区块广播:
第116期
【AMA】PeckShield创始人:近期交易所被盗事件大揭秘!你的热钱包真的安全吗?

嘉宾 PeckShield蒋旭宪

头部交易所被“黑”事件:2019 年 5月8日凌晨1时15分,币安BTC热钱包发生被盗事件,价值4000万美元的7,000枚BTC被黑客盗走。据币安官方公告显示,这是一次大规模的系统性攻击,黑客获得了大量用户API密钥,谷歌验证2FA码以及其他相关信息。黑客在区块高度575013处从币安热钱包中盗取7000枚比特币。另据PeckShield数字资产护航系统数…

已结束参与人数:60
头部交易所被“黑”事件:

2019 年 5月8日凌晨1时15分,币安BTC热钱包发生被盗事件,价值4000万美元的7,000枚BTC被黑客盗走。
据币安官方公告显示,这是一次大规模的系统性攻击,黑客获得了大量用户API密钥,谷歌验证2FA码以及其他相关信息。黑客在区块高度575013处从币安热钱包中盗取7000枚比特币。
另据PeckShield数字资产护航系统数据显示,被盗币安热钱包地址为 1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s。据分析,黑客团体使用了复合型的攻击技术,包括网络钓鱼,病毒等其他攻击手段。截止目前,币安热钱包被盗损失的 7074 枚BTC暂时被黑客分散存储于 20 个主要地址,尚未进一步扩散。
此外,包括MtGox, BitStamp, Bitfinex, Coincheck和Bithumb在内的头部交易所也都经历过被盗事件(历史被盗事件大盘点链接:https://www.8btc.com/article/405248)。

本期嘉宾:


蒋旭宪博士,PeckShield创始人兼CEO。
蒋旭宪先生 2001 年毕业于西安交通⼤学计算机系并获得硕⼠学位,随后2006 年毕业于美国普渡大学 (Purdue University) 计算机系并获得博士学位。2013 年初加入奇虎 360 公司,担任首席科学家。 此前,蒋旭宪先生曾担任北卡州立大学 (North Carolina State University) 计算机系终身教授。

关于PeckShield

PeckShield(派盾)是面向全球的业内顶尖区块链安全团队,由前 360 首席科学家、美国北卡州立大学终身教授蒋旭宪博士创办,团队核心成员为海归博士及清华博士,过去在移动端系统安全方面有深厚的积累。公司以提升区块链生态整体的安全性、隐私性以及可用性为己任,通过发布行业趋势报告、实时监测生态安全风险,负责任曝光 0day 漏洞,以及提供相关的安全解决方案和服务等方式帮助社区抵御新兴的安全威胁。 成立 PeckShield 以来,公司漏洞监测覆盖底层公链、交易所、数字钱包、智能合约等区块链生态的各个环节,因连续发现并命名了 BEC、SMT、EDU 等智能合约的重大安全漏洞,而广受业内关注,不仅进入了 etherscan.io 智能合约安全审计推荐名单,另凭借多个独立的漏洞发现,跻身“以太坊赏金猎人”全球排行 Top 5。

AMA时间:

5月14日周二下午3点

此次交易所被盗事件扑朔迷离,引发一系列猜想讨论:
7,000个比特币真的是准确的被盗金额吗?
此次事件与之前作案的黑客是否是同一波人?
其他交易所是否也有黑客潜伏?
目前可行的热钱包安全解决方案有哪些?
更多关于交易所安全的问题,欢迎来问!

如何参与AMA?

在本主题帖下直接回帖提问即可参与,欢迎大家围观讨论!


  • 最新
  • 最热
  • 一只胡萝北 管理员 发表于2019-05-13 13:01:35

    欢迎大家提问!

  • 尾生 队长 发表于2019-05-13 13:52:09

    派盾团队的技术怎么样?什么时候成立的?总部在哪里?还招人吗?

    PeckShield蒋旭宪 水手 回复尾生 发表于2019-05-14 15:01:49 嘉宾
    PeckShield(派盾)是面向全球的业内顶尖区块链安全团队,团队核心成员由一直活跃在业界一线的安全研究人员以及顶级学府博士组成,曾服务于360、Google、Microsoft、Intel、Juniper、Alibaba等全球知名?商,团队成员目前为止发现过200+各类安全漏洞, 多次获得各大相关厂商的官方致谢。
    PeckShield蒋旭宪 水手 回复尾生 发表于2019-05-14 15:02:47 嘉宾
    公司的定位是区块链数据和安全服务提供商。尤其是致力于服务区块链生态的各个环节,包括底层公链、交易所、数字钱包、和智能合约。公司已经连续发现多个包括BEC、SMT、EDU 在内的智能合约重大安全漏洞,进入了 etherscan.io 智能合约安全审计推荐名单,亦多次发现以太坊和EOS等知名公链的安全漏洞获得官方致谢,跻身“以太坊赏金猎人”全球排行 Top 5。
    PeckShield蒋旭宪 水手 回复尾生 发表于2019-05-14 15:03:22 嘉宾
    公司成立于2018年3月,总部设在杭州,同时在北京和加州湾区都有设点。目前公司处于快速成长期,一直在招人,尤其是欢迎热心区块链行业的安全研究人员和数据分析师加盟。
  • 涨涨分析猿 船长 发表于2019-05-13 14:05:16

    蒋教授你好!想问一下中心化交易所经常会被黑客攻击,那么去中心化交易所是不是一个更安全的选择?

    PeckShield蒋旭宪 水手 回复涨涨分析猿 发表于2019-05-14 15:06:02 嘉宾
    中心化交易所一直是黑客攻击的目标。自从2019年以来,大家知道的被攻击的中心化交易所至少有4家:Cryptopia, DragonEx,Bithumb 和 Binance,攻击者都是追求利益回报的。大家知道,中心化交易所持有币的数量和价值都远远大于去中心化交易所。攻击者在选取攻击目标的时候,当然会盯着价值更大的一方。另一方面,去中心化交易所的资产是由合约掌管,而且大多数还是开源,但是完全开源的智能合约也有助于全世界的程序员帮你审核项目有没有漏洞,另外整个交易流程的公开透明,其出问题的概率也就更低。所以相对而言,去中心化交易所是一个更安全的选择。不过需要注意的是,去中心化交易所在用户体验、交易深度、和使用门槛上还不如中心化交易所。
  • 涨涨分析猿 船长 发表于2019-05-13 14:05:30

    币安这次到底丢了多少币呢?推特上有一个韩国人说丢了2W多个,您怎么看呢?

    PeckShield蒋旭宪 水手 回复涨涨分析猿 发表于2019-05-14 15:07:05 嘉宾
    我们监测到的数据是 7,074.18 枚BTC。
  • omune 船员 发表于2019-05-13 14:24:55

    请问一下,币安在去年7月份也丢了7000个币,从此开启了新一轮回调,这次又丢了7000个,是标志性的事件么

    PeckShield蒋旭宪 水手 回复omune 发表于2019-05-14 15:09:54 嘉宾
    我们目前的结论是这两次的数量相似,但作案方式不同,并没有直接关联。
  • reasa 队长 发表于2019-05-13 14:34:50

    希望蒋教授能简单科普一下回滚,以及发起回滚的利弊。

    PeckShield蒋旭宪 水手 回复reasa 发表于2019-05-14 15:13:03 嘉宾
    交易回滚本质上是重组区块,也就是回到旧的区块上,把已经发生的攻击交易去除。币安最初考虑回滚攻击交易,虽然出发点可以理解,但要做到这一点,需要在比特币区块链上超过51%的算力支持,同时回滚攻击交易也相当于做了一次51%算力攻击。类似的情况发生在2016年的以太坊DAO攻击后的社区响应中,直接导致了以太坊网络的硬分叉(出现了以太坊经典)。 这样的处理其实对比特币网络可能造成的损害以及对整体虚拟货币的信心影响会远大于币安丢失的7000BTC。 我们认为这样的回滚做法肯定是不合适的, 也很高兴币安没有采取这条路。
  • reasa 队长 发表于2019-05-13 14:35:09

    目前有没有追回被盗资产的办法?

    PeckShield蒋旭宪 水手 回复reasa 发表于2019-05-14 15:16:18 嘉宾
    有,但没法保证全部资产的追回。在攻击事件发生后,我们会第一时间介入追踪被盗的数字资产,实时监控黑客的钱包地址,并跟进分析黑客可能采取的洗钱方式,尽可能将被盗数字资产的流向轨迹还原出来,但真正要找回被盗资产,需要生态内多方协作支持,包括交易所及时冻结黑客的充值,超级节点或相应治理组织(比如ECAF)的联动协作等。
  • reasa 队长 发表于2019-05-13 14:35:18

    您能不能从安全角度给我们提供一些保存资产的意见呢?

    PeckShield蒋旭宪 水手 回复reasa 发表于2019-05-14 15:18:03 嘉宾
    这个要多方面考虑,尤其是安全性和用户体验的平衡。单从安全角度,如果个人用户有大额的加密资产,强烈建议硬件钱包,尤其是知名的硬件钱包。(这里需要强调的是务必保存好个人助记词!)这对懂技术,并且能够具体灵活操作的用户来说也是最适合的。对机构来说,多重签名是必不可少的,因为可以有效降低个别私钥被盗的风险。
    PeckShield蒋旭宪 水手 回复reasa 发表于2019-05-14 15:19:34 嘉宾
    但对普通用户来说,个人私钥的管理和使用可能会是巨大的挑战。对于这些用户,我个人反而还是建议保存到知名的,有良好信誉的中心化交易所。
  • cncoin 船长 发表于2019-05-13 15:55:56

    keyshard很好用,为什么交易所不用呢,人工处理在大交易所是否有自身的优势

    PeckShield蒋旭宪 水手 回复cncoin 发表于2019-05-14 15:21:42 嘉宾
    KeyShard采用基于多方安全计算(MPC),私钥被拆分为不同的分片,分别保存在包括用户和托管方在内的各参与方。需要指出的是,任何单一分片都无法获知私钥的真实信息,从而保证了资产由各参与方共同控制。但遗憾的是,流程上的严格同时给用户的体验也带来了不便。
  • 快跑 船长 发表于2019-05-13 16:56:56

    能不能列举一下黑客一般会采取的攻击手段,以及对应的安全解决方案?

    PeckShield蒋旭宪 水手 回复快跑 发表于2019-05-14 15:27:28 嘉宾
    我们内部对这次币安的被攻击做过分析讨论,纯粹从技术层面上看,认为造成此次攻击有三个可能原因:

    第一个可能是币安自己的内网被渗透,黑客劫持相关账号并提币转出;

    第二个可能是(用户使用的)的中心化资产托管服务遭到了渗透,从而用户的资产被转走;

    第三个可能是普通散户的客户端被劫持。用户有可能被诱导下载带有木马的客户端软件(比如说是提供高额回报的量化工具等),从而被劫持了本地环境,进而控制了用户账户的API访问和认证等。

    我们认为,第三个原因的可能性最大,其次是第二,最后才是第一个可能性。
    PeckShield蒋旭宪 水手 回复快跑 发表于2019-05-14 15:31:44 嘉宾
    针对这类安全问题,首先应加强的还是安全意识,应尽可能避免个人敏感信息的泄露。同时交易所加强和完善API和相关敏感操作的认证,确保是用户的真正行为,而不是被攻击者劫持的操作。如有必要,重新生成相应API key,并对每次提币地址的更新加强2FA,邮箱,和短信认证,多管齐下。另外,如果中心化交易所开启自动化提币的,应做一定额度的分级,一旦单位时间内出现超大额提币需求,而且是转移到大量新创建地址的, 需要立即触发紧急风控机制并转为人工审核提币,尽可能提早发现并预防攻击的持续进行。
  • airport 队长 发表于2019-05-13 16:57:29

    像Peckshield这样的安全公司能够对被盗资产进行锁定与封堵吗?

    PeckShield蒋旭宪 水手 回复airport 发表于2019-05-14 15:35:21 嘉宾
    锁定与封堵需要公链及其参与者共同决定和参与的,任何一家公司均没有,也不应该有绝对权限和能力。安全公司能尽可能跟踪并且锁定被盗资产,真正封堵还需生态各环节合作伙伴的协助。
  • 万世浮华 船员 发表于2019-05-13 16:57:57

    第三方安全团队能够给交易所提供哪些安全服务呢?

    PeckShield蒋旭宪 水手 回复万世浮华 发表于2019-05-14 15:39:23 嘉宾
    这个是多方面的,也是多维度的。传统的安全服务包括网站漏洞扫描,抗DDoS防护,和渗透测试等。区块链相关的安全服务包括底层公链的安全,欺诈交易检测(是否假充值等),合规性检查(包括AML),钱包和合约审计,以及安全事情的预警和应急响应等。另外,还有专门的威胁情报和态势感知服务。
  • 相信凡 水手 发表于2019-05-13 16:58:59

    想知道目前针对DDoS攻击、欺诈交易、以及一些利用交易代码的都有一些什么样的解决方案?

    PeckShield蒋旭宪 水手 回复相信凡 发表于2019-05-14 15:42:11 嘉宾
    强化交易所自身安全能力,必要时可寻求第三方安全公司协助实时风控预警和应急响应。…
  • Babete 队长 发表于2019-05-13 16:59:16

    CZ说这次黑客经过长期潜伏的,那么其他交易所会不会也有黑客潜伏着呢?

    PeckShield蒋旭宪 水手 回复Babete 发表于2019-05-14 15:43:59 嘉宾
    完全有这个可能。安全届有这样的说法:世界上只有两种企业,一种是知道自己已被黑的;另一种是还浑然未知的。我们也认同这样的说法。
  • 阿富帅 船员 发表于2019-05-13 16:59:27

    好多起安全事件都是因为黑客通过钓鱼获取了用户是API Key,然后通过API接口入侵交易所,对此交易所或者安全公司有什么应对方法么?

    PeckShield蒋旭宪 水手 回复阿富帅 发表于2019-05-14 15:48:31 嘉宾
    正如前面提到的,针对这类安全问题,首先应加强的还是安全意识,应尽可能避免个人敏感信息的泄露。同时交易所加强和完善API和相关敏感操作的认证,确保是用户的真正行为,而不是被攻击者劫持的操作。如有必要,重新生成相应API key,并对每次提币地址的更新加强2FA,邮箱,和短信认证,多管齐下。另外,如果中心化交易所开启自动化提币的,应做一定额度的分级,一旦单位时间内出现超大额提币需求,而且是转移到大量新创建地址的, 需要立即触发紧急风控机制并转为人工审核提币,尽可能提早发现并预防攻击的持续进行。
  • 1
  • 2
  • 3
登录 账号发表你的看法,还没有账号?立即免费 注册
神回复