今年9月20日凌晨,新加坡加密貨幣交易所 BingX confirmed that there had been a security breach。官方表示此次事件只造成「輕微資產損失」,但專家指實際損失有機會達數百萬美元。事實上,這並非近年來首宗大型加密貨幣交易所被駭事件。
隨住加密市場升溫,風險同時倍增。黑客鍾情入侵中心化加密貨幣交易所,因為呢啲平台舉足輕重,持有用戶巨額資金,等同過去嘅傳統銀行,成為黑客極具吸引力嘅目標。加密貨幣本質係去中心化,不同交易所有唔同安全標準,因此亦誕生咗歷來最大型的財富盜竊案。
交易所被駭次數急增,反映出一個事實:區塊鏈技術雖然被喻為安全,但用戶存儲及買賣資產的平台依然容易被攻擊。多數駭客事件都係利用安全協議漏洞、程式碼錯誤,甚至員工疏忽等問題引發。巨額資金被盜,不單損害公眾信心,更令加密貨幣能否大規模普及化備受質疑,顯示行業基礎建設尚有不足。
BingX醜聞未完之際,一齊再睇埋近年十大最大型加密貨幣交易所被駭事件,及討論背後嘅技術問題、財政損失同行業學到嘅教訓。
1. Mt. Gox(2014)— 巨人墮落
日本Mt. Gox交易所在2010年代初把持大部分Bitcoin交易,更成為加密貨幣界有史以來最惡名昭彰嘅駭客案主角。
高峰期間,該交易所處理全球超過七成比特幣交易。2014年2月突然暫停交易,震驚市場。其後宣布破產,850,000枚BTC(當時值4億5千萬美元)被盜,參考現時市值更高達數十億美元。即使十年過去,這宗事件依舊令人不寒而慄。
事件歷時數年,黑客利用交易所熱錢包弱點同公司內部管理不善,逐步將BTC轉走。交易所存在「交易可塑性」漏洞,黑客能改變交易ID進行竊取而不被察覺。
CEO Mark Karpeles後來因竊盜被捕,事件成為全行重要警號,提醒業界管理及安全若有疏忽,後果可以極度嚴重。部分失竊BTC已追回。
2. Coincheck(2018)— 五億美金NEM失竊案
2018年1月,日本Coincheck被駭,損失超過五億美元NEM(XEM)代幣。
雖然NEM交易較比特幣複雜,需多方授權,但仍無補於事。原因在於Coincheck把大部分NEM儲存於連線熱錢包,黑客成功入侵交易所伺服器,取得熱錢包存取權。主要漏洞係無用多重簽章錢包儲存大量資產。
黑客進入後,迅速轉走NEM至多個賬戶。區塊鏈交易不可逆,Coincheck亦無法追回資金。
雖然NEM區塊鏈公開透明,有助追回部分失竊資產,大部分依然下落不明。Coincheck最後用自有資金向受害用戶賠償,事件直接促使日本政府加強對本地交易所監管。
3. Bitfinex(2016)— 多重簽章困局
Bitfinex於2016年8月發生駭客事件,被盜12萬枚BTC(當時值7,200萬美元)。
當時Bitfinex已採用由區塊鏈安全公司BitGo提供多重簽章錢包,但仍存在漏洞。黑客突破該交易所安全系統,進入熱錢包。事後證實,關鍵管理漏洞及多重簽章程式實作錯誤為導致被駭原因。
Bitfinex為補償損失,發行名為BFX代幣給受影響用戶流通或持有,待財務狀況改善後再回購。雖然最終賠償到戶,但今次事件令業界質疑中心化交易所安全性及多重簽章錢包的真正有效性。
4. Binance(2019)— 巨鯨亦難倖免
2019年5月,全球最大交易所之一Binance被駭,損失7,000枚BTC(約4,000萬美元)。
黑客融合釣魚、病毒及各種高階手法,取得大量用戶API Key、2FA碼及其他重要資料,成功潛入Binance系統。
事件之組織嚴密,黑客一次過轉走巨額BTC,引發系統警報。平台立即凍結提款並展開緊急應對,最終由Binance設立的SAFU(安全資產基金)全數賠償用戶損失。
雖然保安防線失守,但得益於Binance自建安全防備及應變機制,事後快速恢復營運(CEO趙長鵬公開交待事件詳情)。此案證明即使全球最大交易所亦無法對抗不斷進化的網絡攻擊。
5. KuCoin(2020)— 二億七千五百萬美元失竊
2020年9月,新加坡KuCoin被黑客入侵,損失達2億7,500萬美元(ETH、BTC及ERC-20代幣)。
又一次,熱錢包保管大量資產成為風險所在。
是次事件不單盜款金額鉅大,KuCoin反應同樣高速,即時聯同區塊鏈公司及專案團隊封鎖大部分被駭資金,最後成功追回逾2億美元。
KuCoin案顯示行業愈見成熟,加密生態多方合作截斷失竊資金流,但同時觸發大家反思:中心化交易所固有風險,熱錢包安全大有改善空間。
6. NiceHash(2017)— 挖礦平台失守
2017年12月,斯洛文尼亞NiceHash挖礦市集被駭,損失4,700枚BTC(當時約6,400萬美元)。
黑客疑透過社交工程入侵公司內部系統,與傳統交易所不同,今次對象係挖礦平台。
用戶將算力租予他人換取BTC,損失慘重。平台凍結營運徹查事件。雖然最終補償用戶,一役證明即使挖礦平台同樣難以置身事外。
7. Liquid(2021)— 九千四百萬美元漏洞
2021年8月,日本Liquid交易所被黑客,損失達9,400萬美元(BTC、ETH等)。
黑客奪取熱錢包後將資產轉至多個賬戶,平台得知即時轉移資金至冷錢包自保。
其後Liquid聯合多家交易所緊急凍結交易、追查資金去向,雖部份追回,但事件突顯熱錢包風險及即時防護難題。
8. Cryptopia(2019)— 小型交易所殞落
紐西蘭Cryptopia規模不大,但受用戶歡迎。2019年1月遭駭客入侵,資產損失約1,600萬美元。
事件後全線營運停頓,公司破產。受害用戶因平台資金有限,損失巨大,不少用戶血本無歸。調查揭露多項內部安全漏洞及風險管理不足。
9. Zaif(2018)— 六千萬美元盜竊
2018年9月,日本Zaif交易所被駭,損失約6,000萬美元(BTC、BCH、MonaCoin)。
黑客滲透熱錢包,將資金轉走。 for a while before anyone noticed.
有一段時間都無人發現。
In order to recoup some of its losses, Tech Bureau, Zaif's parent company, sold a controlling interest in the business to Fisco, another Japanese financial services provider. As a result of the hack, Zaif had to temporarily halt operations, and the Japanese government began to crack down harder on cryptocurrency exchanges.
為咗挽回部分損失,Zaif母公司Tech Bureau將業務大部分控制權賣咗俾另一間日本金融服務公司Fisco。因為被黑客入侵,Zaif被迫暫停營運,日本政府亦開始加強打擊加密貨幣交易所。
10. Bitmart (2021) – The $150 Million Hot Wallet Breach
10. Bitmart(2021)— 1.5億美元熱錢包漏洞事件
In December 2021, a huge hack happened at Bitmart, a bitcoin exchange that is known all over the world. Users' money worth almost $150 million was stolen in the attack.
2021年12月,全球知名的比特幣交易所Bitmart發生咗一次重大黑客入侵事件。用戶資金接近1.5億美元俾人偷走。
Hot wallets for Binance Smart Chain (BSC) and Ethereum (ETH) tokens on the exchange were the weak spots that let the hack happen. The hackers were able to do anything they wanted with the cryptocurrency stored in Bitmart's wallets once they got their hands on the exchange's wallet keys.
交易所內嘅Binance Smart Chain (BSC)同以太坊(ETH)熱錢包成為咗漏洞所在,令黑客有機可乘。黑客一旦攞到Bitmart嘅錢包密鑰,就可以隨心所欲咁攞走入面存放嘅加密貨幣。
It was one of the attackers' more complex tricks that they set up automatic withdrawals for many tokens, such as Safemoon, Shiba Inu (SHIB), and others.
其中一個比較複雜嘅攻擊手法係黑客設置咗多種不同代幣(例如Safemoon、Shiba Inu (SHIB)等等)自動提取資金。
The security company PeckShield was the first to notice the strange transactions and let everyone know about them. Soon after, Bitmart CEO Sheldon Xia confirmed the hack and stopped withdrawals and deposits on the site until they could assess the damage.
由安全公司PeckShield最早發現可疑交易,並公開咗有關消息。不久之後,Bitmart行政總裁夏承德(Sheldon Xia)證實遭受黑客攻擊,並即時暫停平台入金同出金,以便評估損失情況。
Bitmart quickly told its users that they would pay for their losses out of their own pockets.
Bitmart好快向用戶承諾,會用自家資金賠償損失。
Like other hacks, the Bitmart hack brought attention to the major security problems that come with storing hot wallets. Anything that is always linked to the internet is open to attack.
正如其他黑客事件一樣,Bitmart事件再次令大家關注用熱錢包存儲資產帶嚟嘅重大安全問題。任何長期連接住互聯網嘅東西都好容易俾人攻擊。
There's more to it than that, though.
事情唔止咁簡單。
Attacks like this one make people question how reliable centralized exchanges are and how well they can keep user cash safe.
呢類攻擊令大家質疑中心化交易所嘅可靠性,以及佢哋究竟有幾有能力保障用戶資產安全。
Because of what happened, many people came to the conclusion that security needs to be tightened and cold wallet storage needs to become more popular so that similar problems don't happen again.
呢次事件發生之後,好多人都認同應該加強安全措施,同時推廣用冷錢包儲存資產,咁樣至可以減少同類問題再發生。