2018年末,时隔5年,门头沟事件再重新被人提起,是日本检方要求对门头沟交易所(Mt.Gox )前CEO马克.卡佩勒斯 判处10年刑期。
然而在这样的寒冬里,这条消息似乎并未掀起多大的波澜。根据腾讯发布的研究报告,2018年仅上半年区块链领域因为安全问题造成的损失高达20亿美元,交易所是遭受黑客攻击和损失的重灾区。
关于门头沟事件
2014年2月24日,曾占比特币交易量70%的世界第一大交易所Mt.Gox被曝遭遇黑客攻击,平台10万枚比特币及用户75万枚比特币被盗(后来找回20万枚比特币),3天后,Mt.Gox申请破产。这个事件后来被称为“门头沟事件”,人们至今惊心于它的结局。
一次黑客攻击足以摧毁一家交易所。
千里之堤,溃于蚁穴
Mt.Gox于2007年由“电驴之父(eDonkey)”Jed.McCaleb创立,2011年3月6日Mt.Gox无力再支撑下去,于是将网站出售给卡佩勒斯。Mt.Gox就此开启“法胖时代”(卡佩勒斯是法国人,身材肥壮,被戏称为“法胖”)。
“法胖时代”的关键词可能就是“黑客攻击”。
迎来新主人的第二月,Mt.Gox就被爆出黑客攻击,损失8万枚比特币。
两个月后,Mt.Gox又迎来一次黑客攻击。
2011年6月20日凌晨3点,Mt.Gox出现大量卖单,比特币价格从17.5美元暴跌至0.01美元,交易持续几分钟后才得以恢复。根据后来被揭露出来的信息,实际情况是公司一个审计师的电脑最先受到了黑客攻击,黑客获得Jed McCaleb账户的访问权限,因此能够操纵账户余额并在Mt.Gox系统上出售大量比特币,此次交易所账户被黑客转移了约2000个比特币。
这一次的损失主要原因在于卡佩勒斯,因为Jed账户卖给卡佩勒斯3个月后,后者却没有修改账户对数据库的管理权限。
2013年3月12日至2014年2月15日,Mt.Gox多次出现暂停比特币提现故障等事件,一度引发比特币挤兑。
“ 门头沟事件”发生之前,Mt.Gox背后早已暗藏危机,但是他们的CEO卡佩勒斯显然没注意到这点。
在外界看来,Mt.Gox当时已经是最大的比特币交易网站,从2011年至2013年,Mt.Gox牢牢挟持比特币交易量峰顶的位置,一度占有比特币交易总量的70%。
2014年2月25日,Mt.Gox的投资人尝试登陆网站,页面一片空白。Mt.Gox官方Twitter亦删除了所有内容。
3天后,Mt.Gox在东京申请破产保护。从终止交易、网站下线、宣布关停到申请破产保护,全球前第一大交易所Mt.Gox在一周内完成了。
有内部文件称,黑客预谋已久,一共盗取了744408枚比特币,加上平台被盗的10万枚比特币,一共约85万枚比特币被盗(后来有20万枚BTC在一个冷钱包被发现)。
安全人视角下的门头沟事件
“门头沟事件的发生、比特币被盗、Mt.GOX破产,在当时甚至现在,都是必然的。”区块链安全团队玄猫安全实验室认为,经过回顾门头沟事件发生的始末,门头沟事件的发生是必然的,安全问题是整个行业所面临的问题。如果这次不是Mt.Gox,那还是会有下一个“门头沟”:
- Mt.Gox对安全的意识、投入太少,据报道称接手Mt.Gox后不久,卡佩勒斯不再专注于Mt.Gox,他最关心的是猫、咖啡馆和美食,就连交易所频频出现黑客事件时他也拒不加班。全球范围内普通的互联网公司对安全的投入低于5%,国内普遍不足1%,更何况作为新兴领域的区块链行业?
- 在频繁遭受黑客攻击盗取之后,据称,原创始人Jeff给卡佩勒斯支了四招:慢慢用公司美元买比特币补上;屯点比特币等升值;找比特币大户投资;自己挖矿。却唯独没有“修复漏洞、提高安全防范”的建议。同样,我们也没有看到针对黑客攻击Mt.Gox做更多的安全防范和投入。玄猫安全实验室透露,“业内大部分交易所都是这样处理安全问题,我们每天给区块链公司提交发现的安全漏洞,然而确认、修复的却不多“。
- 区块链技术的快速发展,带动了整个产业生态发展,包括交易所、钱包、矿池、公链、Dapp等等,越来越多的黑客把非法获利的目光投向了这个领域。而数字资产盗窃案件的溯源、司法取证、执法,远比法币盗窃案件难得多。
2018年区块链安全事件暴增4倍
2018年至今,区块链领域安全事件发生71起,相较于2017年的15起,增长了373%。区块链领域安全问题日益凸显,逐渐成为区块链技术发展的核心关键。
这其中,交易所的安全事件数量(56.67%)和损失的金额(13.44亿美元)都高居榜首;回顾2018年加密货币交易所被盗事件:
(1)1月,日本最大的数字加密货币交易所Coincheck被盗走价值5.34亿美元的XEM。Coincheck是日本第二大交易所,在之后的官方发布会上,Coincheck表示,XEM被盗是因为存储XEM的热钱包的私钥被黑客所窃取,但是没有其他币种被盗。受此事件影响,XEM当天下跌9.8%。
(2)2月11日,意大利加密货币交易所BitGrail被攻击,价值1.7亿美元的加密货币NANO被盗。
(3)3月7日,Binance遭到黑客入侵,黑客通过控制币安部分账户,卖出这些账户持仓的比特币,买入VIA币,导致VIA逆市大涨。币安将异常交易进行了回滚处理,但此事件依然引起市场恐惧,随后几天比特币跌幅超过15%。
(4)4月1日,Bit-Z遭遇黑客攻击,未造成资金损失。为此 Bit-Z专门设立了10000个ETH安全基金,用于奖励安全漏洞提交者。这笔奖励在当时价值400万美金。
(5)4月13日,印度三大比特币交易所之一Coinsecure在官网发布公告称,该交易所438个BTC失窃,价值约330万美元。该交易所首席安全官Amitabh Saxena被列为嫌疑人。这是印度最大的加密货币被盗事件。
(6)6月5日,Bitfinex遭到“拒绝服务(Ddos)”攻击,Bitfinex随即暂停了交易所的所有交易。
(7)6月10日,韩国数字加密货币交易所Coinrail遭到黑客攻击,损失超过5000万美元。Coinrail加密货币总量的70%被保存在冷钱包,被盗总量的三分之二已被追回。
(8)6月20日,韩国加密货币交易所Bithumb被黑客攻击,价值3000万美元的加密货币被盗,这是Bithumb第三次被黑客攻击。
此前,该交易所还遭受了两次“黑客攻击”。
第一次:2017年4月,Bithumb某员工电脑被黑,导致超过3万名用户的资料被窃,Bithumb也因此被韩国监管机构罚款5.5万美元。
第二次:2017年12月22日,韩国MBC电视台雇佣了一家安保公司,对包括Bithumb在内的5家韩国交易所进行安全测试。该安保公司成功“黑入”包括Bithumb在内的5家交易所,并获取了部分用户数据和资金。受雇“黑客”声称仅使用了“基本的黑客技巧”。
但是,安全问题并未引起交易所足够重视,这才导致了2018年6月份的黑客事件发生。
(9)9月20日,日本数字货币交易所Zaif宣布遭受黑客攻击,损失5967万美元。其中1959万美元属于该交易所自有资金,其余4007万美元属于客户资金。
同样,智能合约、公链、钱包、Dapp的安全事件也是层出不穷,据统计2018年区块链大型安全事件数量超过130多起(平均3天一起),区块链用户和项目方们纷纷沦为全球30万黑客的“提款机”。
区块链世界安全还需要多少「门头沟事件」
2018年在“熙熙攘攘”的区块链安全攻防战中结束了。黑客出于利益频繁进攻,白帽子守于道义严加防守,双方比拼谁先找到漏洞。安全事件频发却侧面反应了这个领域受到了前所未有的关注,全球范围内也涌现了越来越多的区块链安全公司。
如果每次区块链世界的安全意识提升,都需要一次甚至多次的「门头沟事件」,那代价太大了区块链世界又经得起多少次「门头沟事件」?
区块链世界在未来充满了未知和变数,可以预见的是2019年,安全的攻防大战会继续上演,且会愈演愈烈。
*本文作者:BUGX,转载请注明来自FreeBuf.COM