号称“币安”的币安似乎并没那么安全。

5月8日凌晨,币安交易所发现了大规模的安全漏洞。此次攻击中,币安热钱包中价值约3亿人民币的7000枚比特币被黑客洗劫一空。成立短短两年时间,这已是币安的第三次安全事故。

前两次安全事故分别是:

  • 2018年3月7日23点前后,黑客操控若干币安用户账户,将加密货币全部币币交易换成BTC,数量达1万个BTC以上。
  • 2018年7月4日凌晨5时许,币安交易所出现超大额提现。2小时内,超过7000枚BTC被转入同一地址。

内部预警不过关导致币安被盗

针对此次安全事故,币安对外解释称,黑客主要使用复合型的攻击技术,包括网络钓鱼、病毒等攻击手段,获取了大量币安注册用户 API 密钥(身份验证,控制访问)、谷歌验证 2FA 码以及其他相关信息,从而进行提款操作。

安全专家分析认为,用户和币安的服务器均有保存API交易密钥和谷歌验证2FA码,被盗很有可能是因为币安内网遭到黑客长期的APT渗透,而非单个或者批量用户被钓鱼病毒入侵导致。此外,币安的预警系统也存在问题,提币达到7000比特币,但是币安的提币风控系统并没有进行有效警报。 

网友评论:只有员工或其相关人员才能窃取它

针对交易所安全问题,IDCM技术总监认为,交易所安全不仅仅是技术层面,内部风险远远大于外部攻击,所以首先交易所要做好自己的内功,包括客户资产的安全管理,内部流程的风险控制,实时安全风险预警和处理能力。

根据上述负责人观点,内部风险已成交易所安全的重要威胁。相关数据显示,60%以上的交易所安全事故是由内部产生。

2016年3月14日,ShapteShift的一名员工从自己公司的 hot wallet 中盗走了315比特币。

2018年4月,疑受安全事务主管策划,印度加密货币交易所Coinsecure被盗近350万美元比特币。

2019年2月,由于高管监守自盗,韩国加密货币交易所Coinbin正式申请破产,破产意味着其将损失293亿韩元。

…….

内部风控,他们是怎么做的?

诚然,作为中心化的交易所,没有哪家交易所能保证做到100%的安全。但是随着投资者对交易安全的逐年关注,部分交易所在安全上已做了强有力的部署。

以IDCM为例,为有效消除内部安全隐患,IDCM参照传统交易所和银行管理制度,做了以下举措:

  • 70%的资产用冷钱包存储,在离线的状态下,100%保障用户的资产安全。
  • 终端全部安装360企业级病毒防护,防止入侵;
  • 终端全部采用绿盾加密软件,源码经过加密,无法外传;
  • 内部网络安装行为审计系统,所有操作日志可查,并限制部分可操作机器;
  • 内部密码进行分散式管理,不同密码基本由不同人员保管,重要操作需要同时在场进行;
  • 专机专用,操作员进行网络隔离等;
  • 配置顶尖的安全顾问团队——Horangi(它是新加坡知名网络安全公司,在全球拥有50多名客户,他们包括华为等),以此为IDCM提供安全的整体解决方案。

总结 

区块链领域作为新兴投资领域,预期收益与投资风险并存。从个人投资角度而言,为了保障个人资产安全,用户应当充分评估投资风险,了解交易平台的基本信息,查看平台信誉,了解其是否遭受过黑客攻击,在可承受的范围内谨慎投资。

当然,数字货币生态系统的健康发展和未来生存需要一个安全的交易环境,道路虽且阻,但以IDCM为代表的交易所们也一直在前进。

One comment

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

%d bloggers like this: