交易所漏洞频发,是黑客太厉害,还是交易所不作为?
这场交易所安全保卫战打得异常艰难。
隐匿在暗处的黑客如饿狼一般,伺机而动,紧盯着交易所的破绽,准备一击致命;暴露在明处的交易所除了加强自身防御之外,别无他法。
与互联网被黑客攻击后被用户失去信任不同,数字货币交易所一旦被攻击失去的可能是命。作为大量资金的集聚地,交易所如履薄冰,生怕自己成为第二个Mt.Gox。(2014年,黑客从交易所Mt.Gox盗取85万枚比特币,直接导致这家曾经的世界第一大交易所倒闭)
监管之外,金钱至上
数字货币成为投资新靶标,也成为众多黑客的竞技场。
根据区块链信息安全平台Bcsec的统计,自2016年以来,有关数字货币的安全事件就呈高速增长态势,其造成的经济损失也在不断攀升,仅2018年上半年便造成20亿美元的经济损失。而这其中,有超过11亿美元的损失直接来自交易所被攻击。
频发的交易所安全事故也能证明这一点,7月1日至今,被媒体报道的此类事件已发生至少3起。
7月4日,币安出现异常交易,有用户通过1枚SYS购买96枚比特币,随后币安暂停交易,并称此次事件是钓鱼事件,将回滚异常交易;
7月9日,EXX交易所遭受黑客攻击使交易额数据出现过亿异常,虽然交易所团队称其技术团队成功抵御攻击,交易平台数据正常,但是ALcoin平台监控到的1.5万亿净流出则出卖了它;
同是7月9日,交易平台Bancor被盗价值1350万美元数字货币……
黑客,成为交易所头上挥之不去的阴霾。
对于交易所频繁遭受攻击的原因,Blockchain Global 创始人兼CEO Sam Lee表示:“主要是由于数字货币交易所聚集了大量的资金,而且游离于法律监管之外,这是黑客如此猖狂的原因之一。”
创宇信息技术有限公司CEO赵伟则认为:”交易所中心化的结构让交易所像个慢速移动的靶子,此外,数字货币是一种匿名化的、无法找回的资产,因此交易所也就成了黑客眼中的肥肉。“
正如赵伟所言,由于数字货币本身在传输过程中就是通过代码的方式,具有匿名性,所以无论是得手后的套现还是资产转移方面,数字货币的属性都会为黑客提供便利。加之,数字货币交易所的资产缺乏监管,因此无法对资金流向进行调查。
或许有人会有疑问,区块链的特点之一不就是可溯源吗?对于这个问题,白帽汇安全研究院负责人邓焕解释道:”区块链的可追溯性指的是每笔交易可以被查询,但背后对应哪个具体的人却很难查出来,说的直白一点,钱从甲的钱包转给乙的钱包容易查到,但是甲的真名叫什么查不到,这就给黑客以可乘之机。“
游离于法律之外,又无法追踪。或许正如BYSEC.IO创始人莫良在接受媒体采访时所说的:“对于黑客来说,区块链是历史上任何一个时代无法比拟的——代码和钱画上了等号。”
漏洞频发,细思极恐
监管的缺失助长了黑客的气焰,但根本原因在于交易所的安全防护级别普遍较低。
据某评级机构报告显示,排名前20的交易所中,仅有BitMEX、Upbit评级为A,币安、火币等为BB,而OK仅为CC。
不过,币安、火币评级虽不低,但受黑客袭击的次数也并不少。大交易所每年投入上千万用于安全防护尚且遭受攻击,何况小交易所。正如360信息安全中心负责人张雪峰在接受节点财经采访时表示:“大交易所在安全方面还好一点,小交易所普遍不安全。”
数据显示,现在全球的数字货币交易所数量已经达到11700多家,然而由于交易所旱涝保收的性质,每周依然有交易所诞生。尤其是FCoin交易挖矿横空出世后,给众多小交易所带来了突围的希望,进一步刺激了新交易所的产生。
有业内人士对此表示担忧:“现在太多交易所只关心如何争抢流量,却忽视了根本的安全问题,更有甚者,连自己的安全部门都没有,每月仅投入几万块进行基础的安全维护。”
或许正如360伏尔甘团队负责人郑文彬所说,目前基本上所有区块链公司的安全能力,都还不足以保护交易所的安全。
在交易所对安全方面偷工减料的同时,是黑客“磨刀霍霍”准备“向牛羊”。
”黑客入侵交易所使用的武器级别都很高,这些高级武器原来大都是被国家级情报机构或者军方使用的,要抵挡这样的攻击,防御方的水平必须够高。”郑文彬表示,“至于那些安全级别低的交易所没被攻击,可能是资产还不能够引起黑客的注意。“
频繁的安全事故似乎并不能为现有的交易所敲响警钟,难道真像赵伟所说只有当安全事故降临到自己头上,造成巨大的损失之后,才会重视安全?
前不久,韩国科技部证实韩国21个加密货币交易所中的大多数都存在安全漏洞,包括隔离不足、缺乏针对异常或可疑活动的监视系统,有12所加密货币交易所甚至完全没有安全系统。
这在一定程度上反映了交易所的安全现状,可想而知,11700家交易所中又会有多少家没有安全系统?
细思极恐。