币安七千比特币被盗，Bitfinex的IEO却受伤？

文字 | 区块链棘轮披萨

8日上午，恢复了一个多月的币市迎来噩耗：币安官方宣布，因黑客攻击，平台7000多枚比特币被盗，损失超40万美元。

尽管币安宣布将使用平台资金弥补用户损失，但市场在短期内仍给出了悲观的反应。 BNB半小时跌幅超10%，比特币等主流币普遍下跌。

有分析指出，此次币安爆发的黑天鹅事件对普通投资者影响有限，但可能会让Bitfinex的IEO陷入困境。

此外，层出不穷的交易所盗窃事件也让越来越多的投资者期待着去中心化交易所的到来。 交易所的未来结构仍不确定。

01 币安被盗

历史重演，数字货币交易所币安再次遭到黑客洗劫。

5月8日上午，币安发布公告称，平台于今天凌晨发现大规模系统性攻击，币安热钱包7000枚比特币被盗，价值约4000万美元。

币安公告显示，黑客通过网络钓鱼、病毒等复合攻击方式获取了大量用户API密钥、谷歌验证码等信息。 这样，黑客就完成了攻击。 被盗的 7,000 个比特币占 Coin Security 比特币持有量的 2%。

“目前看来，从币安热钱包中窃取的7074枚BTC暂时被黑客分散存放在20个主要地址，并未进一步扩散。” 区块链安全公司 PeckShield 硅谷研发中心负责人杰夫告诉某区块链。

这意味着黑客还没有完成实现。 盗窃事件发生后，币安宣布将使用平台的“SAFU基金”来弥补所有被盗损失——用户没有遭受任何损失。 同时，币安宣布平台将在一周内暂停充提。

但是，币安的平台币BNB还是暴跌。 消息传出后半小时内，BNB 价格下跌 10.6%。

8日早盘比特币会被盗吗，BNB短线暴跌

由于黑客攻击，比特币的价格也受到了显着影响。

据CoinMarketCap数据显示，从北京时间今天早上7点34分开始，BTC价格开始出现明显的下跌趋势——1小时内，从5954.54美元跌至5795.01美元，跌幅近3%。

除了比特币，其他主流数字货币的价格也出现了不同程度的下跌。

事实上，币安此次遭遇的币安失窃事件，在数字货币交易所历史上并不是第一起，也不会是最后一次。

2018年7月4日，同样是北京时间上午，币安也发布公告称，因交易异常，平台将启动临时维护。

此后，有消息称币安遭到黑客攻击，交易所钱包地址在两小时内发生了7000多BTC的大额提现。 随后，币安回滚了异常交易，但否认了平台被黑的传闻。

“事实上，币圈几乎所有的交易所都遇到过盗币事件。” 交易所从业者毛朴指出，“这在行业内是心照不宣的事情，因为任何交易所都不可能万无一失。”

2014年，全球最大的比特币交易所Mt.Gox遭到黑客攻击，65万枚比特币被盗，交易所破产。 时至今日，仍有投资者维权。

今年3月，DragonEx交易所宣布遭到黑客攻击，将暂停交易、充提等所有基础服务。 据去中心化漏洞平台DVP分析数据显示，在此次盗窃案中，龙网损失了超过500万美元的资产。

不仅是交易所，几乎所有涉及数字货币业务的区块链公司都饱受黑客和盗币的困扰。

矿机公司比特大陆去年发布的IPO招股书显示，该公司在2017年遭到黑客攻击，损失了价值2700万美元的数字货币。

在匿名、去中心化、不受监管的数字货币世界里，来去无踪的黑客一直是所有区块链公司最大的敌人之一。

02原因

尽管已经成为行业领先的交易所，但币安仍无法摆脱黑客攻击的噩梦。 如何避免黑客盗币也成为了所有区块链从业者的疑问。

根据币安发布的公告，多位区块链安全从业者指出，此次事件中的黑客可能并未窃取币安钱包的私钥，而只是获得了提币权限。

“黑客应该是通过‘钓鱼’获取了币安用户信息。” 杰夫对区块链说。

所谓“钓鱼”，是指黑客以某种方式诱导用户泄露个人信息。

最常见的方法是假冒交易所官员，向用户发送欺骗性邮件，要求其打开虚假交易所链接，诱导用户填写钓鱼网站的账号、密码等敏感信息。

此外，黑客还可以诱导用户下载含有木马和病毒的文件，窃取用户信息。

“其实比特币会被盗吗，只要用户避免点击不熟悉的链接，不要随意下载不熟悉的文件，多找官方网站，就可以防止黑客钓鱼。” 杰夫说。

但许多黑客的网络钓鱼操作仍然难以被发现。 不仅是普通用户，就连交易所内部员工都被黑客“中标”。

今年3月龙网被盗后，区块链安全公司降维安全实验室发现，龙网一名客服人员在平台被黑前从陌生人处获取了程序安装包。 并且该程序捆绑了后门——黑客可以利用该后门获取内部员工权限，并以此渗透内网，获取龙网钱包的私钥。

在数字资产托管平台InVault创始人许斌看来，币安被盗可能还与黑客侵犯其内部权限有关。

“根据币安公告的分析，我认为黑客应该没有拿到钱包的私钥，但至少获得了一些内部权限。” 徐斌表示，“短时间内提取7000多枚比特币，黑客很可能瘫痪，失去币安的风控系统。”

“或者还有一种可能，黑客非常熟悉币安的风控策略，可以绕过风控系统，窃取平台资产。” 徐斌道：“所以这次黑客要么很厉害，要么就是潜伏了很久，就等最后一击吧。”

根据币安发布的公告，黑客成功盗币的关键是获取用户的API密钥和谷歌验证码等信息。 API在历次交易所盗窃事件中一直是重灾区。

“API密钥是一串字符，有时会存在于用户的设备中，一旦用户的设备被攻破，黑客就有可能拿到密钥，取走用户的资产。” Jeff说，“所以，对于交易所来说，API一直是最容易出现安全问题的地方。”

这个观点也得到了许斌的认同。 在他看来，大多数领先交易所的私钥管理系统都非常强大。 因此，相对薄弱的API链接往往成为黑客的重点攻击部位。

面对层出不穷的交易所安全事件，不少区块链从业者认为，交易所要想避免类似问题，必须从两个方面做出改变。

一是审查力度加大。

“对于提现金额大、提现到新地址、提现频繁等异常行为，平台需要进行人工审核。” 杰夫说。

其次，交易所也要加强用户教育，帮助用户提高安全意识。

“我个人建议用户也可以将不经常交易的资产放在自己的私人钱包里，而不是长期存放在交易所。” 许斌说。

03 不小心伤害了Bitfinex？

今年4月以来，长期低迷的汇市突然迎来小牛市。 比特币从 4 月初的 4000 美元一直上涨到昨天突破 6000 美元。

然而，币安的突如其来的失窃事件再次给投资者的心蒙上阴影。 阴谋论也迅速浮出水面。 有投资者质疑，所谓“黑客盗币”只是交易所、做空机构等平台发布的“消息”。

然而，市场的后续表现并没有像很多人预期的那样。

币安盗窃事件后，包括比特币在内的一系列数字货币普遍下跌。 但很快，主流货币迅速止跌。 截至发稿，比特币等主流币的价格已接近盗币事件发生前的价格。

“虽然币安盗版事件导致币市出现短期下跌，但投资者整体情绪依然乐观，市场表现看似平静。” 中关村物联网区块链实验室主任梁冬告诉某区块链快报。

不过热衷于吃瓜的围观群众，还是发现了这起事件中最大的受害者。

“这次币安被盗，受伤最重的可能是另一家交易所——Bitfinex。” 大白鲨交易社区数字货币分析师尼尔告诉某区块链。

黑客盗币事件发生后，币安发布公告称：“本周内，将暂停（币安平台）的充值和提现。”

也就是说，一周之内，币安不允许用户提币。

与此同时，Bitfinex 正在启动自己的 IEO 项目，计划筹资 10 亿美元发行平台币 LEO。 目前，LEO正处于私募阶段，私募期于2019年5月10日结束。

“币安此时宣布暂停提币，势必会导致部分资金无法购买LEO。” 尼尔说。

与此同时，行业龙头交易所币安被盗事件也让部分投资者担忧不已。 人们对去中心化交易所的呼声也越来越强烈。

“在中心化交易所，用户资产由交易所管理，一旦交易所被黑，用户将遭受资产损失。” 猫扑说，“但在去中心化交易所，用户可以私下用钥匙保管自己的资产，不用为平台的失误买单。”

在去中心化交易所中，交易所无法保护自己。 即使黑客拿到了交易所钱包的私钥，偷走的也是交易所的平台资产，比如收益，而不是用户资产。

但杰夫并不完全同意这种观点。 近年来，多家交易所被黑，都与API信息被盗有关。 “如果用户的API密钥被黑客获取，无论是中心化交易所还是去中心化交易所，都无法避免用户资产被盗。” 他说。

不过，杰夫也承认，相比去中心化交易所，中心化交易所存在更大的安全隐患。

“中心化交易所的问题在于，每个交易所积累了大量资产，引来风口，中心化盗窃的可能性更大。” 杰夫说。

在去中心化交易所中，由于数字货币分散在每个用户手中，黑客很难一次性窃取大量资产。

“两种交易所各有优缺点，未来两种交易所必将长期并存。” 毛朴总结道。

在区块链的世界里，黑客就像鬼一样，不会放过任何一个可利用的漏洞。

这不是第一次交易所被盗，也不会是最后一次。

安全问题已经是所有中心化交易所、区块链公司、持币者必须共同面对的考验。

*本文部分受访者为化名。