黑客不是问题 交易所BUG才是
摘要:今天,有媒体统计,今年黑客通过数字货币市场卷走了超过10亿美元。这个数字已经超过了目前数字货币市值排行榜第十位的波场。
你生活的现实世界岁月静好,但你手机电脑背后的网络世界却是丧尸围城。
今天,有媒体统计,今年黑客通过数字货币市场卷走了超过10亿美元。这个数字已经超过了目前数字货币市值排行榜第十位的波场。
10亿美元不翼而飞
年关将至,行情无望。早上7点半,李先生被闹钟叫醒。揉了揉眼睛,他随手拿起床头的手机,像往常一样,期待着打开行情那一瞬间会一片大涨。
但是,手机屏幕上首先映入眼帘的是交易所的邮件提醒。密密麻麻的交易记录一下划不到底,李先生顿时睡意全无。
“黑客根本就没有提币,他把我的币全部换成一个交易量很少的小币种。黑客在另外一边,操作了其他账号,低价买币之后,再高价抛出,相当于低买高卖。经过小数额不断的低买高卖,我价值几十万的币被一点点蚕食,最终只剩下几百块。”面对黑客防不胜防的手段,李先生表示只能先找交易所讨个说法。
一直以来,矛与盾的争斗在交易所和黑客之间不断上演。是道高一尺还是魔高一丈,经历了交易所不断被盗的事件后,投资者对手中的资产安全无比担忧。
今年1月26日,日本第二大加密货币交易所Coincheck发生了新经币(XEM)被盗事件,直接经济损失达到5.34亿美元。
自此,各大交易所对用户的提币操作增加了诸多程序,比如二级密码和邮箱确认等。
但黑客绕开了这一步,利用交易所的流动性,选择一些流量较小的小币种,通过低买高卖,将钱“洗出来”。防不胜防之下,李先生和许多账户被盗的投资者成了牺牲品。
“很难得到赔偿,交易所不在我国设立,游走于法律的边缘。同时我国明令禁止公民的炒币行为。”李先生很无奈。
据相关媒体的统计,今年黑客通过数字货币市场卷走了超过10亿美元,交易所是重灾区。同时,DApp、个人钱包、公司服务器也无一幸免。
攻防之战
“千万不能嫌麻烦。”一位网络工程师在记者面前不断重复这句话。
黑客攻击利用的不仅仅是交易所本身的漏洞,利用的还有人心。
今年7月初期,多个安全团队监测到了一次“撞库攻击”。原理很简单,就是黑客利用大部分人习惯设置相同密码的心理,通过之前截取的某个交易所用户的账号和密码去登录其他的交易平台。
“大型交易所经过几场骇人听闻的被盗事件后,都逐渐开始重视网络安全问题,一般黑客很难攻破。可是一些中小型的交易所由于资金有限,安全问题漏洞严重,容易被黑客利用。比如,黑客通过截取某个中小交易所客户的账号密码去登录其他的交易平台,想一想你自己是不是也会经常共用账号密码呢?”网络工程师小李对黑客的计谋也感到很震惊。
“同时也不排除另外一种最坏的可能,就是交易所本身利用客户的账号秘密去登录其他的交易平台,对其它交易所进行撞库攻击。那这就太可怕了,简直把客户玩弄于鼓掌之间。”小李觉得交易所水太深,越研究越可怕。
此前,甚至有消息称,几乎所有交易所的用户名和密码,都在黑市出现过,尽管暂时无法核实数据真假。
根据加密货币追踪网站Coinmarketcap的数据显示,截止今日数字货币市场上仍有16057家数字货币交易所。
这对于黑客来讲,无异于一个随时可以淘金的金矿。
中心化的交易所被盗破产和卷款跑路事件不时发生,为了解决这个信任难题,去中心化交易所应运而生。
目前,在以太坊DApp排行榜前三位,有两个都是去中心化的数字货币交易所。
去中心化交易所通过智能合约实现交易,将资产托管、撮合交易、资产清算等直接放在区块链上进行,而账户密钥仍由用户自己控制,安全隐患大大降低。
“但是它处理速度太慢了。”一位投资者抱怨道。
以以太坊为例,从取消交易指令到传递加密货币,一切都需要在以太坊支付Gas并等待区块确认,少则几分钟,多则可能会花费几小时。
除了成本和速度问题之外,它也会受到非法预先交易的影响。比如当某位用户的消息显示在以太坊内存池中并试图执行订单时,你则可以抢先一步通过消耗更多的Gas抢先交易。
以矿工速度论输赢,既交了手续费又要等待漫长的时间。
目前,以太坊DApp排名首位的去中心化交易所IDEX的24小时交易量仅有4600个ETH,约合40万美元。这比起中心化交易所币安4.6亿美元的24小时交易量相去甚远。
可以预见的短时间内,只能期待明年初以太坊君士坦丁堡硬分叉后TPS得到大幅提升。不然,中心化交易所仍会是主流。
半夜两点钟的都市,喧嚣已经逐渐停止。忙碌了一天的人们沉沉睡去的时候,在某个不起眼的出租屋内,噼里啪啦的键盘声断断续续。当夹着香烟的食指轻敲回车键后,Windows系统沉吟半晌,猛地弹出一张图片——“Hello Wold”。与此同时,某个加密资产交易所的大门,也随之敞开。
至于几个小时后,会有多少投资者倾家荡产,黑客看不到,更不想看。
作者:共享财经Avalon 责任编辑:Alian
(本文系共享财经原创,转载请注明出处及作者)