ISS:被盜10億元、泄露上億條信息——交易所安全危機下BISS幣市為何從未失守

“知丈之堤，以螻蟻之穴潰；百尺之室，以突隙之熾焚。”

——《韓非子·喻老》

安全漏洞之于加密貨幣交易所，就像蟻穴之于長堤，星星之火之于木屋，一旦疏忽就可能功虧一簣。

在交易所與黑客之間曠這場曠日持久的“暗戰”中，交易所時刻如履薄冰。即便這樣，2019年上半年以來，交易所被盜事件依舊頻繁發生。全球范圍內，知名交易所丟幣與信息泄露事件就有14起，被盜金額超過1.4億美金，超過1億條用戶信息遭到泄露。

服務器故障、釣魚鏈接、安裝包后門、API秘鑰與2FA代碼泄露、交易所底層漏洞、交易所二次審查漏洞、內部員工泄密等等，這些也許你根本沒聽到過的名詞，都有可能讓交易所瞬間陷入破產邊緣。

發生在8月23日的亞馬遜旗下AmazonWebServices(AWS)緩存系統問題就是最鮮活的反面案例，該事件導致眾多交易所交易出現充提幣業務受阻、價格異常，也讓一些交易所因此蒙受損失。有網友表示，”以0.3美元成交了40多枚BTC“，戲稱“暴富就在5分鐘完成”。

交易所面對這些強大的“黑暗勢力”的威脅又該如何應對？目前加密世界的安全形勢究竟又是怎樣的？BISS交易所又是如何規避這些風險的？

1、14起黑客事件，損失近10億

“交易所漏洞很多，它們不太注重安全。通常情況下，9成漏洞是在沒有意識的情況下暴露的，而現在交易所的漏洞，9成是因為配置不當造成的。數字貨幣領域的交易所，幾乎都存在在大大小小的安全漏洞。”

數據：上半年約11億美元被盜資金轉至Tornado Cash，占Web3損失總額60%:8月9日消息，Beosin統計數據顯示，2022年上半年，大約11.407億美元的被盜資金被黑客轉移到Tornado cash，占Web3損失總額的60%。[2022/8/9 12:11:50]

近期，以擅長挖掘交易所漏洞著稱的白帽黑客Chris_L在DVP大賽上這樣說道。按照Chris_L的說法，加密貨幣交易所安全問題仍然十分嚴重，大多數漏洞都是交易所在“配置不當”導致的。

大量出現的交易所安全事件印證了Chris_L的說法。2019年上半年以來，知名交易所丟幣與信息泄露事件就有14起，被盜金額超過1.3億美金，超過1億條用戶信息遭到泄露。

通過觀察業已發生的交易所安全事件，可將這些盜幣事件分為三類：一類是平臺自身的技術風控防御系統缺陷，黑客利用安全漏洞入侵平臺偷盜數字貨幣；第二類是平臺安全教育不到位，內部人員操作不當導致黑客入侵內部系統；第三類是交易所泄露客戶信息，特別惡劣情況下，甚至出現惡意買賣個人信息現象。

對弈第一種安全事件而言，黑客一般利用釣魚鏈接、API秘鑰與2FA代碼泄露、交易所底層漏洞、交易所二次審查漏洞等等方式盜幣。

以2019年5月份某知名交易所被盜7047枚比特幣為例，由于交易所本身安全漏洞，導致黑客能夠獲得大量用戶API密鑰與2FA代碼，在比特幣區塊高度575012處從交易所熱錢包中盜取了7074枚BTC。按照當時比特幣價格6000美金計算，這筆資產價值超過4000萬美金。

安全公司：illogicsNFT Discord兩名團隊成員的Discord賬戶被盜:4月21日消息，BlockSec告警系統于4月21日下午4點20分發現@illogics discord 被黑客入侵,原因是兩名團隊成員的 Discord 帳戶被盜,攻擊者冒充管理員發布虛假mint鏈接，BlockSec建議檢測授權情況并及時刪除授權。[2022/4/21 14:39:10]

今年6月份凌晨，黑客利用某交易所風險控制團隊二次審查過程中的一個漏洞，攻擊進入交易所熱錢包，將930萬XRP和250萬ADA盜走。這些加密貨幣在價值300萬美金。

除此之外，交易所安全教育不到位，也有會導致安全事件。

今年3月末，某交易所客服從陌生人處獲取并打開了一個帶有后門的“交易軟件”安裝包，攻擊者通過此安裝包內后門獲取內部人員權限滲透進內網進而成功獲取數字貨幣錢包私鑰。此次攻擊導致交易所損失財產超過600萬美元。對交易所幾乎造成了毀滅性打擊。

除了以上，近期交易所信息泄露事件也逐漸增多。

2、上億條信息泄露，信息安全迫在眉睫

2019年以來，逐漸增多的交易所客戶信息泄露事件越成為人們日益關注的焦點。從白帽黑客Chris_L近兩年挖掘的交易所漏洞的對比，可以看到，信息泄漏類的漏洞占比顯著提高，從2018年的15.6%上升至2019年的27.3%。

近期出現的交易所信息泄露事件，也充分印證了這個現狀。

今年7月24日，專注于虛擬私人網絡的網站vpnMentor發現，某家數字貨幣貸款平臺超8600萬條用戶私人數據被盜，其中包括完整的個人身份信息、信用卡號碼和信用卡驗證值、銀行賬戶信息，以及用戶加密錢包和交易的詳細數據。

庫幣被盜ERC20代幣已通過Uniswap交易266ETH:北京鏈安Chainsmap監測系統發現，截止北京時間今天下午5點，庫幣交易所被盜的ERC20代幣已經通過Uniswap交易獲利約266ETH。據北京鏈安鏈上安全專家SXWK介紹，今天涉案地址主要轉出了OCEAN、ORN、KAI三種ERC20代幣，部分經過中間地址跳轉后分配到三個地址，目前已經通過Uniswap交易的是OCEAN。

SXWK表示，通過DEX進行交易看似規避了中心化交易所的監管措施，但是它畢竟是幣幣交易，交易獲得的ETH依然存在一個接下來的處置問題。本次交易后，涉案者便將其中的118.6 ETH轉到了一個新的地址。[2020/9/27]

時隔一日，7月25日，瑞典加密貨幣交易所QuickBit發布聲明稱，其數據庫問題導致部分用戶敏感數據被泄露。曝光的信息包括姓名、地址、電子郵件地址和信用卡信息，涉及用戶數量占交易所用戶總數的2%。

在不到一個月之后，8月7日，幣安交易所發生了“KYC”事件。

事件爆發之前，幣安收到一位不明用戶威脅，要求幣安以300個比特幣的籌碼，換取他聲稱掌握的關于Binance的1萬個KYC信息。在沒有馬上拿到勒索款后，8月7日，Telegram備注名為“GuardianM”的用戶開始向公眾和媒體傳播相關信息。目前該事件并沒有下文。

當然，近期用戶頻繁收到打著各大交易所名義給用戶打電話、加微信的現象，也充分說明交易所信息泄露并不是個別現象。

頻繁發生的交易所信息泄露事件，讓眾多投資者不堪其擾，各出奇招應對。

北京檢察機關依法批捕比特幣被盜案犯罪嫌疑人:北京市海淀區某互聯網公司運維工程師仲某在進行日常維護時，利用職務便利，通過使用管理員權限插入代碼以修改公司服務器內應用程序，盜取公司100個比特幣。海淀區檢察院日前以涉嫌非法獲取計算機信息系統數據罪對仲某批準逮捕。[2018/3/26]

“我弄了幾張嶄新的手機卡，準備每張手機卡注冊一家交易所，做好標記封存起來，看看誰會賣掉我的信息。”某位幣圈資深投資者在微博上這樣說道。

出現這些戲現象背后的原因究竟是什么？

3、交易所安全漏洞的根本原因

“的確遇到了很多困難，但是最大的困難還是技術人才的匱乏。經常開玩笑說我們是一邊造飛機，一邊招工匠，而且招來的的工匠以前還是造汽車的。”

擁有騰訊云平臺和某大型券商核心系統的架構設計經驗，同時也是BISS交易所技術負責人王飛，在談到交易所開發過程中所遇到的最大的困難時，這樣“吐槽”道。按照王飛的說法，人才匱乏是交易所面臨的最大問題，安全崗位更是如此。

從整個互聯網情況來看，過去幾年安全人員的復合增長率約為6%，但需求的增長實際上是15%。到2021年，全球大概會有350萬個安全崗位無法被填滿，其中存在很大的缺口。從區塊鏈行業角度來看，更是如此。新的區塊鏈項目超過萬家，但是真正提供安全服務的企業不到50家，供不應求。

"我認為交易所是一個50%金融30%互聯網20%區塊鏈組成的系統，然而金融和互聯網似乎又總是存在一個不可調和的方向性矛盾，所以最終我們轉向找優秀的人，聰明的人然后快速培養成需要的人。”針對交易所人才匱乏問題，王飛給出了自己的解決方案。

日本交易所CoinCheck部分被盜的XEM可能在暗網被轉換成比特幣:據日經新聞報道，日本交易所CoinCheck部分被盜的XEM可能在暗網被轉換成比特幣。或有至少數百萬日元的XEM被轉換。目前警視廳正在監視網站，以便調查相關人員。[2018/2/9]

“這個策略到目前為止是有效的，我們的團隊里面背景五花八門，但是每個人都各有所長，能夠和團隊內其他人形成互補。"王飛說道。

當然，人才匱乏只是導致交易所安全問題的一個方面。交易所之所以容易被盜，還有其它方面的原因導致：

一、交易所安全投入不足：有的交易所圖省事，代碼是買來的，又沒有投入足夠的人力財力對代碼進行安全審計，導致交易所漏洞百出。

二、交易所安全意識不足：眾多項目在生態和技術擴展上沒有把構建完整的安全防護體系作為首要的任務。表現在很多交易所的工作人員沒什么安全意識，隨便下載未知來源的軟件等等。發生在2018年韓國交易所Bithumb被盜事件之后，韓國信息通訊部和互聯網振興院發現了21家交易所大部分存在完全問題，也很能說明這個問題。

三、黑客犯罪成本低：加密貨幣是完全獨立于銀行系統之外的網絡財富，一旦被黑客盜竊，除非數額巨大，否則很難受到法律保護，很渴犯罪成本低。

四、加密貨幣的特殊性：加密貨幣一旦丟失，黑客通過錯綜復雜的洗錢操作之后，很難追回。

信息泄露背后，手機號、郵箱、銀行卡號、省份證信息等都成為黑市有價商品。而交易所漏洞，則將投資者財產置于危險境地。那么針對這些安全隱患，交易所到底應該怎么做？

4、從技術上解決問題，才是王道

BISS交易所自從BISS上線以來，未發生任何一起丟幣、泄露客戶信息事件，那么，面對日益嚴重的交易所信息泄露事件，BISS交易所又是如何做到的？

“BISS交易所將所有的用戶信息置于自己的服務器上。所有對這些數據的訪問，都遵循最小權限原則，即每個程序或管理員的權限精確到每種數據類型，所有對資產數據的寫入操作都將被拒絕，必須通過內建的存儲過程來操作。”王飛說道。

對于像秘鑰、驗證碼這樣的客戶敏感數據，都被存儲在HSM可信區內生成和存儲，這些敏感數據根都被用戶自己持有的密碼保護。所有離開機房的用戶數據，都會被脫敏處理，存儲設備將會被多次消磁處理。

“有了以上保護措施，即使BISS系統管理員也沒有權限更改和重置這些數據。“在總結BISS交易所的客戶信息安全防范措施時，王飛這樣總結道

其次，對交易所而言，資產安全與信息安全同等重要，而交易所風控又與交易所資產安全緊密相關。那么BISS交易所又是如何做好風控體系的？

”以提現為例，今年上半年很多用戶都在吐槽‘自動提現那么簡單，很多更小的交易所都能支持，為什么你們不行？‘。其實，自動提現在技術上就是一個開關而已，但難的是’安全的自動提現‘。所以我們在BISS風控系統達到我們認為的安全極限之前，絕對不能自動審核提現。直到六月份，我們這個目標才完成。”王飛說道。

當然交易所自動提現是否開放只是交易所風控是否達標的一個方面。

在王飛看來，交易所的資金安全問題符合“短板理論”，即交易所是一個木桶，資金是桶里面的水，每個幣種就是一塊木板。當某個幣出現資金安全問題的時候，這塊木板就會變短，水就會順著這塊短板流出來。

所以對于交易所來說，任何單點風險都會導致系統性風險，對于一個同時支持上百個幣種和多種交易產品的交易所來說，風控系統必須在梳理清楚所有業務模型的前提下，實現主動或被動的分析與控制邏輯。在王飛看來，要想這個難度甚至超過原有系統的設計和實現，但是BISS一直都在朝這個方向努力。

BISS目前最大的風控力度放在了鏈上對賬風控，即實現系統內資產和鏈上資產的實時對賬，然后用我們自己的一套風控模型參數對對賬結果進行參數化控制和輸出，控制自動提現和其他多個資金下游業務。這個邏輯聽起來很簡單，但是兩邊的資產清算都存在大量分支和條件邏輯，系統調教會花費大量精力。為了結果的有效性，風控系統甚至不使用自己私有部署的區塊鏈節點，而從第三方瀏覽器爬取數據，以防止內部節點同時污染錢包系統和風控系統。

這種做法是最“簡單”，但也是最有效的，因為最終會導致交易所損失的，就是鏈上資產少于系統資產。不管是內部攻擊、外部攻擊、鏈上攻擊，都繞不開這一點。

除此之外BISS交易所系統內也設置了二次清算、交易資產回溯、敏感操作審計、資產操作陷阱等多個子風控模塊，應對可能發生的各種風險場景。

最后，針對今年3月份，Bithumb發生的疑似內部人員與黑客勾結盜取交易所資產事件，BISS又是如何應對這種現象的？

“我們內部把BISS的錢包方案叫做“無秘鑰”方案。基于全球Top1提供商的HSM硬件加密模塊二次開發而成，很巧妙的將私鑰分離成數據和算法兩部分分開管理。HSM保證了私鑰永遠不可能被讀取，算法程序一旦升級，所有秘鑰會被立即清除，必須重新授權恢復。”王飛介紹道。

也就是說，BISS的秘鑰不可能對外泄露。

但是，對于加密貨幣而言，與銀行資產最大的區別就是擁有唯一的秘鑰，BISS的秘鑰是如何內部保存的？

“BISS冷錢包和熱錢包其實是同構的，基于HSM提供的備份能力，將秘鑰分散到多張IC芯片卡內，每張卡片由保管人設置口令，超過半數的卡片即可恢復完整秘鑰。”

冷錢包秘鑰恢復后，HSM一但關機或重啟，秘鑰數據同樣會被立即清除，從根本上杜絕了任何泄露的可能。”

由于整套方案的設計實現使用了大量非常規的技術手段，對接起來異常繁瑣，導致我們的項目嚴重延期。團隊內我們經常開玩笑說，就算有人黑進我們的系統，并且獲得了所有設計資料，可能也需要兩個月才能把協議調通，因為我們自己也花了這么長時間。“王飛總結道。

——————

對加密貨幣交易所而言，與黑客之間的對抗就是一場沒有硝煙的戰爭、沒有退路的攻守道，任何一次防守失敗都有可能導致“千里之堤，潰于蟻穴”。

對交易所而言，風控安全不可“畢其功于一役”，而是時刻保持“枕戈待旦，如臨大敵”。

Tags：ISSBIS加密貨幣比特幣Block Ape Scissorsbiso幣代幣總量加密貨幣市場還有未來嗎買比特幣賺了500萬存到銀行卡違法嗎

以太坊交易所