交易所漏洞频发,是黑客太厉害,还是交易所不作为?

来源:知道创宇2019.06.20

来源:微信公众号 节点财经。

这场交易所安全保卫战打得异常艰难。 隐匿在暗处的黑客如饿狼一般,伺机而动,紧盯着交易所的破绽,准备一击致命;暴露在明处的交易所除了加强自身防御之外,别无他法。

  与互联网被黑客攻击后被用户失去信任不同,数字货币交易所一旦被攻击失去的可能是命。作为大量资金的集聚地,交易所如履薄冰,生怕自己成为第二个Mt.Gox。(2014年,黑客从交易所Mt.Gox盗取85万枚比特币,直接导致这家曾经的世界第一大交易所倒闭)

  监管之外,金钱至上

  数字货币成为投资新靶标,也成为众多黑客的竞技场。

  根据区块链信息安全平台Bcsec的统计,自2016年以来,有关数字货币的安全事件就呈高速增长态势,其造成的经济损失也在不断攀升,仅2018年上半年便造成20亿美元的经济损失。而这其中,有超过11亿美元的损失直接来自交易所被攻击。 

频发的交易所安全事故也能证明这一点,7月1日至今,被媒体报道的此类事件已发生至少3起。

  频发的交易所安全事故也能证明这一点,7月1日至今,被媒体报道的此类事件已发生至少3起。

 

  7月4日,币安出现异常交易,有用户通过1枚SYS购买96枚比特币,随后币安暂停交易,并称此次事件是钓鱼事件,将回滚异常交易;

  7月9日,EXX交易所遭受黑客攻击使交易额数据出现过亿异常,虽然交易所团队称其技术团队成功抵御攻击,交易平台数据正常,但是ALcoin平台监控到的1.5万亿净流出则出卖了它;

  同是7月9日,交易平台Bancor被盗价值1350万美元数字货币……

  黑客,成为交易所头上挥之不去的阴霾。 

对于交易所频繁遭受攻击的原因,Blockchain Global 创始人兼CEO Sam Lee表示:“主要是由于数字货币交易所聚集了大量的资金,而且游离于法律监管之外,这是黑客如此猖狂的原因之一。”

  对于交易所频繁遭受攻击的原因,Blockchain Global 创始人兼CEO Sam Lee表示:“主要是由于数字货币交易所聚集了大量的资金,而且游离于法律监管之外,这是黑客如此猖狂的原因之一。”

  知道创宇信息技术有限公司CEO赵伟则认为:”交易所中心化的结构让交易所像个慢速移动的靶子,此外,数字货币是一种匿名化的、无法找回的资产,因此交易所也就成了黑客眼中的肥肉。“

  正如赵伟所言,由于数字货币本身在传输过程中就是通过代码的方式,具有匿名性,所以无论是得手后的套现还是资产转移方面,数字货币的属性都会为黑客提供便利。加之,数字货币交易所的资产缺乏监管,因此无法对资金流向进行调查。

  或许有人会有疑问,区块链的特点之一不就是可溯源吗?对于这个问题,白帽汇安全研究院负责人邓焕解释道:”区块链的可追溯性指的是每笔交易可以被查询,但背后对应哪个具体的人却很难查出来,说的直白一点,钱从甲的钱包转给乙的钱包容易查到,但是甲的真名叫什么查不到,这就给黑客以可乘之机。“

  游离于法律之外,又无法追踪。或许正如BYSEC.IO创始人莫良在接受媒体采访时所说的:“对于黑客来说,区块链是历史上任何一个时代无法比拟的——代码和钱画上了等号。”

  漏洞频发,细思极恐

  监管的缺失助长了黑客的气焰,但根本原因在于交易所的安全防护级别普遍较低。

  根据链塔智库发布的《全球数字货币交易所安全评级报告》显示,排名前20的交易所中,仅有BitMEX、Upbit评级为A,币安、火币等为BB,而OK仅为CC。

  链塔智库的评级标准分为AA、A、BB、B以此类推,最低为D。 

不过,币安、火币评级虽不低,但受黑客袭击的次数也并不少。大交易所每年投入上千万用于安全防护尚且遭受攻击,何况小交易所。正如360信息安全中心负责人张雪峰在接受节点财经采访时表示:“大交易所在安全方面还好一点,小交易所普遍不安全。”

  不过,币安、火币评级虽不低,但受黑客袭击的次数也并不少。大交易所每年投入上千万用于安全防护尚且遭受攻击,何况小交易所。正如360信息安全中心负责人张雪峰在接受节点财经采访时表示:“大交易所在安全方面还好一点,小交易所普遍不安全。”

 

  数据显示,现在全球的数字货币交易所数量已经达到11700多家,然而由于交易所旱涝保收的性质,每周依然有交易所诞生。尤其是FCoin交易挖矿横空出世后,给众多小交易所带来了突围的希望,进一步刺激了新交易所的产生。

  有业内人士对此表示担忧:“现在太多交易所只关心如何争抢流量,却忽视了根本的安全问题,更有甚者,连自己的安全部门都没有,每月仅投入几万块进行基础的安全维护。”

  或许正如360伏尔甘团队负责人郑文彬所说,目前基本上所有区块链公司的安全能力,都还不足以保护交易所的安全。

  在交易所对安全方面偷工减料的同时,是黑客“磨刀霍霍”准备“向牛羊”。

  ”黑客入侵交易所使用的武器级别都很高,这些高级武器原来大都是被国家级情报机构或者军方使用的,要抵挡这样的攻击,防御方的水平必须够高。” 郑文彬表示,“至于那些安全级别低的交易所没被攻击,可能是资产还不能够引起黑客的注意。“

  频繁的安全事故似乎并不能为现有的交易所敲响警钟,难道真像赵伟所说只有当安全事故降临到自己头上,造成巨大的损失之后,才会重视安全?

  前不久,韩国科技部证实韩国21个加密货币交易所中的大多数都存在安全漏洞,包括隔离不足、缺乏针对异常或可疑活动的监视系统,有12所加密货币交易所甚至完全没有安全系统。

  这在一定程度上反映了交易所的安全现状,可想而知,11700家交易所中又会有多少家没有安全系统?

  细思极恐。

 

热门文章

  • 七一将临,过去几周网络黑客攻击暴增30%

    在建党100周年来临之际,创宇盾将为包括党、政、军、事业单位、教育、医疗等重点客户提供免费网络安全保障服务。

  • FBI 向托管 Cyclops Blink 恶意软件的僵尸网络服务器发起了行动

    美国联邦调查局(FBI)透露,该机构于今年 3 月发起了针对 GRU 控制的大型僵尸网络的专项行动。在获得加利福尼亚和宾夕法尼亚两州法院的授权后,FBI 清理了存在于指挥和控制服务器(C2S)上的所谓 Cyclops Blink 恶意软件,从而切断了其与受感染设备的连接。

  • Meta 在新报告中提及黑客组织发布虚假的“乌克兰军队投降”信息

    根据Meta(Facebook的母公司)的一份新的安全报告,一个与白俄罗斯有关的黑客组织试图入侵乌克兰军事人员的Facebook账户,并从黑客账户发布视频,谎称乌克兰军队投降。这场黑客行动之前被安全研究人员称为”Ghostwriter”,是由一个名为UNC1151的组织实施的,该组织在Mandiant进行的研究中与白俄罗斯政府有关。

关注知道创宇云安全

获取安全动态