区块链安全事件回顾之比特儿交易所平台被盗
摘要: 比特儿交易所被黑是历史上第一次完全公开展现的网络犯罪,剧情跌宕起伏,扣人心弦,比特儿开始从掌握主动,到处置不当,最后惊慌失措,丢了夫人又折兵,暴露出交易所和虚拟币行业的一些严重问题,可以说是极好的教材。
要说起现今的科技热词,区块链肯定榜上有名;要说起现今的投资热词,区块链也肯定是榜上有名。前者,我们称为链圈,后者我们称为币圈。随着区块链技术的蓬勃发展,早期少数人参与交易的虚拟货币,渐渐走入了大众的视野。这也直接导致大量的虚拟币交易平台如雨后春笋般争相上线,而与此本应并行的相关安全技术却相对“并不配套”。狂热的逐利,似乎让大家忘却了金融安全。
注:虚拟货币交易平台,其就是为用户提供虚拟货币与虚拟货币之间兑换的平台, 部分平台还提供人民币与虚拟货币的 p2p 兑换服务。
据统计,交易平台平均每天的交易额经常是数以亿计,但绝大多数交易平台背后经营者的安全意识和平台自身的安全性都存在不同程度的“漏洞”。据不完全统计,从 14 年 至今,仅由于交易所本身安全性导致的直接损失就高达到 1.8 亿美元。
下图为不完全统计的损失图表
从上图我们可以看出,随着虚拟币投资的狂热,对其进行买卖的场所—交易所,就成了黑客们的首要目标。一般来说,成功入侵一家交易所会给黑客带来的直接利润约为 1000 万美元左右。
世界各国交易所的安全性,可以说是参差不齐,而且各个国家对这类平台的管控策略也并不完善,这就给黑客带来了很大的便利,这也就直接威胁着用户的资金安全。所以,中国的强监管对于大部分人来说,是一种保护,现存的私人交易所都或多或少的存在不同程度的安全漏洞。
交易平台被黑事件详细回顾
今天我们先说一个被盗事件:比特儿交易所平台被盗,时间在2014年8月15日。
比特儿是一家国内著名的山寨币交易所。NXT(未来币)等山寨币都在上面交易。
在2014年8月15日晚被盗5000万个NXT(未来币)。这事件可谓是一波三折,而且这是一场完全透明却匿名的网络犯罪赤裸裸呈现在我们面前,这是历史上的首次。
在事件处置过程中,交易所暴露出安全性严重缺失。POS币的钱包必须上线运行才能获取利息。因此NXT钱包必须在线运行,给了入侵的机会。POS币不能冷钱包保存,暴露出POS的重大安全隐患严重等问题。
帐号被盗后,交易所进退失据,在回滚区块和私了间来回摇摆,丧失了主动权,最终被黑客骗取了110个比特币,只要回了500万个NXT币。还试图重置区块数据,回滚所有被盗NXT币,但这就会造成NXT的信用危机。但是如果不收回损失,交易所将亏损1000万元。
15日16点34分左右,比特儿先在其官方Twitter账户上发出被盗信息,两分钟后在新浪微博发布消息称:“重要通知:刚刚我们的NXT中心账号被黑,黑客盗走5000万NXT。”
根据交易记录可知,NXT地址 NXT-LSC3-VB9T-2W3V-BH7FB 向NXT-8WJ7-8A2H-MBYN-3W9K4 输出了5000多万的NXT交易。
根据调查发现这些被盗的NXT总价值在1000万元人民币以上。而通过在济南市市场主体信用信息公示平台上查询可知,该公司的注册资本为200万元人民币。这也就意味着比特儿此次被盗,将面临破产危机。一场门头沟危机将在中国上演。
被盗后,比特儿立即暂停了NXT的交易,并声称”寻求援助”,称要联系“开发组” 重置交易。众所周知,区块一旦重置,所有期间的交易都会取消,虽然比特儿表示愿意承担这些损失,但随意回滚区块交易,还是引起了很大争议。此外,比特儿没有任何反应,没有利用交易留言跟黑客进行任何沟通。而是黑客主动发送了一个“hi",在比特儿没有答复后,黑客主动提出了要求,要求交易所用比特币赎回NXT。
由于NXT的交易所有限,而且区块能被回滚,黑客也担心自己的赃款不能销赃,或者交易被取消。因此主动提出要求赎金。由于区块重置会损伤NXT的信心,比特儿没有决心要重置区块,而开始对黑客的要求进行回应。
但是很快就被黑客牵着鼻子走了。
很明显,比特儿立即慌乱了,给了黑客20个币,并要求黑客不要等比特币确认就交易,再次留言了邮箱。
比特儿终于在最后屈服了,把100个比特币付给了黑客。而且交易是从交易所公布的用户资金冷钱包里出帐的。前后一共有30个比特币是从用户冷钱包里直接支出的。
然后,就没有然后了。比特儿在半小时后如梦方醒,发出了最后一声哀鸣:
本次比特儿被黑是历史上第一次完全公开展现的网络犯罪,剧情跌宕起伏,扣人心弦,比特儿开始从掌握主动,到处置不当,最后惊慌失措,丢了夫人又折兵,暴露出交易所和虚拟币行业的一些严重问题,可以说是极好的教材。
评论(0)
Oh! no
您是否确认要删除该条评论吗?