8BTCCI: 11108.27 +0.17% 8BTCVI: 5239.85 -0.50% 24H成交额: ¥3830.48亿 -1.06% 总市值: ¥15710.50亿 +0.05%
热钱包真的安全?PeckShield蒋旭宪为你揭秘交易所被盗事件 | 链节点AMA

热钱包真的安全?PeckShield蒋旭宪为你揭秘交易所被盗事件 | 链节点AMA

李小平 发布在 链圈子 30482

这是一个最好的时代,也是一个最坏的时代。区块链为我们带来了未来美好世界的想象,同时也为网络上的不法分子创造了更多的犯罪机会。

从2012年Bitcoinica连遭攻击损失10万余枚比特币,到2014年MtGox被盗损失85万枚比特币......再到今年五月初币安被盗7000枚比特币。近几年频繁发生的加密货币被盗事件,让区块链安全问题逐渐走进了人们的视野。

交易所为何频繁被盗?币安被盗的原因是什么?被盗资产有没有追回的方法?普通用户如何保护自己的加密资产?

5月14日下午,PeckShield创始人兼CEO蒋旭宪博士做客链节点AMA,为我们解答了区块链安全的相关问题。

WechatIMG14

蒋旭宪博士是计算机安全领域的顶级专家,他2001年毕业于西安交通大学计算机系并获得硕士学位,随后2006年毕业于美国普渡大学 (Purdue University) 计算机系并获得博士学位,曾担任北卡州立大学 (North Carolina State University) 计算机系终身教授。2013年初,他加入奇虎360公司,担任首席科学家。

PeckShield(派盾)公司是蒋旭宪博士于2018年3月创立,总部位于杭州,定位是区块链数据和安全服务提供商。自成立以来,PeckShield(派盾)的漏洞监测覆盖底层公链、交易所、数字钱包、智能合约等区块链生态的各个环节,因连续发现并命名了BEC、SMT、EDU等智能合约的重大安全漏洞,而广受业内关注。

以下为AMA精选内容,详情请点击:第116期AMA

 

币安被盗的原因

 

2019年5月8日,全球知名交易所币安发布的公告称,当天凌晨1时15分,币安遭到了黑客大规模的系统性攻击,黑客获取了大量API密钥,谷歌验证2FA码等信息,一次性提走了7,000枚BTC。

这是2019年以来,继 Cryptopia、DragonEx 和 Bithumb 之后,第四个遭黑客攻击的大型数字货币交易平台。据监测显示,本次黑客攻击事件中,币安共计损失了7,074枚 BTC(按当天价格计,价值约4,200万美元)。

在被问及“币安被攻击的原因”时,蒋旭宪博士表示,从技术层面看,可能有三个原因:

“一、可能是币安自己的内网被渗透,黑客劫持相关账号并提币转出; 二、可能是(用户使用的)的中心化资产托管服务遭到了渗透,从而用户的资产被转走; 三、可能是普通散户的客户端被劫持。用户有可能被诱导下载带有木马的客户端软件(比如说是提供高额回报的量化工具等),从而被劫持了本地环境,进而控制了用户账户的API访问和认证等。

第三个原因的可能性最大,其次是第二,最后才是第一个可能性。”

实际上,早在2018年7月4日,币安出现超大额提现,超过7000枚比特币被转入同一个地址,疑似被盗。7月4号上午,币安发布公告,暂停交易提现。当天下午,再次发布公告,将此次事件定性为钓鱼事件。

同样是7000枚比特币,两次被盗事件之间有没有联系呢?蒋旭宪博士认为,两次事件虽然被盗数量相似,“但是作案方式不同,没有直接关联。”

值得注意的是,去年币安虽然遭受黑客攻击,但是黑客在提现比特币时,触发了币安的风控系统,其账户被冻结。那么,为什么这次被盗没有触发警报呢?蒋旭宪博士解释道:

“这次是通过调用用户API Key, 多笔提现,行为上不一样。从单一用户的提币行为来看,可能没法触发当时的风控系统。同时说明了安全防护系统还有改善的空间。”
 

交易所如何应对安全问题?

 

网络安全圈内流传着这样一句话:世界上只有两种大型企业,一种是知道已经被黑客入侵的企业,另一种则是被入侵却浑然不知的企业。这句话放在区块链行业里同样适用。

尽管不少人认为,这样的言论未免言过其实,但不可否认的是,近几年频发的交易所被盗事件,让区块链安全的问题逐渐走进人们的视野。

纵观过去发生的多起交易所被盗事件,我们发现,黑客都是通过钓鱼软件获取用户的API key,然后利用API接口入侵交易所。交易所如何应对这种方式的入侵呢?蒋旭宪博士建议:

“首先应加强安全意识,尽可能避免个人敏感信息的泄露。同时,交易所应加强和完善API和相关敏感操作的认证,确保是用户的真正行为,而不是被攻击者劫持的操作。如有必要,重新生成相应API key,并对每次提币地址的更新加强2FA、邮箱和短信认证,多管齐下。

另外,如果中心化交易所开启自动化提币的,应做一定额度的分级,一旦单位时间内出现超大额提币需求,而且是转移到大量新创建地址的,需要立即触发紧急风控机制并转为人工审核提币,尽可能提早发现并预防攻击的持续进行。”

AMA中,有一名用户问到“为何交易所不使用KeyShard(数字资产托管服务)?”蒋旭宪博士回答:
“KeyShard采用基于多方安全计算(MPC),私钥被拆分为不同的分片,分别保存在包括用户和托管方在内的各参与方。但是,任何单一分片都无法获知私钥的真实信息,从而保证了资产由各参与方共同控制。遗憾的是,流程上的严格同时给用户的体验也带来了不便。”
 

普通用户如何保护自己的数字资产?

 

目前,绝大多数数字资产交易所都是中心化的交易所,而中心化交易所也是常见的黑客攻击的目标。那么对用户来说,去中心化交易所是不是更安全的选择呢?蒋旭宪博士认为:

“攻击者都是追求利益回报的。中心化交易所持有币的数量和价值,都远远大于去中心化交易所。攻击者在选取攻击目标的时候,当然会盯着价值更大的一方。

另外,去中心化交易所的资产由合约掌管,而且大多数是开源的,也有助于全世界的程序员帮你审核项目有没有漏洞。整个交易流程的公开透明也使其出问题的概率降低。所以相对而言,去中心化交易所是一个更安全的选择。不过,就用户体验、交易深度和使用门槛而言,去中心化交易所还不如中心化交易所。”

尽管有用户认为“与其把私钥交给交易所,不如放在自己的钱包里安全”,但是蒋旭宪博士依然建议:

对于一般用户,可以把私钥保存在知名的、有良好信誉的交易所,因为“即使忘记密码或密码被盗用,还有方法找回或者回滚”。

对于持币量比较大的用户,他则建议放在冷钱包(硬件钱包),但“就会把安全的风险,从交易所转移到用户自身对于冷钱包设备及助记词的保存。”因此,务必保存好个人助记词。

对于机构,他认为“多重签名是必不可少的,因为可以有效降低个别私钥被盗的风险。”

在被问及“有没有追回被盗资产的办法”时,蒋旭宪博士表示,

“有,但无法保证追回全部的资产。攻击事件发生后,我们会第一时间介入追踪被盗的数字资产,实时监控黑客的钱包地址,并跟进分析黑客可能采取的洗钱方式,尽可能将被盗数字资产的流向轨迹还原出来。

但要真正找回被盗资产,需要生态内的多方协作和支持,包括交易所及时冻结黑客的充值,超级节点或相应治理组织(比如ECAF)的联动协作等。”

评论
登录 账号发表你的看法,还没有账号?立即免费 注册