黑客攻擊加密貨幣的方法案例以及對(duì)策探討

本節(jié)將分析最常見的黑客攻擊策略，并編匯收集被公開發(fā)布過(guò)的關(guān)于安全問(wèn)題的信息，以及羅列出存在記錄的黑客事件清單。清單上的全部?jī)?nèi)容都來(lái)源于可靠新聞并附有來(lái)源注釋。這些信息將有助于加密貨幣持有用戶和交易平臺(tái)制定交易系統(tǒng)防御措施，以反抗黑客攻擊。

黑客攻擊方法

與人們的普遍認(rèn)知相反，絕大多數(shù)黑客攻擊都是以社會(huì)工程 （social engineering）的形式完成的。Social engineering 是指利用欺騙手段來(lái)操縱個(gè)人，使其無(wú)意間泄露可以被用于欺詐目的的機(jī)密或個(gè)人信息。下面提供的交易黑客攻擊列表將證明，黑客繞過(guò)系統(tǒng)制定的安全措施的方法通常都是以這種手段實(shí)現(xiàn)的，實(shí)際上很少需要使用中斷加密的方法。一些 social engineer-ing 黑客的普遍形式是：

手機(jī)/電子信箱劫持； 通常情況下，黑客利用從社交媒體檢索到的個(gè)人信息，冒充目標(biāo)，并從受害人的移動(dòng)電話運(yùn)營(yíng)商獲得新的手機(jī) SIM 卡，或者重設(shè)受害人電子信箱密碼。這就使得黑客能夠訪問(wèn)所有類型的賬號(hào)、獲得各式各樣的信息，而黑客所盜取的信息中，就有可能包含加密貨幣交易所員工的信息。

網(wǎng)絡(luò)釣魚; 作為迄今為止最常見的盜取他人賬戶的方式，許多人都采取了防范措施，或者受到賬戶平臺(tái)的反釣魚保護(hù)。然而在 2014 年 7 月，這種釣魚技術(shù)被成功用于從 Cryptsy 竊取 950 萬(wàn)美金 （見下文）。網(wǎng)絡(luò)釣魚經(jīng)常要求人們?cè)诳瓷先ズ戏ê弦?guī)的網(wǎng)站上登錄他們的賬戶，從而獲取登陸數(shù)據(jù)。鑒于釣魚網(wǎng)站和釣魚郵件的無(wú)處不在，有人在一個(gè)漫不經(jīng)心的時(shí)刻上當(dāng)受騙只是時(shí)間問(wèn)題。

惡意軟件; 2015 年 1 月，多名比特股員工被騙將惡意軟件下載到了他們的工作電腦上，損失共計(jì) 520 萬(wàn)美元。該技術(shù)還會(huì)利用目標(biāo)的興趣愛好來(lái)誘使他們下載惡意軟件。

防御 social engineering 黑客; 世界上極少有數(shù)據(jù)庫(kù)是沒有經(jīng)過(guò)加密的。由于中斷此類加密是幾乎不可能的，因此攻擊這些數(shù)據(jù)庫(kù)就必須要致力于獲取用于解密數(shù)據(jù)庫(kù)的私鑰或者密碼。因此，大多數(shù)交易所被黑只可能是由于糟糕的信息安全協(xié)議導(dǎo)致的。大多數(shù)情況下，包含交易所客戶全部私鑰的加密數(shù)據(jù)庫(kù)密碼只掌握在幾個(gè)關(guān)鍵員工手中，這些員工就可以成為低成本 social engineering 攻擊的目標(biāo)。這種類型的數(shù)據(jù)泄漏不僅在中心化系統(tǒng)中非常常見，而且也是造成系統(tǒng)最大損失的關(guān)鍵點(diǎn)。

總結(jié)性地說(shuō)，加密貨幣本身很少被黑，但是它們的核心協(xié)議或者共識(shí)機(jī)制卻是有可能受到損害的。這幾乎總是設(shè)計(jì)不當(dāng)?shù)墓沧R(shí)機(jī)制和中心化系

統(tǒng)的最終結(jié)局——人為失誤造成的嚴(yán)重?fù)p失。

從下面列出的黑客攻擊、下圖中的錢包客戶端和去中心化私鑰系統(tǒng)的情況可以推斷，將資產(chǎn)存儲(chǔ)在離線冷錢包里以及多簽名身份驗(yàn)證，是最重要的黑客資金盜取防御措施。

交易所黑客攻擊事件時(shí)間線

2011 年 6 月 Mt. Gox，875 萬(wàn)美金;

早期規(guī)模最大、最重要的加密貨幣交易所，同時(shí)也是第一個(gè)已知的加密貨幣交易所黑客受害者。這起事故的原因——我們必須假設(shè)——是由于其低標(biāo)準(zhǔn)的安全措施導(dǎo)致的。當(dāng)時(shí)總部位于日本的 Mt. Gox 沒有使用任何一種版本控制軟件，這意味著任何一位程序員都可能出于意外而撤銷同事的全部工作，如果他們恰好在同一個(gè)文件上編輯代碼。就在黑客攻擊前不久，比特幣交易所引入了一個(gè)新測(cè)試環(huán)境，因此舊版本的軟件更改已經(jīng)被推送到交易所客戶，并處于未經(jīng)測(cè)試的狀態(tài)。

2011 年 10 月 Bitcoin7，5 萬(wàn) 美 金;

Bitcoin7—— 當(dāng) 時(shí) 全 球 第 三 大BTC/USD 交易所——成為了俄羅斯黑客組織的目標(biāo)。10月 5 日，該交易所網(wǎng)站向用戶發(fā)布了一條信息，稱“攻擊本身不是僅僅針對(duì) bitcoin7.com 服務(wù)器，而是對(duì)于屬于同一網(wǎng)絡(luò)的其他網(wǎng)站和服務(wù)器也都采取了行動(dòng)。最終黑客們成功突破了整個(gè)網(wǎng)絡(luò)，并導(dǎo)致隨后對(duì) bitcoin7.com 網(wǎng)站的嚴(yán)重破壞?！弊畛醯耐黄茻o(wú)論發(fā)生在哪個(gè)層面，都能讓黑客們接觸到網(wǎng)站的熱錢包。黑客攻擊后不久，Bitcoin7 便永遠(yuǎn)地關(guān)門大吉了。

2012 年 3 月 Bitcoinica，22.8 萬(wàn)美金;

Bitcoinica 是利用名為 Linode 的網(wǎng)絡(luò)主機(jī)發(fā)動(dòng)黑客攻擊的最突出受害者之一。Bitcoinica 的CEO周同在最初表示損失了1萬(wàn)枚BTC后，向Ars Technica承認(rèn)實(shí)際上丟失了 4.3554 萬(wàn)枚比特幣，所有這些幣全都存放在 Linode 服務(wù)器上的未加密熱錢包里。

2012 年 5 月 Bitcoinica，8.7 萬(wàn)美金;

第一次黑客攻擊后 10 周，Bitcoinica又一次被盜取了一筆資金。這一次不僅是丟失比特幣，甚至 Bitcoinica 用戶數(shù)據(jù)庫(kù)也遭到嚴(yán)重破壞。姓名、電子信箱地址、密碼和其他敏感數(shù)據(jù)全部被盜，盡管這些信息被存儲(chǔ)在具有不同加密方案的獨(dú)立數(shù)據(jù)中心的獨(dú)立服務(wù)器上。

2012 年 7 月 Bitcoinica，30 萬(wàn)美金;

第三次攻擊令 Bitcoinica 再次丟失了客觀數(shù)量的比特幣。然而，關(guān)于黑客是內(nèi)部監(jiān)守自盜的傳言永遠(yuǎn)無(wú)法被證實(shí)。

2012 年 9 月 Bitfloor，25 萬(wàn)美金;

截至 2012 年 9 月，總部位于紐約的Bitfloor 是以美元做交易的第四大交易所。在攻擊中，黑客獲得了交易所錢包密鑰的未加密備份。此備份是在 Bitfloor創(chuàng)始人 Roman Shtylman 進(jìn)行手動(dòng)升級(jí)并將數(shù)據(jù)存入磁盤上的未加密分區(qū)是創(chuàng)建的。被泄露的錢包鑰匙被用于清空Bitfloor 上的大量熱錢包。

2013 年 5 月 ? Vircurex，16 萬(wàn)美金;

一個(gè)人為錯(cuò)誤導(dǎo)致了 1454 枚 BTC，225.263 枚 TRC 和 23.400 枚 LTC 被盜。根據(jù) 2013 年 5 月Vircurex 的報(bào)告，黑客獲得了他們托管服務(wù)商的 VPS 控制賬戶的登錄憑據(jù)，然后成功請(qǐng)求到了所有服務(wù)器的重置根密碼。

2013 年 6 月 ? Picostocks，13 萬(wàn)美金;

6 月 10 日，Picostocks 的發(fā)言人在bitcointalk.org 論壇上透露，多個(gè)賬戶是使用相同的密碼操作的，這就給黑客提供了進(jìn)入交易所錢包的許可。

2013 年 11 月 ? Picostocks，300 萬(wàn)美金;

同年 11 月，Picostocks 又被盜取了一筆大得多的金額。由于此次被黑的一部分錢包是冷錢包，無(wú)法被通過(guò)互聯(lián)網(wǎng)訪問(wèn)，因此黑客有可能是內(nèi)部人員。

2014 年 2 月 ? Mt. Gox，4.6 億美金;

這是有史以來(lái)第二大的加密貨幣交易所黑客攻擊。鑒于相對(duì)較小的加密貨幣市場(chǎng)，這是影響力最大的攻擊事件?！拔C(jī)戰(zhàn)略草案”中顯示，黑客多年以來(lái)一直在利用同一個(gè) bug 針對(duì)該公司進(jìn)行研究?！拔C(jī)戰(zhàn)略草案”泄露后，Mt. Gox 承認(rèn)損失了 4.6 億美元 。來(lái)自該公司內(nèi)部的事后資料報(bào)告稱，他們?cè)?jīng)使用的源代碼可以說(shuō)是“一塌糊涂”。自 2011 年 6 月的黑客攻擊以來(lái)，Mt. Gox 的安全措施似乎并沒有得到充分加強(qiáng)。

2014 年 3 月 ? Cryptorush，57 萬(wàn)美金;

BlackCoin 發(fā)布了他們區(qū)塊鏈的一個(gè)新分叉，其中產(chǎn)生了一個(gè) bug 使得 BlackCoin 的所有者能夠兌現(xiàn)幣他們實(shí)際擁有的資金更大的金額。官方聲明的副本現(xiàn)保存在 bitcointalk.org 論壇上。

2014 年 3 月 ? Poloniex，6.4 萬(wàn)美金;

一個(gè)類似的 bug，利用交易被安排發(fā)生在同一時(shí)刻，從而提取多于超過(guò)錢包內(nèi)實(shí)際存儲(chǔ)的金額，以達(dá)到從 Poloniex 上盜取資金的目的。

2014 年 3 月 ? Flexcoin，，60 萬(wàn)美金;

在對(duì)加密貨幣存儲(chǔ)服務(wù)提供商進(jìn)行攻擊后，所有的熱錢包全部被清空。黑客進(jìn)入 Flexcoin 系統(tǒng)的手段，目前尚不清楚。

2014 年 7 月 ? Cryptsy，950 萬(wàn)美金;

這一嚴(yán)重的黑客攻擊事件，直到發(fā)生兩年后該公司宣布破產(chǎn)的時(shí)候才被公開。在最初針對(duì)技術(shù)問(wèn)題的一番指責(zé)過(guò)后，Cryptsy 據(jù)稱在破產(chǎn)前成為了網(wǎng)絡(luò)釣魚的攻擊目標(biāo)，并被迫暫停了交易。

2014 年 8 月 ? BTER，165 萬(wàn)美金;

盡管 BTER 通過(guò)談判，使黑客歸還了部分被盜資金而減少了他們的損失，但一位開發(fā)者聲稱問(wèn)題完全在于交易所本身，而黑客攻擊造成的損失本身是可以避免的。

2014 年 10 月 ? Mintpal，130 萬(wàn)美金;

Mintpal 的黑客攻擊情況以及其隨后的破產(chǎn)原因依然不清楚。2017 年，Ryan Kennedy 因欺詐和洗錢罪名被帶到英國(guó)法院，并在黑客攻擊后得到了交易所，這引起了人們對(duì)其內(nèi)部人員的懷疑。

2015 年 1 月 ? 796Exchange，23 萬(wàn)美金;

即使將服務(wù)器遷移到高度安全的云端站點(diǎn)，也無(wú)法保護(hù)當(dāng)時(shí)交易量最大的交易所避免被黑客成功攻擊。在發(fā)現(xiàn)了系統(tǒng)弱點(diǎn)之后，黑客們能夠欺騙客服部門，讓他們把比特幣發(fā)送到錯(cuò)誤的錢包里。796Exchange的總裁 Nelson Yu 告訴 cointelegraph.com，” 準(zhǔn)確地說(shuō)，錢包系統(tǒng)在這次事件中一點(diǎn)也不受影響。資金盜取發(fā)生在基金的交易過(guò)程中?！?/p>

2015 年 1 月 ? Bitstamp，520 萬(wàn)美金;

2015 年的 Bitstamp 黑客劫案是眾多復(fù)雜的網(wǎng)絡(luò)釣魚攻擊中一個(gè)很好的例子。多個(gè)員工被鎖定，并通過(guò)利用他們的興趣愛好信息被誘騙下載惡意軟件。通過(guò)這種手段，攻擊者獲得了對(duì)兩個(gè)服務(wù)器的訪問(wèn)權(quán)，其中包含 Bitstamp 熱錢包的密碼。

2015 年 2 月 ? BTER，175 萬(wàn)美元;

黑客針對(duì) BTER 的第二次攻擊尤為重要，因?yàn)檫@次他們襲擊的目標(biāo)是 BTER 的冷錢包。他們是如何做到這一點(diǎn)的，至今仍然是個(gè)謎。

2016 年 4 月 ? Shapeshift，23 萬(wàn)美金;

Shapeshift 的黑客攻擊時(shí)為數(shù)不多的，可以追溯到該公司一名員工的黑客攻擊之一。在盜取了 13 萬(wàn)美金之后，他們把敏感信息賣給了一名黑客。據(jù)信，黑客制造了第二筆盜竊，金額為 10 萬(wàn)美金。

2016 年 5 月 ? Gatecoin，214 萬(wàn)美金;

這次黑客攻擊是一個(gè)久經(jīng)考驗(yàn)的策略的轉(zhuǎn)折點(diǎn)。攻擊者似乎改寫了系統(tǒng)，使其將存款轉(zhuǎn)賬儲(chǔ)存在熱錢包中，而不是應(yīng)該存放的冷錢包中，以此增加了后來(lái)被盜走的金額。

2016 年 8 月 ? Bitfinex，7 千 7 百萬(wàn)美金;

Bitfinex 使用 BitGo 的多簽名錢包系統(tǒng)，被許多人認(rèn)為是極其安全的。然而，黑客一定是設(shè)法獲得了私人錢包的鑰匙以及 BitGo 的 API 的關(guān)鍵點(diǎn)，直到今天仍然留下了許多關(guān)于攻擊性質(zhì)和過(guò)程的問(wèn)題。

2017 年 2 月 ? Bithump，1 百萬(wàn)美金;

黑客成功地獲取了超過(guò) 3 萬(wàn)名Bithump 用戶的個(gè)人信息。數(shù)據(jù)泄露是該公司一名員工的私人電腦被黑客攻擊的結(jié)果。然后，這些信息被用來(lái)進(jìn)行欺詐通話，以竊取用戶的身份驗(yàn)證代碼。

2017 年 4 月 ? Youbit，530 萬(wàn)美金;

之后被稱為”Yapizon” 的韓國(guó)交易所的四個(gè)熱錢包被成功攻擊并清空。被盜金額相當(dāng)于公司總資產(chǎn)的 36%。

2017 年 2 月 ? Youbit， “全部資產(chǎn)的 17%”;

在 Youbit 發(fā)生的第二起黑客搶劫案迫使交易所宣布破產(chǎn)。這兩起襲擊事件都是鄰國(guó)朝鮮的間諜機(jī)構(gòu)所為，但這些說(shuō)法無(wú)法核實(shí)。

2018 年 1 月 ? Coincheck，5 億美金;

由于安全手段不足，Coincheck 成為了這一大規(guī)模黑客搶劫案的輕松目標(biāo)。交易所不進(jìn)將其客戶的資產(chǎn)存儲(chǔ)在熱錢包中，而且也沒有用已經(jīng)成為行業(yè)標(biāo)準(zhǔn)的多簽名身份驗(yàn)證起來(lái)保護(hù)這些錢包。

2018 年 2 月 ? Bitgrail，1.87 億美金;

人們對(duì)意大利 Bitgrail 在今年 2 月向當(dāng)局提交的黑客攻擊了解甚少。根據(jù)交易所自己的說(shuō)法，造成損失的具體日期甚至無(wú)法確定。自然地，對(duì) Francesco Firano 本人作為 CEO 策劃盜竊資金的指控不斷上升，但是沒有任何證據(jù)可以證明這一點(diǎn)。Firano 試圖將責(zé)任推卸給BitGrail 使用的 Nano 令牌區(qū)塊鏈背后的開發(fā)者。

2018 年 6 月 ? Coinrail，4 千萬(wàn)美金;

Coinrail 時(shí)另一個(gè)在被黑客攻擊后不得不關(guān)閉的交易所。盡管該公司 70% 的資產(chǎn)都存放于冷錢包中，但黑客仍然盜走了 4 千萬(wàn)美金。這一事件標(biāo)志著韓國(guó)交易所在幾個(gè)月內(nèi)第三次被黑客攻擊，這意味著加密貨幣交易所黑客們集中在亞洲。

2018 年 9 月 ? Zaif，6 千萬(wàn)美金;

總部設(shè)在日本的 Zaif 措手不及，因?yàn)楹诳蛷乃麄兊臒徨X包偷走了 6 千萬(wàn)美金。該公司只有通過(guò)與Fisco 合作才能生存，而 Fisco 制服了 4.45 億美金的被盜金額，以獲得交易所股權(quán)的大部分份額。

加密貨幣交易所黑客攻擊損失金額總量。

總結(jié)

通過(guò)觀察這些黑客，可以總結(jié)出一些有趣的信息：

1. 大多數(shù)成功攻擊的加密貨幣交易所的事件，發(fā)生在總部設(shè)于亞洲的公司身上。

2. 上面提到的絕大多數(shù)黑客攻擊的都是被集中管理的熱錢包。

3. 被列舉的許多攻擊事件都是由于人為錯(cuò)誤導(dǎo)致的，即數(shù)據(jù)未在加密情況下存儲(chǔ)、更新在沒有質(zhì)量保證的情況下推送、偽裝成客戶的黑客沒有被發(fā)現(xiàn)，或者交易所員工成為網(wǎng)絡(luò)釣魚目標(biāo)。

通過(guò)使用客戶端錢包，和在私鑰上進(jìn)行多重簽名身份驗(yàn)證，真正的去中心化加密貨幣交易所大大降低此類黑客攻擊成功的可能性。除此之外，這也讓公司員工更加難以實(shí)現(xiàn)從內(nèi)部挪用資金。