沉香木财经>热"链"

为什么说黑客攻击币安打开了潘多拉魔盒?


2018-03-26 信源 / 虎尔财经
本则消息未经严格核实,也不代表本网站观点

这次攻击产生“黑客+金融”割韭菜式攻击,交易所是黑客攻击的重灾区,建议用户最好把虚拟币存储在本地钱包,但是这对普通用户的技术水平有一定要求,用户教育成本较高。

记者 | 刘素宏
 
3月7日夜里,世界交易量排名第二的虚拟币交易平台币安(Binance)被黑客攻击,大量账户中的虚拟币被交易成比特币。数字货币交易平台币安的交易量在遭遇黑客攻击后不降反升。
 
截至3月8日19点,币安的24小时交易量达到126.6376亿,而此前一天,3月7日晚18点,币安的交易量为92.3326亿,涨幅近三分之一。
 
而根据区块链业内人士介绍,交易手续费占数字货币交易所盈利的最主要部分,另一个是上币费,上币费相对比较隐性。而根据币安官方网站公布,通常币安的交易手续费率为0.1%。按此粗略计算,币安每日的交易费收益在千万级。
 
一位深耕区块链领域的人士告诉寻找中国创客(ID:xjbmaker),比特币网络都是被世界顶级黑客盯住的公开代码,交易所从成立第一天就对安全高度重视,但无论是区块链、比特币、以太坊,都继续在市场周期性考验中不断升级安全防护能力。
 
本次币安所遭遇的黑客攻击与以往网络攻击有何不同?区块链去中心化特征下,遭遇网络攻击后损失是否会加大?用户如何加强个人防护?
 
就此,寻找中国创客(ID:xjbmaker)专访腾讯云云鼎实验室负责人董志强和高级安全工程师喻峰。他们认为,这次攻击产生“黑客+金融”割韭菜式攻击,交易所是黑客攻击的重灾区,建议用户最好把虚拟币存储在本地钱包,但是这对普通用户的技术水平有一定要求,用户教育成本较高。
 
值得警惕的是,以往区块链、比特币所具有的去中心化特性,在攻击面前,反而会导致黑客通过攻击一个交易所而全网套利,这也其实揭开了对虚拟币攻击的新模式,犹如潘多拉盒子,恐怕会吸引众多的学习者,这可能会造成对去中心化概念的利空。
 
此次攻击产生“黑客+金融”割韭菜式攻击
 
寻找中国创客:币安发了声明,能用比较通俗的方式帮助大家解释一下,这次异常的原因?
 
董志强:按照币安的表述,黑客通过某些方式获取了币安一部分账户,但正常情况下提币是需要二次验证,因此黑客无法直接盗取。
 
在以往的虚拟币交易所中,通常有两种黑客操作方式:一种是,黑客通过抛售被盗用户的虚拟币砸盘,再使用自己充值法币的账号低价接盘离场。另一种则是,黑客通过抛售被盗用户的虚拟币获取中间货币(如BTC),再使用这些中间货币拉升某个虚拟币的盘(VIA),从而将手中的VIA高价出货变现比特币离场获利。
 
但前两类提现离场操作都可能触发交易所的提现异常告警,导致无法离场获利。
 
因此这次黑客准备了第三条获利途径,也是获利最大化的途径,利用币安的价格权威优势,在大量其他中小交易所埋下VIA的高价卖单和其他被抛售币的卖空单,利用VIA的巨额涨幅和部分币的暴跌获取数十倍的暴利。

寻找中国创客:这次对币安的攻击,与以往的黑客攻击有何不同?
 
董志强:这次针对币安的攻击,可以看到一些与以往不同的特点。首先,专业的黑客团队,潜伏并一击必杀。其次,黑客团伙有经济实力,操纵币安的行情变化在许多交易所同时挂单获利,需要较大启动资金。此外,获利思路的新奇,这次的黑客行为和以往的盗窃行为完全不同,而是通过行情变化造成一种价值放大攻击,产生钱生钱的效果,黑客资产越高则获利越大,和通常的盗取不是同一个层面的玩法,产生了一种“黑客+金融”的割韭菜攻击效果。
 
寻找中国创客:交易所的安全防护跟传统互联网公司的安全防护工作相比,有哪些难点?
 
喻峰:交易所本质也是普通的网站,网站需要的各种安全防范策略,各大云厂商如腾讯云都有十分专业的安全团队在做,将网站安全交给专业团队来做其实更适合。做好网站的安全和交易过程的安全审计是非常必要的,关键的二次验证和提现安全策略要经得起挑战。
 
交易所是数字货币安全重灾区
 
寻找中国创客:从结果上看,这次币安的用户一个币没丢,复盘来看的话,币没丢,是否说明没有其他隐患?
 
喻峰:从币安角度看,黑客并没有获利。但实际上被盗用户也遭受了一定损失,比如被低价抛售手中的虚拟币,又百倍高位接盘另一种虚拟币(VIA),而该虚拟币目前已跌回接近原价。
 
寻找中国创客:这次涉及账号没有一个在亚洲地和钓鱼网站投放渠道在海外有关。跨境的安全防护如何做?
 
董志强:网络无国界,跨境钓鱼并没有本质的差别。从我们对全球互联网黑色产业的研究来看,相较国外,反而是国内的网络黑产套路众多,外国人可能更容易成为受害者。
 
寻找中国创客:交易所会不会成为安全重灾区?
 
董志强:从金融行业来看,除了有针对个人的“证券大盗”之类的木马攻击,也有针对证券公司的攻击,所以针对交易平台的攻击长期存在。
 
建议用户尽量将虚拟币存在本地钱包
 
寻找中国创客:用户自己交易完成后尽量不要交易所托管,这个能够实现吗?需要用户怎么做?
 
喻峰:对于交易所来说,交易所自身的账户通常使用冷钱包和多重签名的方式来保护,这个和交易所自身对安全的重视和后台实现有关。
 
对普通用户来说,在这种“黑客+金融”的操作面前其实是很弱势的。用户尽量不要将虚拟币都存在交易所,而是存在自己本地的钱包里。但这有一些基础技术门槛需要克服,导致许多用户还是存储在交易所,也方便炒币,一些交易所也希望用户的币存在交易平台上。因此,除非主动学习,大多数人都只会把币存在交易所,因为存在教育成本,实际这些安全措施落地并不容易。
 

© 2018 沉香木财经 首页 | 关于我们 | 联系我们