交易所 Bitfinex 在 2016 年 8 月遭駭 119,756 枚比特幣,成為歷史最大規模攻擊事件之一。近日,一份安全調查報告曝光,表示 Bitfinex 遭攻擊的原因似乎與內部並未徹底執行安全標準有關。
(前情提要:Bitfinex 駭客案華盛頓開庭|「洗錢夫妻檔」妻裁定 300 萬美元交保、夫維持羈押)
(背景補充:Bitfinex 45億鎂竊案》「洗錢夫婦」遭移送華盛頓,正為800萬美元交保做準備)
加密貨幣老牌交易所 Bitfinex,在 2016 年 8 月遭遇史上最大規模的比特幣攻擊事件之一,當時駭客在三個小時內竊取了多達 119,756 枚比特幣(當時價值 7,100 萬美元,現價約 34 億美元)。
儘管去年一對美國夫婦因涉嫌清洗部分被盜比特幣而遭警方逮捕,但至今為止仍未追查到攻擊者的蹤跡。不過近日一份 Bitfinex 官方委託安全公司進行的調查報告爆光,讓我們對此次案件有了更清晰的輪廓。
Bitfinex 攻擊事件報告曝光
據組織犯罪和腐敗報告項目(OCCRP)近日在其網站上透露,攻擊發生的原因與 Bitfinex 未能實施其數位安全合作夥伴提出的營運和技術控制措施,存在重大安全漏洞有關。
OCCRP 表示他們獲得一份由 Bitfinex 所有者之一 iFinex 委託,由加拿大加密貨幣諮詢和開發公司 Ledger Labs 製作的調查報告,但該交易所從未公開,直到 OCCRP 獲得了報告的副本。
雖然 OCCRP 在文中表示無法獨立證實調查結果,但 Bitfinex 在與記者的溝通中,官方並未質疑該報告的真實性、Bitgo 拒絕置評,但沒有具體質疑該報告的存在或其發現。至於該報告的作者 Michael Perklin 則表示他無法發表評論,因為他在 iFinex 報告上的工作受到保密協議的規範。
攻擊發生的原因?缺乏安全意識
至於 2016 年攻擊事件的發生,OCCRP 獲得的報告稱,Bitfinex 採用了一種安全系統,要求管理員擁有三個安全私鑰中的兩個,才能在交易所執行任何重要操作,包括移動比特幣。
但它發現 Bitfinex 將這三個私鑰中的兩個,同時放在同一台設備上,這犯了嚴重的安全錯誤。使得攻擊者成功入侵該單一設備後,就能夠完全訪問 Bitfinex 的內部系統、並且能夠提高每日允許的交易數量限制,以便盡快地耗盡比特幣。
文件稱在單一設備上存儲多個私鑰「違反了加密貨幣安全標準」,但尚不清楚該特定設備是否就是在駭客攻擊中受損的設備。另外根據對源 IP 地址的詳細分析,Ledger Labs 得出結論認為駭客可能位源於波蘭。
對於安全意識的缺乏,區塊鏈安全公司 CertiK 的安全運營總 Hugh Brooks 就批評:
當你處理網路貨幣時,風險要高得多。如果你遭到破壞或犯了錯誤,這不僅僅是一些用戶名和密碼,而是某人的畢生積蓄或可能是大量資金。
紐約夫婦因涉嫌洗錢 Bitfinex 遭駭比特幣而被捕
儘管這名駭客至今仍然逍遙法外,但美國司法部去年逮捕了俄裔美國公民 Ilya Lichtenstein 和他的妻子 Heather Morgan,他們涉嫌洗錢 Bitfinex 被盜的比特幣,執法部門當時宣布凍結 9 萬 4 千多枚比特幣。
美國司法部文件顯示,該夫妻目前已遭拘捕,但無法確定是當年侵入 Bitfinex 的駭客,因此以合謀洗錢起訴,如果罪名成立,可以會面臨 25 年監禁;兩人也均不不認罪,正在等待審判。
📍相關報導📍
美國聯準會喊「5月升息1碼」;Fed鷹派籲升2碼:不怕經濟衰退
