区块广播:
第116期
【AMA】PeckShield创始人:近期交易所被盗事件大揭秘!你的热钱包真的安全吗?

嘉宾 PeckShield蒋旭宪

头部交易所被“黑”事件:2019 年 5月8日凌晨1时15分,币安BTC热钱包发生被盗事件,价值4000万美元的7,000枚BTC被黑客盗走。据币安官方公告显示,这是一次大规模的系统性攻击,黑客获得了大量用户API密钥,谷歌验证2FA码以及其他相关信息。黑客在区块高度575013处从币安热钱包中盗取7000枚比特币。另据PeckShield数字资产护航系统数…

已结束参与人数:60
  • 最新
  • 最热
  • Babete 队长 发表于2019-05-13 16:59:39

    以目前交易所的风控系统,是否不足以抵御黑客的攻击?只能被动挨打?

    PeckShield蒋旭宪 水手 回复Babete 发表于2019-05-14 15:50:56 嘉宾
    我们并不这么认为。如果交易所一味的只是关注业务开发,并忽略了安全能力和风控系统的演变,被攻破是迟早的,这个只是时间问题。但这么多次的中心化交易所攻击事情,目前来看,一直在倒逼着交易所定期复查与提升各自的风控能力;
  • 纵性 船员 发表于2019-05-13 16:59:50

    币安在去年3月和7月也都遭遇过黑客攻击,不过当时因黑客提取大量比特币时触发了其风控系统,账户被冻结。那么这次7000比特币被提为什么没有触发警报呢?是不是说明他们自身安全系统有漏洞?

    PeckShield蒋旭宪 水手 回复纵性 发表于2019-05-14 15:54:46 嘉宾
    这次是通过调用用户 API Key, 多笔提现,行为上不一样。从单一用户的提币行为来看,可能没法触发当时的风控系统。也确实说明了安全防护系统还有改善的空间。
  • 14度天空 副船长 发表于2019-05-13 17:01:29

    盗了币怎么变现这是最难的问题吧,我感觉盗币很多黑客都可以的

    PeckShield蒋旭宪 水手 回复14度天空 发表于2019-05-14 15:58:21 嘉宾
    如果站在攻击者的角度,很可能会充到不需要 KYC认证的交易所变现。当然也可能是先避过这段风头,待合适时机抛售。目前来看,币安这次的攻击者很大可能是采取了后者。
  • 九级浪 船员 发表于2019-05-13 17:02:04

    钓鱼、撞库是互联网黑客的惯用手段,数字货币交易所也受到这类攻击,是否能说明黑客产业链已经在向加密货币领域转移,并且已经具有一定规模?

    PeckShield蒋旭宪 水手 回复九级浪 发表于2019-05-14 15:58:50 嘉宾
    是的。 哪里有羊,哪里就有狼。 这个是由逐利的本质决定的。
  • 八分青年 船员 发表于2019-05-13 17:02:34

    黑客圈流传说100万美元代价可以攻破任意网站的所有安全方案,这是真的么?

    PeckShield蒋旭宪 水手 回复八分青年 发表于2019-05-14 16:00:53 嘉宾
    这个只是传说。我相信任意网站都有安全问题,但并不说明任意网站都可以被攻破。
  • 理想七旬 水手 发表于2019-05-13 17:03:01

    现在黑客已经可以避开多重签名侵入热钱包了,对此我们有什么解决方案上的升级吗?

    PeckShield蒋旭宪 水手 回复理想七旬 发表于2019-05-14 16:02:14 嘉宾
    避开多重签名侵入热钱包,应该是获取了用户的个人私钥,这个和多重签名其实没有太大关系。正如上面提到的,要保管好自己的私钥,同时确保其它敏感信息(API key和2FA 等)不被泄露。
  • 西门吹币 副船长 发表于2019-05-13 17:03:17

    黑客最喜欢盗的加密货币是比特币吗?

    PeckShield蒋旭宪 水手 回复西门吹币 发表于2019-05-14 16:02:53 嘉宾
    目前来看,BTC 的价值最大。
  • 卖你个锤子 船员 发表于2019-05-13 17:03:53

    您为什么选择进入区块链行业呢?之前360发现EOS高危安全漏洞您有参与吗?

    PeckShield蒋旭宪 水手 回复卖你个锤子 发表于2019-05-14 16:05:43 嘉宾
    这个是经过蛮长一段时间的思考。当时我们的研发团队通报了很多安卓系统的漏洞,也发现了最早的那一批安卓木马。(如今PeckShield团队里好几个同事都有超过100个安卓CVE漏洞的经验。)在我看来,区块链是个破坏性创新技术(disruptive innovation),可能会彻底破坏旧的产业生态,或重塑一个新的产业生态行业。在这里,安全更加是命脉和核心,我们也希望在其中贡献一份力量。之前360发现的EOS高危安全漏洞,我没参与。不过去年以来,我们团队也发现了多个EOS底层公链的安全漏洞,包括交易阻塞 (CVE-2019-6199),至今还影响着众多的DApp。另外,还发现了多个以太坊底层公链的安全漏洞 (CVE-2018-12018),公司也是跻身“以太坊赏金猎人”全球排行榜 Top 5。
  • 梭哈60万 船员 发表于2019-05-13 17:04:09

    把币提得到自己的钱包里自己掌握私钥是不是目前最安全的方法?

    PeckShield蒋旭宪 水手 回复梭哈60万 发表于2019-05-14 16:16:22 嘉宾
    如果是一般用户,还是建议放在大的交易所里,即使忘记密码或密码被盗用,还有方法可以找回或者回滚。如果持币量比较大的进阶用户,冷钱包还是比较好的选择,但这就会把安全的风险,从交易所转移到用户自身对于冷钱包设备及助记词的保存。
  • 洪恩 副船长 发表于2019-05-14 10:27:59

    八分青年 发表于 2019-5-13 17:02 黑客圈流传说100万美元代价可以攻破任意网站的所有安全方案,这是真的么?
    那么可以攻破前百强的比特币钱包,赚大发了

  • 无垠的太空 副船长 发表于2019-05-14 12:45:22

    请问蒋博士,手机沙盒够安全么?正常的hd钱包多少程度上是够安全的?谷歌二次验证什么情况下会被破解?
    谢谢

    PeckShield蒋旭宪 水手 回复无垠的太空 发表于2019-05-14 16:10:17 嘉宾
    在手机上如果有签名操作,其实都很难做到安全,原因是私钥必然有一个瞬间以明文形式在内存出现,就有一定的风险。当然,也有程度上的差异,有的钱包直接把私钥明文放文件里,有的非对称加密,加密算法强度也不同,这些都会给攻击造成不同的门槛。冷钱包的好处是,基本它不联网,私钥也不会离开冷钱包设备,所以安全程度会更好一个层级。至于2FA的安全性,跟重试的次数,频次,有几位数字有关,之前出现过没有冷却的验证码问题,就是一个例子,导致用过的验证码可以重复使用,降低了攻击门槛。
  • 二更老赵 船长 发表于2019-05-14 13:10:54

    真的安全吗,不太懂

  • 96ef665c10a6 海盗王 发表于2019-05-14 13:11:52

    美国纽约州总检察长办公室并非首次重点关注加密货币领域。

  • 闌珊燈火 副船长 发表于2019-05-14 15:17:49

    请问蒋博士,目前贵司主要是面对B端,未来会不会有跟360,一样为C端提供区块链安全服务的软件,作为用户端入口?

    需要来成都开发个分公司么?

    PeckShield蒋旭宪 水手 回复闌珊燈火 发表于2019-05-14 16:19:09 嘉宾
    现阶段暂时没有C端产品的计划,成都是个好地方,我们会考虑的。
  • 青番茄 船员 发表于2019-05-14 15:20:26

    以前感觉有了谷歌二次验证非常安全,现在心里也没底气了

  • 1
  • 2
  • 3
登录 账号发表你的看法,还没有账号?立即免费 注册
神回复