9月20日清晨,新加坡加密貨幣交易所 BingX確認發生安全事故,據官方稱只造成「小量資產損失」。不過,有專家早已警告該事故最快可能令數百萬美元資產被盜。其實,這並非近年首宗大型加密貨幣交易所被黑事件。
隨著市場規模膨脹,相關風險亦急劇上升。黑客鎖定中心化的加密貨幣交易所作目標,因這些平台是數碼資產世界的入口,持有數以十億美元計的用戶資金,就如傳統銀行過往曾吸引網絡罪犯一樣。加密貨幣本身是去中心化,但不同交易所安全防護參差不齊,結果帶來了貨幣歷史上數宗最大宗財富失竊案。
這些日益頻繁的交易所黑客事件揭示了一個重要事實:區塊鏈技術固然以安全見稱,但用戶儲存與交易資產的平台仍然容易成為攻擊目標。許多黑客事件往往源於安全協議漏洞、程式設計失誤,甚至員工疏忽。後果是數以百萬美元遭盜竊,嚴重打擊公眾信任,令人質疑加密貨幣如果基建不完善,能否普及應用。
在BingX醜聞發展期間,不妨一起細數過去數年十大最嚴重的加密貨幣交易所被黑案件,並分析相關技術漏洞、財務損失和業界得到的啟示。
1. Mt. Gox(2014年)——巨人的倒下
十年前,日本Mt. Gox交易所曾主宰比特幣交易市場,亦成為加密貨幣歷史上最著名的黑客事件現場。
巔峰時期,Mt. Gox佔全球逾七成比特幣交易。2014年2月突然宣布全面停擺,旋即申請破產,更披露有85萬枚比特幣被盜走,當時市值4.5億美元,按現時幣值計已經以十億美元計。即使十年過去,這宗故事依然觸目驚心。
攻擊持續多年,黑客長期利用Mt. Gox熱錢包及內部安全管理不善慢慢挖走比特幣。核心漏洞是交易驗證系統的「可變交易性」(transaction malleability),令賊人可篡改交易ID並成功騙取資產。其時行政總裁Mark Karpeles最終被捕及起訴盜竊。這宗事件成為行內警世故事,突顯了管理混亂及安全不足的危險性。部分失竊比特幣其後曾被尋回。
2. Coincheck(2018年)——5億美元NEM失竊案
2018年1月,日本Coincheck交易所被竊取超過5億美元等值的NEM(XEM)代幣。
NEM交易本應比比特幣複雜,需要多人批核,但遺憾地Coincheck大部份NEM只存放於「熱錢包」(即連線錢包,較易被黑)。黑客突破了Coincheck伺服器安全,取得熱錢包存取權限。 最大漏洞在於,Coincheck未有為這麼大量資產使用多重簽署錢包。盜賊得手後,迅速將NEM轉走,區塊鏈資料不可竄改,交易既然分散並不能逆轉。
雖然NEM公鏈透明助警方追查部分失物,但大部份資產依然下落不明。Coincheck最終自掏腰包賠償受影響用戶,事件更促使日本政府加強監管交易所。
3. Bitfinex(2016年)——多重簽署受考驗
2016年8月,規模甚大的Bitfinex交易所遇上黑客竊取12萬枚比特幣(當時約7,200萬美元)。
區塊鏈安全公司BitGo為Bitfinex提供了多重簽署錢包系統,但事件證明這套設計本身就藏有漏洞。
黑客入侵Bitfinex安全防線後,獲取熱錢包控制權。後來揭發,Bitfinex的密鑰管理及多重簽署設計程式存在安全錯誤,導致黑客可得手。
虧損金額及事件後續處理同樣值得關注。Bitfinex為彌補損失,創設BFX代幣讓用戶選擇交易或持有,等財政恢復時贖回。Bitfinex最終全數賠償受影響者,但今次事件令外界質疑中心化交易平台及多重簽署錢包的實際安全性。
4. Binance(2019年)——巨無霸亦難倖免
2019年5月,加密貨幣交易量數一數二大的Binance遭大規模黑客攻擊,7000枚比特幣(約4,000萬美元)被盜,成為業界焦點。
黑客用上釣魚網站、病毒及其他高端技術,盜取大量API密鑰、雙重認證(2FA)等用戶資料,一步步滲透入Binance核心系統。
今次事件突顯黑客行動高度有組織,成功於短時間內一次過轉走所有比特幣,並觸發警報。
Binance隨即暫停提款程序,啟動應急反應。幸好,平台受損資金全數由「SAFU用戶資產安全基金」承擔。
雖然Binance的安全系統曾被攻破,但平台機制令損失得以控制,並快速恢復運作。CEO趙長鵬於事後公開交代,有關攻擊証明無論規模多大也不能掉以輕心。
5. KuCoin(2020年)——2.75億美元失竊
2020年9月,新加坡KuCoin交易所被黑,約2.75億美元價值的以太幣、比特幣及ERC-20代幣被盜取。
熱錢包再次成為突破口,顯示大量資產放在線上的潛在風險。
今次黑客事件,除被竊金額外,KuCoin及時反應亦受關注。交易所火速聯同各項目方及區塊鏈業界合作,迅即凍結大量失竊資產,最終追回超過2億美元。
KuCoin今次危機處理反映,行內安全措施有進步,交易所可夥拍項目方協力阻截或追回失物。
然而,事件再度引發關注交易所中心化風險,業界亦明白加強熱錢包保安之重要。
6. NiceHash(2017年)——6,400萬美元礦池被黑
2017年12月,斯洛文尼亞加密貨幣礦池市場NiceHash遭黑手,4,700枚比特幣(當時值6,400萬美元)不翼而飛。
傳聞黑客或利用社交工程渠道,取得公司核心系統存取權限。
相對其他入侵,這次針對算力租賃平台,更顯另類。
NiceHash用戶原本出租算力賺取比特幣,最終損失慘重。之後平台一度全面暫停服務,並展開全面調查。
NiceHash其後全數賠償受害用戶,這宗事故強烈證明整個區塊鏈生態,包括礦池平台亦同樣容易受襲。
7. Liquid(2021年)——9,400萬美元遭竊
日本交易所Liquid於2021年8月被盜逾9,400萬美元比特幣、以太幣及其他加密貨幣。
黑客滲透熱錢包後,將Liquid資產轉至多個錢包。落意識到損失風險即時升高,交易所火速將部份資金移至冷錢包。
Liquid事後聯同其他平台合作,全面暫停所有提幣,希望追蹤失竊資產並盡力追回。雖然部分資金成功回收,但今次事件仍突顯熱錢包長期受攻擊威脅,以及實時資產保安的困難。
8. Cryptopia(2019年)——小巨人墜落
紐西蘭Cryptopia規模雖小,用戶卻相當擁戴。
2019年1月Cryptopia遭黑客入侵,被盜約1,600萬美元加密貨幣。事後平台全面停運並宣告倒閉。
由於Cryptopia財力有限,未能充分保障受害者利益,部分用戶終極損失所有持倉。調查揭發交易所內部管理及風險措施非常不足,安全偵測漏洞嚴重。
9. Zaif(2018年)——6,000萬美元失竊
2018年9月,日本Zaif加密貨幣平台遭入侵,約6,000萬美元比特幣、比特幣現金、MonaCoin被轉走。
for a while before anyone noticed.
有一段時間都無人發現。
In order to recoup some of its losses, Tech Bureau, Zaif's parent company, sold a controlling interest in the business to Fisco, another Japanese financial services provider. As a result of the hack, Zaif had to temporarily halt operations, and the Japanese government began to crack down harder on cryptocurrency exchanges.
為咗彌補部分損失,Zaif 嘅母公司 Tech Bureau,將公司嘅控股權賣咗俾另一間日本金融服務公司 Fisco。受黑客事件影響,Zaif 需要暫停營運,日本政府亦開始加強對加密貨幣交易所嘅監管。
10. Bitmart (2021) – The $150 Million Hot Wallet Breach
In December 2021, a huge hack happened at Bitmart, a bitcoin exchange that is known all over the world. Users' money worth almost $150 million was stolen in the attack.
2021年12月,全球知名比特幣交易所 Bitmart 發生大型黑客事件,黑客盜取咗用戶將近1.5億美元嘅資金。
Hot wallets for Binance Smart Chain (BSC) and Ethereum (ETH) tokens on the exchange were the weak spots that let the hack happen. The hackers were able to do anything they wanted with the cryptocurrency stored in Bitmart's wallets once they got their hands on the exchange's wallet keys.
交易所內部存放 Binance Smart Chain (BSC) 同以太坊 (ETH) 代幣嘅熱錢包成為咗漏洞,黑客一旦攞到 Bitmart 嘅錢包密鑰,就可以隨意操作所有存放喺 Bitmart 錢包入面嘅加密貨幣。
It was one of the attackers' more complex tricks that they set up automatic withdrawals for many tokens, such as Safemoon, Shiba Inu (SHIB), and others.
有啲黑客仲設置自動提取功能,一次過將 Safemoon、Shiba Inu (SHIB) 等多種代幣轉走,手法相當複雜。
The security company PeckShield was the first to notice the strange transactions and let everyone know about them. Soon after, Bitmart CEO Sheldon Xia confirmed the hack and stopped withdrawals and deposits on the site until they could assess the damage.
最早發現異常交易嘅係安全公司 PeckShield,佢哋率先公開事件。之後,Bitmart 行政總裁夏鎧(Sheldon Xia)證實咗黑客事件,並即時停止所有出入金交易,等公司可以評估損失。
Bitmart quickly told its users that they would pay for their losses out of their own pockets.
Bitmart 好快就話會用自家資金賠償用戶損失。
Like other hacks, the Bitmart hack brought attention to the major security problems that come with storing hot wallets. Anything that is always linked to the internet is open to attack.
同其他黑客事件一樣,Bitmart 呢次事件再一次凸顯咗熱錢包存放加密貨幣嘅安全風險。任何永遠連住互聯網嘅裝置,都好容易被攻擊。
There's more to it than that, though.
但唔止咁簡單。
Attacks like this one make people question how reliable centralized exchanges are and how well they can keep user cash safe.
類似嘅黑客事件亦令大家質疑中心化交易所嘅可靠性,究竟佢哋係咪真係可以保障到用戶資金安全。
Because of what happened, many people came to the conclusion that security needs to be tightened and cold wallet storage needs to become more popular so that similar problems don't happen again.
經過今次事件,好多人都認為安全措施需要加強,冷錢包存儲方式應該更加普及,先可以避免類似問題再次發生。