7000比特币从币安被盗，Bitfinex的IEO受伤了？

文字 |棘轮披萨

今天上午，恢复了一个多月的币市迎来了坏消息：币安官方发布公告称，由于黑客攻击，平台被盗7000多枚比特币，损失超过 4000 万美元。

虽然币安宣布将使用平台资金弥补用户损失，但短期内市场仍给出悲观反应。 BNB半小时跌超10%，比特币等主流货币普遍下跌。

有分析师指出，Binance此次爆发的黑天鹅事件对普通投资者的影响有限，但可能会让Bitfinex的IEO陷入困境。

除此之外，新兴的交易所盗窃事件让越来越多的投资者期待去中心化交易所的到来。未来的交流模式仍有变数。

01 币安被盗

历史重演，数字货币交易所币安再次被黑客洗劫。

5月8日上午，币安发布公告称，平台在今天凌晨发现了大规模的系统性攻击。一万美元。

币安公告显示，黑客通过网络钓鱼、病毒等复合攻击，获取了大量用户的API密钥和谷歌验证码。这样，黑客就完成了攻击。被盗的7000比特币占币安部门比特币持有量的2%。

“目前，币安热钱包被盗的 7074 BTC 已被黑客暂存于 20 个主要地址，并未进一步传播。”区块链安全公司PeckShield的硅谷研发中心负责人Jeff告诉区块链。

这意味着黑客尚未完成货币化。盗窃事件发生后，币安宣布将使用平台的“SAFU基金”支付盗窃造成的所有损失——用户没有遭受任何损失。同时，币安宣布平台将在一周内暂停充提。

而币安的平台币BNB依然大幅下跌。消息传出后半小时内，BNB价格下跌10.6%。

今早，BNB短时间内大幅下跌

因为这次黑客事件，比特币的价格也受到了很大的影响。

根据CoinMarketCap数据，从北京时间今天早上7点34分开始，BTC的价格开始出现明显的下跌趋势——一个小时内，从5954.$54到5795.$01，下降近 3%。

除了比特币，其他主流数字货币的价格也都有不同程度的下跌。

其实，此次币安遭遇的盗币事件，在数字货币交易所历史上不是第一次，也不会是最后一次。

2018年7月4日，同样是北京时间凌晨，币安也发布公告称，由于交易异常，平台将开始临时维护。

此后，有消息称币安遭遇黑客攻击，交易所钱包地址显示两小时内大额提现7000多比特币。随后，币安回滚了异常交易，但否认了平台被黑的传闻。

“其实币圈几乎所有的交易所都遇到过盗币事件。”交换从业者毛朴指出，“这是业内不言而喻的事情，因为任何不交换都是万无一失的。”

2014年，全球最大的比特币交易所Mt.Gox遭到黑客攻击，65万比特币被盗，交易所破产。时至今日，仍有投资者在维权。

今年3月，DragonEx交易所宣布遭到黑客攻击，将暂停交易、充值、提现等所有基础服务。根据去中心化漏洞平台DVP的分析数据，在这起盗窃事件中，龙网损失了超过500万美元的资产。

不仅是交易所，几乎所有涉及数字货币业务的区块链公司都受到黑客盗币的困扰。

矿机公司比特大陆去年发布的招股说明书显示，该公司在2017年遭遇黑客攻击，价值2700万美元的数字货币因此丢失。

在匿名、去中心化、不受监管的数字货币世界中，来去无踪的黑客一直是所有区块链公司的最大敌人之一。

02 原因

尽管币安已经成为业内领先的交易所，但币安仍然无法摆脱黑客的噩梦。如何避免黑客盗币也成为所有区块链从业者的疑问。

根据币安发布的公告，不少区块链安全从业者指出，此次事件中的黑客可能并非盗取了币安钱包的私钥，只是获得了提币权限。

“黑客应该通过‘网络钓鱼’获取 Binance 用户信息，”Jeff 告诉区块链。

所谓“网络钓鱼”，是指黑客以某种方式诱使用户泄露个人信息。

最常见的方法之一是伪造交易所官方交易所向用户发送欺骗性邮件，让后者打开虚假交易所链接，诱使用户在钓鱼网站填写账号、密码等敏感信息。

此外，黑客还可以诱导用户下载含有木马和病毒的文件，从而窃取用户信息。

“其实，用户只要避免点击陌生链接，不要随意下载陌生文件，多看官网，就可以防止黑客钓鱼。”杰夫说。

但许多黑客的网络钓鱼操作仍然难以防范。不仅普通用户，就连交易所内部员工都被黑客“成功钓鱼”。

今年3月龙网被盗后，区块链安全公司降维安全实验室发现平台上有一名龙网客服人员。在被黑之前，他从一个陌生人那里获得了一个程序安装包。该程序有一个捆绑的后门——黑客可以利用该后门获取内部员工权限，并以此渗透内网，获取龙网钱包的私钥。

在数字资产托管平台InVault创始人徐斌看来，币安被盗也可能与黑客违反其内部权限有关。

“根据币安公告的分析，我认为黑客应该没有获得钱包的私钥，但至少获得了一些内部权限。”徐斌表示，“短时间内提取了7000多个比特币，黑客可能已经瘫痪了币安的风控系统。”

“或者还有另一种可能，黑客非常熟悉币安的风控策略，可以绕过风控系统，窃取平台资产。”徐斌说，“所以这次黑客要么技术很厉害，要么潜伏很久，等着最后一击。”

根据币安发布的公告，黑客盗取资金成功的关键在于获取用户的API密钥和谷歌验证码等信息。 API 在所有交易所盗窃事件中受到的打击最为严重。

“API 密钥是有时存储在用户设备上的一段字符。一旦用户的设备遭到入侵，黑客就有可能获得密钥并带走用户的资产。” Jeff 说，“所以，对于交易所来说，API 一直是最容易出现安全问题的。”

这个观点也得到了许斌的认同。在他看来，大多数领先交易所的私钥管理系统都非常强大。因此，相对薄弱的 API 链接往往成为黑客攻击的关键部分。

面对层出不穷的交易所安全事件，不少区块链从业者认为，交易所要想避免类似问题，就必须在两个方面做出改变。

首先是加强审查。

“对于大额提现、提现新地址、频繁提现等异常行为，需要平台进行人工审核。”杰夫说。

其次，交易所还应加强用户教育，帮助用户提高安全意识。

“我个人建议用户也可以将不经常交易的资产放在私人钱包中，而不是长期存放在交易所。”徐斌说。

03 误伤Bitfinex？

今年4月以来，长期低迷的币市突然迎来了小牛市。比特币从 4 月初的 4,000 美元上涨比特币被盗能否立案，并在昨天短暂突破 6,000 美元。

然而，币安的突然失窃再次给投资者的心蒙上了一层阴影。阴谋论也很快浮出水面，有投资者质疑所谓的“黑客盗币”只是交易所、做空势力等平台联合发布的“信息”。

但是，市场随后的表现并没有很多人预期。

币安盗窃事件发生后，包括比特币在内的一系列数字货币普遍下跌。但很快，主流货币迅速止跌。截至发稿，比特币等主流币种的价格已接近盗币事件前的价格。

“虽然币安被盗事件导致币市短时间下跌，但投资者整体情绪依然乐观，市场表现似乎平静。”中关村物联网区块链实验室主任梁董对区块链说。

不过，热衷吃瓜的围观群众还是找到了这起事件的最大受害者。

“这次Binance被盗，受伤最严重的可能是另一家交易所——Bitfinex。” Jaws Trading Community 数字货币分析师 Neil 告诉区块链。

在黑客盗币事件发生后，币安发布公告称：“本周内，（币安平台）的存取款将暂停。”

也就是说，一周之内，币安不允许用户提币。

同时，Bitfinex 正在启动自己的 IEO 项目，计划筹资 10 亿美元发行平台币 LEO。目前，LEO处于私募阶段，私募时间截止至2019年5月10日。

“币安此时宣布暂停提现，势必导致部分资金无法购买LEO。”尼尔说。

同时，业内领先的交易所币安被盗，也让部分投资者担忧。人们对于去中心化交易所的呼声也越来越强。

“在中心化交易所中，用户资产由交易所管理。一旦交易所被黑客入侵，用户将失去他们的资产。” Maup 表示，“但在去中心化交易所中，用户可以通过私钥保留自己的资产，而不必为平台的错误买单。”

在去中心化交易所中，交易所无法防止被盗。即使黑客获得了交易所钱包的私钥，被盗取的只是交易所的平台资产，比如收入，而不是用户资产。

但 Jeff 并不完全同意这种观点。近年来比特币被盗能否立案，很多交易所被黑，都与API信息被盗有关。 “如果用户的API密钥被黑客获取，无论是中心化交易所还是去中心化交易所，都无法避免用户资产被盗。”他说。

不过，Jeff 也承认，中心化交易所的安全风险要大于去中心化交易所。

“中心化交易所的问题是每个交易所都积累了大量的资产，中心化被盗的可能性会更大。”杰夫说。

在去中心化交易所中，由于数字货币分散在每一位用户手中，黑客很难一次窃取大量资产。

“两种交易所各有优劣，未来两种交易所必然会长期并存。”莫普终于结束了。

在区块链的世界里，黑客就像鬼一样，不会放过任何一个可以被利用的漏洞。

这不是第一次交易所被盗，也不会是最后一次。

安全问题已经是所有中心化交易所、区块链公司和代币持有者必须共同面对的考验。

*本文中的部分受访者为化名。

区块链骗局不断，如何保障财产安全？

“区块链”兴起后，很多非法项目都披上了外衣，吸引新的“韭菜”。大量上当受骗的人投了钱，却一无所有。

不了解趋势、技术和市场行情的普通人，如何做到防伪防伪，保护财产安全？

为此，区块链与 Bvaluate 合作，识别真假项目并为您选择最佳项目。