黑客攻擊加密貨幣的方法案例以及對策探討

本節(jié)將分析最常見的黑客攻擊策略，并編匯收集被公開發(fā)布過的關(guān)于安全問題的信息，以及羅列出存在記錄的黑客事件清單。清單上的全部內(nèi)容都來源于可靠新聞并附有來源注釋。這些信息將有助于加密貨幣持有用戶和交易平臺制定交易系統(tǒng)防御措施，以反抗黑客攻擊。

黑客攻擊方法

與人們的普遍認(rèn)知相反，絕大多數(shù)黑客攻擊都是以社會工程（social engineering）的形式完成的。Social engineering 是指利用欺騙手段來操縱個人，使其無意間泄露可以被用于欺詐目的的機密或個人信息。下面提供的交易黑客攻擊列表將證明，黑客繞過系統(tǒng)制定的安全措施的方法通常都是以這種手段實現(xiàn)的，實際上很少需要使用中斷加密的方法。一些 social engineer-ing 黑客的普遍形式是：

手機/電子信箱劫持；通常情況下，黑客利用從社交媒體檢索到的個人信息，冒充目標(biāo)，并從受害人的移動電話運營商獲得新的手機 SIM 卡，或者重設(shè)受害人電子信箱密碼。這就使得黑客能夠訪問所有類型的賬號、獲得各式各樣的信息，而黑客所盜取的信息中，就有可能包含加密貨幣交易所員工的信息。

網(wǎng)絡(luò)釣魚; 作為迄今為止最常見的盜取他人賬戶的方式，許多人都采取了防范措施，或者受到賬戶平臺的反釣魚保護(hù)。然而在 2014 年 7 月，這種釣魚技術(shù)被成功用于從 Cryptsy 竊取 950 萬美金（見下文）。網(wǎng)絡(luò)釣魚經(jīng)常要求人們在看上去合法合規(guī)的網(wǎng)站上登錄他們的賬戶，從而獲取登陸數(shù)據(jù)。鑒于釣魚網(wǎng)站和釣魚郵件的無處不在，有人在一個漫不經(jīng)心的時刻上當(dāng)受騙只是時間問題。

惡意軟件; 2015 年 1 月，多名比特股員工被騙將惡意軟件下載到了他們的工作電腦上，損失共計 520 萬美元。該技術(shù)還會利用目標(biāo)的興趣愛好來誘使他們下載惡意軟件。

防御 social engineering 黑客; 世界上極少有數(shù)據(jù)庫是沒有經(jīng)過加密的。由于中斷此類加密是幾乎不可能的，因此攻擊這些數(shù)據(jù)庫就必須要致力于獲取用于解密數(shù)據(jù)庫的私鑰或者密碼。因此，大多數(shù)交易所被黑只可能是由于糟糕的信息安全協(xié)議導(dǎo)致的。大多數(shù)情況下，包含交易所客戶全部私鑰的加密數(shù)據(jù)庫密碼只掌握在幾個關(guān)鍵員工手中，這些員工就可以成為低成本 social engineering 攻擊的目標(biāo)。這種類型的數(shù)據(jù)泄漏不僅在中心化系統(tǒng)中非常常見，而且也是造成系統(tǒng)最大損失的關(guān)鍵點。

總結(jié)性地說，加密貨幣本身很少被黑，但是它們的核心協(xié)議或者共識機制卻是有可能受到損害的。這幾乎總是設(shè)計不當(dāng)?shù)墓沧R機制和中心化系

統(tǒng)的最終結(jié)局——人為失誤造成的嚴(yán)重?fù)p失。

從下面列出的黑客攻擊、下圖中的錢包客戶端和去中心化私鑰系統(tǒng)的情況可以推斷，將資產(chǎn)存儲在離線冷錢包里以及多簽名身份驗證，是最重要的黑客資金盜取防御措施。

交易所黑客攻擊事件時間線

2011 年 6 月 Mt. Gox，875 萬美金;

早期規(guī)模最大、最重要的加密貨幣交易所，同時也是第一個已知的加密貨幣交易所黑客受害者。這起事故的原因——我們必須假設(shè)——是由于其低標(biāo)準(zhǔn)的安全措施導(dǎo)致的。當(dāng)時總部位于日本的 Mt. Gox 沒有使用任何一種版本控制軟件，這意味著任何一位程序員都可能出于意外而撤銷同事的全部工作，如果他們恰好在同一個文件上編輯代碼。就在黑客攻擊前不久，比特幣交易所引入了一個新測試環(huán)境，因此舊版本的軟件更改已經(jīng)被推送到交易所客戶，并處于未經(jīng)測試的狀態(tài)。

2011 年 10 月 Bitcoin7，5 萬美金;

Bitcoin7—— 當(dāng) 時全球第三大BTC/USD 交易所——成為了俄羅斯黑客組織的目標(biāo)。10月 5 日，該交易所網(wǎng)站向用戶發(fā)布了一條信息，稱“攻擊本身不是僅僅針對 bitcoin7.com 服務(wù)器，而是對于屬于同一網(wǎng)絡(luò)的其他網(wǎng)站和服務(wù)器也都采取了行動。最終黑客們成功突破了整個網(wǎng)絡(luò)，并導(dǎo)致隨后對 bitcoin7.com 網(wǎng)站的嚴(yán)重破壞。”最初的突破無論發(fā)生在哪個層面，都能讓黑客們接觸到網(wǎng)站的熱錢包。黑客攻擊后不久，Bitcoin7 便永遠(yuǎn)地關(guān)門大吉了。

2012 年 3 月 Bitcoinica，22.8 萬美金;

Bitcoinica 是利用名為 Linode 的網(wǎng)絡(luò)主機發(fā)動黑客攻擊的最突出受害者之一。Bitcoinica 的CEO周同在最初表示損失了1萬枚BTC后，向Ars Technica承認(rèn)實際上丟失了 4.3554 萬枚比特幣，所有這些幣全都存放在 Linode 服務(wù)器上的未加密熱錢包里。

2012 年 5 月 Bitcoinica，8.7 萬美金;

第一次黑客攻擊后 10 周，Bitcoinica又一次被盜取了一筆資金。這一次不僅是丟失比特幣，甚至 Bitcoinica 用戶數(shù)據(jù)庫也遭到嚴(yán)重破壞。姓名、電子信箱地址、密碼和其他敏感數(shù)據(jù)全部被盜，盡管這些信息被存儲在具有不同加密方案的獨立數(shù)據(jù)中心的獨立服務(wù)器上。

2012 年 7 月 Bitcoinica，30 萬美金;

第三次攻擊令 Bitcoinica 再次丟失了客觀數(shù)量的比特幣。然而，關(guān)于黑客是內(nèi)部監(jiān)守自盜的傳言永遠(yuǎn)無法被證實。

2012 年 9 月 Bitfloor，25 萬美金;

截至 2012 年 9 月，總部位于紐約的Bitfloor 是以美元做交易的第四大交易所。在攻擊中，黑客獲得了交易所錢包密鑰的未加密備份。此備份是在 Bitfloor創(chuàng)始人 Roman Shtylman 進(jìn)行手動升級并將數(shù)據(jù)存入磁盤上的未加密分區(qū)是創(chuàng)建的。被泄露的錢包鑰匙被用于清空Bitfloor 上的大量熱錢包。

2013 年 5 月 ? Vircurex，16 萬美金;

一個人為錯誤導(dǎo)致了 1454 枚 BTC，225.263 枚 TRC 和 23.400 枚 LTC 被盜。根據(jù) 2013 年 5 月Vircurex 的報告，黑客獲得了他們托管服務(wù)商的 VPS 控制賬戶的登錄憑據(jù)，然后成功請求到了所有服務(wù)器的重置根密碼。

2013 年 6 月 ? Picostocks，13 萬美金;

6 月 10 日，Picostocks 的發(fā)言人在bitcointalk.org 論壇上透露，多個賬戶是使用相同的密碼操作的，這就給黑客提供了進(jìn)入交易所錢包的許可。

2013 年 11 月 ? Picostocks，300 萬美金;

同年 11 月，Picostocks 又被盜取了一筆大得多的金額。由于此次被黑的一部分錢包是冷錢包，無法被通過互聯(lián)網(wǎng)訪問，因此黑客有可能是內(nèi)部人員。

2014 年 2 月 ? Mt. Gox，4.6 億美金;

這是有史以來第二大的加密貨幣交易所黑客攻擊。鑒于相對較小的加密貨幣市場，這是影響力最大的攻擊事件。“危機戰(zhàn)略草案”中顯示，黑客多年以來一直在利用同一個 bug 針對該公司進(jìn)行研究。“危機戰(zhàn)略草案”泄露后，Mt. Gox 承認(rèn)損失了 4.6 億美元。來自該公司內(nèi)部的事后資料報告稱，他們曾經(jīng)使用的源代碼可以說是“一塌糊涂”。自 2011 年 6 月的黑客攻擊以來，Mt. Gox 的安全措施似乎并沒有得到充分加強。

2014 年 3 月 ? Cryptorush，57 萬美金;

BlackCoin 發(fā)布了他們區(qū)塊鏈的一個新分叉，其中產(chǎn)生了一個 bug 使得 BlackCoin 的所有者能夠兌現(xiàn)幣他們實際擁有的資金更大的金額。官方聲明的副本現(xiàn)保存在 bitcointalk.org 論壇上。

2014 年 3 月 ? Poloniex，6.4 萬美金;

一個類似的 bug，利用交易被安排發(fā)生在同一時刻，從而提取多于超過錢包內(nèi)實際存儲的金額，以達(dá)到從 Poloniex 上盜取資金的目的。

2014 年 3 月 ? Flexcoin，，60 萬美金;

在對加密貨幣存儲服務(wù)提供商進(jìn)行攻擊后，所有的熱錢包全部被清空。黑客進(jìn)入 Flexcoin 系統(tǒng)的手段，目前尚不清楚。

2014 年 7 月 ? Cryptsy，950 萬美金;

這一嚴(yán)重的黑客攻擊事件，直到發(fā)生兩年后該公司宣布破產(chǎn)的時候才被公開。在最初針對技術(shù)問題的一番指責(zé)過后，Cryptsy 據(jù)稱在破產(chǎn)前成為了網(wǎng)絡(luò)釣魚的攻擊目標(biāo)，并被迫暫停了交易。

2014 年 8 月 ? BTER，165 萬美金;

盡管 BTER 通過談判，使黑客歸還了部分被盜資金而減少了他們的損失，但一位開發(fā)者聲稱問題完全在于交易所本身，而黑客攻擊造成的損失本身是可以避免的。

2014 年 10 月 ? Mintpal，130 萬美金;

Mintpal 的黑客攻擊情況以及其隨后的破產(chǎn)原因依然不清楚。2017 年，Ryan Kennedy 因欺詐和洗錢罪名被帶到英國法院，并在黑客攻擊后得到了交易所，這引起了人們對其內(nèi)部人員的懷疑。

2015 年 1 月 ? 796Exchange，23 萬美金;

即使將服務(wù)器遷移到高度安全的云端站點，也無法保護(hù)當(dāng)時交易量最大的交易所避免被黑客成功攻擊。在發(fā)現(xiàn)了系統(tǒng)弱點之后，黑客們能夠欺騙客服部門，讓他們把比特幣發(fā)送到錯誤的錢包里。796Exchange的總裁 Nelson Yu 告訴 cointelegraph.com，” 準(zhǔn)確地說，錢包系統(tǒng)在這次事件中一點也不受影響。資金盜取發(fā)生在基金的交易過程中。”

2015 年 1 月 ? Bitstamp，520 萬美金;

2015 年的 Bitstamp 黑客劫案是眾多復(fù)雜的網(wǎng)絡(luò)釣魚攻擊中一個很好的例子。多個員工被鎖定，并通過利用他們的興趣愛好信息被誘騙下載惡意軟件。通過這種手段，攻擊者獲得了對兩個服務(wù)器的訪問權(quán)，其中包含 Bitstamp 熱錢包的密碼。

2015 年 2 月 ? BTER，175 萬美元;

黑客針對 BTER 的第二次攻擊尤為重要，因為這次他們襲擊的目標(biāo)是 BTER 的冷錢包。他們是如何做到這一點的，至今仍然是個謎。

2016 年 4 月 ? Shapeshift，23 萬美金;

Shapeshift 的黑客攻擊時為數(shù)不多的，可以追溯到該公司一名員工的黑客攻擊之一。在盜取了 13 萬美金之后，他們把敏感信息賣給了一名黑客。據(jù)信，黑客制造了第二筆盜竊，金額為 10 萬美金。

2016 年 5 月 ? Gatecoin，214 萬美金;

這次黑客攻擊是一個久經(jīng)考驗的策略的轉(zhuǎn)折點。攻擊者似乎改寫了系統(tǒng)，使其將存款轉(zhuǎn)賬儲存在熱錢包中，而不是應(yīng)該存放的冷錢包中，以此增加了后來被盜走的金額。

2016 年 8 月 ? Bitfinex，7 千 7 百萬美金;

Bitfinex 使用 BitGo 的多簽名錢包系統(tǒng)，被許多人認(rèn)為是極其安全的。然而，黑客一定是設(shè)法獲得了私人錢包的鑰匙以及 BitGo 的 API 的關(guān)鍵點，直到今天仍然留下了許多關(guān)于攻擊性質(zhì)和過程的問題。

2017 年 2 月 ? Bithump，1 百萬美金;

黑客成功地獲取了超過 3 萬名Bithump 用戶的個人信息。數(shù)據(jù)泄露是該公司一名員工的私人電腦被黑客攻擊的結(jié)果。然后，這些信息被用來進(jìn)行欺詐通話，以竊取用戶的身份驗證代碼。

2017 年 4 月 ? Youbit，530 萬美金;

之后被稱為”Yapizon” 的韓國交易所的四個熱錢包被成功攻擊并清空。被盜金額相當(dāng)于公司總資產(chǎn)的 36%。

2017 年 2 月 ? Youbit， “全部資產(chǎn)的 17%”;

在 Youbit 發(fā)生的第二起黑客搶劫案迫使交易所宣布破產(chǎn)。這兩起襲擊事件都是鄰國朝鮮的間諜機構(gòu)所為，但這些說法無法核實。

2018 年 1 月 ? Coincheck，5 億美金;

由于安全手段不足，Coincheck 成為了這一大規(guī)模黑客搶劫案的輕松目標(biāo)。交易所不進(jìn)將其客戶的資產(chǎn)存儲在熱錢包中，而且也沒有用已經(jīng)成為行業(yè)標(biāo)準(zhǔn)的多簽名身份驗證起來保護(hù)這些錢包。

2018 年 2 月 ? Bitgrail，1.87 億美金;

人們對意大利 Bitgrail 在今年 2 月向當(dāng)局提交的黑客攻擊了解甚少。根據(jù)交易所自己的說法，造成損失的具體日期甚至無法確定。自然地，對 Francesco Firano 本人作為 CEO 策劃盜竊資金的指控不斷上升，但是沒有任何證據(jù)可以證明這一點。Firano 試圖將責(zé)任推卸給BitGrail 使用的 Nano 令牌區(qū)塊鏈背后的開發(fā)者。

2018 年 6 月 ? Coinrail，4 千萬美金;

Coinrail 時另一個在被黑客攻擊后不得不關(guān)閉的交易所。盡管該公司 70% 的資產(chǎn)都存放于冷錢包中，但黑客仍然盜走了 4 千萬美金。這一事件標(biāo)志著韓國交易所在幾個月內(nèi)第三次被黑客攻擊，這意味著加密貨幣交易所黑客們集中在亞洲。

2018 年 9 月 ? Zaif，6 千萬美金;

總部設(shè)在日本的 Zaif 措手不及，因為黑客從他們的熱錢包偷走了 6 千萬美金。該公司只有通過與Fisco 合作才能生存，而 Fisco 制服了 4.45 億美金的被盜金額，以獲得交易所股權(quán)的大部分份額。

黑客攻擊加密貨幣的方法案例以及對策探討