会员注册
已有账号立即登录
手机号/邮箱
请输入正确的手机号/邮箱
手机号/邮箱已经存在
请输入密码
请输入密码
图片验证码
图片验证码错误
验证码
获取验证码 60秒后再获取
验证码错误
用户登录
还不是会员?注册新用户
手机号/邮箱
请输入正确的手机号/邮箱
请输入密码
密码错误
30天内免登录 忘记密码 ?
忘记密码
已有账号立即登录
手机号/邮箱
请输入正确的手机号/邮箱
图片验证码
获取验证码 60秒后再获取
图片验证码错误
验证码
验证码错误
输入新密码
已有账号立即登录
请输入新密码
请输入密码
首页 > > 内容

交易所巨头币安“被盗”,投资者该如何保护资产安全?

来源:人话区块链 2018年03月09日 17:27:00
收藏 分享到: 新浪 微信
投中网(https://www.chinaventure.com.cn) 编者按:除了10余种以外,各种token因被抛售而开始大跌。

今天,我们把“币安被盗”事件做一个简短的回顾,也希望正在看这篇文章的你,不仅看到了热闹,也能够通过这篇文章开始建立起保护资产安全的意识。

1 故事回顾

2018年3月7日深夜,币安部分用户账户被盗,开始集体抛售持有的各种token为比特币,共计一万余枚。

于是,除了10余种以外,各种token因被抛售而开始大跌。

22点58分,1分钟内,这10000多枚比特币开始集体购入大量VIA(维尔币),VIA从0.000225 美元直接被拉到 0.025 美元,一分钟绚丽110 倍涨幅。

用户开始在网络上反馈自己的账户被盗。

市场开始恐慌性抛售,比特币半个小时暴跌1000美元,数字货币资产市值整体缩水200亿美元。

币安侦测到数据异常,终止交易、禁止提币,并开始回滚异常交易。

2 “失败”的黑客

从头至尾,黑客并没有从币安提走一分钱。以至于币安的创始人赵长鹏还在推特上嘲讽黑客不仅没有从币安拿走一分钱,甚至还损失了一部分币,并表示,币安将把这部分币捐给慈善。

黑客真的失败了吗?

今天已经有多篇文章分析了黑客的手法,简单来说就是两点:

其一,黑客事先在全球比特币期货市场埋伏了大量空单,通过币安这一波伏击,实现了比特币大跌以后十几亿美元的盈利。

其二,黑客在110倍拉暴VIA后,在B网U网等币安以外的平台高价抛售了大量VIA。

然后,安然离场。

3 黑客的声东击西

明明攻破了不少币安用户的账户,然而,黑客可能从来就没有计划从币安提走一分钱。

黑客攻破的是币安的账户,然而币安其实没有人在这场攻击中产生损失,因为黑客采用的是金融市场的玩法,他们偷的每一分钱都来自数字货币金融市场。通过攻破后的账户交易引发市场恐慌,让比特币暴跌让VIA暴涨,事先做空比特币,事后高价抛售VIA。

黑客为什么可以在数字货币资产市场采用这套类似于声东击西的玩法?

4 黑客手法的背后

在传统的股市交易中,上交所发行的股票只能在上交所买卖、纳斯达克的股票也只能在纳斯达克买卖;并且,如果要切换一支新的股票,需要把原来的股票卖出为法币,再购入新一只股票。

token交易则不然。虽然在币安这样的中心化交易所每一笔交易都要经过币安服务器的记账,但是你在币安买的币完全可以提出去任何一家其他交易所卖——因为根本上,token资产的交易其实是记录在区块链上的,无论是币安这样的中心化交易所,还是去中心化交易所,都只是在撮合基于区块链记账的交易。

也就是说,token不同于传统资产形态的一个重要特征就在于,其发行主体和交易确认的主体是不需要一致的。从而得以实现token资产的全球性自由流通,也重构了一套不同于以往的价值网络。

但也正因如此,这给了黑客新的攻击思路——如果按照传统的攻击思路,盗取账户后,必须想办法把币提走,甚至如果盗取的不是token,还得想办法转为现金法币来避免追踪。

其实现金对于使用者来说就是一种去中心化的资产形态,而token,就是一种把各种权益实现现金式流通的方式。

5 怎么避免成为黑客的工具

根据币安公布的调查结果,黑客这波攻击源于用户不当使用API。即用户在搬砖等各种行为调用API时,采用了被植入木马的工具并授权,从而泄露了自己的秘钥KEY。

如果直接针对这部分用户,那么今天已经有人专门写文章给出了解决方案。简而言之,如果授权的秘钥KEY绑定了IP地址,黑客就算获取了你的秘钥KEY也将无法借以操作你的账户。因此,对于有这样搬砖需求的用户,比较安全的的方式就是绑定IP。

然而这只是层出不穷的黑客手法的一种。前阵子,就有人被骗价值400万元人民币的token资产。中心化的币安可以回滚,但区块链本身是去中心化的,一旦造成损失,没有人可以帮你找回。我们需要提升资产安全的意识和能力。

6 我们还能做什么?

黑客最常见的手法是钓鱼网站。黑客做一个网址很像的假网站,然后在网站上通过各种方式骗你输入自己的私钥。根据金马的文章,前阵子被骗400万的朋友其实就是被一个假的EOS官方twitter所骗,采用的骗术就是让登记私钥来空投EOS。

所以,无论任何时候,一定不要把私钥泄露给任何人,没有人的空投需要你的私钥,也没有什么安全事故会需要你登记私钥来避免损失。

以及,打开任何相关的网站,请检查是不是以Https开头。更好的方式是,直接把验证的官方网站加入收藏夹,不要随意相信百度的结果,也不要自己似是而非输入模糊匹配的网址。

7 交易所 or 钱包

币安事件或许让很多朋友觉得交易所并不安全。其实安全与否都是相对的,大交易所的技术实力肯定比个人的一个私钥要强,但是大交易所却也更容易成为黑客的目标。

所以,如果你并没有足够的能力自己折腾,那么把资产放在大交易所是一个可以部分信任的方式,因为他们确实会有更好的安全技术。

但是如果你有能力,又不爱折腾短线买卖,不妨试试冷钱包吧。这是最终极的安全方案。

愿每一个读者都能保护好自己的资产。

8 币安或许只是一个开始

单独来看,币安这次的黑客攻击可能就是一个黑天鹅事件。

然而,谁知道这是不是只是一次演习?

以及,黑客这套思路完全具有可复用性……

甚至,使用这套思路来获利的远远不止黑客……

最后,你其实也可以找到借鉴这套思路的合法合理的获利方式……


(编辑:冉一方)

收藏 分享到: 新浪 微信
第一时间获取股权投资行业新鲜资讯和深度商业分析,请在微信公众账号中搜索投中网,或用手机扫描左侧二维码,即可获得投中网每日精华内容推送。
新闻排行榜

专栏

全部

相关文章

媒体合作
喻淑姝:+010-59786658-1198
abby.yu@chinaventure.com.cn
商务洽谈
86-10-59786658-663
april.zhong@chinaventure.com.cn
合作伙伴 查看全部 >
投中客户 查看全部 >
Copyright © 2005-2017 ChinaVenture Investment Consulting Ltd. 投中网 京ICP备17036703号-5
本站带宽由 ChinaCache 提供 京公网安备11010102001159号