精华内容
下载资源
问答
  • 题图来源于网络本文由“教链有话说”升级为“深度”。目录:一、币安被盗二、技术分析三、再起波折四、一枝独秀五、价值共识一、币安被盗2019年5月7日,全球交易量最大的数字...

    640?wx_fmt=jpeg

    题图来源于网络

    本文由“教链有话说”升级为“深度”。

    目录:

    一、币安被盗

    二、技术分析

    三、再起波折

    四、一枝独秀

    五、价值共识

    一、币安被盗

     

    2019年5月7日,全球交易量最大的数字货币交易所币安(Binance)的比特币热钱包被黑客盗走7000多枚比特币[1](赃款转移交易id:e8b406091959700dbffcff30a60b190133721e5c39e89bb5fe23c5a554ab05ea,共计7,074.18107031BTC),价值逾4千万美元,约占币安持有比特币总量的2%。币安官方通告称,疑似黑客获取了大量API接口密钥和2FA双因子验证相关信息,从而使用API编程接口将开放提币的数十个账户下的比特币全部转移到了黑客控制的地址。

     

    为此,币安不得不暂停提币一周,排查内部系统的安全隐患。这说明,币安还不清楚漏洞到底发生在哪个环节,以及黑客究竟是如何得手的。

     

    同时,币安宣布将使用安全保障基金SAFU来对用户损失进行完全负责。[2]

     

    二、技术分析

     

    很多区块链安全团队纷纷发表分析观点。据信,此次黑客对币安进行了耐心的渗透,已然攻入了币安的系统内部。

     

    此次被盗的比特币都出自币安的热钱包。热钱包还剩下几百个币没有被转走,说明黑客并未窃取到热钱包的私钥

     

    但是,黑客绕过各种验证因素把币提走,也没有触发任何安全警报。

     

    由于目前主流的数字货币交易所都是中心化系统,也就是说,所有用户的数字资产一旦转入交易所账户,本质上就脱离了用户自己的控制,而变成了交易所管理的资产。而所有资产中,最重要的、最需要慎重保管的就是比特币。

     

    通常的保管策略是,把绝大部分的比特币放在冷钱包里,也就是离线的钱包里,作为很难动用的储备金。由权限级别很高的人或者小组掌管私钥,并设置严格的审批流程进行资金转移,比如用来补充热钱包的资产。

     

    而热钱包则是在线的钱包,用以接受用户存币,以及应对用户提币的需求。定期或者不定期的把热钱包里多余的比特币转到冷钱包冷冻起来。

     

    用户提币通常根据提币数量设置不同的安全级别和策略,并对应相应的审核、审批流程。为了保护热钱包的私钥,通常会设置单独的、高安全级别的签名机,线上系统经过审核、审批的转账交易,发送给签名机,签名机签名后把签名后的交易返回给线上系统,系统向比特币网络广播交易,完成提币转账。

     

    这个流程的弱点在于,它可能无法区分正常用户的正常的提币转账交易与黑客攻入系统内部后发起的提币转账交易,从而无脑签发,把热钱包里的币如数打到黑客指定的地址里。

     

    该中心化系统的安全架构高度简化后大致是这样的:

     

    外网(Internet)<--(安全防线1)--前端机(FE) <--(安全防线2)--数据和服务集群<-- (安全防线3)--签名机

     

    在第一层防线,通常部署负载均衡和DDoS防护,防止巨大流量冲击和恶意攻击,把服务压垮,无法对外提供服务。

     

    在第二层防线,则需要注意各类注入和渗透,泄漏服务器上保管的秘密数据,比如API密钥、用户密码等。

     

    第三层防线则是为区块链系统特别设计的,主要是为了进一步保护私钥的安全性。此处应最小化签名机的暴露,进行网络隔离,甚至引入人工操作环节,充分隔离私钥和网络。

     

    此次币安被盗事件中,黑客成功突破了前两道防线,骗过了第三道防线,成功盗走了币。

     

    三、再起波折

     

    随后币安创始人CZ(赵长鹏)在twitter上的一个发言却引起了比此次盗窃更大热议的话题:深度重组比特币区块链。

     

    CZ是这么说的:在和多方,包括JeremyRubin、_prestwich、bcmakes、hasufl、JihanWu(吴忌寒,比特大陆创始人)商讨之后,我们决定【不】去寻求重组区块链的方案。考虑如下:

     

    好处是:1、我们可以向黑客“复仇”并把币转移给矿工;2、震慑黑客不要得寸进尺;3、探索比特币网络可以如何应对这类问题。

     

    坏处是:1、我们可能会破坏比特币的可信赖性;2、我们可能会造成比特币网络和社区的分裂,这将造成比4千万美金更大的伤害;3、黑客展示了我们的系统设计的特定薄弱环节以及用户体验混乱不清的问题,这些问题之前不为我们所知;4、尽管对我们而言很昂贵,但这的确是一个教训,我们有责任保护好用户的资金。[3]

     

    CZ始料不及的是,他把这个念头(CZ后来澄清这个念头始于JeremyRubin,不是他自己的想法)付诸行动(开始商讨可行性)这件事竟会在社区引发激烈讨论。连以太坊创始人Vitalik Buterin和比特币核心开发者Jimmy Song都出来发声对此表示反对

     

    动之以情:Vitalik现身说法,讲述了当年以太坊DAO黑客事件中,自己凭借以太坊创始人的社区影响力和号召力动员社区硬分叉了以太坊,追回了黑客盗取的以太币,却造成了以太坊社区永远分裂为ETH(以太坊)和ETC(以太坊经典),更重要的是,这一事件和处理方式,对以太坊区块链的公信力造成了巨大的打击,使得很多人不再将其视为一种持久的、不可逆的、可靠的价值存储系统。[4]

     

    晓之以理:JimmySong则帮CZ算了一笔经济账。深度重组比特币区块链,意味着要说服足够多的矿工退回到黑客转账交易之前,重新挖矿,生成新的区块链。而币安说服这些矿工的方法只能是答应给他们补偿。而对于矿工而言,选择去帮助币安挖分叉链可能遭受的损失不仅仅是放弃过去一段时间挖矿所得的“净损失”,还有不去帮助币安而在原链上继续挖矿(假设很多算力跑去帮助币安挖新链,原链的算力竞争变小,不帮币安的矿工将会获得更大的收益)的“机会损失”,更有支持原链的人、甚至最有可能的就是那个黑客通过在原链上发出含有高额手续费的交易去补贴和吸引矿工挖原链的“博弈损失”。这所有可能的损失加起来,如果高过币安给的补偿,理性的、自私自利的矿工就不会去帮助币安,而是会继续挖原链。币安能给的补偿是有封顶的,上限就是它全部失窃的7000多个币;而矿工的损失则随着时间的流逝、原链的延长上无封顶地增加,并且一旦有答应支持币安的矿工临时变卦,就会让继续支持币安的矿工损失进一步加大。当联合矿工所需要付出的补偿成本超过所能收获的利益也就是7000多个币的时候,做这件事在经济上就没有任何意义了。[5]

     

    很多人表示,CZ仅仅是考虑深度重组的可能性就已经是“令人震惊”的了。更有网友回复CZ,一针见血地指出,也许“决定不”改为“认识到不可能”会更贴切。

     

    随后,CZ发推表示,盖棺定论,这不可能办的到,比特币账本是这个星球上最不可篡改的账本了。

     

    四、一枝独秀

     

    如果你只是听一些币圈链圈媒体的二手消息,你只会得到一个虚假的印象。因为媒体的因果反射弧是超级短的,他们只会说,币安被盗事件释出,受此影响,1小时内比特币暴跌百分之几。好在区块链世界的数据是高度透明的,你完全应该学会屏蔽媒体的咋咋唬唬,自己去数据网站上看看真相

     

    真相就是,从7号币安被盗事件出来之后,比特币一路走高,从事件之初的5800美金左右,到本文撰写的现在约6300美金左右,累计已经上涨了8.6%![6]

    640?wx_fmt=png

    图:coinmarketcap

     

    既没有因为群众恐慌比特币安全性大跌,也没有因为黑客抛售打压市场大跌。完全出乎某些币媒体上吆喝的分析师们的意料之外,当然也让一些造谣币安做空的阴谋论破了产。

     

    比特币能够如此面不改色地吸收这个黑天鹅事件,不仅说明群众已经能够正确区分比特币的安全性和交易所的安全性了,反而更进一步强化了群众对于比特币“安全”的认知:即使如CZ如此有钱有势有政治能量的币圈大佬,即使是出于“追回赃款”这样正当的、合乎道义的理由,也无法通过人为操纵比特币区块链来做到逆转比特币账本,从而寻求自身利益的挽回和补偿。

     

    中国古代哲学家老子说过:天之道,损有余而补不足;人之道,损不足以奉有余。

     

    人类历史上全部的科技,包括中心化的互联网技术,都是处于人的权力意志掌控之下的,皆属于“人道”。也因此,这些科技增进了全人类的生产力,同时也增进了马太效应。据世界银行的统计数据显示,自19世纪以来,全世界范围内的收入不平等和贫富分化程度就在持续加剧。为什么?看过我之前写的《996的经济学》[链接][7]的朋友就能领会到了,权力就意味着租,租就能够吸收剩余价值,将共同创造的财富中的绝大部分转移给权力的拥有者。[8]

     

    比特币的这种“安全性”,则(更严谨地讲,很有可能会)是人类有史以来发明的首个可以“凌驾”于某个人的权力意志之上的、不受权力肆意操纵的“超权力”安全性,这也预示着比特币这门科技,是高出“人道”之上的,更接近于“天道”。

     

    要说比特币和其他的山寨币、其他区块链项目、古典的中心化互联网技术以及法币系统有什么区别,最大的区别就是与人的权力意志的上下关系。比特币> 权力意志> 其他技术和系统。

     

    640?wx_fmt=png

    图:coinmarketcap

     

    纵观前十大市值的加密货币,比特币一枝独秀,持续上扬。前有USDT的Bitfinex遭美国纽约州总检察长指控(参考前文《教链有话说| 纽约州总检察长指控准备金被挪用,稳定币USDT要崩盘?》[链接][9]《解局:USDT脱钩美元与金融政策不可能三角》[链接][10]),后有币安被盗事件,乃至最近中美贸易战谈判受阻股市跌回几个月以前,这些冲击性的事件,让其他币种和资产价格踟蹰不前甚至大幅退步,却都没有让比特币惊恐下挫,反而逆势攀升。这只能说明一个问题,市场正在重新发现比特币的重要特性——反脆弱性。

     

    今年是比特币10周年。下一个10年,人们会逐渐开始重新认识比特币。过去十年,是理想主义者和投机主义者参与的十年,比特币的性质是从收藏品到投机品。接下来的十年,是比特币从投机属性向避险性价值存储转变的十年,具体表现将会是,价格相关性和典型投资品呈现背离,以及更严肃的长投资金和机构资金进场。(参考前文《教链有话说| 富达集团为机构投资者提供比特币交易服务将开启比特币下一个十年吗?》[链接][11])

     

    五、价值共识

     

    USDT被指控的事件,币安被盗事件,看起来都是对市场不利的黑天鹅事件,但是比特币币价却很快吸收了事件的冲击,反而快速上扬,这表明这两次事件反而强化了市场对比特币的共识。

     

    这次事件和随后的风波应该进一步让大家认识到了比特币的PoW(Proof-of-Work,工作量证明)共识协议的牢不可破了。对最近炒的火热的PoS(Proof-of-Stake,持币证明)和staking economy是当头冷水。号召和动员节点算是一种政治力量的话,除了PoW,没有任何其他协议可以与这种力量抗衡,因为重组PoW必须付出物理上实实在在的代价,当这个代价大于其政治目的的收益时,政治动员动机就会打消。而其他协议根本无力和政治力量相抗争。PoS很容易以较小代价重组,DPoS甚至把政治动员的难度(另一种代价)也急剧降低了。PoS验证节点多,要动员多数支持,要消耗政治能量。DPoS把出块节点固定在了很少的几个超级节点上,政治上只需要搞定他们就可以为所欲为了。

     

    即便PoW的算力集中在矿池手里,矿池的算力控制权也(一定程度上)是分散在矿工手里的。我不支持,随时可以把我的矿机切换到其他矿池去。而且对矿池而言,代价就是代价。币安想挽回损失,就要补偿矿池配合他的成本。因为PoW的成本是物理的,热二律熵增不可逆。那么在币安不能暴力强迫的情况下,唯一的政治动员方法就是协商+收买。协商成本姑且不谈,收买是肯定要的。经济利益是根本。当收买成本超出要挽回的损失时,这一政治行动就失去了经济意义。

     

    深度重组和当年BCH闹分家(硬分叉)不同。分叉战矿工是挖新块,不损失历史收益。而深度重组意味着净损失。所有参与者要承担的净损失。谁来补偿呢?

     

    还有一个很关键的是“时间”。“协商+收买”策略,协商不仅要付出政治代价,更重要的是要付出“时间”。当需要协商的对象足够分散,时间就会很长。而比特币区块链并不理会,它不会等待,它只会稳步前进,时间越长,主链越长,需要放弃的价值就越大,收买的代价就越高。很快,深度重组的代价就要超过其收益,使得其经济上没有任何意义。而其他任何共识算法都没有这个特性,就是经济代价不可逆的特性。

     

    币安一事,让市场和群众进一步认识到了10年前中本聪对于比特币共识机制的设计,为何要采用如此“浪费”电能、如此“笨重”的PoW共识算法的深意所在。只有PoW才能带来比特币价值在物理学上的不可逆转性,这一点,才是比特币价值共识最重要的基石。

     

    在中本聪之后,过去十年来,不断有聪明的人、豪华的团队发明各种各样的共识协议,并向社区宣扬其大幅优于比特币的优良特性。毫无疑问,从超越比特币的价值共识这一点上看,他们无一例外都失败了,并且将继续失败下去。

     

    因为他们在宣传和卖弄的时候,有意无意忽略了一个人尽皆知的经济学常识

     

    天下没有免费的午餐。

     

    (全文完)

     

    参考资料:

    [1] https://www.blockchain.com/btc/tx/e8b406091959700dbffcff30a60b190133721e5c39e89bb5fe23c5a554ab05ea

    [2] https://binance.zendesk.com/hc/en-us/articles/360028031711

    [3] https://twitter.com/cz_binance

    [4] https://bitcoinist.com/shocked-he-went-there-crypto-takes-sides-on-binances-alleged-bitcoin-reorg-plan/

    [5] https://medium.com/@jimmysong/reorg-scenarios-binance-hack-edition-849fc7e7df07

    [6] https://coinmarketcap.com/currencies/bitcoin/

    [7] https://mp.weixin.qq.com/s/X-JxrE2O-t6gRuKeAijiIg

    [8] https://en.wikipedia.org/wiki/Gini_coefficient

    [9] https://mp.weixin.qq.com/s/gOiqw5NQoST7QFeYUgNJ1g

    [10] https://mp.weixin.qq.com/s/_ER-hVxUnxX3uL2fn_RDoA

    [11] https://mp.weixin.qq.com/s/EREf3yShsiksPpp7wpLScw 

    展开全文
  • 素材来源 |成都链安、...截止到目前撰文时间,已经有7074.18个比特币被盗。 以下为币安官方微博发布的安全信息更新公告。 对此,币安创始人赵长鹏在AMA中首次披露了黑客盗币的细节。他表示,黑客此前已发现系...

    素材来源 | 成都链安、PeckShield

    编辑 | 佩奇

    出品 | 区块链大本营(blockchain_camp)

     

    5月8日早上8点28分,知名加密货币交易所币安承认再次受到黑客攻击。截止到目前撰文时间,已经有7074.18个比特币被盗。

    以下为币安官方微博发布的安全信息更新公告。

     

    对此,币安创始人赵长鹏在AMA中首次披露了黑客盗币的细节。他表示,黑客此前已发现系统存在的安全漏洞,但一直很耐心,直到系统出现大额交易才出手。

    直播地址:

    https://www.pscp.tv/w/b6I-lTFQWEVkQlBQQlBsS2V8MW1yR212anBicUJKea09rHwXRK_mMqOZXufBTFd6iCrb7SjGYhQ4_QOvoDet

    此外,赵长鹏还对外披露,币安在5月7日凌晨就发现了“大规模的安全漏洞”,该漏洞导致黑客能够访问用户应用程序接口密钥(API keys)、双因素身份验证码、以及其他信息。按照安全通知中公布的一笔交易,黑客从币安交易所中取走了价值大约4100万美元的比特币。

     

    安全公司:或为用户API key和Secret key信息泄露导致

     

    对此次攻击,区块链大本营(blockchain_camp)第一时间联系了 Beosin 成都链安科技安全团队,对此事件进行了深度分析。老铁们,先了解一下交易详情:

     

    此次事件发生在575013块,总损失最高可达7074个BTC,共涉及到以下44个提币地址:

    详细提币地址

     

    截至目前,币安热钱包(1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s)已被盗约7074.18枚BTC。

    现在币安的热钱包余额 3,612.69114593个 BTC,说明币安热钱包的私钥安全,经过团队分析,在05月08日 01:17:18通过 API 接口在同一时间发起提币操作。

    币安交易所的 API 申请后会生成 API key 和 Secret key,如下图:

     

    API 接口有限定用户开放 IP 限制和开放提现功能。开放提现就是直接利用 API key 和 Secret key 直接提现,不需要收集验证码、短信、谷歌验证码。如下图:

    API 部分官方调用代码 demo 如下:

    来自 https://github.com/binance-exchange/python-binance

     

    成都链安分析认为是用户的 API key 和 Secret key 信息泄露导致的此次攻击

    如果用户没有限制 IP 并配置了开放提现功能,任意攻击者在获取了 API key 和 Secret key 信息后便可以实现攻击。

    用户的信息泄露途径可能有:

    1、普通用户一般不会使用 api key,一般是高级用户用于代码中实现自动化交易,可能是用户源码泄露导致 api Secret key 泄露

    2、用户被钓鱼攻击,输入了 API key 和 Secret key 被黑客截取。

    3、用户的 API key 和 Secret key 保存的电脑被攻击窃取。

    4、币安交易所系统原因导致用户 API key 和 Secret key 泄露,其中只有71个用户开放了提现功能,被盗币。

    被黑客盗取的7074枚 BTC 的主要20个地址如下:

     

    bc1qp6k6tux6g3gr3sxw94g9tx4l0cjtu2pt65r6xp    555.997 BTC

    bc1qqp8pwq277d30cy7fjpvhcvhgztvs7v0nudgul5    463.9975 BTC

    bc1qld27dqu6wrl4tmjdr8tl55qavmghwrr4ldh7qn    473.9975 BTC

    bc1q8m9h3atn4cqeqhu3ekswdqxchp3g7d4v3qv3wm    567.997 BTC

    bc1q7p6edvd4zvtya8uj366c23dan8pvlp503spucu    468.9975 BTC

    bc1ql0wlnu80l8kctjzkzlzd72sdjqwuvruvgepceq    383.998 BTC

    bc1q3ldtrr6xtpx8jam5gw68aaexz2wtluj0qullvr    189.999 BTC

    bc1qyv4zv0wjn299kx4yz6g7v6g6400wqgzcqgw9vx    383.998 BTC

    bc1q6fejm4r866tmt8ptf42juedv5gevlv2qt72agq    371.998 BTC

    bc1qvstwzsrfml43jrclsp68220l4lx5lw3kwf7dp0    193.999 BTC

    bc1qecs672j9dpvwr56zeldgf3swtlv3dad52wzuta    463.9975 BTC

    bc1qshkncv7tkpye7z0z4a3k9yw2e73whha9gjs88z    97.9995 BTC

    bc1qhlhx6lrnr0jf4zpvm788j7yeezau6s8q557p2z    279.9985 BTC

    bc1qesy52g7ndy652qudr2awuk57mcaxgmn9qsmpzk    469.9975 BTC

    bc1q9svj9wp68zftgejjgk6f96ukuyx8c5urkqsv69    193.999 BTC

    bc1qanrl8n3flz4jftkscljx2hwuc3h50f9ynp2nyn    89.9995 BTC

    bc1qtpdptcf4ngfkwq6dr36kqaeh2n5h00rx5unkgc    670.9965 BTC

    bc1qvr2jxlmvckap7cg2l6mdgh5fa8glkhe4s88sax    377.998 BTC

    bc1qhqap39mpkldjzvqdf3204p732krtnf56mm9aj3     370.998 BTC

    3KBsR6Ld255Tw5hNR4S6KaX5SXxvRF6jv3    1.29968018 BTC

     

    此外,区块链大本营还采访到了 PeckShield 研发副总吴家志。吴老师认为,此次币安被盗事件大致上可以分三个层面分析:交易所,帐号托管系统,个人用户。

    1、交易所层面概率较低,例如之前龙网事件,是客服人员安装了恶意软件,渗透进入内网造成;

    2、账号托管,就是散户投资这类的软件,把应用程序接口提供给中间商,一旦中间商被渗透,可能一次性取得大量接口秘密,造成此类问题,这类软件可能在下载的时候被替换安装包,或者中间商的服务器被攻破,都有可能;

    3、第三类就是个人用户的设备,如手机电脑等被安装木马等,从个人用户设备上取得 API secret 以及2FA认证。

    此外,吴老师还表示,看到币安这次在一个交易里头打包7074 BTC出金,主要目标地址20个都是新地址,这样的情况其实能够触发风控机制,比如单位时间内出金的量以及新地址能收的金额。

     

    来看看大佬们的反应


    事件发生后,波场创始人孙宇晨第一时间发文表示,“无需惊慌,一切安好!我愿意拿出7000BTC等值的美元进入币安。”当然,前提是赵长鹏同意他这么做。

     

    而事实上,赵长鹏表示并不需要,“真的很感激,但现在还不需要。币安将通过 SAFU 基金弥补损失,而且足够了。我们只是受伤,并非破产。”

    而有些人并不是那么友善。

     

    FCoin创始人张健却不这么认为,针对币安被盗7000枚比特币事件,他希望大家不要利用这次被盗事件去攻击别人,这是损人不利己的事情,一个平台的信誉等各方面的积累需要时间。

    不过,币安这句“被盗BTC”由币安全额承担,也很霸气了!

    相信这次币安7000多BTC被盗事件的发生,必将引起监管的涉入、用户个人对隐私保护的重视以及交易所风控机制的完善等等,区块链大本营(blockchain_camp)将持续跟踪此次事件并作进一步深入报道,老铁们,要持续关注哟!

    展开全文
  • 白话区块链从入门到精通,看我就够了!几个小时前,币安发布公告称,今天凌晨币安发现了一起大规模的系统性攻击,黑客盗走了币安比特币热钱包中的7000BTC。虽然币安快速响应,...

    白话区块链

    从入门到精通,看我就够了!

    几个小时前,币安发布公告称,今天凌晨币安发现了一起大规模的系统性攻击,黑客盗走了币安比特币热钱包中的7000BTC。

    640?wx_fmt=png

    虽然币安快速响应,发出公告表示将使用“SAFU基金”全额承担本次攻击的全部损失,没有任何用户有任何损失,但消息一出,市场还是出现了恐慌情绪,行情随即出现大幅下跌。

    交易平台动不动就被盗币,被人笑称“区块链成黑客提款机那些拿着年薪几百万的技术人员,为什么阻止不了黑客的攻击?如果连交易平台的技术人员都阻止不了,那我们这些没有技术背景的普通人自己保存加密资产,会不会更危险?有哪些原因会导致丢币呢?


     01
    丢币可能是区块链项目本身的安全性问题

    区块链项目本身的安全性问题一般是指以下几种:

    第一种是协议本身出了漏洞。比如,在2010年8月15日,比特币曾经被黑客发现协议漏洞,黑客发了一笔交易,输出了184亿个比特币。以太坊的The Dao事件,因为代码被发现漏洞,导致300多万的以太币被黑客锁定。还有以太坊上的美链BCE和SMT这两个ERC-20 Token,出现代码漏洞,直接被黑客刷出了几百亿的Token。

    第二种是节点钱包出现漏洞。节点钱包是区块链项目的P2P网络基本组成单位。比如,比特黄金BTG的节点钱包被注入木马,偷走了用户的私钥文件,导致大量丢币。以太坊的节点钱包Parity也曾经因漏洞导致几亿美元合约账户里的Token被冻结。

    还有第三种,算是边缘的,非节点钱包出现漏洞。这些钱包一般也是开源项目,比如比特币的SPV钱包(如BitGo),以太坊的轻钱包(如MyEtherWallet)。这一类钱包数量就多了,是软件就会有Bug,这些经常会爆出漏洞,严重的会出现偷币现象。

    区块链项目本身的漏洞并不是币被盗的主要原因。


     02
    丢币可能是计算机系统的安全性问题

    计算机系统的安全性问题是最好理解的,一般是黑客劫持了用户装有Token的电脑或手机,获得了管理权限,从而可以偷取用户的私钥文件和密码。

    黑客如何能劫持用户的电脑,这又是一系列的安全性问题了,比如操作系统本身的漏洞,第三方软件带来的漏洞,路由器等网络设备被破解等等。


     03
    丢币可能是自己开发的软件的安全性问题

    交易平台自己要开发一整套软件,就涉及到包括交易平台的撮合系统、账户管理系统、资金管理系统,特别是交易平台往往需要自己定制开发钱包,要做自动化提币程序。

    这些软件都有可能存在漏洞。有漏洞就有可能被人利用,就有机会丢币。

    交易平台有大量的用户,有很多用户是使用机器人接入交易平台的API来交易,这些机器人又会存在漏洞,被人利用。这种情况也经常会被算到交易平台的头上。


     04
    丢币可能是用户错误使用导致的

    最常见的丢币,其实不是因为各种软件漏洞导致的,而是用户忘记密码。一般钱包都会加密,只要用户忘记了密码,那就凉凉了,中本聪也救不了你。

    用户自己不擅长使用计算机设备,不备份又不小心将私钥文件删除,也是一个超高风险的事。比如电脑重装系统,手机丢了之类的。

    有些用户安全意识弱,又不理解数字货币私钥的重要性,不少用户自己暴露了私钥比如,有用户会将以太坊钱包的KeyStore文件用微信传输,而且是不加密的。类似的用户主动在社交网络中公布自己的助记词、私钥文件等,是不是会发生。

    还有些用户希望用各种云盘等在线工具来备份自己的私钥,比如将私钥文件放在百度云盘上,把助记词保存在有道云笔记上。这些行为可以说是“自杀”行为,很容易被别人盗走加密资产。

    用户发送Token经常会出现发错地址的现象。有些情况发错了,币就会丢。比如,如果将BCH发到了BTC的隔离见证地址上,就可能会被“做恶”的矿池直接转走。如果将以太币转进一个合约账户,并且合约账户里的代码还不知道怎么处理这些币,那就会丢。

    比特币有找零机制,有些用户不知道找零是什么,有可能没有保存好找零地址的私钥,也可能会导致所有的找零币丢失。使用UTXO机制的加密货币,都有找零的特性,不注意的话,都容易丢币。


     05
    社会工程学攻击导致丢币

    很多的丢币事件是被骗子骗走的。

    有些骗子会伪装成某个公司的人员,比如将微信头像换成钱包公司的客服,然后通过一顿忽悠将用户的私钥骗到手,用户的币就丢了。甚至有些小白用户直接让不法分子使用QQ远程协助来控制他的电脑,结果自然就是不法分子把私钥给偷走了。

    网络钓鱼也是丢币的常见手段。有些不法分子会利用钓鱼邮件,伪装成某个网页钱包网站,骗取用户的私钥。

    在场外交易市场里,就有大量的骗局,如伪造收款凭证,中间攻击等等。上当受骗的人数不胜数。

    有些不法分子还会伪装成空投币,叫别人使用私钥去认领空投币,这也是一个大坑。

    此外,还有一类加密勒索病毒特别流行,直接将用户电脑的文件加密,然后敲诈币。

    其他领域的骗子如何骗钱,在区块链行业内基本都出现过,因为监管的缺失,不法分子非常猖獗。


     06
    交易平台为什么经常丢币?

    交易平台币多钱多,流动性大,黑客和不法分子天天盯着。现在交易所平台被偷了,经常不敢声张,怕面子过不去,这导致黑客更加猖狂。

    交易平台的系统复杂,一大堆软件,避免不了漏洞,只是发现和攻击漏洞的成本与收益问题。

    另外,交易平台人员管理复杂,资金的流动不可能是一个人管,而是一堆人管,任何一个环节都可能是安全突破点。

    不法分子为了偷币,有可能像电影里面偷银行那样,不但搞网络入侵,还入侵你的摄像头,甚至撬开家门,绑架老板。这是真实发生过的事情,乌克兰就曾有一家交易平台的老板被绑架了。

    现在,由于制度的缺失,很多警察和法律不太爱受理Token被盗的案件,再加上Token的匿名性,也助长了不法分子的胆量。

    还有,很多媒体喜欢煽风点火,能把1夸成100。大众也喜闻乐见,围观和传播交易平台被盗的事故。


     07
    自己保存可以规避部分风险

    相对于交易平台这样的资金集中地,用户自己持币可以规避部分风险。

    用户自己持币,需要考虑计算机系统的安全和钱包软件本身的安全性。一般来说,只要所有的软件都用正版的,及时更新系统补丁,使用经过市场考验的钱包,就可以规避掉绝大部分风险。

    普通用户的Token流动性也不会像交易平台那样高,所以普通用户可以使用一个冷钱包保存大部分币,使用一个热钱包保存一些零散用的币,就几乎可以高枕无忧了。用的少了,自然暴露风险的机会就少了。

    普通用户只要保持基本的警惕性,不要贪小便宜,学习一点数字货币的基础知识,加密资产的安全性就会大大提高。


     08
    小结

    在加密货币的世界里,如何安全地保存自己的加密资产是每一个参与者必须要面对的问题。

    如果自己掌握了最基本的安全知识和相关的区块链知识,将Token存在自己掌握私钥的钱包(冷钱包和热钱包)中,无疑是最安全的;但如果经常丢三落四,或是做事比较马虎,把Token存在大的交易平台,或是找专业的机构进行托管,或许是更好的选择。

    留言挖矿 第225期:安全无小事,在区块链资产保管方面,你有哪些经验/教训可以分享给大家欢迎在留言区分享你的观点。

    上一篇:黑客猜出别人的以太坊钱包私钥获利3.5亿

    推荐阅读

    ——End——

    『声明:本文转载自「闪电HSL」,文章为作者独立观点,不代表白话区块链立场,亦不构成任何投资意见或建议。

    640

    640?wx_fmt=png

    亲,据说99.9%有品位的人都点了「好看」?

    展开全文
  • 文 | 棘轮 比萨今日早间,回暖月余的币市迎来了一个坏消息:币安官方发布公告称,由于黑客攻击,平台超过7000枚比特币被盗,损失超4000万美元。尽管币安宣布将动用平台基...

    640?wx_fmt=jpeg


    文 | 棘轮 比萨


    今日早间,回暖月余的币市迎来了一个坏消息:币安官方发布公告称,由于黑客攻击,平台超过7000枚比特币被盗,损失超4000万美元。


    尽管币安宣布将动用平台基金弥补用户损失,但市场仍然在短期给出了悲观回应。BNB半小时跌幅超10%,比特币等主流币种出现普跌。


    有分析师指出,币安本次爆出的黑天鹅事件,对普通投资者影响有限,却可能令Bitfinex的IEO陷入困境。


    在此之外,层出不穷的交易所被盗事件,让越来越多的投资者开始期盼去中心化交易所的到来。交易所的未来格局,仍存变数。



    01 币安被盗


    历史重演,数字货币交易所币安再遭黑客洗劫。


    5月8日早间,币安发布公告称,平台于今日凌晨发现了一个大规模的系统性攻击行为,币安热钱包被盗走7000枚比特币,价值约4000万美元。


    币安公告显示,黑客以网络钓鱼、病毒等复合型攻击手段,获取了大量用户的API密钥及谷歌验证码等信息。借此,黑客完成了攻击行为。被盗走的7000枚比特币,占币安全部比特币持有量的2%


    “目前看来,币安热钱包被盗的7074枚BTC,暂时被黑客分散存储于20个主要地址,尚未进一步扩散。”区块链安全公司PeckShield的硅谷研发中心负责人Jeff告诉一本区块链。


    这意味着,黑客尚未完成变现。而被盗事件发生后,币安宣布将使用平台的“SAFU基金”,支付全部被盗损失——用户并不存在任何损失。与此同时,币安宣布,平台在一周内将暂停充币提币。


    而币安的平台币BNB还是应声大跌。消息爆出后的半小时内,BNB价格跌幅达到了10.6%。


    640?wx_fmt=png

    今日早间,BNB短时内大幅下挫


    因为此次黑客事件,比特币价格也受到明显影响。


    根据CoinMarketCap数据显示,从北京时间今日早间7时34分起,BTC价格开始出现明显下跌趋势——一小时内,由5954.54美元跌至5795.01美元,跌幅近3%。


    除比特币之外,其他主流数字货币价格,也均出现了不同程度的下跌。


    事实上,币安本次遭遇的盗币事件,不是数字货币交易所历史上的第一起,更不会是最后一起。


    2018年7月4日,同样是在北京时间早间时分,币安也曾发布公告称,因出现异常交易,平台将开启临时维护。


    此后有消息称,币安遭遇黑客攻击,交易所钱包地址在两小时内出现了超过7000BTC的超大额提现。随后,币安针对异常交易进行了回滚操作,但否认了平台遭遇黑客盗币的传闻。


    “其实,币圈几乎所有的交易所,都曾遭遇过盗币。”交易所从业者毛普指出,“这在行业内是一件心照不宣的事情,因为任何交易所都做不到万无一失。”


    2014年,全球最大的比特币交易所Mt.Gox遭遇黑客盗币攻击,65万枚比特币被盗,该交易所也因此破产。直至今日,仍然有投资者在为此维权。


    今年3月,龙网(DragonEx)交易所发布公告称遭遇黑客入侵,将暂停交易、充提等全部基础服务。去中心化漏洞平台DVP的分析数据显示,在这起被盗事件中,龙网损失的资产在500万美元以上。


    不仅仅是交易所,几乎所有涉及数字货币业务的区块链企业,都饱受黑客盗币困扰。


    矿机企业比特大陆去年发布的IPO招股书显示,该公司曾在2017年遭遇黑客攻击,价值2700万美元的数字货币因此丢失。


    在匿名、去中心化、缺乏监管的数字货币世界,来无影去无踪的黑客,一直是所有区块链企业最大的敌人之一。



    02 原因



    即便早已成为行业内的头部交易所,币安仍然无法摆脱黑客入侵的噩梦。如何避免黑客盗币,也成为了所有区块链从业者思考的问题。


    根据币安发布的公告,许多区块链安全从业者指出,此次事件中的黑客,可能并未窃取到币安的钱包私钥,而只是获得了提币权限。


    “黑客应该是通过‘钓鱼’手段,获取币安用户信息的。”Jeff对一本区块链表示。


    所谓“钓鱼”,指的是黑客通过某种方式,诱导用户泄露自己的个人信息。


    其中最常见的手段,是假冒交易所官方向用户发送欺骗邮件,让后者打开伪造的交易所链接,并诱导用户在钓鱼网站上填写账户、密码等敏感信息。


    此外,黑客也可以诱导用户下载包含木马、病毒的文件,以盗取用户信息。


    “其实,用户只要避免点击陌生链接,不随意下载陌生文件,认准官方网站,就可以防范黑客钓鱼。”Jeff表示。


    但许多黑客的钓鱼行动,仍然令人防不胜防。不止普通用户,即便是交易所的内部员工,也曾被黑客“成功钓鱼”。


    640?wx_fmt=jpeg


    今年3月的龙网被盗事件发生后,区块链安全企业降维安全实验室发现,龙网某客服人员在平台被黑前,曾在陌生人处获得了一份程序安装包。而该程序存在捆绑后门——黑客可凭借后门,获取内部员工权限,并以此渗透内网,获取龙网的钱包私钥。


    而在数字资产托管平台InVault创始人许斌看来,币安此次被盗,也可能与其内部权限被黑客攻破有关。


    “根据币安公告分析,我认为黑客应该没有拿到钱包的私钥,但至少获得了一部分内部权限。”许斌表示,“短时间内提走超过7000枚比特币,黑客很有可能已经瘫痪掉了币安的风控系统。”


    “或者有另一种可能,黑客十分熟悉币安的风控策略,能够绕开风控系统,盗走平台资产。” 许斌说,“所以这次的黑客,要么技术十分强大,要么潜伏已久,只待最后一击。”


    根据币安发布的公告,黑客盗币成功的关键,在于获得了用户的API密钥及谷歌验证码等信息。在历次交易所被盗事件中,API一直是一个重灾区。


    “API密钥是一段字符,有时会存在用户的设备内。一旦用户设备被侵入,黑客便有可能拿到密钥,并提走用户资产。”Jeff表示,“所以,对于交易所而言,API一直是最容易出现安全问题的地方。”


    这一观点也得到了许斌的认同。在他看来,大多数头部交易所的私钥管理体系都十分强大。因此,相对薄弱的API环节,往往会成为黑客的重点攻击部分。


    面对层出不穷的交易所安全事件,许多区块链从业者认为,交易所若想避免类似问题发生,必须在两方面做出改变。


    首先,是加强审查。


    “对于提币额度较大、提币到新地址、频繁提币等异常行为,平台都需要进行人工审查。”Jeff表示。


    其次,交易所也应加强用户教育,帮助用户提高安全意识。


    “我个人建议,用户也可以将不常交易的资产,保管在自己的私人钱包内,而不是长期存放在交易所。”许斌说。



    03 误伤Bitfinex?



    自今年4月起,低迷已久的币市,突然迎来了一小波小牛市。比特币从4月初的4000美元一路走高,并在昨日一度突破6000美元。


    然而,币安的突然被盗,却让投资者的内心再次蒙上一层阴影。阴谋论也很快出现,有投资者质疑,所谓的“黑客盗币”,只是交易所等平台与空头势力共同放出的“消息”。


    不过,市场的后续表现,却并未像许多人预想中的一样。


    币安盗币事件发生后,包括比特币在内的一系列数字货币曾发生普跌。但很快,主流币种便迅速止跌。截至发稿时,比特币等主流币种的币价,已接近盗币事件发生前的价格。


    “尽管币安盗币事件让币市短时下挫,但投资者的整体情绪还算乐观,市场表现也似乎波澜不惊。”中关村物联网区块链实验室主任梁栋对一本区块链表示。


    不过,热衷吃瓜的围观群众们,仍然找出了这场事件中的最大受害者。


    640?wx_fmt=jpeg


    “这次币安被盗币,最受伤的可能是另一家交易所——Bitfinex。”大白鲨交易社区数字货币分析师Neil告诉一本区块链。


    黑客盗币事件发生后,币安发布公告称:“在这一周内,(币安平台的)充值和提现将处于暂停状态。”


    换言之,在一周之内,币安不允许用户提币。


    与此同时,Bitfinex正在推出自己的IEO项目,计划募资10亿美元发行平台币LEO,目前LEO正处于私募阶段,私募时间截止到2019年5月10日。


    “币安此时宣布暂停提币,势必会造成部分资金无法购买LEO。”Neil说。


    与此同时,行业头部交易所币安的被盗事件,也让一部分投资者心存忧虑。人们对去中心化交易所的呼声,也越发强烈。


    “在中心化交易所中,用户资产由交易所代为管理。一旦交易所遭遇黑客入侵,用户便会出现资产损失。”毛普表示,“但在去中心化交易所中,用户却可以通过私钥保管自己的资产,不必为平台的错误买单。”


    在去中心化交易所中,交易所无法监守自盗。即便黑客获取了交易所的钱包私钥,盗走的也是交易所的平台资产,如收入等,而非用户资产。


    但Jeff却并不完全认可这一观点。近年来,许多交易所遭遇黑客攻击,都与API信息被盗有关。“如果是用户的API密钥被黑客获取,无论是中心化交易所,还是去中心化交易所,都无法避免用户资产被盗。”他表示。


    然而,Jeff也承认,相较于去中心化交易所,中心化交易所的安全隐患更大。


    “中心化交易所的问题是,每一家交易所都聚集了大量资产,树大招风,集中被盗的可能性会更大。”Jeff表示。


    而在去中心化交易所,由于数字货币分散在每一位用户手中,黑客很难一次盗走大量资产。


    “两种交易所各有利弊,而未来,两类交易所也势必会长期共存。”毛普最后总结。

     

    640?wx_fmt=gif


    在区块链的世界中,黑客就像幽灵,他们不会错过任何一个可以利用的漏洞。


    这不是交易所第一次被盗,也不会是最后一次。


    安全问题,已经是所有中心化交易所、区块链企业,以及持币人必须共同面对的考验。

    *文中部分受访者为化名。

    640?wx_fmt=jpeg


    区块链骗局不断,如何保护财产安全?


    “区块链”兴起后,不少违法项目,都披上它的外衣,吸引新“韭菜”。大量受骗者投入资金,却血本无归。


    不懂趋势、技术和行情的普通人,该如何去伪存真、保护财产安全?


    为此,一本区块链携手Bvaluate,替您鉴别真伪项目、甄选最佳项目。


    扫码了解详情


    640?wx_fmt=jpeg


    640?wx_fmt=gif

    640?wx_fmt=jpeg

    640?wx_fmt=jpeg

    640?wx_fmt=jpeg

    本文为原创稿件

    未经授权,不得转载

    640?wx_fmt=gif

    640?wx_fmt=jpeg

    展开全文
  • 作者 |Anthony Xie责编 | 乔治出品 | 区块链大本营(blockchain_camp)一周前,知名加密货币交易所Binance(币安)遭受黑客攻击,被盗...
  • 随后,黑客要挟用300个比特币的筹码换取1万个KYC信息+内鬼消息。因没有马上拿到勒索款,该身份不明人士就通过网络泄露所掌握的信息。 数据泄露时常发生,似乎从未间断。据公开数据显示,2019年上半年,全球出现了...
  • 黑客正在访问一些包含从币安窃取的加密货币的钱包,这些加密货币是在今年五月份从币安交易所内被窃取,之后加密货币交易追踪公司Coinfirm开始关注相关加密货币的动向,结果发现一些在2019年5月7日创建钱包中的原始...
  • 能真正玩得转加密货币的人都是聪明人,而能从这一堆聪明人中卷走一笔巨款而还能全身而退的,大概只有黑客了,这次他们又从币安提走了7000比特币,价值近4100万美元。 今天早间,币安 发布公告 称,发现大规模的...
  • 8月7日,币安通过微博声明,他收到了一个身份不明的人的威胁,并被要求用300块比特币来交换他声称拥有Binance一万个kyc信息。这个身份不明的人通过互联网泄露了信息,因为他没有立即收到赎金。 币安表示,目前还不...
  • 第10章 比特币安全 保护比特币是很具有挑战性的事,因为比特币不像银行账户余额那样体现抽象价值。比特币其实更像数字现金或黄金。你可能听过这样的说法,“现实持有, 败一胜九。”好吧,在比特币的世界里,这样的...
  • 截止到目前撰文时间,已经有7074.18个比特币被盗。 以下为币安官方微博发布的安全信息更新公告。 对此,币安创始人赵长鹏在AMA中首次披露了黑客盗币的细节。他表示,黑客此前已发现系统存在的...
  • 北京时间2019年5月8日7点多,币安发布公告称今日凌晨1:15:24,币安热钱包遭受黑客团体攻击,被成功提走7000个比特币币安在黑客攻击发生数小时之后便“主动承认被...
  • 近期,市场行情有所回升,一方面是,比特币带头拉升,冲上12000美元的关口,另一方面是,HT、OKB等平台币带动了市场的人气,都创出了反弹新高。 但是,今日的一则消息则有可能让市场行情出现转折,币安与火币...
  • 基于USDT的比特币新交易

    万次阅读 2017-12-01 07:44:00
    10月底各大比特币交易平台陆续停止人民币与比特币等其他数字货币的交易,一时币圈风云变幻。各种猜想与预期扑面而至。时至今日,一个月过去了,比特币等交易又火爆了一把。 11月29日晚,比特币等先是大涨,第二天又...
  • 在 7 月 4 号的币安 API 被攻击本该是一件大事,当天,有 11 个名为 SYS 的 Token 在币安交易所内以 450 万人民币(96 个比特币)的价格被成交,...
  • 今晨,大型加密货币交易所币安(Binance)确认被盗7000个比特币,大量用户API密钥,2FA代码以及其他可能的信息被黑客盗取,从而发动了本次攻击。加密货币被盗,这原...
  • 据链闻消息,币安公告称发现了大规模的安全漏洞,黑客能够获得大量用户 API 密钥、2FA 代码以及其他信息,从而盗取加密货币,黑客在区块高度 575012 处从币安比特币热钱包中盗取了 7000 枚比特币。币安称,该笔交易...
  • 作者丨海伦近日,数字货币市场出现连续上涨行情,比特币轻松冲破7000美金关口,短暂回落后,今日又强势冲击8000美金关口,最高时达到7922美金,截至发稿,比特币的价格为...
  • 币安1、币安被盗官方解释黑客在长时间里,利用第三方钓鱼网站偷盗用户的账号登录信息。最早被钓鱼的账号可追逆到一月初,但大多数账号是在2月22日左右,用unicode的Binance域名(Binance底部有两个点)钓鱼。黑客...
  • 我们希望探索自比特币诞生以来,发生的重要事件,人物,国家及相关的价格波动对其发展的历史回顾。比特币背后的科技和概念并非皆为新创;其推测的幕后发明人中本聪结合了许多来自数位朋克社群的既有想法,创造了比特...
  • 自从币安退出国内市场,开始在国外市场野蛮生长,体量...2018年7月,币安被黑事件再次上演,币安被盗上万个比特币; 2019年5月,币安遭到了大规模的系统性攻击,黑客从币安的热钱包中盗取7000个比特币; 2019年7月,...
  • 一、比特币 1.1 诞生 2008年11月1日,一位名叫中本聪(Satoshi Nakamoto)的人在一个隐秘的密码学评论组上贴出了一篇研讨文章《Bitcoin: A Peer-to-Peer Electronic Cash System》(《比特币:一个点对点的电子现金...
  • 比特币强势上攻

    2020-10-22 07:30:00
    (图片来源于网络)1破位最近几天比特币大涨,不仅强势收复了之前失守的12000美金左右的高地,而且继续强势上攻。在十一DeFi板块崩盘、十月中Filecoin上线即崩盘、OKEx暴雷等“...
  • 比特币历史性的八笔交易 比特币交易并没有什么特别之处,每天BTC和BCH网络上都会有30万笔这样的交易。但有时候,一笔普通的交易也会具有历史性意义。这些比特币交易可以在任何区块链浏览器中查看,并且被永远留在...
  • “沉寂多时的比特币和区块链微信群,又火了。” 曾就职于区块链媒体的黄华告诉记者 “好多人都在问,比特币现在多少钱了?” 经历了一年多的“熊市”后,比特币价格在今年迎来了反转。从今年2月以来,比特币价格迎来...
  • 比特币现金(Bitcoin Cash)网络计划于5月15日进行分叉,社区此前一直在为这次升级做准备,升级将包括增加Schnorr签名和隔离见证(Segwit)复原。BCH...
  • 怎样选择和创建比特币钱包

    千次阅读 2018-02-26 14:44:06
    在ICO被叫停的几这天里,比特币先抑后扬,走出了潇洒的深“V”。许多刚关注币圈的小伙伴开始蠢蠢欲动啦,今天就继续比特币基础知识介绍:钱包的选择和创建。 比特币钱包的选择 现在比特币可选择的钱包实在太多...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 509
精华内容 203
关键字:

币安比特币被盗