5月8日币安发布公告称,今日凌晨1时15分,币安BTC热钱包发生被盗事件,据币安官方公告显示,黑客从中盗取了7000了枚比特币,被盗BTC占热钱包内存储总量的2%。以比特币现价计算,该次损失逾4125.99万美元。
据币安最新一期销毁公告显示,2019年第一季度净利润为7800万美元。此次被盗损失超其上一季度盈利的50%,而币安2018年的年度利润为4.32亿美元,此次被盗损失占其2018年年度净利润的9.55%。
币安官方表示,币安将使用SAFU基金全额承担这一损失。SAFU基金的资金主要来源于币安的交易手续费,但是截至目前为止,币安交易手续费总额及投资者保护基金总额尚处于未知状态。
据多方观点分析,对于这笔被盗资金,币安或许只能认栽,币安追回损失的可能性微乎其微。
被盗额约为币安一个月的净利润
为挽回此次损失,赵长鹏早些时候在直播中透露,币安会考虑交易回滚回复被盗金额,但是该方案目前仍在讨论之中。
对此有人在其推文下评论道:“你不是决定不那么做,而是你意识到你做不到。”
随后,币安CEO赵长鹏今日在推特上表示,经过多方讨论之后,币安决定不会采用交易回滚的方式挽回损失。赵长鹏表示,采用交易回滚方式挽回损失拥有三项好处,分别为:
1.可以通过向矿工“转移”费用来向盗币的黑客“复仇”;
2.阻止未来黑客的攻击意图;
3.探讨比特币网络如何应对此类情况的可能性;
但是害处也是显而易见,而币安决定放弃交易回滚的主要因素如下:
1.我们可能会损害BTC的可信度;
2.我们可能会导致比特币网络和社区的分裂;
3.黑客确实在我们的设计和用户混淆中,表现出某些明显的弱点,而这在之前看来并不明显;
4.这对我们来说是一个非常昂贵的代价,但是它也是一个教训,保护用户资金是我们的职责所在。所以我们应该面对它,并且从中吸取教训并有所改进;
财经网采访多方观点后发现,赵长鹏此前在直播中提出通过交易回滚以挽回损失的可行性并不大。
赛迪研究院公链项目负责人蒲松涛表示,交易回滚需要矿工统一升级挖矿软件,也就是说需要得到社区认同,此种行为将使得大家对比特币网络的信任度大幅降低。蒲松涛补充道:“可以类比于当年的以太坊事件。”
在当年的以太坊事件中,提出回滚以弥补损失的人是V神,而V神在以太坊社区中拥有很高的话语权,该项方案才得以实施,而赵长鹏在比特币社区中并没有多少话语权,因此赵长鹏提出的交易回滚能得到比特币社区认同的可能性极低。
此外,PeckShield的技术分析师Jeff认为,回滚是类似于硬分叉,而7000个比特币数额太小。
而对于币安是否能追回损失,无论是蒲松涛还是Jeff都持有消极态度。
蒲松涛认为现在应该跟踪下币的去向,通过和交易所合作挖掘出黑客账户,然后将黑客账户冻结,还存在收回损失的可能性。
在直播中,赵长鹏也表示,币安正在和其他交易所合作,比如Coinbase,以追踪被盗BTC的去向。
但是蒲松涛同时也补充到,此种方式的成功率较低,因为黑客不会这么傻。
而Jeff也明确表示,币安找回此次被盗的BTC的可能性不大,但是依照币安的收入,币安完全能够承担起这笔损失。
事后,赵长鹏在推特上建议用户变更API密钥以及2FA代码。但是蒲松涛博士向财经网表示,用户变更API密钥以及2FA代码等行为只能起到预防作用,对弥补已发生的损失没有任何作用。
财经网事后曾就解决方案一事采访过币安COO何一,但是截至发稿时间,仍未得到确切回复。
据币安2018年回购销毁的BNB可知,币安在2018年的年度利润为4.32亿美元,此次被盗损失占其2018年年度净利润的9.55%,约为币安一个月的净利润。
黑客早有预谋
据币安公告显示,此次攻击为一次大规模的系统性攻击,黑客能够获得大量用户API密钥,谷歌验证2FA码以及其他相关信息,黑客使用了复合型的攻击技术,包括网络钓鱼、病毒等其他攻击手段。
区块链安全公司北京链安分析,用户和币安的服务器均有保存 API 交易密钥和谷歌验证 2FA 码,被盗很有可能是因为币安内网遭到黑客长期的 APT 渗透,而非单个或者批量用户被钓鱼病毒入侵导致。
赵长鹏在今日的直播中对这一消息进行了证实,他表示,黑客此前就已经发现了系统的安全漏洞,但是一直很耐心,直到系统出现大额交易才下手盗币。
同时,北京链安还表示,被盗币安热钱包地址为1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s 目前该热钱包地址依然存在余额,余额为3612.69114593。而被盗的7000个比特币散落在40多个黑客控制的钱包地址当中,并没有发生转移。
“被盗资金尚未发生转移”这一消息得到了数字资产安全机构PeckShield的证实,据PeckShield数字资产护航系统数据显示,币安热钱包被盗损失的7,074枚BTC暂时被存储在多个地址中,尚未进一步扩散。
针对此次被盗事件,北京链安认为,由于该次被盗币并非使用比特币私钥造成的直接转账交易,而是通过提币过程进行提币。单笔提币达到7000比特币但是币安的提币风控系统并没有进行有效警报。
今日下午2时许,某匿名白帽黑客针对币安被盗事件表示,不排除此次黑客攻击行为会产生二次影响。
此次币安被盗事件再一次将中心化交易所的安全性推向了话题中心。
Loopring路印协议创始人王东认为,再成功的中心化交易所也是存在安全漏洞的,这其中不仅仅是技术层面,还包括内控。
蒲松涛则对财经网表示,目前的交易所还存在很多的安全漏洞,很多交易所平台都会出现被盗币的事件,因此各大交易所建立一个完善的安全体系是很有必要的,此外交易所应该对用户透明,如果发生了被盗事件,应该及时让用户知晓。
被盗事件频发
据财经网统计,此次被盗事件并不是币安自2017年上线以来的首次。
2018年3月7日,币安API接口被黑,很多用户的币被强制卖出,买入VIA,据社区非完全统计,涉及金额或在10000个BTC以上,数字货币市场整体暴跌10%以上。
随即BNB快速下跌,与前一交易日相比跌幅逾跌幅逾15%。
2018年7月4日,有媒体报道称,由于SKY漏洞的影响,币安交易所出现大量比特币被盗的情况,2小时内,超过7000枚BTC被转入同一地址。
随后Syscoin官方发推承认了这一漏洞的存在。但是何一对币安被盗一事进行了否认,并表示其为币安内部的正常转账。并评论到,不少平台都遇到类似的问题,好处是至少币安有自动风控。
据蓝鲸财经报道,此后,币安删除了全部API记录,让用户重新创建API 密钥,并对于被动涉及异常交易的账户进行了交易回滚,对部分用户免除手续费。
该起事件在事后被币安定义为一起API用户钓鱼事件
而BNB在不到一周的时间里下跌逾15%。
在这起事件之后,币安正式成立了SAFU基金,据财经网了解,SAFU基金为币安的投资者保护基金,据币安7月4日的一份公告显示,从2018年7月14日起,将拿出10%的交易手续费作为投资者保护基金,相关资产将会存在在独立地址,专项专用。专项基金用于应对可能出现的极端突发安全事故,在平台出现突发风险时,币安将使用该投资者保护基金对币安用户进行先行赔付;对于任何非用户自身原因造成的用户资产损失,币安将从投资者保护基金中提取资金对用户实施全额先行赔付。
但是截至目前为止,币安都并未公布过这一投资者保护基金的地址。财经网在今日下午曾就这一问题采访过何一,但同样并未得到其确切回复。
在今天的AMA活动直播中,赵长鹏表示,币安的投资者保护基金可以完全覆盖此次损失。
但是据财经网计算,币安的投资者保护基金或许并不能完全承担此次损失。
币安的投资者保护基金成立至今不过10个月,据币安回购销毁的BNB数量可知,币安成立投资者保护基金至今这段时间内,币安的净利润大致为1.79亿美元,其中除手续费收入外还有其他类型收入,但是即使将这一数字全额作为币安的手续费收入计算,目前币安的投资者保护基金的资金池中也只有1790万美元,远低于此次损失的4125.99万美元。
据分析,由于币安目前已成为全球最大加密货币交易平台,币安公告明确表示其热钱包内共存有35万枚BTC,如被盗损失超过其盈利和自有资金储备,将出现无人兜底的可能,整个加密货币市场将遇到更严重的打击。
被盗事件发生之后,币安多次强调,用户资金将不会因此受到损失。但是据币安公告显示,目前黑客可能仍会控制某些用户账户。截至发稿时间,币安尚未公布此次被盗事件波及的账户数量。
目前币安正在进行一项大约用时一周的安全审查,该项安全审查将包括系统和数据的所有部分,在此期间,存取款业务将会被暂停,但是用户可正常交易。
据财经网据币安行情计算,事件发生后,BNB跌幅逾10%,现报20.92美元,最低为19.51美元。据了解,这一价格为BNB近30日以来的最低价。
