原标题:2019年13家交易所被“黑” :邪恶的幽灵真的无法避开?
来源:金色财经 作者: 罐罐儿
9月2日,BITKER交易所的用户群里传来一条消息:
BITKER交易所于2019年5月28日不幸遭遇黑客攻击,尽管我们进行了长达3个月的补救工作,但很遗憾最终未能改变现状。由于资不抵债,我们决定关闭交易所。
投资不易,且行且珍惜。
公开资料显示,BITKER于2017年12月成立于新加坡,专注于打造“一站式数字资产交易所”,其在非小号的综合排名更高到达11名,今年5月遭遇黑客攻击停运,BITKER的记录最终停止在了9月3日。
诚然,交易所作为加密货币领域的基础设施,自诞生以来便是兵家必争之地,但同时也是常受黑客光顾的领地之一。根据BCSEC数据显示,从2011年到现在统计的易受攻击点被攻击次数中,交易平台排在第2位。
悉数历史上的各大交易所,在被黑客攻击之后,他们都做了什么?后来又怎么样了?面对这些看不见的对手、邪恶的幽灵,交易所究竟是坐以待毙还是主动出击?
破产倒闭
说起破产倒闭的交易所,最著名的当然还是Mt.Gox。
2014年2月7日,当时规模更大的交易所Mt.Gox(处理的比特币交易占全球的70%)发布公告称“系统出现漏洞,不解决这个漏洞的话,交易细节可能会被篡改,比如,在没有比特币转账的情况下,系统中可能会显示用户将比特币转入可电子钱包。”
同年2月24日,Mt.Gox宣布暂停所有交易活动,当时访问Mt.Gox网站只留下一个空白页面。
不过,根据当时 *** 上流传的一份文件显示,Mt.Gox被黑客盗取了744408枚比特币,这一损失多年来都未被发现。此外,除了这近75万枚比特币之外,平台自身的10万枚比特币亦被盗,合计丢失了将近85万枚比特币。按当时的币价,这波损失约在4.7亿美元左右。之后,2月28日Mt.Gox无奈申请了破产。
从出现问题到倒闭,Mt.Gox只坚持了21天。时至今日,法院还在对其进行破产清算,并最终决定对客户的赔偿措施。
除了Mt.Gox之外,还有许多因为黑客攻击而受到毁灭性打击的交易所。BitFloor便是其中之一。
BitFloor自2011年开始运营,在当时可以算得上是全球第四大美元交易所。2012年9月4日,BitFloor的运营商报告了安全漏洞,2.4万枚比特币(当时价值约为25万美元)被盗。次年4月,其创始人决定关闭BitFloor,并向客户退还存款。
与之类似的还有Bitcoinica(2012年3月、5月、7月黑客连续向Bitcoinica发起攻击,遭遇“三连击”的Bitcoinica最终宣布关闭)、Vircurex,以及文章开头提到的BITKER。
苦尽甘来
除了那些因遭受攻击而黯然消失的交易所,还有很多交易所虽然遭受了黑客攻击被盗币,但是并没有走上破产之路,而是顽强地生存了下来。
这里最典型的是Bitfinex。
2016年8月,更大的比特币交易所之一Bitfinex被黑客避开了多重签名之后盗走了119756个比特币(时值7200万美元)。这是继Mt.Gox热钱包被盗后发生的第二大交易所被盗事件。讽刺的是,Bitfinex进行软件升级本是为了提高安全,却没想到软件内含有漏洞。
时至今日,没人清楚黑客是如何避开多个签名盗走比特币的,最主流的解释是Bitfinex服务器安装了不合适的软件。Bitfinex当初使用的是BitGo提供的多签交易软件。
不过这件事情中,最受争议的是Bitfinex在被盗之后的处理方案——平台被盗损失必须先平摊到所有用户账户,即每个在Bitfinex拥有账户的用户将会被扣除36.067%资金,而不管这个账户的比特币是否受到损失。同时,Bitfinex会给每位受损用户相应数量的BFX代币,每个代币能代替1美元,未来可向 Bitfinex 全额赎回损失款项,也可选择交换Bitfinex母公司iFinex的股票。
尽管这个决定在当时受到了用户的强烈反对,但是通过代币进行股权融资,并使用营业额按月赔偿客户后逐步弥补亏空的Bitfinex,最终熬了过来。
类似的还有新加坡交易平台Bitrue。据Bitrue官方推特发文,在6月27日凌晨1点左右,一名黑客利用了其风险管控团队在对平台系统进行第二次核查时的漏洞,侵入了近90个Bitrue用户的资金账户,共损失价值约420万美元的瑞波币和艾达币。
比较有意思的是,作为国人运营的交易平台Bitrue在之前并不被中国地区的用户所熟知,而是在北美、欧洲等地区拥有大量忠实、高端的用户。被盗事件发生后的一周,Bitrue进行安全整顿升级并对受害者提供赔偿。因祸得福,Bitrue依靠过往的口碑以及处理该事件的态度促使它开始进入国人视线。
安全一再升级
所谓“树大招风”,一些头部交易所也因此成为黑客攻击的重点对象。
今年5月8日,全球头部加密货币交易平台Binance币安被盗7074枚比特币,按实时币价估算,损失超过4100万美元。根据区块链数据和安全服务商PeckShield的分析,此次事件的攻击手法是黑客通过钓鱼等方式搜集币安用户账号信息,然后采用71个账号并发API提币操作于块高度575013处实施了攻击。事后Binance币安立刻宣布全额赔偿用户损失,并对相关的安全措施、程序和操作进行重大完善。
事实上,这并不是币安之一次被黑客攻击。
2018年3月,黑客通过非法入侵币安用户的账户,将用户各种各样的代币即时币币交易换成比特币,将加密货币全部币币交易换成 *** C,数量达1万个 *** C以上。黑客使用API交易机器人用这些 *** C大量买入VIA币,VIA的价格直接被拉高了100倍以上,然后抛售来控制币价。
同年7月,币安第2次遭遇黑客攻击,攻击方式类似之一次。庆幸的是,这两次攻击事件没有给币安及其用户带来实质性的损失。
除币安之外,韩国更大的交易所Bithumb近年来也颇受黑客“青睐”,2017年6月、2018年6月和2019年3月都曾被盗币,损失惨重。
邪恶的幽灵:交易所是坐以待毙还是主动出击?
细数过往被黑客攻击过的交易所,他们被攻击的形式和原因各不相同。面对这些看不见的对手、邪恶的幽灵,交易所究竟是坐以待毙还是主动出击?
BHEX创始人&CEO巨建华对金色财经表示,
计算机行业的安全问题,是从计算机诞生以来就一直伴随的问题,任何技术防范,都只能减少安全风险发生的可能性,但是无法保证绝对的安全,有效的风险控制措施才是正确的应对之道,当发生安全问题后,能将问题控制在可接受的范围内,是目前交易所安全方面最正确的做法。
降维安全实验室给出了更为具体的技术层面的防御措施:
此外,降维安全实验室还列出了除黑客攻击之外的交易所安全风险,如图:
降维安全实验室方面表示,要做好多重安全防护以此减轻风险:
结语:
未雨绸缪也好,主动出击也罢,活下去。毕竟,只有活下去,才能见证未来盛世。
原标题:漏洞再藏交易所 黑客盯上行情区
区块链的各类安全事故中,作为加密货币流通场所的数字资产交易平台一直是重灾区,API接口遭黑客攻击、用户账户被盗等安全事件频出。这一次,黑客盯上了展示行情的第三方组件。
昨日,多家区块链安全平台预警,一个第三方组件存在名为XSS 0day的漏洞。降维安全实验室预警时指明,该组件为TradingView,供交易平台展示行情使用。
*** 息显示,多家数字资产交易平台使用了该组件,包括币安、Bitfinex、火币Pro和Bithumb等这类大型知名平台。
慢雾科技预警称,该漏洞如被恶意利用,会导致数字货币交易所等平台的用户账号权限被盗、恶意操作等资产损失。
所幸,这一漏洞预警已被区块链安全平台下发给TradingView公司和涉及到的一些交易所。但安全人员透露,仍不乏影响力较大的交易平台轻视了该漏洞。
文|苏勇
编辑|文刀
交易所行情展示组件藏漏洞
如果你多打开一些交易平台的行情页面,你就会发现,不少行情展示区的左下角都会显示,行情数据和表格来自TradingView。
据 *** 息显示,TradingView本身是全球更大的图表技术分析交流社区,后来由TradingView公司开发成为行情展示第三方组件工具,不但大部分数字资产交易平台在使用,连证券和期货这些传统金融交易平台也是它的用户。
蜂巢财经查询后发现,在日交易量排名前十的交易所中,使用TradingView展示行情的包括币安、Bitfinex、火币和Bithumb等知名数字资产交易平台。
这一次,被区块链安全公司视作“高危漏洞”的XSS 0day就藏在这个与用户天天见面的工具里。而这一漏洞被定性为“高危”,经历近半个月的时间。
据慢雾科技消息,前后有两位白帽黑客反馈了XSS 0day漏洞。9月4日,之一位白帽黑客向慢雾科技反馈该漏洞,并把这个漏洞危害等级定义为“低危”。在相关交易所平台修复后,慢雾科技也没特别在意,直到9月18日,第二位白帽黑客和他们再次提及了这个漏洞后,他们开始对所有用户下发XSS漏洞预警。
“降维安全也在两个礼拜之前就关注到这个漏洞,并且通过内部通知流程,陆续通知合作方修复。”降维安全实验室的运营负责人孙越接受蜂巢财经采访表示,已经有白帽黑客在Github上向TradingView官方报送了此漏洞,目前所有使用该组件且没有针对存在漏洞的 *** 文件(Java语言写就的文件)做修补操作的交易所,都存在这个漏洞。”
从事区块链技术开发的Frozen表示,XSS漏洞是一个跨域漏洞,一旦用户流量被劫持就十分危险,黑客将用户的 *** 文件替换成自己修改过的,就可以为所欲为。
慢雾科技和降维安全实验室都提到,XSS漏洞一旦被恶意利用,黑客便可以获得用户的登陆权限,恶意操纵将带来资产损失。
已出现用户账号被劫持情况
XSS漏洞如此严重,为何会长期存在于交易所的TradingView组件中?
对此,孙越解释,主要原因在于TradingView一直属于一个第三方前端框架,一般条件下,它的安全不太引人关注。但是一旦使用它的是需要保障高安全性的系统,存在漏洞就会造成巨大危害。
“目前我们并没有收到直接因为XSS攻击而造成财产损失的案例,但已经有多起因为这个漏洞而劫持用户账户并进行操作的情况发生。”孙越说,早期也有类似的漏洞发生,但是如此大范围的存在于数字货币交易所场景中还是之一次。
孙越强调,此次安全事件的责任方主要在TradingView公司,但交易所在选择第三方库时也应注意其安全性,需要及时关注官方的安全通告和第三方发布的安全预警。
目前已有部分交易所对此漏洞进行了修复,降维安全实验室也在之一时间紧急为其客户推送了修复方案,“但仍有不少交易所轻视这个问题,其中不乏有一些影响力较大的交易所。”对于具体包括哪些大交易所,孙越表示不方便透露。
使用TradingView的火币Pro更早时间发现了这一问题,相关人员告诉蜂巢财经,他们在8月份时就发现了该漏洞,已经进行修复。
用户要养成定期修改密码的习惯
但凡是计算机程序,都会存在BUG,区块链安全问题从来没有终极解决办法。对于如何防范类似安全事故发生,孙越认为,第三方公司、交易平台和用户应该各自为自己的产品、客户和资产安全保持警醒。
孙越说,TradingView公司在代码发布前应该尽量做完善的代码审计,避免这种低级错误再发生。
而交易平台要慎重选择第三方库,保持对第三方库安全事件的关注,同时要与安全公司有良好的沟通,及时了解这些信息。除此之外,交易平台安全机制的加强也可以一定程度上保护用户,缓解漏洞危害。
对于广大的交易平台的使用者,孙越提醒,用户应该选择那些积极进行漏洞修复的平台进行交易,养成良好的安全习惯,“定期修改密码,在离开交易平台网站后,应从交易所网站手动下线,必要时手动清空cookie,这也能在一定程度上缓解被黑客攻击的风险。”
区块链技术开发者Frozen也提示,用户不要轻易连接不明WiFi,不要轻易相信搜索引擎给的某些所谓官网链接,更不要轻易点开他人给的链接。
为方便交流,请加蜂姐微信(微信号:fengchaocaijing),拉你进入“蜂巢财经反割联盟”,定期组织嘉宾分享,交流行业干货。
图片查看: | |
查询分类: | 位置登录救助 |
用户提问: | 黑客交易平台安全 |
状态: | 已解决 |
调查用时: | 294小时 |
我需要专业黑客的qq联系方式找黑客帮忙盗个 *** 号1. 超长的页面下载时间.
如果页面下载时间超过30秒,很难有用户会喜欢你的网站.
2.无限制的使用flash及图片
无可否认,适当的用一些图片及flash,可以增加网站的生动性,增加视觉冲击力.但无限制的使用flash及图片.会造成页面文件超大,占用浏览者的cpu资源,并且不利于页面更新及搜索引擎对网站的抓取。
3。网站页面过长.
你认为有多少浏览都有兴趣看你网页中最下面的内容? 不要拿自己来作比喻,因为99%以上的人才刚学会上网.
在王建硕的一篇文章中提到.”1995年Jakob Neilson做的互联网用户调查,美国的用户在1994年的时候,只有10%的用户会拖动浏览器右边的滚动条,而绝大多数,90%的用户,打开一个网站,只看浏览之一屏看到的内容,就以为看到了全部,而不会向下滚动。”
现在中国也有这样的人.而且为数不少.
在一个网站的首页,能看到第三屏内容的人只有10%以下 一个过长的网站很容易引起浏览者的视觉疲劳,更何况大部分浏览者很有可能已经被前
其他问题提问 | 相关问题回答 |
---|---|
联系黑客网站 | 远程老婆生活 |
渗透测试接单平台 | 注册保护客户 |
联系黑客黑手机多少钱 | 订单中国号码 |
先办事后付款的黑客在线请 | 企业发现支付 |
哪里可以找到 *** 黑客 | 监控教程留言 |
带孩子逛商场可以让孩子见识更多的事物,接触世界,增加交流能力,针对一些安全隐患宝妈需要提前做好准备,那么带孩子逛商场有哪些好处,带孩子逛商场要做哪些准备?下面友谊长存带来介绍。 带孩子逛商场有哪些好...
本文导读目录: 1、我、没看懂黑客帝国 有谁能具体把3部黑客的内容说下 谢谢 2、黑客帝国第三部最后! 3、《黑客帝国》到底讲的是什么? 4、哪部电影里面有一句台词是“誓死捍卫锡安”...
升级抖音短视频APP,我们可以发觉一个新作用——随拍,你能用它来记录生活日常。抖音短视频随拍咋玩?可以看文章内容详解。 抖音短视频随拍是啥? 抖音短视频随拍是一个随时随地纪录身旁幸福一瞬间并与别人...
本文目录一览: 1、谁是凶手细节分析 2、谁是凶手中帮助沈雨的瘸子是谁 3、谁是凶手深度解析最新 谁是凶手细节分析 1、胡刀刀是一个网络高手,他的身份就非常存疑。尤其是他几次出现,都是坐着轮...
谢谢本站网友分享,原帖地址,更多网络福利,请关注本站论坛购物买卖板块。 同程旅游新更换了域名,ly.com,以是正举行推广流动,完成流动,可获得10米现金奖励,每个手机号、支付宝账号限1次机遇。...
本文导读目录: 1、怎么样才能黑一个手机? 2、用手机黑进别人的手机? 3、用手机黑进别人的手机 4、怎么在手机上把别人的手机号拉进黑名单? 5、如何黑掉别人的手机? 6、怎样黑别...