须假设——是由于其低标准的安全措施导致的。当时总部位于日本的 Mt. Gox 没有使用任何一种版本控制软件,这意味着任何一位程序员都可能出于意外而撤销同事的全部工作,如果他们恰好在同一个文件上编辑代码。就在黑客攻击前不久,比特币交易所引入了一个新测试环境,因此旧版本的软件更改已经被推送到交易所客户,并处于未经测试的状态。
2011 年 10 月 Bitcoin7,5 万 美 金;
Bitcoin7—— 当 时 全 球 第 三 大BTC/USD 交易所——成为了俄罗斯黑客组织的目标。10月 5 日,该交易所网站向用户发布了一条信息,称“攻击本身不是仅仅针对 bitcoin7.com 服务器,而是对于属于同一网络的其他网站和服务器也都采取了行动。最终黑客们成功突破了整个网络,并导致随后对 bitcoin7.com 网站的严重破坏。”最初的突破无论发生在哪个层面,都能让黑客们接触到网站的热钱包。黑客攻击后不久,Bitcoin7 便永远地关门大吉了。
2012 年 3 月 Bitcoinica,22.8 万美金;
Bitcoinica 是利用名为 Linode 的网络主机发动黑客攻击的最突出受害者之一。Bitcoinica 的CEO周同在最初表示损失了1万枚BTC后,向Ars Technica承认实际上丢失了 4.3554 万枚比特币,所有这些币全都存放在 Linode 服务器上的未加密热钱包里。
2012 年 5 月 Bitcoinica,8.7 万美金;
第一次黑客攻击后 10 周,Bitcoinica又一次被盗取了一笔资金。这一次不仅是丢失比特币,甚至 Bitcoinica 用户数据库也遭到严重破坏。姓名、电子信箱地址、密码和其他敏感数据全部被盗,尽管这些信息被存储在具有不同加密方案的独立数据中心的独立服务器上。
2012 年 7 月 Bitcoinica,30 万美金;
第三次攻击令 Bitcoinica 再次丢失了客观数量的比特币。然而,关于黑客是内部监守自盗的传言永远无法被证实。
截至 2012 年 9 月,总部位于纽约的Bitfloor 是以美元做交易的第四大交易所。在攻击中,黑客获得了交易所钱包密钥的未加密备份。此备份是在 Bitfloor创始人 Roman Shtylman 进行手动升级并将数据存入磁盘上的未加密分区是创建的。被泄露的钱包钥匙被用于清空Bitfloor 上的大量热钱包。
2013 年 5 月 • Vircurex,16 万美金;
一个人为错误导致了 1454 枚 BTC,225.263 枚 TRC 和 23.400 枚 LTC 被盗。根据 2013 年 5 月Vircurex 的报告,黑客获得了他们托管服务商的 VPS 控制账户的登录凭据,然后成功请求到了所有服务器的重置根密码。
2013 年 6 月 • Picostocks,13 万美金;
6 月 10 日,Picostocks 的发言人在bitcointalk.org 论坛上透露,多个账户是使用相同的密码操作的,这就给黑客提供了进入交易所钱包的许可。
2013 年 11 月 • Picostocks,300 万美金;
同年 11 月,Picostocks 又被盗取了一笔大得多的金额。由于此次被黑的一部分钱包是冷钱包,无法被通过互联网访问,因此黑客有可能是内部人员。
2014 年 2 月 • Mt. Gox,4.6 亿美金;
这是有史以来第二大的加密货币交易所黑客攻击。鉴于相对较小的加密货币市场,这是影响力最大的攻击事件。“危机战略草案”中显示,黑客多年以来一直在利用同一个 bug 针对该公司进行研究。“危机战略草案”泄露后,Mt. Gox 承认损失了 4.6 亿美元 。来自该公司内部的事后资料报告称,他们曾经使用的源代码可以说是“一塌糊涂”。自 2011 年 6 月的黑客攻击以来,Mt. Gox 的安全措施似乎并没有得到充分加强。
2014 年 3 月 • Cryptorush,57 万美金;
BlackCoin 发布了他们区块链的一个新分叉,其中产生了一个 bug 使得 BlackCoin 的所有者能够兑现币他们实际拥有的资金更大的金额。官方声明的副本现保存在 bitcointalk.org 论坛上。
2014 年 3 月 • Poloniex,6.4 万美金;
一个类似的 bug,利用交易被安排发生在同一时刻,从而提取多于超过钱包内实际存储的金额,以达到从 Poloniex 上盗取资金的目的。
2014 年 3 月 • Flexcoin,,60 万美金;
在对加密货币存储服务提供商进行攻击后,所有的热钱包全部被清空。黑客进入 Flexcoin 系统的手段,目前尚不清楚。
2014 年 7 月 • Cryptsy,950 万美金;
这一严重的黑客攻击事件,直到发生两年后该公司宣布破产的时候才被公开。在最初针对技术问题的一番指责过后,Cryptsy 据称在破产前成为了网络钓鱼的攻击目标,并被迫暂停了交易。
2014 年 8 月 • BTER,165 万美金;
尽管 BTER 通过谈判,使黑客归还了部分被盗资金而减少了他们的损失,但一位开发者声称问题完全在于交易所本身,而黑客攻击造成的损失本身是可以避免的。
2014 年 10 月 • Mintpal,130 万美金;
Mintpal 的黑客攻击情况以及其随后的破产原因依然不清楚。2017 年,Ryan Kennedy 因欺诈和洗钱罪名被带到英国法院,并在黑客攻击后得到了交易所,这引起了人们对其内部人员的怀疑。
2015 年 1 月 • 796Exchange,23 万美金;
即使将服务器迁移到高度安全的云端站点,也无法保护当时交易量最大的交易所避免被黑客成功攻击。在发现了系统弱点之后,黑客们能够欺骗客服部门,让他们把比特币发送到错误的钱包里。796Exchange的总裁 Nelson Yu 告诉 cointelegraph.com,” 准确地说,钱包系统在这次事件中一点也不受影响。资金盗取发生在基金的交易过程中。”
2015 年 1 月 • Bitstamp,520 万美金;
2015 年的 Bitstamp 黑客劫案是众多复杂的网络钓鱼攻击中一个很好的例子。多个员工被锁定,并通过利用他们的兴趣爱好信息被诱骗下载恶意软件。通过这种手段,攻击者获得了对两个服务器的访问权,其中包含 Bitstamp 热钱包的密码。
2015 年 2 月 • BTER,175 万美元;
黑客针对 BTER 的第二次攻击尤为重要,因为这次他们袭击的目标是 BTER 的冷钱包。他们是如何做到这一点的,至今仍然是个谜。
2016 年 4 月 • Shapeshift,23 万美金;
Shapeshift 的黑客攻击时为数不多的,可以追溯到该公司一名员工的黑客攻击之一。在盗取了 13 万美金之后,他们把敏感信息卖给了一名黑客。据信,黑客制造了第二笔盗窃,金额为 10 万美金。
2016 年 5 月 • Gatecoin,214 万美金;
这次黑客攻击是一个久经考验的策略的转折点。攻击者似乎改写了系统,使其将存款转账储存在热钱包中,而不是应该存放的冷钱包中,以此增加了后来被盗走的金额。
2016 年 8 月 • Bitfinex,7 千 7 百万美金;
Bitfinex 使用 BitGo 的多签名钱包系统,被许多人认为是极其安全的。然而,黑客一定是设法获得了私人钱包的钥匙以及 BitGo 的 API 的关键点,直到今天仍然留下了许多关于攻击性质和过程的问题。
2017 年 2 月 • Bithump,1 百万美金;
黑客成功地获取了超过 3 万名Bithump 用户的个人信息。数据泄露是该公司一名员工的私人电脑被黑客攻击的结果。然后,这些信息被用来进行欺诈通话,以窃取用户的身份验证代码。
2017 年 4 月 • Youbit,530 万美金;
之后被称为”Yapizon” 的韩国交易所的四个热钱包被成功攻击并清空。被盗金额相当于公司总资产的 36%。
2017 年 2 月 • Youbit, “全部资产的 17%”;
在 Youbit 发生的第二起黑客抢劫案迫使交易所宣布破产。这两起袭击事件都是邻国朝鲜的间谍机构所为,但这些说法无法核实。
2018 年 1 月 • Coincheck,5 亿美金;
由于安全手段不足,Coincheck 成为了这一大规模黑客抢劫案的轻松目标。交易所不进将其客户的资产存储在热钱包中,而且也没有用已经成为行业标准的多签名身份验证起来保护这些钱包。
2018 年 2 月 • Bitgrail,1.87 亿美金;
人们对意大利 Bitgrail 在今年 2 月向当局提交的黑客攻击了解甚少。根据交易所自己的说法,造成损失的具体日期甚至无法确定。自然地,对 Francesco Firano 本人作为 CEO 策划盗窃资金的指控不断上升,但是没有任何证据可以证明这一点。Firano 试图将责任推卸给BitGrail 使用的 Nano 令牌区块链背后的开发者。
2018 年 6 月 • Coinrail,4 千万美金;
Coinrail 时另一个在被黑客攻击后不得不关闭的交易所。尽管该公司 70% 的资产都存放于冷钱包中,但黑客仍然盗走了 4 千万美金。这一事件标志着韩国交易所在几个月内第三次被黑客攻击,这意味着加密货币交易所黑客们集中在亚洲。
2018 年 9 月 • Zaif,6 千万美金;
总部设在日本的 Zaif 措手不及,因为黑客从他们的热钱包偷走了 6 千万美金。该公司只有通过与Fisco 合作才能生存,而 Fisco 制服了 4.45 亿美金的被盗金额,以获得交易所股权的大部分份额。
加密货币交易所黑客攻击损失金额总量。
总结
通过观察这些黑客,可以总结出一些有趣的信息:
1. 大多数成功攻击的加密货币交易所的事件,发生在总部设于亚洲的公司身上。
2. 上面提到的绝大多数黑客攻击的都是被集中管理的热钱包。
3. 被列举的许多攻击事件都是由于人为错误导致的,即数据未在加密情况下存储、更新在没有质量保证的情况下推送、伪装成客户的黑客没有被发现,或者交易所员工成为网络钓鱼目标。
通过使用客户端钱包,和在私钥上进行多重签名身份验证,真正的去中心化加密货币交易所大大降低此类黑客攻击成功的可能性。除此之外,这也让公司员工更加难以实现从内部挪用资金。
评论
查看更多