牛年即将到来,相信重整旗鼓的库币已经做好准备,焕然一新地站在市场前端。
还有一周,我们就要迎来农历辛丑年春节。
每到岁末,总是感慨时光匆匆,回顾这一年,有些事需要用心记得,有些事需要安心遗忘,对于充满无限可能的加密货币行业更是如此。
2021年2月3日,加密货币交易所库币首席执行官Johnny Lyu发布新年公开信《2020、2021及库币的未来》,引发业内关注。
对于库币来说,在过去不平凡的一年中有喜悦也有苦涩。Johnny在信中写到,2020年库币全球服务的用户量超过600万,每天处理数亿美元的交易转账。但同时,这家成立仅三年的初创公司也经历了自成立以来最严峻的一次安全挑战——「926安全事件」。
下面,就让我们把时光拉回到2020年9月26日,重新审视下这一事件,希望加密货币行业里的每一个人都能从中吸取有价值的经验或是教训。
01、 回顾盘点
实际上,加密货币交易所一直是黑客主要攻击目标之一,在2020年区块链生态已公开的122起安全事件中,交易所安全事件有29起,占比达到23.77%,而库币也未能幸免。
2020年9月26日凌晨02点51,库币风控系统突然报警,一笔反常的ETH转账记录出现在工作人员面前,随后系统又陆续监测到BTC、ETH和多个ERC-20代币的转出异常报警。
03点01:库币迅速成立特别工作小组来应对本次安全事件。
03点20:库币运营团队紧急关闭了钱包服务器,但关闭后仍然存在异常交易的情况。
04点20:库币钱包团队开始转移热钱包的存量资金到冷钱包。
04点25:库币钱包团队、运营团队和安全团队开始根据收集到的信息和线索调查此事件。
04点40:库币团队为此事件的重要合作伙伴和做市商建立了沟通渠道。
04点50:库币钱包团队已将大部分热钱包的资金转移到冷钱包。
两个小时内,库币完成了从发现攻击、解决问题、遏制攻击事态扩大等一系列动作。后续统计发现,本次事件受影响的代币共154种,其中包括11,486 枚以太坊、19,788,586 枚 USDT、525,405 枚 Gladius (GLA)、77,874 枚 Hawala (HAT)、21,660,274 枚 Ocean Token (OCEAN)、8,893,428 枚 Chroma (CHR)、198,678,919 枚 Ankr Network (ANKR) 等。以上异常交易均来自库币公布的钱包地址:0xeb31973e0febf3e3d7058234a5ebbae1ab4b8c23,此外还涉及BTC、LTC、XRP等多个可疑地址,根据当日市场价格计算,总价值约2.85亿美元。
这一数额,在交易所被盗史中排名第三。面对如此严峻的事态,事件爆发后,很多业内人士都对结果保持悲观,The Block研究总监Larry Cermak甚至在推特上表示,库币可能很难挺过这次攻击。
而在库币内部,如Johnny在公开信中提到的,“我们的团队经历了短暂的低潮期,很多成员都陷入了自我怀疑,但在行业伙伴和用户的支持与鼓励下,我们很快转变心态,开始积极勇敢的面对”。
本着公开、透明、负责的态度,Johnny在处理安全事件之余又马不停蹄地在同一天在线上Youtube直播中回应社区问题,并透露攻击原因是热钱包私钥泄露导致此次热钱包资金异常的流出,同时立即弃用之前的热钱包、重新部署钱包系统、升级钱包的风控流程,并承诺用户库币会在一周内陆续开放币的充值和提现服务,而且已经联系多家交易所封锁可疑地址,追踪受影响资金,并请求全球警方协助调查。
2020年9月27日,库币公布异常转账处理进展,包括:Tether冻结2000万从库币提取的以太坊链上USDT,以及Omni链上的100万USDT 和波场链上的100万USDT;与火币等22家交易所取得联系追踪相关资金;公布8个可疑地址;持续与相关项目合作伙伴保持联系;暂停ALEPH/USDT、TRAC/ETH、TRAC/BTC、BEPRO/USDT、BEPRO/BTC、PLT/ETH、PLT/USDT等多个交易服务。更重要的是,就在攻击事件发生后一天,约1020万美元KAI就通过合约升级追回。
2020年9月28日,攻击事件发生2天后,库币冻结或追回的资金总量达到1.3亿美元。
2020年9月30日,库币宣布已联合10个项目方成功追回1.4亿美元资产,并逐渐重新恢复加密资产充提,兑现了一周内开放充提的承诺,这给了用户极大的信心。
2020年10月4日:库币宣布锁定犯罪嫌疑人。
2020年10月5日:库币宣布已有53个项目全部恢复正常充提服务。
2020年10月7日:库币宣布重新开放比特币、以太坊和USDT等多个主流币充提。
2020年11月11日:库币首席执行官Johnny LYU宣布84%的受影响资产已通过链上追踪、合同升级和司法追回等方式被追回。
2020年11月22日:库币正式恢复所有代币充提服务,平台回归完全正常化运行。
根据Johnny LYU最新披露的数据显示,在行业各方的通力配合下,库币追回的资金明细如下:
-
与交易所、项目方伙伴合作追回价值约2.22亿美金的资产(约78%)
-
与执法机构、安全机构等合作追回了价值约1,745万美金的资产(约6%)
-
库币及其保险基金覆盖了剩余部分,约4,555万美金(约16%)。
从上述数据情况来看,库币确保了没有任何用户在此次事件中有任何损失,所有用户都全额拿回了自己的数字资产,而且平台所有功能均已经完全恢复。不仅如此,通过追踪嫌疑人动向,库币已掌握了嫌疑人大量线索,与执法机构、安全机构密切合作的相关追捕工作也在进行当中,相信会尽快将其绳之以法。
02、 经验与教训
对区块链和数字货币行业而言,2020年可谓跌宕起伏。在经历了年初新冠病毒疫情导致的全球市场萎靡之后,年底出现强势反弹,加密货币总市值也从2019年的约2000亿美元暴涨5倍,达到1万亿美元里程碑。可正是因为市场逐渐转好,黑客也开始蠢蠢欲动,过去一年中多家加密货币交易所都遭到攻击,比如:
-
LMEX联交所遭黑客入侵被盗损15万枚USDT致使平台资不低债被迫关闭充提;
-
英国加密货币交易所 Cashaa被窃336枚比特币;
-
暗网市场Empire Market关闭运营骗取130万用户约2638枚比特币,价值近3000万美元;
-
欧洲加密交易所ETERBASE热钱包被盗,BTC、ETH 及 ERC-20 代币、XRP、TRX、XTZ和ALGO遭窃损失逾500万美元资产。
用数据说话,以上这些受到攻击的加密货币交易所大多只是涉及小范围的币种,而库币“926安全事件”共涉及154个项目,金额也是史上第三,因此应对复杂性和困难度也更大。根据事件调查发现,黑客潜伏许久,通过庞杂的APT攻击获得了库币部分热钱包私钥,同时利用攻击内部往来绕过安全防御措施。
另一方面,库币处理速度,资金追回率也让业内不少同行感到意外,即便是一些头部加密货币交易所,在遭到黑客攻击之后很少有能力将资金追回,最后大多不了了之。举个例子,币安在2018年和2019年遭到两次严重的黑客攻击。2018年3月7日,一群狡猾的黑客入侵币安,将投资人账户中大量代币抛售兑换大约1万枚比特币,之后拉高买入小币种VIA后套现离场,获利高达4.2亿元;2019年5月8日,币安热钱包遭窃,黑客盗取7000枚比特币造成该交易所损失超过4100万美元,甚至导致比特币价格短时暴跌3%。到目前为止,这些资金均未被追回,最终不得不自掏腰包使用安全资产基金承担用户损失。
不可否认,加密货币交易所沉淀资金量巨大,很容易吸引黑客攻击,而库币“926安全事件”给我们的一个最大启示就是:安全永无止境。从后续一系列处理动作来看,库币似乎并不像是一家成立仅有3年时间的“年轻”交易所,因为所有应对措施都有条不紊、反应敏捷高效,令业内称赞有加。
事件发生后,库币除了第一时间修复了相关漏洞并将所有热钱包重新部署保护现有资产之外,同时及时发动行业进行联防,抓住关键环节尽可能阻止关键资产的进一步转移。Johnny LYU也在公开信中对在“926安全事件”中给予帮助的交易所、项目伙伴、合作机构和每一位支持库币的用户表达了感谢。我们可以看出,加密货币交易所之间并非只有竞争对抗,一方有难八方支援,在某种程度上其实也说明加密货币行业已经有了一定进步,只要大家通力合作就能“制服”黑客,通过各种方式将资金追回。
由于库币在业内拥有较好口碑和雄厚资源实力,问题出现之后在行业伙伴和用户的支持与鼓励下开始积极勇敢的面对,如今库币已从事件中完全恢复,安全水平也大大提升,并从三个方面重新构架新的安全体系:
1. 整体安全体系升级:在WEB、APP、API三个访问体系中增加了更强有力的风控系统,保障用户的账户和资产安全;
2. 网络安全架构体系升级:严格按照金融级安全的合规要求部署网络安全措施,同时已与国际四大会计师事务所取得联系,将取得其信息安全标准认证;
3. 安全团队升级:重建库币安全团队,与知名网络安全和反APT机构达成紧密合作,同时将设立库币信息安全应急响应中心,本着公开透明的原则接受用户和各大安全平台的监督,对行业未来的信息安全挑战,做出最强有力、迅速、有效的响应。
03、 启示
正如Johnny在《2020、2021及库币的未来》公开信中所说,安全一直是悬在交易所头顶的达摩克利斯之剑。如今再来看待此次事件时,更多的是一笔“财富”,因为能让库币发现内部存在的问题,并在问题没有发展到难以解决时爆发出来,“杀不死你的将让你更坚强”,而今天的库币已经比以往任何时候都更强大。
库币「926安全事件」除了让该交易所自身脱胎换骨之外,业内人士也认为该事件更像是一面镜子,让人们从更深层次理解加密货币这个新兴行业。比如针对冻结库币异常转账中流出USDT这件事,稳定币运营商Tether首席技术官Paolo Ardoino就在推特上声援,他表示Tether作为稳定币,可以作为链上法定货币更好、更快的传输层,而抱怨Tether冻结被盗资金的那些人不过是因为他们没有被盗而已,事实证明,库币受害者的资金的确被锁定在智能合约中且永远无法访问,因此Tether可以帮助用户找回丢失资金。在行业面对危机时,是团结一致共渡难关,还是事不关己高高挂起,这值得我们深思的,或许这也是目前加密行业目前所缺乏的。
同时,库币此次事件也引发了行业内一些关于「去中心化」有益讨论,如当众多项目联合库币通过合约升级来追回被盗资产时,关于DeFi项目可以通过合约升级让被盗资产失去价值,那项目是否足够去中心化的讨论被提出,但同时,也有支持者表示如果项目运营者不能在危急时刻站出来阻止黑客或攻击者,也就没有今天的比特币和以太坊了。此外,当此次安全事件的嫌疑人通过各种DEX转移资产时,DEX的监管问题也引发了大量讨论,甚至有媒体表示,这是首次DEX被大规模运用到“洗钱”的事件,并进一步猜测,SEC关于DEX的反洗钱制度将被提上日程。库币安全事件引发的以上种种讨论,事实上都推动了行业往更理性、合规的方向发展。
04、 总结
加密货币交易所在整个生态系统中扮演着非常重要角色,一旦出现问题几乎所有用户都会受到影响,加大黑客恶意入侵的防范力度必须要放在首位,更要在系统架构设计时做好必要的安防措施。
不仅如此,加密货币交易所更是要把安全工作纳入到日常运营中,定期进行安全演练、测试,虽说亡羊补牢未为迟也,但毕竟没有一个农场主希望看到「亡羊」事件发生,因此未雨绸缪非常重要。此外,加密货币交易所也可以通过代码审计、渗透测试、甚至模拟攻击等角度来了解系统是否存在隐性漏洞和安全风险,并按时升级账户密钥结构及风控措施,建立适当的多重签名密钥结构和严格的风险控制及检测预警机制。
事实上,Johnny已经明确指出库币将会在安全方面持续加大投入,在此次「926安全事件」中积累的经验也能在未来行业其他加密货币交易所伙伴遭遇安全危机时快速给与建议和支援,库币还承诺将对此前给予帮助的伙伴提供市场、技术、生态等多方位支持。区块链还处在发展早期,只有团结起来行业才能发展壮大。
牛年即将到来,相信重整旗鼓的库币已经做好准备,焕然一新地站在市场前端。
