最近,交易所被盜案頻發,此前兩家數位資產交易所Etbox和Biki已重新開放充提,承諾對用戶損失全額負責。另一家被盜交易所「龍網」DragonEx沒那麼幸運,有安全機構估算,此次龍網被盜走了價值超過500萬美元的資產。
龍網被盜過去6天,該平台仍未公布其損失金額,和對用戶損失的處理方案。儘管承諾對用戶「負責到底」,但用戶已不僅僅關心平台被盜走的資產數字,他們追問龍網的冷錢包裡還剩下多少錢。
一名接近龍網核心管理層的知情人士告訴蜂巢財經,對於交易所來說,大額資產被盜如同滅頂之災,會遭受信任危機,「這種情況算是生死攸關了」。
交易所連環被盜案背後隱藏著一群職業駭客。有安全團隊表示,這群「組團」駭客已開始對交易所開啓定向打擊。
3天內3家交易所失竊
自年初以來,全球數位資產總市值達1430億美元,較去年年末上漲超10%(Coinmarketcap數據)。市場的復甦帶來了人氣,也招來了攻擊者。
3月24日,被幣圈用戶稱作「龍網」的數位資產交易平台DragonEx,發布系統升級公告,暫停所有交易及充提幣服務;3月25日,「升級」延遲,龍網正式對外宣布資產失竊。一天後,龍網公開了駭客的錢包地址,涉事數位資產達20多種。
龍網公布的贓款地址
據區塊鏈安全團隊DVP分析,此次事件失竊資產總價值超500萬美元,其中USDT被盜約140萬枚(目前價值146萬美元)、EOS被盜約20萬枚(目前價值75萬美元)、BTC被盜約135枚(目前價值53萬美元)、ETH被盜約2737枚(目前價值約37萬美元)。
在駭客攻擊龍網當日,遭入侵的還有交易所Etbox。3天後,Etbox發表公告稱攻擊事件導致平台損失資產達13.2萬美元。
3月26日凌晨0點08分,危機蔓延至BiKi交易所。一名投資者發現他的帳號密碼被篡改,到凌晨5點左右,28名Biki用戶遇到了同樣的問題。當日下午3點,Biki在公告中稱涉及被篡改密碼的帳戶數為37個,涉及資產轉移的帳戶為18個,損失金額達12.33萬美元。
3天內,3家交易所相繼遭到駭客「洗劫」,肆虐程度令人咋舌。截至目前,BiKi和Etbox均已恢復了幣種充提業務,前者對服務器進行了全套更換並增加安全防護;後者成立了風險保障基金,平台每月收入的20%注入基金,保障用戶資產。
損失最為嚴重的龍網方面則表示,已追回部分資金,並在愛沙尼亞、泰國、新加坡、香港等行政司法機關報警備案,協助警方展開調查。
「追回資產難點在於資訊不對等」
截至發稿日,龍網方面仍未對外公布其損失金額,對於安全機構給出500萬美元的損失估算,平台未予回應。
3月29日,龍網的官方電報群內,用戶除了在詢問被盜走的資產數額外,也關心著平台還剩下多少資產。
群內不時有用戶要求管理員公布龍網冷錢包地址。冷錢包通常依靠「冷」設備(不聯網的電腦、手機等)確保數位資產的私鑰安全,運用QR Code通訊讓私鑰不觸網,從而避免被駭客盜取私鑰的風險。它被投資者看做是「平台最後的安全底線」。
「我們不添亂,只想看看冷錢包地址。」用戶王軒認為這個要求不過分,他表示,所有人的資產大部分應該放冷錢包的,「不肯提供,除非冷錢包也被駭了,如果這樣龍網就真清光了。」對此,群內管理員並未有任何回應。
王軒托管在龍網內的數位資產目前已無法提現,「有10多萬在裡面。」如果平台「清光」又無法追回被盜資產,那他存在上面的幣便只是一串虛擬數字,只能做好最壞的打算。
截至3月29日,距離龍網被盜過去5天時間,關於龍網「負責到底」的具體執行方案卻始終未公布,這讓王軒越發焦慮。
蜂巢財經與龍網取得了聯繫,但對方拒絕做出有關被盜事件的更多回應。
一名接近龍網核心管理層的知情人士告訴蜂巢財經,目前團隊不方面接受外界採訪,她表示,對於交易所來說,資產被大額盜取如同滅頂之災,而且也會面臨信任危機,「這種情況算是生死攸關了。」
用戶在社群內的追問之下,3月30日,網名為「大海馬」的龍網工作人員在電報群內表示,未來會在一周內公布準確的資產損失數據,並且給出解決方案,「平台不會跑路,也不會推卸責任,現在最重要的是追回被盜資產。」
有部分用戶得到安撫,但也有聲音認為,追回被盜資產的機率很低。「雖然龍網一直說在多個國家與地區和警方取得了聯繫,不過從交易所以往被盜的經歷看,追回損失或許遙遙無期。」王軒說。
此次龍網安全事件發生後,降維安全實驗室第一時間與龍網取得了聯繫。該安全團隊人員告訴蜂巢財經,目前已追蹤到部分流入其他交易所的贓款,團隊正聯繫多家交易所協力凍結,「我們的技術團隊正全員協助追查,而追回被盜資產的難點在於資訊不對等,無法第一時間獲取真實資訊。」
此前,龍網曾發表公告稱,平台會盡更大努力,爭取追回更多資產。期間,Gate、OKEx、火幣、幣安、Bittrex等交易所均給予了支持。雖然部分資產已被成功凍結,但龍網坦言,相當大部分資產還在被快速轉移中。
攻擊針對交易所內部成員
交易所被盜關乎自身生死。在區塊鏈領域,業務場景往往有許多共性。
慢霧安全團隊表示,攻擊者會針對性地準備特殊木馬,以量化、搶額度等用戶關心的熱點話題進行誘導性攻擊,「攻擊方式不一定是特別高級的手法。」數據表明,此次攻擊是一群職業駭客所為,目前,這群人已經開始對交易所開啓定向打擊,「我們分析樣本後發現其中一個重要的攻擊手法為 APT(高級持續性威脅)攻擊。這些攻擊者往往是團隊作戰,會對『獵物』進行持續數月的釣魚、誘捕、投放等攻擊。」
降維安全工作人員告訴蜂巢財經,「事發前,龍網客服曾經從陌生人處獲取並打開了一個安裝包WbBot.dmg,經過分析,此安裝包存在捆綁後門,駭客就是透過它獲取了內部人員權限,進而獲得錢包私鑰。」
上述人士表示,此次攻擊主要針對交易所高級技術人員和管理人員。其主要過程為透過營運和模擬正常的量化軟體,以高利潤誘惑交易所高層使用,軟體背後隱藏了後門,一旦該軟體被傳遞到管理者的電腦上,便會進行一系列滲透動作。「目前確認已有多家交易所遭到此類攻擊。」
經歷了2018年的熊市,投資者們辛苦盼來的漲勢如今成為了職業駭客眼中的肥肉。「出事」後,三家交易所都表示會對用戶資產「負責到底」,但有業內人士指出,平台即便再多錢都經不起折騰,關鍵還在於如何完善站內的安全機制,否則只會變成下一個「龍網」。
本文為金色財經授權刊登,原文標題「黑客連環狙擊 交易所損失逾500萬美元」