区块链安全事件回顾之Bitfinex遭黑客攻击事件
摘要: Bitfinex是交易比特币、ether 和莱特币等数字货币的最大交易所之一。因黑客攻击窃取了大约价值6500万美元的比特币后,比特币的价格出现跳水。
今天我们来说比特币交易所Bitfinex遭黑客攻击事件,时间发生在2016年8月。
Bitfinex 是交易比特币、ether 和莱特币等数字货币的最大交易所之一。因黑客攻击窃取了大约价值6500万美元的比特币后,比特币的价格出现跳水。
根据 Bitfinex 在 8 月 2 日凌晨发布的公告,该交易所在发现了一个安全漏洞后便停止了交易。
Bitfinex 负责社区和产品开发的主管塔克特(Zane Tackett)证实,119,756 个比特币(价值约6200万美元)遭黑客窃取,该公司已经知道相关系统是如何被入侵的。到东京时间8月3日下午2:30分为止,比特币兑美元价格下滑了5.5%,意味着比特币两日的降幅已经达到了13%。周一(8月1日),比特币价格下降了6.2%,尽管外界并不清楚周一的下跌是否与此次黑客攻击有关。
从Bitfinex公告的信息上看,它最大的漏洞出在热钱包安全机制上。Bitfinex选用的是一家叫BitGo的安全平台公司,这家公司使用对用户的热钱包进行多重签名机制,以期实现用户BTC安全存储。但这首先需要假设Bitfinex发送给BitGo的所有指令都是正确安全的,所以,很有可能在Bitfinex发出指令的过程中已经产生了问题
Bitfinex采用的是多重签名的安全技术架构。一般的交易所往往采取“单签名”记账方式,在此之外,Bitfinex平台自身还管理了另一个“签名”,这些签名的密钥分散在多个服务器上面,一夜之间被盗光。“这么多服务器,要是没有内应,也很难做到”,前述资深人士分析。
其次,Bitfinex采取的是“热储藏”/“热钱包”的做法。这使得用户的密钥接触到网络的可能性大大增多,甚至100%在线,当跨账户的时候总是在线,给予黑客盗取的机会也更多。一般其他平台以“冷钱包”为主,即大部分是离线保留比特币。
数字货币钱包分为两类:冷钱包及热钱包。冷钱包也可称之为非联网钱包,热钱包则可称之为联网钱包。
什么是冷钱包
比特币钱包的冷储存(Cold storage)是指将钱包离线保存的一种方法。具体来说,玩家在一台离线的电脑上生成比特币地址和私钥,并将其妥善保存起来。以后挖矿或者在交易平台得到的比特币都可以发到这个离线生成的比特币地址上面。由这台离线电脑生成的私钥永远不在其它在线终端或者网络上出现。
为什么要使用冷储存呢?使用比特币钱包冷储存技术主要是出于安全上的考量。
举两个例子:
1、某比特币超级大户想保证他的比特币钱包绝对安全,即使在电脑被黑客入侵的情况下,黑客依然得不到比特币私钥。这样,这位大户就必须使用冷储存技术,他离线生成几对比特币地址和私钥,作为冷储存钱包,以后所有需要储存的比特币都发到这些地址上面。这样初步就保证了比特币的安全。
2、某比特币交易平台每天有庞大的比特币用户群,用户在平台上存有数以万计的比特币。为了保证这些比特币的安全,交易平台的管理人员便每天定时将主机服务器上所储存的比特币放入冷储存钱包中。而只在服务器上存有少量的比特币,来应付正常的提现请求,这样就算黑客入侵了交易平台主机也无法得到用户所储存的比特币。
在上面的案例中可以知道,使用比特币冷储存技术就可以避免大部分的损失,比特币交易平台OKCoin一直采用的是冷存储,所有比特币都存储在离线帐户上,当平台收到用户比特币充值时,将直接发送至OKCoin的离线帐户。而每一次用户的充值地址都是不相同的。
Bitfinex丢币事件,提醒我们要抓紧钱包——这个比特币交易所平台的核心要害。随着比特币行业的飞速发展,安全问题日益重要。不翼而飞的120,000个比特币,巨额的用户损失,Bitfinex盗窃案成为自2014年日本Mt.Gox事件后最严重的比特币丢失案件,当年Mt.Go丢失价值3.5亿美元、744,408BTC,并最终倒闭。虽然此次安全漏洞事件说明Bitfinex设置的自动化机制在一定程度也是失效的,但我们希望看到事件后续有良性进展,产生对行业积极影响的借鉴意义;我们希望Bitfinex不再重蹈当年Mt.Gox的结局,希望行业安全问题警钟长鸣。
评论(0)
Oh! no
您是否确认要删除该条评论吗?