昨天,世界第六大加密货币交易所——韩国Bithumb发出通知,声称其在前一晚遭到黑客攻击,被盗的加密货币(包括瑞波币)价值超过3100万美元。
Bithumb将会暂停充值服务,同时对被盗货币负责。目前,Bithumb已将剩余资产转移到冷钱包。
一年内连遭两次黑客攻击
这其实已经是Bithumb一年以来第二次遭到黑客攻击。
第一次是去年7月,黑客黑进了Bithumb内部员工的电脑,然后后窃取了30000名用户的详细个人信息,并用网络钓鱼手段欺骗用户交出登陆凭证,导致用户加密货币被大规模盗窃。
针对加密货币交易所的攻击态势一直非常严峻。在本月初,Bithumb的竞争对手Coinrail就成遭到黑客攻击,损失了价值3700万美元的加密货币,约占其总货币储量的30%。2017年12月,斯洛文尼亚加密货币交易所NiceHash也遭到网络攻击,损失高达6400万美元。
加密货币交易所频遭攻击
随着近年来加密货币价值飙升,对加密货币交易所的攻击事件递增。有统计表明,2018年至今被盗的加密货币总额已经超过11亿美元(2016年全年为13亿美元),按网上出售3.4万多个恶意软件中,有65%都与盗窃加密货币有关。所有损失中,27%是黑客直接攻击交易所导致的,而盗取用户信息(账户密码、支付信息等)导致的盗窃事件也高达14%。由这些造成的损失已经不可估量。
由此可见,区块链业务在账户准入方面的安全问题十分严重,而目前的身份验证手段根本无法满足安全需求。有相关人士建议用户保管好私钥,尽量将数字货币储存于冷钱包中。但无数的事实已经告诉我们,这种方式并非没有漏洞。
身份安全是关键
在黑客的武器库中,有无数种工具可以获得用户的私钥,而即使是冷钱包,黑客也能通过数学公式倒推私钥。所以,保管好私钥固然重要,但这些信息泄露之后的身份保护措施同样非常有必要。
也就是说,区块链业务一方面要防止他人冒用身份登入账户,也就是精确识别用户本人;另一方面,区块链交易所内部员工的身份准入同样应该如此,防止黑客冒用员工身份窃取大量用户信息;再者,对区块链交易平台的持续性安全检测也十分有必要。
而这几方面正是锦佰安科技的专长:
- 用户端精确识别用户本人:锦佰安科技自主研发的SecID AI行为识别身份认证系统,基于用户独特、不可复制的操作行为精确识别本人,即使黑客窃取密码,也无法登录,保证了加密货币钱包的安全。该技术可应用于敏感性操作(注册、登录、支付、转账等)的身份鉴别,以及大额交易时的身份识别与授权,防止身份被冒用的情况发生。
- 数字货币交易所内部:对内网办公环境中涉及的网络准入(VPN/WiFi)、办公PC登陆、访问电子邮件系统、访问其他Web类办公系统等登陆操作,集成SecID多因素身份认证,在静态密码的基础上,增加了一个黑客也无法绕过的二次强身份认证环节,从而确保只有合法可信的人进入对应系统,有效防止钓鱼、弱口令、账户职权混乱和内部恶意人员导致的安全隐患,同时又能安全审计、责任到人。
- 持续性的安全监测:锦佰安科技提供每月两次的高频次安全检测,贯穿软件系统整个生命周期的安全服务,上线前360度全方位安全检测等,防范复杂多维、手段变化多样、隐藏技术运用多的新型安全攻击。
在区块链生态中,没有永久的安全,只有永远的对抗。不得不重申的一点是,让用户保管好账户密码固然重要,但黑客很轻易就能窃取密码早已不是新鲜事,不会因为这是区块链领域而格外“开恩”。用技术手段保护账户安全,才是对加密货币交易所及其用户的资金安全负责任的行为。