香港時間 9 月 26 日凌晨,知名加密貨幣交易所 KuCoin 發生盜幣事件,駭客侵入平台熱錢包,盜走了價值超過 1.5 億美元的比特幣、以太幣、 USDT 。事發後,KuCoin 也以公開的態度及時通報了這起事件,KuCoin CEO Johnny 也通過直播的方式通報了整個事件的來龍去脈和最新進展。
然而,到了撰寫本文時,根據 KuCoin 後來提供與駭客相關的地址之後,損失總額已躍升至 2.03 億美元。
就目前情況看,整個事態正向著可控的方向發展,而區塊鏈安全公司北京鏈安參與了對相關資產的流向分析和追踪,接下來就讓我們對這起事件進行回顧。
事發經過
KuCoin 視角:
CEO Johnny 表示,2020 年 9 月 26 日 02:51 分,團隊收到第一次風控系統報警,發現了一個反常的 ETH 轉帳記錄,轉帳目標地址為 0xeb31973e0febf3e3d7058234a5ebbae1ab4b8c23,接著多起異常交易發生,KuCoin 隨即啟動應對機制。
ChainsMap 鏈上視角:
如今,如果你打開著名的以太坊區塊瀏覽器 0xeb31973e0febf3e3d7058234a5ebbae1ab4b8c23 已經被標記為盜竊標記。
Etherscan 會根據相關 Token 動態價格計算地址上的代幣資產總值,因此,目前主流外媒基於鏈上轉帳記錄數據,大多報導稱 KuCoin 此次有 1.5 億美金被轉出。經 KuCoin 團隊確認,在駭客大規模轉出 KuCoin 資產的同時,KuCoin 錢包團隊也在轉出資產「避險」,如已被 Tether 和 Bitfinex 凍結的 3500 萬 USDT,其中有 1300 萬為 KuCoin 錢包團隊轉出,2200 萬為駭客轉出。
據此,KuCoin 也一直未公佈實際的涉案金額,KuCoin CEO Johnny 也表示,由於很多受影響的代幣為 ERC-20 代幣,他們的價值評估工作仍在進行中,將在確認後公佈具體的代幣和金額。
從交易記錄來看,該地址首筆入帳交易發生於香港時間 9 月 26 日 02:49:18,該交易即竊取了超過 1388 萬枚 ERC20 USDT 。
而本其事件另一特點在於,除了主流的 ERC20 USDT 之外,它大批量的盜取了 KuCoin 熱錢包的各類代幣。同時,從行為模式來看,駭客很可能採取了一種代碼遍歷盜幣的方式,對各類代幣不做餘額驗證,輪詢發出轉移指令,於是,我們可以看到一些轉帳金額為「0」的代幣轉帳,只是消耗了一些 GAS,這對於駭客來說也確實是一種更加「高效」的轉移方式。
在比特幣方面,通過北京鏈安的 ChainsMap 檢測系統分析,9 月 26 日 03:05:37,KuCoin 熱錢包連續向一個地址連續轉帳,總額達 1008 BTC,同時還轉入了 999160 OMNI USDT 。
KuCoin 的應對
KuCoin 視角:
CEO Johnny 表示,技術人員事發後即成立應急小組,建立緊急溝通群,開始排查和摸索現在系統當中的一些行為邏輯。
同時,運維人員緊急關閉錢包服務器,並開始轉移熱錢包的存量資金到冷錢包,而相關的交易所充提業務也暫停。
對於用戶,KuCoin 發布了相關公告,鄭重表示,若有用戶在此次事件中遭受損失,全部將由 KuCoin 及其保險基金一力承擔。
ChainsMap 鏈上視角:
從 KuCoin ERC20 USDT 來看,在 9 月 26 日 06:28 之後就基本暫停,其比特幣相關交易則在當日凌晨 4:34 之後便不再有向熱錢包的用戶轉帳歸集,
同時,我們也可以看到 KuCoin 緊急將其受攻擊熱錢包中的其它代幣進行了轉移,從事發後措施來看,KuCoin 在這些環節反應還是比較迅速和到位的。
鏈上圍堵:多家機構合作攔截,駭客或竹籃打水一場空
KuCoin 視角:
CEO Johnny 表示,目前已經與包括火幣、幣安、 OKex 、 Bybit 、 Bitmax 等全球主流交易平台、項目方、安全機構以及警方取得聯繫,已經採取了一部分有效措施,正在全力的追捕這些資產。
ChainsMap 鏈上視角:
北京鏈安得知此事後,很快開啟了相關資產的監控以及與 KuCoin 的聯動配合機制,很快便發行了一批 ERC20 USDT 的動向。
可以看到駭客建立了一個獨立地址,先進行了 1 USDT 的轉帳測試,接著直接打入 5 萬 USDT,這樣的交易組進行了兩次分別達到兩個地址,此後,駭客又將這兩個地址中的 USDT 部分打入到入 0xdf0921 開頭地址,相關 USDT 開始進一步分散轉帳,有 11000 枚 USDT 流入到抹茶交易所。對此,我們也將相關資訊及時向相關交易所同步,並進行通告,抹茶也很快做了相關帳戶的凍結。
與此同時,KuCoin CEO Johnny 在直播中沒有提及的一點是,他們顯然與 USDT 發行方 Tether 進行了聯繫。而 Tether 也給予了積極響應,通過智能合約直接將相關 USDT 進行鏈上凍結,與此同時,Bitfinex 也宣布凍結了被盜的 EOS USDT 。
從目前來看,被盜的其餘 ERC20 代幣和比特幣暫未有所動作,在行業的追捕圍堵之下,駭客要想完全將這筆資產進行充分的轉移和變現將難度和成本極大。
事實上,就在香港時間 9 月 26 日 21:18:35,駭客再度試圖轉移 USDT 資產。
顯然,這筆被凍結的資產的轉移已經被阻止,不止此時的駭客心中是何感想?
餘波:交易所該如何應對資產安全
KuCoin 安全事件已經過去超過 24 小時,圍繞事件本身的喧囂也漸漸散去。目前,KuCoin 正在與國際執法部門一起調查此事件,並將懸賞 10 萬美元,以獎勵可以提供有效線索的人。
和往常一樣,作為今天的知名地址,駭客轉移資產的地址已經成為一個塗鴉板和廣告牌,一些怪異的 Token 被轉入這個地址進行展示和調侃,這也算這個行業一個黑色幽默般的現象。
當然,更加嚴肅的問題還留待我們繼續思考,關於 KuCoin 相關安全事件發生的原因,還需他們進一步調查和對外公佈。但是,對於任何交易所來說,做好內部風控防範道德風險,做好不同業務網絡間的隔離,以及落實多簽機制都是最基本的,卻需要紮實執行的安全措施。
同時,KuCoin 安全事件也體現出,除了防患於未然之外,當安全事件發生後,合理的應對也將有效減少損失。從這個角度來看,KuCoin 在這起事件中還是有可圈可點之處,如相對快速的發現問題並緊急保護現有資產,及時發動行業進行聯防,特別是抓住關鍵環節盡可能阻止關鍵資產的進一步轉移。當然,很關鍵的一點還有公開,KuCoin 及時公開遭受攻擊的消息,並由 CEO 通過直播方式傳達資訊,還是和有效的達到了溝通的效果,這些做法或許都值得其他交易所放入自己的預案策略之中。
對於交易所來說,資產安全可謂重中之重的事宜,我們希望各大交易所在接下來更加重視安全措施。而作為專業的技術安全機構和鏈上資產追溯專業服務提供商,我們也願為行業賦能,保障客戶和其用戶的資產安全。
(以上內容獲合作夥伴 火星財經 授權節錄及轉載,原文鏈接)
聲明:文章僅代表作者個人觀點意見,不代表區塊客觀點和立場,所有內容及觀點僅供參考,不構成投資建議。投資者應自行決策與交易,對投資者交易形成的直接間接損失作者及區塊客將不承擔任何責任。