2023年9月20日凌晨,新加坡加密貨幣交易所 BingX證實出現安全漏洞。官方稱此次事件僅造成「少量資產損失」,但專家認為實際損失金額有可能高達數百萬美元。這並不是近年來唯一的大型加密交易所駭客案。
隨著市場規模迅速膨脹,潛在風險也隨之增加。駭客盯上中央化交易所,因為這些平台持有巨額用戶資金,對網路犯罪者而言猶如早期的銀行。加密貨幣本身去中心化,但各交易所安全等級不一,導致史上多起驚人的資金盜竊案。
交易所遭駭案的增加,顯示加密世界的一個重要事實:區塊鏈技術雖然以安全著稱,但用戶存放與交易資產的平台仍然容易受到攻擊。許多案件都是駭客利用安全協議漏洞、原始碼失誤或員工疏忽所致。數百萬美元的損失,不僅重創公眾信心,也令人質疑如果基礎建設得不到改善,加密貨幣是否能廣泛普及。
隨著 BingX 醜聞發酵,我們一起細看過去幾年十大加密貨幣交易所駭客案並討論技術漏洞、財務影響與學到的教訓。
1. Mt. Gox(2014)──巨人的倒下
日本Mt. Gox交易所曾是2010年代初比特幣交易的霸主,也是加密貨幣史上最著名的駭客案發生地。
全盛時期,Mt. Gox 處理全球超過70%的比特幣交易。2014年2月,其突然停止交易,引發市場恐慌。隨後公司宣佈破產,稱有85萬顆BTC(以當時市值4.5億美元計算)失竊。以現今幣值來看則是天文數字,即使過了十年仍讓人心有餘悸。
該攻擊持續多年,駭客利用公司熱錢包漏洞及內部安全管理不當,緩慢盜取比特幣。最大的問題在於交易驗證系統的「交易易變性」漏洞,使竊賊可修改交易ID並神不知鬼不覺轉走資金。
執行長 Mark Karpeles 最終被捕及指控盜竊。此案成為加密貨幣圈的警示,凸顯管理不善及安全不足的危險。部分被盜比特幣後來追回。
2. Coincheck(2018)──5億美元NEM竊案
2018年1月,日本交易所Coincheck遭駭,被盜超過5億美元的NEM(XEM)代幣。
雖然NEM交易本身比比特幣更複雜且需多重簽名確認,但Coincheck卻將大部分NEM存放於較易受攻擊的熱錢包。
駭客入侵Coincheck伺服器並取得熱錢包權限,且未採用多重簽名錢包是重大安全漏洞。駭客得手後將代幣轉往不同賬戶。由於NEM為去中心化,交易一旦完成便無法撤銷。
NEM區塊鏈的透明特性協助警方找回部分被竊資金,但很多資產依然下落不明。Coincheck最終以自有資金補償受害用戶,事件更促成日本政府加強交易所監管。
3. Bitfinex(2016)──多重簽名困局
2016年8月,Bitfinex遭駭,損失120,000顆比特幣(約7200萬美元)。
BitGo為Bitfinex提供多重簽名錢包,但這套系統最終遭駭客利用而破防。
後續調查發現,由於Bitfinex密鑰管理及多重簽名原始碼存有漏洞,導致駭客取得熱錢包控制權。
事件的財務影響與處理模式同樣受關注。Bitfinex發行BFX代幣償還受害用戶,允許他們交易或持有等待公司資金恢復。雖然Bitfinex最終賠償客戶,但該事件動搖市場對中心化交易所以及多重簽名錢包安全性的信心。
4. 幣安(Binance, 2019)──難以忽視的巨大目標
2019年5月,全球交易量最大之一的幣安遭遇重大駭客事件,被盜7,000 BTC(約4,000萬美元),在業界掀起軒然大波。
駭客結合釣魚、病毒等高級手法,取得大量用戶API金鑰、2FA驗證碼及相關內部資訊。
這次駭客手法極其縝密,在短時間內完成大量BTC提現並觸發警報。
幣安當機立斷暫停提現,立即啟動緊急應變措施。幸運的是,損失由「用戶資產保障基金」(SAFU)全額承擔,用戶未遭受損失。
儘管安全機制一度被突破,幣安仍憑藉其恢復力快速處理危機,執行長趙長鵬事後公開說明事件。這起事件證明再強的交易所也無法完全杜絕新型網路攻擊。
5. KuCoin(2020)──2.75億美元大盜案
2020年9月,新加坡交易所KuCoin遭駭,約2.75億美元的以太坊、比特幣及ERC-20代幣失竊。
又一次,熱錢包成為系統漏洞,凸顯大量資產上線存放的風險。
除了被竊金額龐大,KuCoin應變速度亦引人注目。平台快速聯絡各項目團隊與區塊鏈企業,成功凍結及追回超過2億美元資金。
KuCoin此舉展示出加密安全措施的進步,尤其是與區塊鏈項目攜手阻斷或追回被竊資產的能力。
事件也讓市場深思中心化交易所的風險,以及熱錢包安全需持續改進的重要性。
6. NiceHash(2017)──6400萬美元挖礦案件
2017年12月,斯洛維尼亞挖礦平台NiceHash被駭,4,700顆BTC(約6,400萬美元)失竊。
此案主嫌疑透過社交工程技巧攻入NiceHash系統,雖然和典型交易所駭客不太一樣,本次矛頭指向挖礦平台。
受害用戶大多是將算力出租換取比特幣的挖礦者,損失慘重。公司暫停所有運作,調查事件始末。
NiceHash最終全額賠付用戶損失,成為加密生態系統(包括挖礦平台)易守難攻的警示。
7. Liquid(2021)──9400萬美元資產外洩
2021年8月,日本交易所Liquid陷入駭客危機,喪失逾9,400萬美元的比特幣、以太幣與其他加密貨幣。
駭客入侵熱錢包,將資產分散到多個位址。平台第一時間意識到危機後將資金轉移至冷錢包防止損失進一步擴大。
Liquid與其他交易所協作暫停相關幣種交易,努力追查竊賊並試圖追回資產。雖有部分資金找回,此案仍凸顯熱錢包易受攻擊與實時資產安全的嚴峻性。
8. Cryptopia(2019)──小型交易所的潰敗
新西蘭交易所Cryptopia雖規模不大,在用戶間享有口碑,但2019年1月駭客入侵導致1,600萬美元加密資產外流。
Cryptopia事件後被迫終止所有業務並宣布破產。資金實力有限,導致部分用戶資產全數損失。事後調查更曝露平台內部安全失誤,引發外界關注。
9. Zaif(2018)──6,000萬美元失竊案
2018年9月,日本交易所Zaif遭駭,6,000萬美元的比特幣、比特幣現金及MonaCoin被轉移至駭客掌控的熱錢包,資產遭竊。 for a while before anyone noticed.
在有人發現之前已經持續了一段時間。
In order to recoup some of its losses, Tech Bureau, Zaif's parent company, sold a controlling interest in the business to Fisco, another Japanese financial services provider. As a result of the hack, Zaif had to temporarily halt operations, and the Japanese government began to crack down harder on cryptocurrency exchanges.
為了彌補部分損失,Zaif 的母公司 Tech Bureau 將其業務的控股權出售給另一家日本金融服務提供商 Fisco。由於這起駭客事件,Zaif 被迫暫時停止營運,而日本政府也開始加強對加密貨幣交易所的監管力度。
10. Bitmart (2021) – The $150 Million Hot Wallet Breach
10. Bitmart (2021) – 1.5億美元熱錢包外洩事件
In December 2021, a huge hack happened at Bitmart, a bitcoin exchange that is known all over the world. Users' money worth almost $150 million was stolen in the attack.
2021年12月,全球知名的比特幣交易所 Bitmart 發生大規模駭客攻擊。駭客共竊取了用戶價值將近1.5億美元的資產。
Hot wallets for Binance Smart Chain (BSC) and Ethereum (ETH) tokens on the exchange were the weak spots that let the hack happen. The hackers were able to do anything they wanted with the cryptocurrency stored in Bitmart's wallets once they got their hands on the exchange's wallet keys.
交易所中用於存放幣安智能鏈(BSC)和以太坊(ETH)代幣的熱錢包成為了這次攻擊的弱點。在取得交易所錢包金鑰後,駭客得以對 Bitmart 錢包內的加密貨幣為所欲為。
It was one of the attackers' more complex tricks that they set up automatic withdrawals for many tokens, such as Safemoon, Shiba Inu (SHIB), and others.
駭客其中一個較複雜的手法是設置自動提領機制,批量提取多個代幣,包括 Safemoon、柴犬幣(SHIB)等。
The security company PeckShield was the first to notice the strange transactions and let everyone know about them. Soon after, Bitmart CEO Sheldon Xia confirmed the hack and stopped withdrawals and deposits on the site until they could assess the damage.
安全公司 PeckShield 首先發現這些異常交易並公開通報。不久之後,Bitmart 執行長夏鎮賢(Sheldon Xia)證實遭遇駭客攻擊,並緊急暫停平台的提存款,以便評估損失狀況。
Bitmart quickly told its users that they would pay for their losses out of their own pockets.
Bitmart 也很快向用戶承諾,將會自行支付所有遭竊資產的損失。
Like other hacks, the Bitmart hack brought attention to the major security problems that come with storing hot wallets. Anything that is always linked to the internet is open to attack.
和其他駭客事件一樣,Bitmart 的這次駭客入侵讓大家再度關注到熱錢包儲存的重大安全問題。任何長時間連網的資產都可能面臨攻擊風險。
There's more to it than that, though.
然而,事情還不僅僅如此。
Attacks like this one make people question how reliable centralized exchanges are and how well they can keep user cash safe.
這類事件也讓人們重新思考中心化交易所的可靠性以及其保護用戶資產安全的能力。
Because of what happened, many people came to the conclusion that security needs to be tightened and cold wallet storage needs to become more popular so that similar problems don't happen again.
由於這次事件,許多人認為應該加強安全措施並普及冷錢包儲存,才能避免類似事件再次發生。