SAFU:脆弱的交易所和涌起的邪念,你的比特币是否真的安全?

5月8日,全球最大的加密数字货币交易所币安发布公告称,当日凌晨1时15分,币安比特币热钱包发生被盗事件。

根据币安官方公告显示,黑客从中盗取了7070枚比特币,被盗比特币占热钱包内存储总量的2%。以当时比特币的价格计算,该次损失逾4125.99万美元。币安官方表示,币安将使用SAFU基金全额承担这一损失。

SAFU基金的资金主要来源于币安的交易手续费,但是截至目前为止,币安交易手续费总额及投资者保护基金总额尚处于未知状态。

赵长鹏早些时候曾在直播中透露,币安会考虑交易回滚恢复被盗金额来挽回此次损失,但是该方案最终并未成行。

法兴银行:经济可能出现L型复苏 英镑尤其脆弱:经济出现深度衰退的可能性已经加大,鉴于英国经济已经面临着脱欧可能带来的冲击,英镑变得尤其脆弱;在美国新冠肺炎确诊病例增加的情况下,L型复苏的风险增加;英国也面临疫情出现反弹的风险,如果没有疫苗问世,全球经济职能寄希望于恢复因疫情流失的部分产出和就业。[2020/6/27]

当时,有网友在其推文下评论道:“你不是决定不那么做,而是你意识到你做不到。”

之后,赵长鹏在推特上表示,经过多方讨论之后,币安决定不会采用交易回滚的方式挽回损失。赵长鹏表示,采用交易回滚方式挽回损失拥有三项好处,分别为:

1.可以通过向矿工“转移”费用来向盗币的黑客“复仇”;

2.阻止未来黑客的攻击意图;

3.探讨比特币网络如何应对此类情况的可能性;

动态 | BM发布推文推荐《反脆弱》一书:据MEET.ONE报道,BM今日发推称他已经读完了《反脆弱》一书,并表示人们可以从混沌中受益。他谈到该书对他触动很大,让他对很多直觉认为的东西有了不一样的看法。他非常推荐这本书,认为每个人都应该去读一下。 对此,有位推友回复到:对于社区去中心化管理,人的本性是潜藏在运作系统中,因此最好是跟随本性而不是与本性作斗争。 据悉,《反脆弱》一书由美国作家纳西姆·尼古拉斯·塔勒布所著,表达的核心思想是:杀不死我的,使我更强大。脆弱是指因为波动和不确定而承受损失。反脆弱则是让自己避免这些损失,甚至因此获利。[2019/7/5]

但是害处也是显而易见,而币安决定放弃交易回滚的主要因素如下:

1.我们可能会损害BTC的可信度;

2.我们可能会导致比特币网络和社区的分裂;

声音 | 余弦:数字货币交易所太多 内网防御普遍脆弱:慢雾余弦发微博称,DragonEx被黑这事及其他遭遇一样手法被黑或差点被黑或被黑了一点的数字货币交易所,这个事件我们做了个复盘分析,如果要说是APT,那么也是个初级APT,没特别的漏洞攻击,基本是初级的社会工程学。以微信等方式围绕量化交易话题进行诱安装WbBot.dmg程序到Mac电脑上,全程英语沟通,过于积极热情。但可惜的是,数字货币交易所太多,内网防御普遍脆弱,人员安全意识参差不齐,这导致一定的成功概率下,后续的渗透可以非常顺畅,直到大量资产损失后才能被发现。[2019/3/30]

3.黑客确实在我们的设计和用户混淆中,表现出某些明显的弱点,而这在之前看来并不明显;

4.这对我们来说是一个非常昂贵的代价,但是它也是一个教训,保护用户资金是我们的职责所在。所以我们应该面对它,并且从中吸取教训并有所改进;

现场 | Trade Terminal首席执行官:加密领域因缺乏信任而脆弱:金色财经现场报道,今日在2018虚拟货币对冲基金峰会上,Trade Terminal首席执行官孟尧表示,很少有量化交易基金拥有合理的研发能力,这是一个不成熟的加密市场所缺失的。孟尧还表示,信任是该领域另一个缺失的部分。 由于缺失重要的基础设施,如托管机构,贸易管理和审计服务,完全依赖投资者和基金经理之间的个人信任是非常脆弱的。[2018/7/28]

事实上,这并不是币安第一次出现被盗事件。

早在2018年3月7日,币安就因为API接口被黑,导致很多用户的币被强制卖出,买入VIA。根据当时社区非完全统计,涉及金额超过10000个比特币,而且受到这次事件影响,当时数字货币市场整体暴跌超过10%。

几个月之后,2018年7月4日,又有媒体报道称,由于SKY漏洞的影响,币安交易所出现大量比特币被盗的情况,2小时内,超过7000枚比特币被转入同一地址。

随后系统币官方发推承认了这一漏洞的存在。但是何一对币安被盗一事进行了否认,并表示其为币安内部的正常转账。并评论到,不少平台都遇到类似的问题,好处是至少币安有自动风控。

此后,币安删除了全部API记录,让用户重新创建API密钥,并对被动涉及异常交易的账户进行了交易回滚,而且对部分用户免除了手续费。

而该起事件在事后被币安定义为一起API用户钓鱼事件。

也正是在这起事件之后,币安正式成立了SAFU基金。SAFU基金为币安的投资者保护基金,根据币安在去年7月4日的相关公告显示,从2018年7月14日起,将拿出10%的交易手续费作为投资者保护基金,相关资产将会存在在独立地址,专项专用。专项基金用于应对可能出现的极端突发安全事故,在平台出现突发风险时,币安将使用该投资者保护基金对币安用户进行先行赔付;对于任何非用户自身原因造成的用户资产损失,币安将从投资者保护基金中提取资金对用户实施全额先行赔付。

但是截至目前为止,币安都并未公布过这一投资者保护基金的地址。

不过,赵长鹏曾在直播活动中表示,币安的投资者保护基金可以完全覆盖此次损失。

回顾整个事件,币安全程公开处理,而且反馈很快,这一点是非常值得肯定的。但是赵长鹏一开始试图通过“回滚”来挽回损失,可能还是不太了解挖矿和算力,尽管他只是想拿回自己的币并不是故意去伤害其他人。

首先,通过重组来双花丢币交易理论上确实是可行的,而且技术上来说,重组的影响也要比软分叉造成的影响要小很多。

而且据说,赵长鹏当时已经联系比特大陆纠集算力,嫡系算力加上可直接争取的算力估计能略微超过全网一半。再考虑到参与矿池会有额外奖励,加上吸引中间派矿池矿工加入,最终应该可以稳定拿下全网过半算力。

那么假设有65%的算力在被盗交易30个确认时参与重组行动,大约需要花费16小时40分钟达到相同高度。一旦高度胜出,则全网算力汇合至一条链,似乎什么都没发生过。

当然,不参与的矿池损失会很大。

但是,在接近17个小时的时间里,人们大概率会发现此次行动,因为全网出块速度太慢了,同时很多监控系统都会探测到分叉。

届时,在重组行动成功之前,必然会有人会放出全节点补丁,该补丁可以强行认可被盗交易的块哈希值,使得高度即使胜出的重组链也无法重写现有的数据。

那个时候,比特币节点会因为对被盗交易的块哈希存在共识分歧,全网出现硬分叉。硬分叉之后,两条链的价格将交给市场决定。

赵长鹏可以拿回重组链上的7000多枚币,但拒绝重组的链是无法拿回的。

此外,如果重组成功了,尽管对比特币可能没有本质改变,但是确认数少的大额交易将会变得不再安全。以后收发7000的币,至少要等一天的确认数。

此次币安的被盗事件也再一次把中心化交易所的安全性推向了舆论的中心。

目前的很多加密货币交易所都存在很多的安全漏洞,经常出现被盗币的事件,甚至还有交易所监守自盗或者卷客户的钱跑路的事件。

所以,尽管加密货币正在飞速的成长,但是我们依然要承认,我们自己不善长保存虚拟资产的现实。

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金星链

[0:31ms0-0:567ms