今年 9 月 20 日凌晨,新加坡的加密貨幣交易所 BingX 確認發生資安漏洞。公司表示此次僅有「輕微資產損失」,但專家警告實際損失恐達數百萬美元。這並非近年唯一大型加密貨幣交易所遭駭事件。
隨著加密市場規模擴大,相對應的風險也隨之增加。駭客將目標鎖定在中心化交易所,這些平台掌握巨量用戶資產,就如過去銀行成為網路犯罪首選。雖然加密貨幣本身去中心、區塊鏈被讚譽為安全,但用戶資產存放及交易的場所卻經常成為攻擊目標。安全協議漏洞、程式設計錯誤或員工疏失,都讓這些平台被趁虛而入。數百萬美元遭竊,重創用戶信任,也讓加密貨幣是否能普及再次成疑。
在 BingX 事件持續延燒之際,讓我們盤點近年十大加密貨幣交易所遭駭大事,討論其中技術缺口、財務影響以及業界從中獲得的教訓。
1. Mt. Gox(2014)—巨人的崩塌
日本 Mt. Gox 一度主導全球 70% 比特幣交易,是史上最知名的加密幣駭客事件現場。2014 年 2 月該所突然停止交易,不久後宣布破產並損失 85 萬顆 BTC,當時市值約 4.5 億美元,如今價值已高達數十億美元。這場駭客攻擊其實潛伏多年,駭客利用公司熱錢包漏洞和內部管理不善,逐步轉移資產。最大問題是交易驗證系統存在「交易延展性」(transaction malleability)漏洞,讓駭客能竄改交易 ID 並竊取資金。當時 CEO Mark Karpeles 也遭調查與指控。這起事件提醒業界管理與資安皆須堅實,有些被竊資產已陸續尋回。
2. Coincheck(2018)—5 億美元 NEM 竊案
2018 年 1 月日本 Coincheck 遭竊超過 5 億美元 NEM(XEM)代幣。NEM 交易需多重授權然無效用,因大部分 NEM 被擺在可上網的熱錢包而遭駭。入侵者掌握熱錢包權限後,將代幣分散至多個帳戶。由於加密貨幣區塊鏈難以逆轉區塊紀錄,即便追蹤得到,Coincheck 也無法追回資產,只能自行賠償受損用戶。此事件也促使日本政府加強對交易所的監管。
3. Bitfinex(2016)—多簽錢包的迷思
2016 年 8 月,Bitfinex 遭駭損失 120,000 顆 BTC,當時約值 7,200 萬美元。Bitfinex 與安全公司 BitGo 合作採用多重簽名錢包,卻仍因實作錯誤、金鑰管理疏失被破解。為彌補用戶損失,Bitfinex 發行 BFX 代幣作為債權讓用戶選擇持有或兌換。事件暴露中心化交易所風險,與多簽錢包安全問題。
4. Binance(2019)—無法被擊垮的巨頭
2019 年 5 月,全球交易量最大之一的 Binance 遭駭,損失 7,000 顆 BTC(約 4,000 萬美元)。駭客運用網路釣魚、惡意程式等手法竊取大量 API 金鑰及雙重驗證碼。由於攻擊手法高明且有組織,Binance 在偵測到異常提領時立即停止出金並緊急啟動應變措施。所幸 Binance 以 SAFU 用戶安全資產基金承擔損失。這起事件證實即使規模如 Binance 也難逃資安威脅,但平台快速處理及專責基金制度,讓損失降到最低。
5. KuCoin(2020)—2.75 億美元大劫案
2020 年 9 月,新加坡 KuCoin 遭駭,失竊以太坊、比特幣及 ERC-20 代幣合計約 2.75 億美元。熱錢包再度成漏洞所在。KuCoin 反應神速,大量失竊資產在結合專案團隊、區塊鏈公司的合作下凍結,超過 2 億美元資產被追回。此例凸顯加密資安防禦的進步,但也反映中心化交易所及熱錢包管理需再加強。
6. NiceHash(2017)—6,400 萬美元礦場被竊
2017 年 12 月,總部斯洛維尼亞的 NiceHash 採礦平台被入侵,損失 4,700 顆 BTC(約 6,400 萬美元)。攻擊手法疑似社交工程,取得公司內部系統權限。這起案例迥異於一般針對交易所的駭客行動,而是重挫算力租賃平台。NiceHash 最終承諾賠償受損用戶,事件顯示加密生態鏈每一環皆有資安風險。
7. Liquid(2021)—9,400 萬美元被盜
2021 年 8 月,日本 Liquid 交易所熱錢包遭攻擊,損失價值逾 9,400 萬美元的比特幣與以太幣等資產。駭客將資產分散至多個錢包,Liquid 及時將剩餘資產移至冷錢包以減少損失。交易所並與多間平台合作凍結資產、追查犯人,部分資金雖被追回,但熱錢包安全問題再度浮現。
8. Cryptopia(2019)—小型交易所的殞落
紐西蘭 Cryptopia 雖規模不大,但擁有忠實用戶。2019 年 1 月遭駭,損失約 1,600 萬美元加密資產,營運終止並宣告破產。由於自有資金有限,大量用戶血本無歸;後續調查顯示內控弱點,管理流程有重大缺失。
9. Zaif(2018)—6,000 萬美元失竊
2018 年 9 月,日本 Zaif 交易所熱錢包遭入侵,損失價值約 6,000 萬美元的比特幣、比特幣現金及 MonaCoin。駭客得手後轉移資產... for a while before anyone noticed.
在有人發現之前,已經過了一段時間。
In order to recoup some of its losses, Tech Bureau, Zaif's parent company, sold a controlling interest in the business to Fisco, another Japanese financial services provider. As a result of the hack, Zaif had to temporarily halt operations, and the Japanese government began to crack down harder on cryptocurrency exchanges.
為了彌補部分損失,Zaif 的母公司 Tech Bureau 將其企業的控股權出售給另一家日本金融服務公司 Fisco。由於這次駭客事件,Zaif 必須暫時停止營運,而日本政府也開始加強對加密貨幣交易所的查緝與監管。
10. Bitmart (2021) – The $150 Million Hot Wallet Breach
10. Bitmart (2021) – The $1.5億熱錢包漏洞
In December 2021, a huge hack happened at Bitmart, a bitcoin exchange that is known all over the world. Users' money worth almost $150 million was stolen in the attack.
2021 年 12 月,知名全球的比特幣交易所 Bitmart 發生了一起重大駭客事件,用戶資金近 1.5 億美元在攻擊中被竊取。
Hot wallets for Binance Smart Chain (BSC) and Ethereum (ETH) tokens on the exchange were the weak spots that let the hack happen. The hackers were able to do anything they wanted with the cryptocurrency stored in Bitmart's wallets once they got their hands on the exchange's wallet keys.
這次事件的破口在於 Bitmart 平台上的幣安智能鏈(BSC)和以太坊(ETH)代幣熱錢包。駭客一旦取得交易所的錢包金鑰,就能對儲存在 Bitmart 熱錢包內的加密貨幣為所欲為。
It was one of the attackers' more complex tricks that they set up automatic withdrawals for many tokens, such as Safemoon, Shiba Inu (SHIB), and others.
駭客的其中一個高明手法,是設定多種代幣的自動提領,包括 Safemoon、柴犬幣(SHIB)等資產。
The security company PeckShield was the first to notice the strange transactions and let everyone know about them. Soon after, Bitmart CEO Sheldon Xia confirmed the hack and stopped withdrawals and deposits on the site until they could assess the damage.
安全公司 PeckShield 是第一個發現異常轉帳並公開警告事件的單位。隨後,Bitmart CEO Sheldon Xia 也證實遭到駭客入侵,並立即暫停平台上的充值與提領,直到損失評估完成。
Bitmart quickly told its users that they would pay for their losses out of their own pockets.
Bitmart 也迅速向用戶宣布,將會自掏腰包承擔所有損失。
Like other hacks, the Bitmart hack brought attention to the major security problems that come with storing hot wallets. Anything that is always linked to the internet is open to attack.
和其他駭客事件一樣,Bitmart 事件凸顯了熱錢包存放的重大安全風險。任何時時連網的資產都存在被攻擊的可能。
There's more to it than that, though.
然而,事情還不只止於此。
Attacks like this one make people question how reliable centralized exchanges are and how well they can keep user cash safe.
這類攻擊也讓人質疑集中式交易所的可靠性,以及它們守護用戶資產的能力。
Because of what happened, many people came to the conclusion that security needs to be tightened and cold wallet storage needs to become more popular so that similar problems don't happen again.
由於這次事件,很多人認為必須提升安全性,也讓冷錢包存放方式變得更受重視,藉此避免類似事件再度發生。