數字貨幣投資者都會記住這個日子,2018 年3 月7 日,這一天中國兩大數字貨幣交易所被「雙殺」。今天,一篇名為《3月7日這一夜,黑客耍了所有人》的文章在網上瘋傳,黑客通過影響像幣安中心化交易所的資訊背書,來影響其他交易所並套現,不少網友留言對該做法拍案叫絕。
這件事究竟是黑客所為?還是交易所監守自盜?這一點也成為眾網友爭相討論的焦點之一。
下面是看雪版主與壇友對此事的一些看法,與大家分享。
『區塊鏈安全』版主菩提的評論:
首先明確下概念,去中心化指的是“區塊鏈賬本”是去中心化的,虛擬貨幣本身是一種獎勵,這就好比我們需要僱人去記賬,那我們需要付工資給這些員工。
我們聽到的所謂虛擬貨幣的價值指的是相對於法幣的匯率。那麼這就涉及一個匯率的定價模型,這個模型也是一個價值發現的過程,影響這個價值的引數也在變多。在早期出現10wbtc兌換一個披薩,因為大家都還不清楚這個虛擬貨幣能做什麼,未來會不會有用,甚至能不能得到更多人的認可,只有越多的人有信心他的價值才能更好地體現,也能被使用到實際的交換場景中。
回到本次事件中的中心化交易所,事實上在虛擬貨幣的歷史中利用交易所影響匯率的事件層出不窮,最大的事件是mtgox,之後bifinex,還有其中大大小小的交易所倒閉跑路,交易所被攻擊,或者監守自盜,或者內外勾結,這都是為了操縱市場獲利。
由於這些中心化交易所在虛擬貨幣世界裡扮演了多重角色,銀行,外匯市場,做市商,這更成為利益團體爭奪的領域。mtgox事件下跌50%,bitfinex事件下跌20%,幣安事件10%。
隨著虛擬幣影響的擴大,使用場景的增多,使用規模的增大,中心化交易所的操縱越來越困難。但這同時也提醒我們真正去中心化的交易所才是大勢所趨。中心化交易所在擴大虛擬貨幣影響力方面功不可沒,但同時也原罪滿身。
這次事件是不是黑客攻擊尚無定論,而且也無從追究,歷史上的監守自盜都被歸結於“黑客”攻擊,黑客更像是遮羞布擋箭牌。
安全防護是中心化交易所自身需要加強提高的重點。但是更重要的是透明和公平性,我覺得這個問題除了用去中心化交易所來替代別無選擇。回顧歷史,任何事件對虛擬貨幣和區塊鏈技術都是個考驗,但同時也提供了機會,短期影響的是匯率模型,長期更激勵有志於從事區塊鏈技術和應用推廣的人在去中心化道路上前行。
『區塊鏈安全』版主海風月影的評論
比特幣之類的虛擬貨幣交易本身是去中心化的,但是在虛擬幣交易所內部交易(非提幣充值操作),並不是每筆交易都會被記錄到區塊鏈上的,這個過程是中心化的。交易所之間歷來都有做對衝的團體,他們平衡各個交易所直接虛擬貨幣的相對價格(俗稱搬磚),“搬磚工”會自動平衡交易所之間的價格。幣安的交易量很大,有大額差價時,必然會影響其他交易所。
從單一的偷取比特幣,轉而變成了做空市場套利,從傳統的黑客行為裡面加入了金融套現手段。感覺已經是一個龐大的黑色產業鏈協作而成的結果。
apikey是否是讀寫的兩個key?可寫的key,是否有過期策略,定期更換?安全防護從來就是全方位的,涉及客戶端,網站頁面(釣魚),伺服器,通訊過程等各個方面。可能被釣魚(假網站頁面),也可能被劫持(通訊沒加密),也可能資料庫被盜(資料庫裡面存了明文apikey),以目前的資訊量難以準確判斷。
幣安使用了禁止提幣的金融手段加以了防護,此措施效果明顯,但是無法阻止其他提供做空機制的交易所的虛擬貨幣價格發生劇烈變化,使黑客成功套利。
自從比特幣誕生以來,出現過很多次交易所安全事件,此次的規模(以比特幣個數為準)並不是最大,個人認為,長期以來不會造成嚴重影響,但短期價格必然會有所調整。
看雪專家Hefe的評論:
幣安的API key洩漏,引發了數字貨幣大跌,並不能否認數字貨幣是去中心化的。幣安影響了其他的交易所主要原因炒幣散戶大多都是多交易所都有帳號的,行情的漲跌都是同時關注的。從思路上來看就是一個對衝策略,做空一些代幣,同時做多VIA。
但是黑客的攻擊手段非常高明,並不是像以前那樣通過盜走玩家的帳號而盜走虛擬貨幣,而是通過API key來自動化交易,操縱市場行情。這樣其實是非常高明的,首先玩家的虛擬貨幣並沒有太大損失,這樣對交易所的控訴情緒就不會那麼高,同時交易所的責任也不會太大,政府也就對此不了了之,但黑客卻捲走了大量的財富。以我對自動化交易的理解,只要黑客拿到這些API key,怎麼拿你懂的,完成這些事情至多500行程式碼。 首先API key的洩漏方式比較多,比如官方被攻擊,或是一些散戶中了木馬,還有一些第三方的自動化交易平臺被攻擊,或是人為的洩漏等。
安全防護方面總的來說是達不到金融級別安全的,具體可以參考微信的商戶支付key就知道了,要拿到微信的這個key,第一步就要安裝騰訊的證書,而且在交易過程中,要多次簽名認證防止劫持,遠比現在的虛擬貨幣流程複雜。
虛擬貨幣的行情仍然是被少數巨頭操縱的,所以不要期望一些量化策略,或是波段來套利,我是玩不轉的,大神可以試試,哈哈。長期看好以太坊,畢竟智慧合約才是大家期待看到的,至於其他的一些山寨幣,基本就是莊家收割,大家還是謹慎為好。
『iOS安全』版主roysue的評論:
人的觀念總是相對滯後的。新鮮事物取代舊事物需要一個過程,人們現在依然停留在傳統思維,雖然網際網路對大眾生活的改造已經取得了大量的成就,但是不可否認現實生活中中老年人還是停留在“斷網”狀態。網際網路發展了四十多年,才孕育出“p2p”的思潮,“p2p”發展了十多年,從BT、電驢、迅雷到共享經濟、金融借貸,到現在的虛擬貨幣。虛擬貨幣雖然火爆,但是依舊只是處於變革開始的前夜,還未見到黎明的曙光。
虛擬貨幣是“去中心化”的,“中心化”的只是交易所。人的觀念已經“中心化”了數千年,突然要“去中心”,很明顯不是一蹴而就的事情。事實上,即使是交易所,也有著進行“去中心化”的努力,比如分散型交易所(DEX),這裡有一篇文章詳細介紹了分散型交易所的特徵:分散型交易所也是出於“前夕”的狀態,DEX的交易額僅佔全部交易額的1%左右。
從這次攻擊來看,交易所的風控和安全,可謂是中心化交易所的“喉嚨”一般的存在。一旦被人扼住喉嚨,可能馬上就會倒閉。
日本的MtGox曾經承擔過全球80%的比特幣交易,在遭受黑客攻擊之後,丟失比特幣按照當今市價約五百億人民幣,之後迅速破產。此次的黑客事件跟2014年的MtGox事件相比只是小兒科,乃是由黑客釣魚釣到的少數賬戶,幣又轉不出去,只能“雙手互搏”。
比起黑客的攻擊手法,我更加欣賞該公眾號作者的文案水平,把一絲漣漪,寫的跟驚濤駭浪一樣。當然,現在全民杯弓蛇影的狀態,也起到了推波助瀾的作用。 即使是工商銀行,也飽受釣魚網站的困擾,百度搜尋“工商銀行 釣魚”的組合,可以找到兩百多萬個網頁。工商銀行也針對使用者受教育程度偏低的現狀,推出了“防範假網站,防釣魚安全控制元件”,推薦幣安網也可以秉承為使用者負責任的態度,進一步提高風控水平,推出自己的安全控制元件,最好還要有網銀全家桶,提高終端使用者安全水平。 即使遭受了2014年數十萬比特幣丟失的訊息,比特幣依舊勢不可擋地來到了數萬元一枚的價格區間。從長線來看加密貨幣、區塊鏈的價值沒有遭受任何創傷,從短線來看反而有可能創造一個操作超跌反彈和短線回撥的機會。當然,以上不構成任何投資建議。
看雪會員挽夢雪舞評論:
對於這件事,講一下個人的看法:先從文章的表面來說,這次攻擊是一場有組織的黑客經過耐心地潛伏而伺機發起,那麼不得不說這個時機把握地相當巧妙,按理說作為第二大交易平臺,即便是夜晚也會有值守人員,對於貨幣的流量變化不可能毫無察覺,這不否認黑客內參入侵之高明,但明面上的貨幣流通量是公開透明化的,如此明顯的變動沒有引起交易所內部人員報警,實屬奇怪!
對於黑客,這些年這兩個字已經被用壞了,旦反不好的網路事件都會被冠以黑客的名頭,如果此事確實為黑客所為,那麼其絕非一般散客或小型組織,其策劃人規模必定很龐大,資金總量等也屬於莊家等一類人所能擁有的,而毫無疑問,這場聲東擊西確實比較獨出心裁,這場有預謀的攻擊甚至在當事人以及旁觀者眼裡無異於一場藝術表演,堪稱經典之作!但有這樣能力的人在世界上還是較為少數的,所以不排除交易平臺的自導自演,存在自身炒作的可能,或者是監守自盜,但這卻有損自身信任度,可也變相提升了自己的知名度,但其位居世界第二,這樣做未免代價有些大,以上都僅僅只是猜測,具體的情況便不為人知了!!!畢竟這裡面的水很深,各種莫名其妙的想法都可能湧現乃至於付諸行動!
但這也說明了區塊鏈技術的安全問題!可以說文章背後的本質,所真正要透露出來的是安全問題!去中心化,不否認其很大程度上提高了信任度等等,安全性提高的同時,依舊會有新的安全漏洞浮現出來,這是一種潛在規律,畢竟世上沒有不透風的牆!可以說它再一次將區塊鏈安全問題呈現在人們面前,而且隨著今年區塊鏈的大火,其未來的安全問題必然會得到重視,這不得不發人深思!
本文由看雪論壇原創
轉載請註明來自看雪社群