没有不被黑的交易所,只有不努力的黑客

转载
1512 天前
10428
奔跑财经

来源:奔跑财经


交易所又双叒被盗了?这次是库币(KuCoin)。

被盗在币圈似乎见怪不怪了。自有加密货币交易以来,就一直没有摆脱过黑客的阴影。

26日凌晨,库币发布公告,多笔大额提现触发了库币的风控预警,随即库币暂停了充提币,随后库币CEO Johnny在直播中表示,本次事件系黑客所为。

本次库币被盗有价值1.5亿美元的资产被转出,不过此次库币反应速度极快,联合火币、币安、OKex、抹茶、Bitmax等全球主流交易平台、项目方、安全机构全网联防,就连平时置身事外的Tether也参与其中,于是就出现了加密货币史上迄今为止阵容最大的“打黑者联盟”,可见双方之间的“血海深仇”有多大。

此次的通力合作效果还是很显著的,黑客多次企图提币套现都被冻结,目前被盗的USDT、VIDT、AMPL等都在陆续被追回。据悉,可以冻结追回的资金约1.3亿美元,但黑客在中心化交易所套现受阻后转而通过Uniswap套现4350 ETH(约155万美金),被盗的全部COMP则是通过Kyber分多次成功套现,共计3700ETH。去中心化交易所用户还没用热乎呢,就成了黑客的“提款机”。

由于此次库币反应迅速,处理得当,并承诺会赔偿用户的所有损失,也或许是被盗常态化让部分用户免疫了,此次被盗事件并没有引起轩然大波,但是用户转而开始担心另一个问题,中心化与去中心化交易所到底哪个更安全,躲过了插针、拔网线,最后被黑客给“割”了,资产安全如何保障。


01

中心化与去中心化之间并非假想敌

中心化与去中心化之争要开始擂战鼓了?一场血雨腥风的“大战”就要来了?

桥段似乎有点烂大街,大战开始之前总还是要先衡量双方实力。

8月30日,Uniswap的24小时交易量历史性超过了Coinbase,Uniswap 24小时交易量超过4.26亿美元,同时Coinbase Pro 24小时交易量为3.48亿美元。引发了市场一度热议,中心化交易所地位不保?

来,让我们清醒一下。


(数据来源:DeBank)


(数据来源:非小号)

从24H总交易量可以看出,目前DeBank收录的所有去中心化交易所最高交易总量出现在9月5日,总交易量为15.8亿美元,而中心化交易所仅火币或币安的24H交易额为81.49亿美元与63.65亿美元,不是去中心化交易所短期内可以追赶的。说明大部分加密货币交易依然集中在中心化交易所。

中心化与去中心化交易所各有优缺点,中心化交易所方便、快捷、交易深度好,但无法避免三方操作与黑客攻击;去中心化交易所完全自主但也存在代码漏洞、后门、黑天鹅等问题,不能说哪一类交易所是完全安全的,各自有其优缺点。目前来看Uniswap24H小时交易额能够赶超排名前三的Coinbase也说明了市场用户对去中心化交易所的需求。去中心化交易所的出现能够填补目前加密交易市场的空白,二者之间并非假想敌,而是相互补充的关系,毕竟客户才是上帝。

既然加密交易主要集中在中心化交易所,那么交易所的热钱包安全就是重中之重了,中心化交易所史上出现的几次较大的被盗事件都出现在热钱包问题上,当然一些持币量大的用户会将资金存储在冷钱包,来避免被盗风险,但是就几次交易所的被盗金额来看,存储在交易所热钱包的资金不在少数。

02

只有想不“盗”,没有做不到

个人使用的热钱包或者交易所是怎么被盗的,怎么样才能避免被盗,保护自己的资产安全呢?

黑客攻击一般分为以下几种方式。

手机、电子信箱劫持:黑客利用技术在社交网络获取个人信息,从充斥着个人信息的互联网空间盗取信息并不是什么难事,然后黑客冒充用户本人从移动运营商获取新的SIM卡,一张小小的卡片就能够访问获取我们所有的账户信息,密码形同虚设,当然,这其中就有可能获取到加密货币交易所员工的信息,被攻击只是时间问题。今年2月份巨鲸一位用户就是因为SIM卡被攻击损失了近2.6亿元的资产。

钓鱼网站:钓鱼网站最为常见,看起来网站合规合法,并没有什么破绽,引诱用户登录填写登录信息,登录的那一刻,“恭喜你”,登录信息已经被黑客获取,盗与不盗,盗多少也只是他想不想的问题。

恶意软件:此种方式也较为常见,下载或者捆绑的软件就极有可能存在恶意病毒或者木马,并且能够巧妙的绕过手机或PC端的安全系统检测。2015年比特股的多名员工因为下载了恶意软件导致损失520万美元。

本次库币被盗再次证明,像交易所这样集中管理的热钱包是黑客的心头好,私钥一旦泄露,就只能看着保险箱的资产被拿走,即便本次全网联合追回部分被盗资产,但黑客仍能通过Uniswap变现,资产损失的同时耗费时间、人力、资源等。

所以将资产存储在热钱包无时无刻不处于风险之中,热钱包被攻击绝大多出于人为操作失误。中心化交易所的私钥一般掌握在几个关键人员手中,自然他们也成了黑客攻击的主要目标,一旦数据未加密或数据推送等环节出现安全隐患,就极有可能被攻击。

在加密货币交易史上因热钱包被攻击出现的安全事件不在少数,曾经承载BTC70%交易量的“门头沟”也因热钱包攻击就此倒闭。

本次库币被盗也再次给我们敲响了警钟,热钱包的风险一直都在,相比之下冷钱包跟多重签名身份验证能最大程度保障用户资金安全。

交易所的热钱包等同于巨大的资金池,资金安全是用户对中心化交易所最基本的信任;便捷是热钱包的优势,安全问题也是热钱包的致命伤,做好热钱包的保护尤为重要,严防死守不为过,即便中心化世界里可以“联合打黑”,但去中心化的世界里没有回滚。