“我一個北大長我一屆的老哥們兒, 幾年前和他一個同學一起以幾毛錢一個的價格, 買了兩萬個比特幣, 當時他倆為防對方單獨買賣,
近幾年, 隨著虛擬貨幣價格的逐漸攀升, 火熱的行情著實讓駭客們垂涎不已, 入侵與盜竊事件的發生也在這幾年逐年增多。
就在上周, 日本最大的加密貨幣交易所之一Coinchek, 發表公告稱, 由於公司所持有的NEM(新經幣)非法匯往境外, 導致公司的虛擬貨幣兌換服務部分功能緊急暫停。
隨後該交易所于深夜在東京證交所舉行新聞發佈會, 在向用戶道歉的同時, 承認了由於受到駭客的攻擊, 導致時價580億日元、約合5.33億美元的虛擬貨幣“新經幣”全數被盜。
這是繼2014年Mt.Gox(業內稱為門頭溝)破產事件後, 虛擬貨幣史上最大的駭客盜幣事件。
安全級別過低
新經幣是一款與比特幣、乙太坊、萊特幣等類似的虛擬貨幣, 如果按體量來算目前排名第八位。
在新聞發佈會上, Coincheck表示, 雖然不知道駭客到底是通過何種途徑盜走了5.33億美元的新經幣,
而致使駭客能夠輕易從Coincheck眼皮底下將巨額新經幣盜走的原因, 卻是因為其防護水準和安全級別過低。
通常情況下, 客戶的資金都會被存放在“冷錢包”中, 即秘鑰進行離線保存, 物理隔離以保證資金安全。 但是由於新經幣“系統性困難”的特殊性, 導致其只能被保存在聯網的“熱錢包”中。
這就意味著, 新經幣時刻暴露在互聯網中, 面臨著駭客的攻擊。
除了安全級別被指過低以外, Coincheck交易所的資質也受到了外界的質疑。
在盜竊事件發生之前, Coincheck交易所一直在電視上對自己進行廣告宣傳, 然而, 其身為虛擬貨幣交易商的身份, 卻一直沒有受到法律的承認與保護。
Coincheck成立於2012年, 2014年開始交易所業務, 但是2017年4月, 日本為了保護虛擬貨幣參與者利益, 實行了虛擬貨幣交易所登錄制。
儘管據律師堀天子一再強調, Coincheck自己已經在去年9月底按要求完成虛擬貨幣交易商申請註冊, 但到目前為止, 申請尚未被接受。
在沒有官方承認之下, 就已經大肆打出電視廣告, 在日本來說, 是一件比較嚴重的事情。
負責到底
在駭客襲擊事件宣佈後的幾個小時內, 新經幣的開發團隊就公開表示, 已經針對此次事件創建了一個自動標籤系統, 用於追蹤被盜資金。
有人提出通過硬分叉技術來找回用戶在Coincheck中被盜的資金。 但是新聞發佈會結束後不久, 新經幣代表及其開發團隊就對這種做法提出了反對意見。
他們表示, 如果資金是由於新經幣的區塊鏈缺陷導致被盜的, 那麼通過硬分叉技術, 被盜資金可能能被找回。 但是, 此次事件的起因是Coincheck安全措施不到位, 區塊鏈並未存在任何問題, 因此新經幣的開發團隊反對採取硬分叉措施。
這套系統也很簡單, 所有從Coincheck被盜轉出的新經幣, 此後轉帳流經的所有位址, 都會被監控, 這些位址後面都會與交易所對接, 一旦交易所發現有人轉過來要變現了, 可以立馬凍結, 意味著雖然到手了也沒辦法大量出貨。
同時, Coincheck交易所強調會繼續經營, 將會對被盜金額的90%進行賠償, 一共則需要賠償463億日元, 約合4.25億美元。
Coincheck選擇負責到底, 而不是像4年前Mt.Gox一樣宣佈破產, 由於平臺及時發聲和補償措施, 使得盜幣事件沒有對新經幣造成負面影響。
Mt.Gox監守自盜
與其他國家對虛擬貨幣始終保持謹慎態度不同的是,日本不僅是全球唯一擁有嚴格的數位貨幣交易許可程式的國家,也是目前世界上最大的數位貨幣交易市場,那麼在這種情況下,駭客盜幣則成為了繼自身價格漲跌之外最大的安全風險。
相比Coincheck負責到底的態度,2014年日本加密貨幣交易所Mt.Gox的駭客盜幣事件,則是虛擬貨幣行業至今的最大負面典型。
2014年2月,Mt.Gox聲稱被駭客竊取85萬個比特幣,其中,客戶被盜75萬個,平臺自己被盜10萬個,這些比特幣當時價值約為4.8億美元。同時,Mt.Gox保管客戶存款的帳戶餘額也少了28億日元。
此後,Mt.Gox稱由於比特幣和存款丟失,導致負債激增,不久便宣佈破產倒閉。
由於當時Mt.Gox是全球最大的比特幣交易所,交易量佔據當時全球近80%。所以,Mt.Gox破產對全球的比特幣行業造成了巨大的影響,很多投資者至今沒能從傷痛中走出。
但不久後,就有媒體曝出,這很可能是監守自盜。《日本經濟新聞》稱,日本檢方的起訴書顯示,Mt.Gox的CEO Karpeles從管理客戶資金的公司名下帳戶將合計約3.21億日元資金匯至外部帳戶,存在侵佔等行為。如果Karpeles挪用款項罪名成立,將被處以最高5年的監禁和4000美元的罰款。
在Mt.Gox醜聞後,日本通過了一項法案,規定所有的虛擬貨幣交易必須由其金融服務機構監管。
而此次新經幣被盜後,1月28日,《日經亞洲評論》稱日本三菱UFJ信託銀行正在準備推出數位幣信託服務,保護加密貨幣持有者在交易所倒閉或被黑之後的權益。
時至今日,Coincheck依舊沒有辦法對盜幣的具體細節向公眾進行說明,但有Mt.Gox醜聞在前,加之如此巨大數額的虛擬貨幣被輕易盜竊,難免讓人浮想聯翩。
區塊鏈真的完美無缺?
說到虛擬貨幣的安全問題就要說到區塊鏈技術,包括銀行級使用者資料加密、動態身份驗證、多級風險識別控制、錢包多層加密,離線冷存儲等,就這幾點而言已經是一個交易所安全問題的最基本配備。
隨著前不久天使投資人徐小平的振臂一呼,“區塊鏈革命已經到來,這是一場順之者昌,逆之者亡的偉大技術革命”,區塊鏈終於在2018年的冬日裡迎來了春天,並且熱得發燙。
如果說此前包括Mt.Gox在內的盜幣事件還是由於幾年前區塊鏈技術不夠成熟尚存缺陷所導致,那麼如今區塊鏈是否已經發展到能夠與這股風口熱潮相匹配的程度。
雖然新經幣團隊聲明表示這次盜幣事件僅僅是因為Coincheck平臺自身安全能力不足,與新經幣區塊鏈無關,但是區塊鏈真的已經完美無缺?
此前,駭客利用代碼漏洞和平臺單純採取熱存儲的漏洞進行入侵,反映了區塊鏈技術也存在漏洞,並非是完美無缺。
有分析人士表示,雖然區塊鏈網路對傳輸、存儲中的資料進行了增強式加密措施,但這些加密資料是可以隨意解碼和解密。
未來隨著量子通信的發展,任何指數級的增強式加密措施都無法永久對抗量子計算技術的超級解密能力。
因此,區塊鏈網路中的加密資料也可以被破解,可能導致發生鏈上交易詐騙、憑據失竊、金鑰竊取、資產盜竊等現象。
同時,區塊鏈上的資訊具有不可篡改性,這是以私密金鑰安全為前提的。目前普遍採用的私密金鑰存儲方案是由區塊鏈系統中每個使用者自行將私密金鑰加密後保管在使用者設備上,但是無法抵抗攻擊者在獲取使用者設備後對其使用的離線字典攻擊,因此區塊鏈面臨私密金鑰被竊取的風險,私密金鑰一旦丟失即無法找回,用戶將無法對帳戶資產做任何操作,導致資產被盜。
後續
加密貨幣市場愈演愈烈,越來越多的加密貨幣如雨後春筍一般不斷的出現,但是相應的監管和安全管理措施卻沒有隨之到位,這也讓不少投資者擔憂,同時,由於加密貨幣背後的區塊鏈技術屬於新興技術,相應的人才和技術人員也是極度匱乏,不論從技術本身的完善與推進還是相關人才的培養,都是在未來,虛擬貨幣安全最根本的支撐。
同時,區塊鏈的技術優勢為其帶來了良好的發展前景,作為一項新興技術,在其技術和應用的發展過程中,關注區塊鏈存在的各種風險,如何通過技術和管理手段加以應對,如何挖掘和完善新技術的優勢並不斷破除安全局限,讓其能夠與這股熱潮相匹配,並繼續持續發展下去,也許正是下階段需要思考的問題。
截至發稿,Coincheck宣佈已經成功追蹤到失竊贓款的流向,在案發當天,所有被盜新經幣都以不同管道匯款至同一帳戶。
從匯款記錄來看,基本已經可以對嫌疑人的帳戶進行鎖定,屆時事件必定會有新的進展。
使得盜幣事件沒有對新經幣造成負面影響。Mt.Gox監守自盜
與其他國家對虛擬貨幣始終保持謹慎態度不同的是,日本不僅是全球唯一擁有嚴格的數位貨幣交易許可程式的國家,也是目前世界上最大的數位貨幣交易市場,那麼在這種情況下,駭客盜幣則成為了繼自身價格漲跌之外最大的安全風險。
相比Coincheck負責到底的態度,2014年日本加密貨幣交易所Mt.Gox的駭客盜幣事件,則是虛擬貨幣行業至今的最大負面典型。
2014年2月,Mt.Gox聲稱被駭客竊取85萬個比特幣,其中,客戶被盜75萬個,平臺自己被盜10萬個,這些比特幣當時價值約為4.8億美元。同時,Mt.Gox保管客戶存款的帳戶餘額也少了28億日元。
此後,Mt.Gox稱由於比特幣和存款丟失,導致負債激增,不久便宣佈破產倒閉。
由於當時Mt.Gox是全球最大的比特幣交易所,交易量佔據當時全球近80%。所以,Mt.Gox破產對全球的比特幣行業造成了巨大的影響,很多投資者至今沒能從傷痛中走出。
但不久後,就有媒體曝出,這很可能是監守自盜。《日本經濟新聞》稱,日本檢方的起訴書顯示,Mt.Gox的CEO Karpeles從管理客戶資金的公司名下帳戶將合計約3.21億日元資金匯至外部帳戶,存在侵佔等行為。如果Karpeles挪用款項罪名成立,將被處以最高5年的監禁和4000美元的罰款。
在Mt.Gox醜聞後,日本通過了一項法案,規定所有的虛擬貨幣交易必須由其金融服務機構監管。
而此次新經幣被盜後,1月28日,《日經亞洲評論》稱日本三菱UFJ信託銀行正在準備推出數位幣信託服務,保護加密貨幣持有者在交易所倒閉或被黑之後的權益。
時至今日,Coincheck依舊沒有辦法對盜幣的具體細節向公眾進行說明,但有Mt.Gox醜聞在前,加之如此巨大數額的虛擬貨幣被輕易盜竊,難免讓人浮想聯翩。
區塊鏈真的完美無缺?
說到虛擬貨幣的安全問題就要說到區塊鏈技術,包括銀行級使用者資料加密、動態身份驗證、多級風險識別控制、錢包多層加密,離線冷存儲等,就這幾點而言已經是一個交易所安全問題的最基本配備。
隨著前不久天使投資人徐小平的振臂一呼,“區塊鏈革命已經到來,這是一場順之者昌,逆之者亡的偉大技術革命”,區塊鏈終於在2018年的冬日裡迎來了春天,並且熱得發燙。
如果說此前包括Mt.Gox在內的盜幣事件還是由於幾年前區塊鏈技術不夠成熟尚存缺陷所導致,那麼如今區塊鏈是否已經發展到能夠與這股風口熱潮相匹配的程度。
雖然新經幣團隊聲明表示這次盜幣事件僅僅是因為Coincheck平臺自身安全能力不足,與新經幣區塊鏈無關,但是區塊鏈真的已經完美無缺?
此前,駭客利用代碼漏洞和平臺單純採取熱存儲的漏洞進行入侵,反映了區塊鏈技術也存在漏洞,並非是完美無缺。
有分析人士表示,雖然區塊鏈網路對傳輸、存儲中的資料進行了增強式加密措施,但這些加密資料是可以隨意解碼和解密。
未來隨著量子通信的發展,任何指數級的增強式加密措施都無法永久對抗量子計算技術的超級解密能力。
因此,區塊鏈網路中的加密資料也可以被破解,可能導致發生鏈上交易詐騙、憑據失竊、金鑰竊取、資產盜竊等現象。
同時,區塊鏈上的資訊具有不可篡改性,這是以私密金鑰安全為前提的。目前普遍採用的私密金鑰存儲方案是由區塊鏈系統中每個使用者自行將私密金鑰加密後保管在使用者設備上,但是無法抵抗攻擊者在獲取使用者設備後對其使用的離線字典攻擊,因此區塊鏈面臨私密金鑰被竊取的風險,私密金鑰一旦丟失即無法找回,用戶將無法對帳戶資產做任何操作,導致資產被盜。
後續
加密貨幣市場愈演愈烈,越來越多的加密貨幣如雨後春筍一般不斷的出現,但是相應的監管和安全管理措施卻沒有隨之到位,這也讓不少投資者擔憂,同時,由於加密貨幣背後的區塊鏈技術屬於新興技術,相應的人才和技術人員也是極度匱乏,不論從技術本身的完善與推進還是相關人才的培養,都是在未來,虛擬貨幣安全最根本的支撐。
同時,區塊鏈的技術優勢為其帶來了良好的發展前景,作為一項新興技術,在其技術和應用的發展過程中,關注區塊鏈存在的各種風險,如何通過技術和管理手段加以應對,如何挖掘和完善新技術的優勢並不斷破除安全局限,讓其能夠與這股熱潮相匹配,並繼續持續發展下去,也許正是下階段需要思考的問題。
截至發稿,Coincheck宣佈已經成功追蹤到失竊贓款的流向,在案發當天,所有被盜新經幣都以不同管道匯款至同一帳戶。
從匯款記錄來看,基本已經可以對嫌疑人的帳戶進行鎖定,屆時事件必定會有新的進展。