“很多小交易所根本没有系统性做过安全测试,置用户的资产和信息安全于不顾,完全是单方面想割韭菜。”这是bcloud.one安全团队在对众多交易所进行日常审查后得出的结论。
随着交易挖矿模式的走红,成百上千家新交易所短时间内蜂拥而至、跃跃欲试,试图从大交易所的口中分一杯羹。但是,由于新交易所往往急于上线赶上这波热度,将过多精力用于营销,对安全的重视和投入却不够充分,留下了诸多安全隐患。据不完全统计,过去一周至少发生了两起小交易所安全事故。
6月30日,Coineal开放交易挖矿,但由于失误将本应解锁的约90万个NEAL设置成了10.5亿个NEAL,致使币价大幅震荡,Coineal不得已将数据回滚。
6月25日,bkex.com则被曝光超过十万用户的账号密码泄露,经过MD5值反查明文,登录成功率超过80%。
未被曝光的事故可能就更多了。
交易所的安全系统实际上是一套极其复杂的体系。作为一个中心化的交易网站,它需要进行网站访问控制、权限认证管理、扫描监控、源码审计、渗透测试、响应解析等安全措施。作为特殊的金融资产平台,它还需要考虑到密匙安全、智能合约安全、合规性等问题。
正因为交易所系统架构的复杂,“交易所遭受攻击的说辞都是黑客攻击,但背后可能有私钥管理不当、被钓鱼网站植入、漏洞劫持等多方面原因。”区块链安全公司PeckShield相关负责人介绍道。
因此,一家交易所必须要具有足够多、足够优秀的专业人才方可保障自己的安全性,但在上万家交易所的竞争以及主流交易所的高薪抢夺下,普通交易所很难找到合适的人才。
所长对近10个新诞生的交易所官网和宣传稿进行了观察,几乎全部没有公开其技术负责人和团队信息,一方面可见交易所们对其技术背景不够自信,另一方面也导致普通投资者很难根据团队判断其安全性。
安全事故频发的另一个原因是很多交易及安全系统不是交易所自己开发的,而是向第三方IT服务商采购,甚至外包的。“但这会让交易所运营方在代码质量和安全性方面失去控制,对于投资者来说是极其不负责任的行为。”一家新交易所BiClub联合创始人陈露说道。
在前文所述的bkex安全事故中,bcloud.one旗下sniperteam团队表示这正是由于该交易所在内测阶段就采用真实用户注册信息,但是技术人员未做安全相关的check,导致内测阶段的所有用户信息泄露。该团队透露,目前该交易所社区里已经出现用户丢币的现象,由于此交易所泄露了用户密码,导致该用户另一使用相同密码的网站被黑客登录,进行了多笔数额巨大的异常交易,对该用户造成了非常严重的经济损失。
据sniperteam团队介绍,很多小交易所都存在一些非常明显的安全问题,比如管理后台放外网、使用弱口令等,特别是很多交易所用MD5 的加密方式储存用户信息,非常容易被黑客进行反查明文,导致资产被盗。而在另一个安全公司PeckShield的观察中,来自小交易所上的智能合约问题则相对高频。
相比技术实力的不足,更为恶劣的是交易所内部人员的主观欺诈。在所长对多位交易所安全专业人士的采访中,他们都特别强调到对交易所团队作恶的担忧,“如果内部人员私自窃取了用户资产,但对外声称被黑客盗走,普通用户根本发现不了,只能自认倒霉。”一位IT服务商负责人说道。
“最大的问题就是人的问题,面对巨大的利益诱惑,怎样从机制上预防安全问题,比如进行最小权限的划分、专人负责专事,从安全管理的角度减少员工作恶的可能性,是所有交易所都需要思考的。”bcloud.one团队说道。由于小交易所的人员素养相对参差不齐,这方面的风险显然更高。
应当承认的是,由于大交易所拥有的资产价值远高于小交易所,其被黑客盯上的概率往往更高,但由于小交易所庞大的数量基数,其安全事件的发生数量并不比主流交易所小。
而且,大交易所在遭遇失窃后的抗风险能力比较强,无论是赔偿能力还是追回机制。bcloud.one团队表示,大交易所由于风控系统相对成熟,也会吸引很厉害的安全人员加盟,往往不会出现大规模的丢币事件,但小规模的丢币实际上是时常发生的,只不过在损失不大时,往往会自己默默填补这部分损失。
比如Bithumb在6月19号遭遇黑客攻击后表示失窃资金大概价值3100万美元,不过在一周后的声明中,Bithumb称由于全球加密货币交易所、加密货币基金会的参与、支持和合作,Bithumb的实际损失缩减为1700万美元,同时还为遭遇损失的用户提供一定的赔偿。
而小交易所抗风险能力小,一旦发生丢币可能就是生死线,“很可能就会关停跑路了 。”PeckShield相关负责人说道。
虽然到目前为止,被曝光的小交易所安全事件只有账户信息丢失和解锁操作失误造成的部分用户财产损失和贬值,但安全隐患的种子已经埋下,并将逐渐引爆。
普通投资者应当要有这么个觉悟和预期。
微信扫码立即加入交易所情报群
所内情报站,聚焦交易所的社群型媒体,最快速、精准、一手的讯息及深度解读。
网友评论