本節(jié)將分析最常見的黑客攻擊策略，并編匯收集被公開發(fā)布過的關(guān)于安全問題的信息，以及羅列出存在記錄的黑客事件清單。清單上的全部內(nèi)容都來源于可靠新聞并附有來源注釋。這些信息將有助于加密貨幣持有用戶和交易平臺制定交易系統(tǒng)防御措施，以反抗黑客攻擊。

黑客攻擊方法

與人們的普遍認(rèn)知相反，絕大多數(shù)黑客攻擊都是以社會工程 （social engineering）的形式完成的。Social engineering 是指利用欺騙手段來操縱個人，使其無意間泄露可以被用于欺詐目的的機(jī)密或個人信息。下面提供的交易黑客攻擊列表將證明，黑客繞過系統(tǒng)制定的安全措施的方法通常都是以這種手段實(shí)現(xiàn)的，實(shí)際上很少需要使用中斷加密的方法。一些 social engineer-ing 黑客的普遍形式是：

手機(jī)/電子信箱劫持； 通常情況下，黑客利用從社交媒體檢索到的個人信息，冒充目標(biāo)，并從受害人的移動電話運(yùn)營商獲得新的手機(jī) SIM 卡，或者重設(shè)受害人電子信箱密碼。這就使得黑客能夠訪問所有類型的賬號、獲得各式各樣的信息，而黑客所盜取的信息中，就有可能包含加密貨幣交易所員工的信息。

網(wǎng)絡(luò)釣魚; 作為迄今為止最常見的盜取他人賬戶的方式，許多人都采取了防范措施，或者受到賬戶平臺的反釣魚保護(hù)。然而在 2014 年 7 月，這種釣魚技術(shù)被成功用于從 Cryptsy 竊取 950 萬美金 （見下文）。網(wǎng)絡(luò)釣魚經(jīng)常要求人們在看上去合法合規(guī)的網(wǎng)站上登錄他們的賬戶，從而獲取登陸數(shù)據(jù)。鑒于釣魚網(wǎng)站和釣魚郵件的無處不在，有人在一個漫不經(jīng)心的時刻上當(dāng)受騙只是時間問題。

惡意軟件; 2015 年 1 月，多名比特股員工被騙將惡意軟件下載到了他們的工作電腦上，損失共計(jì) 520 萬美元。該技術(shù)還會利用目標(biāo)的興趣愛好來誘使他們下載惡意軟件。

防御 social engineering 黑客; 世界上極少有數(shù)據(jù)庫是沒有經(jīng)過加密的。由于中斷此類加密是幾乎不可能的，因此攻擊這些數(shù)據(jù)庫就必須要致力于獲取用于解密數(shù)據(jù)庫的私鑰或者密碼。因此，大多數(shù)交易所被黑只可能是由于糟糕的信息安全協(xié)議導(dǎo)致的。大多數(shù)情況下，包含交易所客戶全部私鑰的加密數(shù)據(jù)庫密碼只掌握在幾個關(guān)鍵員工手中，這些員工就可以成為低成本 social engineering 攻擊的目標(biāo)。這種類型的數(shù)據(jù)泄漏不僅在中心化系統(tǒng)中非常常見，而且也是造成系統(tǒng)最大損失的關(guān)鍵點(diǎn)。

總結(jié)性地說，加密貨幣本身很少被黑，但是它們的核心協(xié)議或者共識機(jī)制卻是有可能受到損害的。這幾乎總是設(shè)計(jì)不當(dāng)?shù)墓沧R機(jī)制和中心化系

統(tǒng)的最終結(jié)局——人為失誤造成的嚴(yán)重?fù)p失。

從下面列出的黑客攻擊、下圖中的錢包客戶端和去中心化私鑰系統(tǒng)的情況可以推斷，將資產(chǎn)存儲在離線冷錢包里以及多簽名身份驗(yàn)證，是最重要的黑客資金盜取防御措施。

交易所黑客攻擊事件時間線

2011 年 6 月 Mt. Gox，875 萬美金;

早期規(guī)模最大、最重要的加密貨幣交易所，同時也是第一個已知的加密貨幣交易所黑客受害者。這起事故的原因——我們必須假設(shè)——是由于其低標(biāo)準(zhǔn)的安全措施導(dǎo)致的。當(dāng)時總部位于日本的 Mt. Gox 沒有使用任何一種版本控制軟件，這意味著任何一位程序員都可能出于意外而撤銷同事的全部工作，如果他們恰好在同一個文件上編輯代碼。就在黑客攻擊前不久，比特幣交易所引入了一個新測試環(huán)境，因此舊版本的軟件更改已經(jīng)被推送到交易所客戶，并處于未經(jīng)測試的狀態(tài)。

2011 年 10 月 Bitcoin7，5 萬 美 金;

Bitcoin7—— 當(dāng) 時 全 球 第 三 大BTC/USD 交易所——成為了俄羅斯黑客組織的目標(biāo)。10月 5 日，該交易所網(wǎng)站向用戶發(fā)布了一條信息，稱“攻擊本身不是僅僅針對 bitcoin7.com 服務(wù)器，而是對于屬于同一網(wǎng)絡(luò)的其他網(wǎng)站和服務(wù)器也都采取了行動。最終黑客們成功突破了整個網(wǎng)絡(luò)，并導(dǎo)致隨后對 bitcoin7.com 網(wǎng)站的嚴(yán)重破壞?！弊畛醯耐黄茻o論發(fā)生在哪個層面，都能讓黑客們接觸到網(wǎng)站的熱錢包。黑客攻擊后不久，Bitcoin7 便永遠(yuǎn)地關(guān)門大吉了。

2012 年 3 月 Bitcoinica，22.8 萬美金;

Bitcoinica 是利用名為 Linode 的網(wǎng)絡(luò)主機(jī)發(fā)動黑客攻擊的最突出受害者之一。Bitcoinica 的CEO周同在最初表示損失了1萬枚BTC后，向Ars Technica承認(rèn)實(shí)際上丟失了 4.3554 萬枚比特幣，所有這些幣全都存放在 Linode 服務(wù)器上的未加密熱錢包里。

2012 年 5 月 Bitcoinica，8.7 萬美金;

第一次黑客攻擊后 10 周，Bitcoinica又一次被盜取了一筆資金。這一次不僅是丟失比特幣，甚至 Bitcoinica 用戶數(shù)據(jù)庫也遭到嚴(yán)重破壞。姓名、電子信箱地址、密碼和其他敏感數(shù)據(jù)全部被盜，盡管這些信息被存儲在具有不同加密方案的獨(dú)立數(shù)據(jù)中心的獨(dú)立服務(wù)器上。

2012 年 7 月 Bitcoinica，30 萬美金;

第三次攻擊令 Bitcoinica 再次丟失了客觀數(shù)量的比特幣。然而，關(guān)于黑客是內(nèi)部監(jiān)守自盜的傳言永遠(yuǎn)無法被證實(shí)。

2012 年 9 月 Bitfloor，25 萬美金;

截至 2012 年 9 月，總部位于紐約的Bitfloor 是以美元做交易的第四大交易所。在攻擊中，黑客獲得了交易所錢包密鑰的未加密備份。此備份是在 Bitfloor創(chuàng)始人 Roman Shtylman 進(jìn)行手動升級并將數(shù)據(jù)存入磁盤上的未加密分區(qū)是創(chuàng)建的。被泄露的錢包鑰匙被用于清空Bitfloor 上的大量熱錢包。

2013 年 5 月 ? Vircurex，16 萬美金;

一個人為錯誤導(dǎo)致了 1454 枚 BTC，225.263 枚 TRC 和 23.400 枚 LTC 被盜。根據(jù) 2013 年 5 月Vircurex 的報告，黑客獲得了他們托管服務(wù)商的 VPS 控制賬戶的登錄憑據(jù)，然后成功請求到了所有服務(wù)器的重置根密碼。

2013 年 6 月 ? Picostocks，13 萬美金;

6 月 10 日，Picostocks 的發(fā)言人在bitcointalk.org 論壇上透露，多個賬戶是使用相同的密碼操作的，這就給黑客提供了進(jìn)入交易所錢包的許可。

2013 年 11 月 ? Picostocks，300 萬美金;

同年 11 月，Picostocks 又被盜取了一筆大得多的金額。由于此次被黑的一部分錢包是冷錢包，無法被通過互聯(lián)網(wǎng)訪問，因此黑客有可能是內(nèi)部人員。

2014 年 2 月 ? Mt. Gox，4.6 億美金;

這是有史以來第二大的加密貨幣交易所黑客攻擊。鑒于相對較小的加密貨幣市場，這是影響力最大的攻擊事件?！拔C(jī)戰(zhàn)略草案”中顯示，黑客多年以來一直在利用同一個 bug 針對該公司進(jìn)行研究。“危機(jī)戰(zhàn)略草案”泄露后，Mt. Gox 承認(rèn)損失了 4.6 億美元 。來自該公司內(nèi)部的事后資料報告稱，他們曾經(jīng)使用的源代碼可以說是“一塌糊涂”。自 2011 年 6 月的黑客攻擊以來，Mt. Gox 的安全措施似乎并沒有得到充分加強(qiáng)。

2014 年 3 月 ? Cryptorush，57 萬美金;

BlackCoin 發(fā)布了他們區(qū)塊鏈的一個新分叉，其中產(chǎn)生了一個 bug 使得 BlackCoin 的所有者能夠兌現(xiàn)幣他們實(shí)際擁有的資金更大的金額。官方聲明的副本現(xiàn)保存在 bitcointalk.org 論壇上。

2014 年 3 月 ? Poloniex，6.4 萬美金;

一個類似的 bug，利用交易被安排發(fā)生在同一時刻，從而提取多于超過錢包內(nèi)實(shí)際存儲的金額，以達(dá)到從 Poloniex 上盜取資金的目的。

2014 年 3 月 ? Flexcoin，，60 萬美金;

在對加密貨幣存儲服務(wù)提供商進(jìn)行攻擊后，所有的熱錢包全部被清空。黑客進(jìn)入 Flexcoin 系統(tǒng)的手段，目前尚不清楚。

2014 年 7 月 ? Cryptsy，950 萬美金;

這一嚴(yán)重的黑客攻擊事件，直到發(fā)生兩年后該公司宣布破產(chǎn)的時候才被公開。在最初針對技術(shù)問題的一番指責(zé)過后，Cryptsy 據(jù)稱在破產(chǎn)前成為了網(wǎng)絡(luò)釣魚的攻擊目標(biāo)，并被迫暫停了交易。

2014 年 8 月 ? BTER，165 萬美金;

盡管 BTER 通過談判，使黑客歸還了部分被盜資金而減少了他們的損失，但一位開發(fā)者聲稱問題完全在于交易所本身，而黑客攻擊造成的損失本身是可以避免的。

2014 年 10 月 ? Mintpal，130 萬美金;

Mintpal 的黑客攻擊情況以及其隨后的破產(chǎn)原因依然不清楚。2017 年，Ryan Kennedy 因欺詐和洗錢罪名被帶到英國法院，并在黑客攻擊后得到了交易所，這引起了人們對其內(nèi)部人員的懷疑。

2015 年 1 月 ? 796Exchange，23 萬美金;

即使將服務(wù)器遷移到高度安全的云端站點(diǎn)，也無法保護(hù)當(dāng)時交易量最大的交易所避免被黑客成功攻擊。在發(fā)現(xiàn)了系統(tǒng)弱點(diǎn)之后，黑客們能夠欺騙客服部門，讓他們把比特幣發(fā)送到錯誤的錢包里。796Exchange的總裁 Nelson Yu 告訴 cointelegraph.com，” 準(zhǔn)確地說，錢包系統(tǒng)在這次事件中一點(diǎn)也不受影響。資金盜取發(fā)生在基金的交易過程中?！?/p>

2015 年 1 月 ? Bitstamp，520 萬美金;

2015 年的 Bitstamp 黑客劫案是眾多復(fù)雜的網(wǎng)絡(luò)釣魚攻擊中一個很好的例子。多個員工被鎖定，并通過利用他們的興趣愛好信息被誘騙下載惡意軟件。通過這種手段，攻擊者獲得了對兩個服務(wù)器的訪問權(quán)，其中包含 Bitstamp 熱錢包的密碼。

2015 年 2 月 ? BTER，175 萬美元;

黑客針對 BTER 的第二次攻擊尤為重要，因?yàn)檫@次他們襲擊的目標(biāo)是 BTER 的冷錢包。他們是如何做到這一點(diǎn)的，至今仍然是個謎。

2016 年 4 月 ? Shapeshift，23 萬美金;

Shapeshift 的黑客攻擊時為數(shù)不多的，可以追溯到該公司一名員工的黑客攻擊之一。在盜取了 13 萬美金之后，他們把敏感信息賣給了一名黑客。據(jù)信，黑客制造了第二筆盜竊，金額為 10 萬美金。

2016 年 5 月 ? Gatecoin，214 萬美金;

這次黑客攻擊是一個久經(jīng)考驗(yàn)的策略的轉(zhuǎn)折點(diǎn)。攻擊者似乎改寫了系統(tǒng)，使其將存款轉(zhuǎn)賬儲存在熱錢包中，而不是應(yīng)該存放的冷錢包中，以此增加了后來被盜走的金額。

2016 年 8 月 ? Bitfinex，7 千 7 百萬美金;

Bitfinex 使用 BitGo 的多簽名錢包系統(tǒng)，被許多人認(rèn)為是極其安全的。然而，黑客一定是設(shè)法獲得了私人錢包的鑰匙以及 BitGo 的 API 的關(guān)鍵點(diǎn)，直到今天仍然留下了許多關(guān)于攻擊性質(zhì)和過程的問題。

2017 年 2 月 ? Bithump，1 百萬美金;

黑客成功地獲取了超過 3 萬名Bithump 用戶的個人信息。數(shù)據(jù)泄露是該公司一名員工的私人電腦被黑客攻擊的結(jié)果。然后，這些信息被用來進(jìn)行欺詐通話，以竊取用戶的身份驗(yàn)證代碼。

2017 年 4 月 ? Youbit，530 萬美金;

之后被稱為”Yapizon” 的韓國交易所的四個熱錢包被成功攻擊并清空。被盜金額相當(dāng)于公司總資產(chǎn)的 36%。

2017 年 2 月 ? Youbit， “全部資產(chǎn)的 17%”;

在 Youbit 發(fā)生的第二起黑客搶劫案迫使交易所宣布破產(chǎn)。這兩起襲擊事件都是鄰國朝鮮的間諜機(jī)構(gòu)所為，但這些說法無法核實(shí)。

2018 年 1 月 ? Coincheck，5 億美金;

由于安全手段不足，Coincheck 成為了這一大規(guī)模黑客搶劫案的輕松目標(biāo)。交易所不進(jìn)將其客戶的資產(chǎn)存儲在熱錢包中，而且也沒有用已經(jīng)成為行業(yè)標(biāo)準(zhǔn)的多簽名身份驗(yàn)證起來保護(hù)這些錢包。

2018 年 2 月 ? Bitgrail，1.87 億美金;

人們對意大利 Bitgrail 在今年 2 月向當(dāng)局提交的黑客攻擊了解甚少。根據(jù)交易所自己的說法，造成損失的具體日期甚至無法確定。自然地，對 Francesco Firano 本人作為 CEO 策劃盜竊資金的指控不斷上升，但是沒有任何證據(jù)可以證明這一點(diǎn)。Firano 試圖將責(zé)任推卸給BitGrail 使用的 Nano 令牌區(qū)塊鏈背后的開發(fā)者。

2018 年 6 月 ? Coinrail，4 千萬美金;

Coinrail 時另一個在被黑客攻擊后不得不關(guān)閉的交易所。盡管該公司 70% 的資產(chǎn)都存放于冷錢包中，但黑客仍然盜走了 4 千萬美金。這一事件標(biāo)志著韓國交易所在幾個月內(nèi)第三次被黑客攻擊，這意味著加密貨幣交易所黑客們集中在亞洲。

2018 年 9 月 ? Zaif，6 千萬美金;

總部設(shè)在日本的 Zaif 措手不及，因?yàn)楹诳蛷乃麄兊臒徨X包偷走了 6 千萬美金。該公司只有通過與Fisco 合作才能生存，而 Fisco 制服了 4.45 億美金的被盜金額，以獲得交易所股權(quán)的大部分份額。

加密貨幣交易所黑客攻擊損失金額總量。

總結(jié)

通過觀察這些黑客，可以總結(jié)出一些有趣的信息：

1. 大多數(shù)成功攻擊的加密貨幣交易所的事件，發(fā)生在總部設(shè)于亞洲的公司身上。

2. 上面提到的絕大多數(shù)黑客攻擊的都是被集中管理的熱錢包。

3. 被列舉的許多攻擊事件都是由于人為錯誤導(dǎo)致的，即數(shù)據(jù)未在加密情況下存儲、更新在沒有質(zhì)量保證的情況下推送、偽裝成客戶的黑客沒有被發(fā)現(xiàn)，或者交易所員工成為網(wǎng)絡(luò)釣魚目標(biāo)。

通過使用客戶端錢包，和在私鑰上進(jìn)行多重簽名身份驗(yàn)證，真正的去中心化加密貨幣交易所大大降低此類黑客攻擊成功的可能性。除此之外，這也讓公司員工更加難以實(shí)現(xiàn)從內(nèi)部挪用資金。