被盜or監守自盜?雖然原因並不明晰,但結果已成定局。Upbit確認資產損失,34.2萬ETH被轉出,交易所將承擔損失。
覆盤—從大額轉賬異動到確認34.2萬ETH損失
據慢霧情報消息,11月27日下午12點6分,342,000 個 ETH 從 Upbit 錢包轉至未知錢包地址,11 億個TRX、 863 萬個 EOS、872 萬個 XLM 等加密貨幣從 Upbit 錢包轉至其他錢包地址,總計價值超 1 億美元。
隨後Upbit發出服務器檢查公告。
對於Upbit大額轉賬情況,業界相關人士表示,交易所是否被黑或者交易所把加密貨幣轉至冷錢包還沒有確定,一般而言交易所轉移大筆加密貨幣資產時會提前通知給用戶,社群推測此次轉移是被黑客攻擊。而韓國網絡振興院(KISA)等監管機構也對Upbit是否遭到黑客攻擊進行調查。
隨後,Upbit公告稱:11月27日12:06,342,000 ETH(約580億韓元)從Upbit以太坊熱錢包轉移到一個未知錢包,為了保護用戶資產,Upbit將用自己的資產彌補342,000 ETH的損失,同時,熱錢包中所有加密貨幣均已轉移到冷錢包中。預計至少需要兩個星期才能恢復充值和提款。其中只有這一交易是異常交易,其餘的大規模交易則是將所有加密資產轉移到冷錢包。
公告發出後,Dovey Wan發佈微博稱,Upbit 確認又又又被盜了… CEO已經出來道歉了。34萬個以太被盜,好消息是,Upbit會全額賠款。
隨後也推測指出,Upbit 今天下午將大量資產轉移到 Bittrex 可能是為了防止黑客進一步攻擊,保全交易所未轉出的資產。
不過,Twitter 博主 Joseph Young 表示,「公告未見黑客攻擊一詞,由此可見很有可能是內鬼」。
影響—被盜or監守自盜?交易所安全何去何從
Upbit此次34.2 萬ETH損失如何造成?是被盜還是內鬼?其他小交易所是否會遭遇同樣的攻擊?金色財經就此採訪了慢霧安全團隊和成都鏈安。
慢霧安全團隊懷疑 Upbit 損失的34.2 萬 ETH 可能和之前一直在活動的 APT(高級持續性威脅)攻擊有關,這種攻擊的特點是長期潛伏,直到碰到可操作的大資金,一次性大筆盜走。因為年初 Upbit 就發現來自朝鮮的這類攻擊行為。不過被盜的是 Upbit 的ETH 熱錢包。冷錢包應該暫無風險。同時,慢霧安全團隊也指出,不能排除內鬼可能性。
成都鏈安安全團隊分析,UpBit交易所被盜有可能是存儲熱錢包私鑰的服務器受到攻擊導致私鑰被盜或交易簽名服務器受到攻擊而不是控制熱錢包API轉賬的服務器被黑,從轉賬的交易(hash為0xa09871A******43c029)來看,該黑客或者團伙是一次性轉走當時賬戶裡所有的錢,並沒有做多餘的操作,後續又有用戶充值大約3700左右的eth進UpBit交易所,現交易所已將該筆資產與地址剩餘資產轉移至交易所控制的地址0x267F7*******0a8E319c72CEff5。
從目前已知的情況分析,UpBit交易所可能遭到魚叉釣魚郵件、水坑等攻擊手法,獲取到交易所內部員工甚至高管的PC權限後實施的進一步攻擊。並且,有消息報道曾有朝鮮黑客於5月28日使用網絡釣魚手法通過電子郵件向Upbit交易所用戶發送釣魚郵件進行網絡攻擊。
同時成都鏈安也認為,從目前的的情況來看不排除監守自盜的可能性,但在沒有確切消息的前提下,不好做進一步分析。
而對於此事是否會引發其他小交易所連帶攻擊,慢霧安全團隊也指出,一般大平臺容易被盯上,因為存放的資金較多。 成都鏈安指出,確實有可能黑客會用類似的方法去測試其他交易所,其他交易所應及時做好安全防範工作,確保私鑰文件的安全性。並做好員工的安全意識培訓工作,提高整個交易所繫統的安全性。
交易所作為行業中的“特殊節點”,攻擊收益巨大,極易成為黑客攻擊的目標。交易所一旦被攻破,黑客就可以輕易盜取資金、篡改交易,甚至直接操縱市場,對交易所造成巨大的經濟和名譽損失。事實上,不論是技術安全、業務安全、商業安全、合規性安全等方面,交易所安全問題已經引起全行業重視,交易所本身也應承擔起相應的系統安全升級、遵守商業規範等責任。
閱讀更多 雲霧風景 的文章
