8BTCCI: 13496.52 8BTCVI: 9668.26 24H成交额: ¥5103.97亿 总市值: ¥17125.95亿
热钱包真的安全?PeckShield蒋旭宪为你揭秘交易所被盗事件 | 链节点AMA

天使娱乐平台总代:热钱包真的安全?PeckShield蒋旭宪为你揭秘交易所被盗事件 | 链节点AMA

李小平 发布在 比特币 独家 23969

秘密天使娱乐无极限 www.7j6mr.com.cn 这是一个最好的时代,也是一个最坏的时代。区块链为我们带来了未来美好世界的想象,同时也为网络上的不法分子创造了更多的犯罪机会。

从2012年Bitcoinica连遭攻击损失10万余枚比特币,到2014年MtGox被盗损失85万枚比特币......再到今年五月初币安被盗7000枚比特币。近几年频繁发生的加密货币被盗事件,让区块链安全问题逐渐走进了人们的视野。

交易所为何频繁被盗?币安被盗的原因是什么?被盗资产有没有追回的方法?普通用户如何?;ぷ约旱募用茏什??

5月14日下午,PeckShield创始人兼CEO蒋旭宪博士做客链节点AMA,为我们解答了区块链安全的相关问题。

WechatIMG14

蒋旭宪博士是计算机安全领域的顶级专家,他2001年毕业于西安交通大学计算机系并获得硕士学位,随后2006年毕业于美国普渡大学 (Purdue University) 计算机系并获得博士学位,曾担任北卡州立大学 (North Carolina State University) 计算机系终身教授。2013年初,他加入奇虎360公司,担任首席科学家。

PeckShield(派盾)公司是蒋旭宪博士于2018年3月创立,总部位于杭州,定位是区块链数据和安全服务提供商。自成立以来,PeckShield(派盾)的漏洞监测覆盖底层公链、交易所、数字钱包、智能合约等区块链生态的各个环节,因连续发现并命名了BEC、SMT、EDU等智能合约的重大安全漏洞,而广受业内关注。

以下为AMA精选内容,详情请点击:第116期AMA

 

币安被盗的原因

 

2019年5月8日,全球知名交易所币安发布的公告称,当天凌晨1时15分,币安遭到了黑客大规模的系统性攻击,黑客获取了大量API密钥,谷歌验证2FA码等信息,一次性提走了7,000枚BTC。

这是2019年以来,继 Cryptopia、DragonEx 和 Bithumb 之后,第四个遭黑客攻击的大型数字货币交易平台。据监测显示,本次黑客攻击事件中,币安共计损失了7,074枚 BTC(按当天价格计,价值约4,200万美元)。

在被问及“币安被攻击的原因”时,蒋旭宪博士表示,从技术层面看,可能有三个原因:

“一、可能是币安自己的内网被渗透,黑客劫持相关账号并提币转出; 二、可能是(用户使用的)的中心化资产托管服务遭到了渗透,从而用户的资产被转走; 三、可能是普通散户的客户端被劫持。用户有可能被诱导下载带有木马的客户端软件(比如说是提供高额回报的量化工具等),从而被劫持了本地环境,进而控制了用户账户的API访问和认证等。

第三个原因的可能性最大,其次是第二,最后才是第一个可能性?!?/blockquote> 实际上,早在2018年7月4日,币安出现超大额提现,超过7000枚比特币被转入同一个地址,疑似被盗。7月4号上午,币安发布公告,暂停交易提现。当天下午,再次发布公告,将此次事件定性为钓鱼事件。

同样是7000枚比特币,两次被盗事件之间有没有联系呢?蒋旭宪博士认为,两次事件虽然被盗数量相似,“但是作案方式不同,没有直接关联?!?/p>

值得注意的是,去年币安虽然遭受黑客攻击,但是黑客在提现比特币时,触发了币安的风控系统,其账户被冻结。那么,为什么这次被盗没有触发警报呢?蒋旭宪博士解释道:

“这次是通过调用用户API Key, 多笔提现,行为上不一样。从单一用户的提币行为来看,可能没法触发当时的风控系统。同时说明了安全防护系统还有改善的空间?!?/blockquote>  

交易所如何应对安全问题?

 

网络安全圈内流传着这样一句话:世界上只有两种大型企业,一种是知道已经被黑客入侵的企业,另一种则是被入侵却浑然不知的企业。这句话放在区块链行业里同样适用。

尽管不少人认为,这样的言论未免言过其实,但不可否认的是,近几年频发的交易所被盗事件,让区块链安全的问题逐渐走进人们的视野。

纵观过去发生的多起交易所被盗事件,我们发现,黑客都是通过钓鱼软件获取用户的API key,然后利用API接口入侵交易所。交易所如何应对这种方式的入侵呢?蒋旭宪博士建议:

“首先应加强安全意识,尽可能避免个人敏感信息的泄露。同时,交易所应加强和完善API和相关敏感操作的认证,确保是用户的真正行为,而不是被攻击者劫持的操作。如有必要,重新生成相应API key,并对每次提币地址的更新加强2FA、邮箱和短信认证,多管齐下。

另外,如果中心化交易所开启自动化提币的,应做一定额度的分级,一旦单位时间内出现超大额提币需求,而且是转移到大量新创建地址的,需要立即触发紧急风控机制并转为人工审核提币,尽可能提早发现并预防攻击的持续进行?!?/blockquote> AMA中,有一名用户问到“为何交易所不使用KeyShard(数字资产托管服务)?”蒋旭宪博士回答:

“KeyShard采用基于多方安全计算(MPC),私钥被拆分为不同的分片,分别保存在包括用户和托管方在内的各参与方。但是,任何单一分片都无法获知私钥的真实信息,从而保证了资产由各参与方共同控制。遗憾的是,流程上的严格同时给用户的体验也带来了不便?!?/blockquote>  

普通用户如何?;ぷ约旱氖肿什??

 

目前,绝大多数数字资产交易所都是中心化的交易所,而中心化交易所也是常见的黑客攻击的目标。那么对用户来说,去中心化交易所是不是更安全的选择呢?蒋旭宪博士认为:

“攻击者都是追求利益回报的。中心化交易所持有币的数量和价值,都远远大于去中心化交易所。攻击者在选取攻击目标的时候,当然会盯着价值更大的一方。

另外,去中心化交易所的资产由合约掌管,而且大多数是开源的,也有助于全世界的程序员帮你审核项目有没有漏洞。整个交易流程的公开透明也使其出问题的概率降低。所以相对而言,去中心化交易所是一个更安全的选择。不过,就用户体验、交易深度和使用门槛而言,去中心化交易所还不如中心化交易所?!?/blockquote> 尽管有用户认为“与其把私钥交给交易所,不如放在自己的钱包里安全”,但是蒋旭宪博士依然建议:

对于一般用户,可以把私钥保存在知名的、有良好信誉的交易所,因为“即使忘记密码或密码被盗用,还有方法找回或者回滚”。

对于持币量比较大的用户,他则建议放在冷钱包(硬件钱包),但“就会把安全的风险,从交易所转移到用户自身对于冷钱包设备及助记词的保存?!币虼?,务必保存好个人助记词。

对于机构,他认为“多重签名是必不可少的,因为可以有效降低个别私钥被盗的风险?!?/p>

在被问及“有没有追回被盗资产的办法”时,蒋旭宪博士表示,

“有,但无法保证追回全部的资产。攻击事件发生后,我们会第一时间介入追踪被盗的数字资产,实时监控黑客的钱包地址,并跟进分析黑客可能采取的洗钱方式,尽可能将被盗数字资产的流向轨?;乖隼?。

但要真正找回被盗资产,需要生态内的多方协作和支持,包括交易所及时冻结黑客的充值,超级节点或相应治理组织(比如ECAF)的联动协作等?!?/blockquote>

评论
登录 账号发表你的看法,还没有账号?立即免费 注册
  • 苹果 iPhone 7(全网通)图片 2019-05-24
  • 为回家看世界杯酒后开车 男子酒驾遇查弃车逃跑 2019-05-24
  • 圣洁的雪山文章中国国家地理网 2019-05-23
  • 西安高科工程技术学校——陕西省政府直属中等职业院校西安高科工程技术学校2018招生简章-陕西教育新闻 2019-05-23
  • 顺义共有产权房今起申购:购房人可获六成产权 225套专配“新北京人” 2019-05-22
  • 回复@看着就想笑:真有点赞机,还不点个百八十个赞 2019-05-22
  • 仙居:美丽经济 助农增收 2019-05-21
  • 消息称微软新版Xbox主机2020年上市消息称微软新版Xbox主机2020年上市-手机行情 2019-05-21
  • 四川乐山公交车爆炸案系人为 嫌疑人已被控制 2019-05-20
  • 我国核电四十年走出逆袭之路 2019-05-19
  • 第十六届中国政府网站绩效评估结果发布暨经验交流会在京召开 2019-05-18
  • 回复@地瓜干17世:猪临死才会嚎叫呢~ 2019-05-17
  • 失眠怎么调理 五种水果助你安神养眠-美食资讯 2019-05-16
  • 江尔雄:新时代对台工作思想遵循和行动指南 2019-05-15
  • “最美教师”李芳 为救学生献出生命 2019-05-15
  • 865| 333| 601| 165| 626| 889| 378| 534| 999| 288|