Шифрувальна біржа: огляд безпекових подій, історичні уроки та запобіжні заходи
В останні роки централізовані біржі шифрування (CEX) зазнали кількох великих інцидентів безпеки, що призвело до значних фінансових втрат. Ці інциденти включали не лише зовнішні хакерські атаки, але й внутрішні шахрайства та регуляторний тиск. У порівнянні з цим, децентралізовані біржі (DEX) показали явні переваги у протистоянні цим ризикам.
Ця стаття оглядає 10 найсерйозніших випадків безпеки централізованих бірж в історії, аналізує уроки, які з них випливають, і пропонує відповідні заходи запобігання.
10. Bithumb: Неодноразово зазнавав атак
Bithumb з моменту свого заснування в 2014 році швидко став лідером на ринку шифрування Південної Кореї. Проте ця біржа неодноразово зазнавала хакерських атак:
Лютий 2017 року: збиток 7 мільйонів доларів США
Червень 2018: втрати 32 мільйони доларів США
березень 2019 року: втрата 20 мільйонів доларів США у EOS і XRP
Червень 2019 року: знову зазнали атаки, втратили 30 мільйонів доларів США
Дослідження технологічного відомства Південної Кореї виявило серйозні недоліки Bithumb в аспектах мережевої ізоляції, системи моніторингу та управління ключами. Ці вразливості надали хакерам можливість для атаки.
9. WazirX: Вразливість великої кількості гаманців
У липні 2024 року індійська біржа WazirX зазнала серйозної безпекової події, внаслідок якої було вкрадено понад 230 мільйонів доларів США у шифруванні активів. Зловмисники в основному націлилися на мультипідписаний гаманець WazirX на Ethereum.
Викрадені активи включають:
понад 100 мільйонів доларів США шиба (SHIB)
2000万 MATIC токенів ( 11000000 доларів США )
6400 мільярдів токенів PEPE (750 тисяч доларів )
5,7 мільйона USDT
1.35 мільйона GALA токенів ( 350 тисяч доларів )
Незважаючи на те, що WazirX застосував такі заходи безпеки, як апаратні гаманці та білий список адрес, це не змогло запобігти цій складній атаці. Це підкреслює потенційні ризики централізованого управління приватними ключами.
8. Деяка біржа: Ключ API був вкрадений
У травні 2019 року одна з провідних у світі бірж шифрування зазнала масштабної хакерської атаки. Зловмисники за допомогою фішингу та вірусних атак вкрали двофакторні коди аутентифікації та API-ключі користувачів.
Хакери використали цю інформацію, щоб вкрасти 7,074 біткоїна з гарячого гаманця біржі під час однієї угоди, вартість яких тоді перевищувала 40 мільйонів доларів.
Після події платформа оголосила про створення фонду безпеки активів користувачів (SAFU), щоб захистити кошти користувачів у крайніх випадках. Однак у жовтні 2022 року платформа знову зазнала атаки, зловмисники використали вразливість кросчейн-мосту для незаконного створення та крадіжки близько 570 мільйонів доларів США у токенах.
7. KuCoin: голлівудське викрадення
У вересні 2020 року KuCoin зазнав крадіжки, яка могла б зніматися у голлівудському фільмі. Хакери спочатку атакували гаманці Bitcoin і Ethereum, а потім, викравши приватні ключі гарячих гаманців, ще більше проникли в систему.
В кінцевому підсумку, вкрадені кошти стосуються різних шифрувань, таких як BTC, ETH, LTC, XRP, загальна сума приблизно 281 мільйон доларів США. KuCoin швидко вжила заходів, перемістивши залишкові кошти, закривши вкрадені гаманці та призупинивши торгівлю.
Співпрацюючи з правоохоронними органами, KuCoin повернув приблизно 204 мільйони доларів викрадених коштів за кілька тижнів. Розслідування показало, що ця атака може бути пов'язана з північнокорейською хакерською групою.
6. BitGrail: Внутрішні особи задіяні у справі
Італійська біржа BitGrail зазнала крадіжки на 120 мільйонів євро (, що приблизно дорівнює 147 мільйонам доларів ), що призвело до великих втрат для 230 тисяч користувачів. Поліція звинувачує керівника біржі Фірану у можливій участі в цьому, або в тому, що він не вжив достатніх заходів після виявлення вразливості.
Firano стикається з обвинуваченнями в комп'ютерному шахрайстві, шахрайському банкрутстві та відмиванні грошей. Італійський суд оголосив про банкрутство Firano та BitGrail і вимагав повернення вкрадених активів.
Дослідження виявило, що на платформі BitGrail є програмні дефекти, які призвели до багаторазових неналежних зняттів. Це підкреслює потенційні ризики централізованих бірж у контролі активів та безпеки.
5. Poloniex: Два великі інциденти безпеки
Poloniex зазнав двох серйозних атак на безпеку:
У березні 2014 року зловмисники використали вразливість програмного забезпечення, щоб вкрасти 97 біткойнів, що становило 12,3% від загальної кількості біткойнів на біржі в той час. Poloniex врешті-решт повністю компенсувала постраждалим користувачам.
У листопаді 2023 року Poloniex знову зазнала атаки, приблизно 126 мільйонів доларів США шифрування активів було вкрадено. Зловмисники, ймовірно, пов'язані з північнокорейською організацією Lazarus, вони за допомогою соціальної інженерії та шкідливого програмного забезпечення вкрали ключові приватні ключі.
Хакери використали складні стратегії відмивання грошей, зокрема використовуючи децентралізовані біржі, що ускладнює відстеження та відновлення коштів.
4. Bitstamp: адміністратор системи став жертвою фішингу
Хакери успішно проникли в комп'ютер адміністратора системи Bitstamp Луки Кодріча через фішингові електронні листи. Шкідливе програмне забезпечення було приховане в на вигляд безпечних документах, активувавшись, воно інфікувало сервери Bitstamp, що дозволило хакерам отримати доступ до важливого файлу wallet.dat та паролів.
Незважаючи на те, що Bitstamp швидко вжила заходів, хакери все ж змогли вкрасти 18,866 біткоїнів з гарячого гаманця, які на той момент коштували близько 5 мільйонів доларів.
Після цього Bitstamp провела повну модернізацію торгової біржі, включаючи міграцію на більш безпечні хмарні сервери, впровадження мультипідписних гаманців та покращення процесу управління холодними гаманцями.
3. Bitfinex: система багатопідпису була зламана
У серпні 2016 року Bitfinex зазнав кібератаки. Хакери успішно обійшли багатопідписну систему безпеки, надану BitGo, і незаконно вивели 120 000 біткоїнів з гарячого гаманця Bitfinex.
Після події біржа Bitfinex застосувала прозору політику, розподіливши збитки пропорційно між усіма рахунками користувачів. Для компенсації збитків Bitfinex випустила токени BFX, які можна обміняти на долари США або акції компанії.
2. Coincheck: один з найбільших крадіжок в історії
У січні 2018 року відома біржа в Японії Coincheck зазнала серйозної безпекової події. Хакери зламали гарячий гаманець і вкрали 523 мільйони токенів NEM, вартість яких на той момент становила близько 534 мільйонів доларів.
Незважаючи на уроки, отримані з кількох попередніх інцидентів з хакерами, Coincheck все ще зберігала значну частину активів у гарячому гаманці та не мала достатнього захисту багатопідписом. Цей інцидент підкреслює серйозні недоліки біржі в управлінні активами та заходах безпеки.
1. Mt. Gox: Найвідоміша подія в історії шифрування валют
Подія Mt. Gox вважається найбільш впливовою безпековою катастрофою в історії шифрування валют. У 2011 році найбільша у світі біржа біткоїнів Mt. Gox вперше зазнала значного безпекового порушення, втративши 25,000 біткоїнів. У 2014 році сталася ще масштабніша крадіжка, було вкрадено близько 850,000 біткоїнів.
Ця подія завдала великого удару по ціні біткоїна та довірі до всієї індустрії шифрування. Багато користувачів зазнали величезних втрат, навіть "втратили все". Інцидент з Mt. Gox став попереджувальним прикладом проблем безпеки бірж шифрування.
Заходи щодо посилення безпеки біржі
Враховуючи ці ці історичні події безпеки, біржа шифрування повинна вжити кількох заходів для підвищення безпеки:
Розділення холодного та гарячого гаманця: зберігайте більшість активів в офлайн холодному гаманці, залишаючи лише невелику частину коштів в гарячому гаманці для задоволення щоденних торгових потреб.
Багатопідпис: вимагає, щоб кілька власників ключів спільно підписували угоду, зменшуючи ризик витоку єдиного ключа.
Регулярний аудит безпеки: найм третьої сторони для регулярної оцінки вразливостей системи.
Навчання співробітників: посилити навчання співробітників з питань безпеки в мережі, запобігаючи атакам соціальної інженерії.
Посилення ідентифікації: впровадження потужного механізму багатофакторної аутентифікації.
Реальний моніторинг: впровадження сучасної системи виявлення аномальних бірж.
Страхування: придбати відповідне страхування для активів користувачів.
Децентралізовані технології: дослідження впровадження децентралізованих технологій для зменшення ризику єдиних точок відмови.
План дій у надзвичайних ситуаціях: розробити детальний план реагування на аварії безпеки, щоб забезпечити швидку реакцію.
Завдяки вжиттю цих заходів біржа може значно підвищити безпеку, краще захищаючи активи користувачів. Проте, з постійним удосконаленням технологій хакерів, біржа повинна залишатися на чеку та постійно вдосконалювати свої стратегії безпеки.
Ця сторінка може містити контент третіх осіб, який надається виключно в інформаційних цілях (не в якості запевнень/гарантій) і не повинен розглядатися як схвалення його поглядів компанією Gate, а також як фінансова або професійна консультація. Див. Застереження для отримання детальної інформації.
14 лайків
Нагородити
14
7
Поділіться
Прокоментувати
0/400
WalletDetective
· 08-04 13:41
dex дійсно безпечніший
Переглянути оригіналвідповісти на0
LiquidityNinja
· 08-03 13:01
Навіщо використовувати CEX, якщо все вже втекло~
Переглянути оригіналвідповісти на0
SerumSurfer
· 08-03 01:54
Собаки навіть не кладуть гроші на cex
Переглянути оригіналвідповісти на0
BlockchainRetirementHome
· 08-03 01:47
Ще вірите в cex? Сміюся до сліз.
Переглянути оригіналвідповісти на0
BlockchainDecoder
· 08-03 01:42
Згідно з дослідженням Хасіба, ризикова премія постачальників ліквідності DEX потребує повторного моделювання, ключове в архітектурі гарячого гаманця.
Переглянути оригіналвідповісти на0
MEVSandwichMaker
· 08-03 01:42
Так само не можна порівняти з безпекою dex... У цей час хто ще вірить у cex?
10 найбільших безпекових інцидентів бірж шифрування: повний аналіз уроків та запобіжних заходів
Шифрувальна біржа: огляд безпекових подій, історичні уроки та запобіжні заходи
В останні роки централізовані біржі шифрування (CEX) зазнали кількох великих інцидентів безпеки, що призвело до значних фінансових втрат. Ці інциденти включали не лише зовнішні хакерські атаки, але й внутрішні шахрайства та регуляторний тиск. У порівнянні з цим, децентралізовані біржі (DEX) показали явні переваги у протистоянні цим ризикам.
Ця стаття оглядає 10 найсерйозніших випадків безпеки централізованих бірж в історії, аналізує уроки, які з них випливають, і пропонує відповідні заходи запобігання.
10. Bithumb: Неодноразово зазнавав атак
Bithumb з моменту свого заснування в 2014 році швидко став лідером на ринку шифрування Південної Кореї. Проте ця біржа неодноразово зазнавала хакерських атак:
Дослідження технологічного відомства Південної Кореї виявило серйозні недоліки Bithumb в аспектах мережевої ізоляції, системи моніторингу та управління ключами. Ці вразливості надали хакерам можливість для атаки.
9. WazirX: Вразливість великої кількості гаманців
У липні 2024 року індійська біржа WazirX зазнала серйозної безпекової події, внаслідок якої було вкрадено понад 230 мільйонів доларів США у шифруванні активів. Зловмисники в основному націлилися на мультипідписаний гаманець WazirX на Ethereum.
Викрадені активи включають:
Незважаючи на те, що WazirX застосував такі заходи безпеки, як апаратні гаманці та білий список адрес, це не змогло запобігти цій складній атаці. Це підкреслює потенційні ризики централізованого управління приватними ключами.
8. Деяка біржа: Ключ API був вкрадений
У травні 2019 року одна з провідних у світі бірж шифрування зазнала масштабної хакерської атаки. Зловмисники за допомогою фішингу та вірусних атак вкрали двофакторні коди аутентифікації та API-ключі користувачів.
Хакери використали цю інформацію, щоб вкрасти 7,074 біткоїна з гарячого гаманця біржі під час однієї угоди, вартість яких тоді перевищувала 40 мільйонів доларів.
Після події платформа оголосила про створення фонду безпеки активів користувачів (SAFU), щоб захистити кошти користувачів у крайніх випадках. Однак у жовтні 2022 року платформа знову зазнала атаки, зловмисники використали вразливість кросчейн-мосту для незаконного створення та крадіжки близько 570 мільйонів доларів США у токенах.
7. KuCoin: голлівудське викрадення
У вересні 2020 року KuCoin зазнав крадіжки, яка могла б зніматися у голлівудському фільмі. Хакери спочатку атакували гаманці Bitcoin і Ethereum, а потім, викравши приватні ключі гарячих гаманців, ще більше проникли в систему.
В кінцевому підсумку, вкрадені кошти стосуються різних шифрувань, таких як BTC, ETH, LTC, XRP, загальна сума приблизно 281 мільйон доларів США. KuCoin швидко вжила заходів, перемістивши залишкові кошти, закривши вкрадені гаманці та призупинивши торгівлю.
Співпрацюючи з правоохоронними органами, KuCoin повернув приблизно 204 мільйони доларів викрадених коштів за кілька тижнів. Розслідування показало, що ця атака може бути пов'язана з північнокорейською хакерською групою.
6. BitGrail: Внутрішні особи задіяні у справі
Італійська біржа BitGrail зазнала крадіжки на 120 мільйонів євро (, що приблизно дорівнює 147 мільйонам доларів ), що призвело до великих втрат для 230 тисяч користувачів. Поліція звинувачує керівника біржі Фірану у можливій участі в цьому, або в тому, що він не вжив достатніх заходів після виявлення вразливості.
Firano стикається з обвинуваченнями в комп'ютерному шахрайстві, шахрайському банкрутстві та відмиванні грошей. Італійський суд оголосив про банкрутство Firano та BitGrail і вимагав повернення вкрадених активів.
Дослідження виявило, що на платформі BitGrail є програмні дефекти, які призвели до багаторазових неналежних зняттів. Це підкреслює потенційні ризики централізованих бірж у контролі активів та безпеки.
5. Poloniex: Два великі інциденти безпеки
Poloniex зазнав двох серйозних атак на безпеку:
У березні 2014 року зловмисники використали вразливість програмного забезпечення, щоб вкрасти 97 біткойнів, що становило 12,3% від загальної кількості біткойнів на біржі в той час. Poloniex врешті-решт повністю компенсувала постраждалим користувачам.
У листопаді 2023 року Poloniex знову зазнала атаки, приблизно 126 мільйонів доларів США шифрування активів було вкрадено. Зловмисники, ймовірно, пов'язані з північнокорейською організацією Lazarus, вони за допомогою соціальної інженерії та шкідливого програмного забезпечення вкрали ключові приватні ключі.
Хакери використали складні стратегії відмивання грошей, зокрема використовуючи децентралізовані біржі, що ускладнює відстеження та відновлення коштів.
4. Bitstamp: адміністратор системи став жертвою фішингу
Хакери успішно проникли в комп'ютер адміністратора системи Bitstamp Луки Кодріча через фішингові електронні листи. Шкідливе програмне забезпечення було приховане в на вигляд безпечних документах, активувавшись, воно інфікувало сервери Bitstamp, що дозволило хакерам отримати доступ до важливого файлу wallet.dat та паролів.
Незважаючи на те, що Bitstamp швидко вжила заходів, хакери все ж змогли вкрасти 18,866 біткоїнів з гарячого гаманця, які на той момент коштували близько 5 мільйонів доларів.
Після цього Bitstamp провела повну модернізацію торгової біржі, включаючи міграцію на більш безпечні хмарні сервери, впровадження мультипідписних гаманців та покращення процесу управління холодними гаманцями.
3. Bitfinex: система багатопідпису була зламана
У серпні 2016 року Bitfinex зазнав кібератаки. Хакери успішно обійшли багатопідписну систему безпеки, надану BitGo, і незаконно вивели 120 000 біткоїнів з гарячого гаманця Bitfinex.
Після події біржа Bitfinex застосувала прозору політику, розподіливши збитки пропорційно між усіма рахунками користувачів. Для компенсації збитків Bitfinex випустила токени BFX, які можна обміняти на долари США або акції компанії.
2. Coincheck: один з найбільших крадіжок в історії
У січні 2018 року відома біржа в Японії Coincheck зазнала серйозної безпекової події. Хакери зламали гарячий гаманець і вкрали 523 мільйони токенів NEM, вартість яких на той момент становила близько 534 мільйонів доларів.
Незважаючи на уроки, отримані з кількох попередніх інцидентів з хакерами, Coincheck все ще зберігала значну частину активів у гарячому гаманці та не мала достатнього захисту багатопідписом. Цей інцидент підкреслює серйозні недоліки біржі в управлінні активами та заходах безпеки.
1. Mt. Gox: Найвідоміша подія в історії шифрування валют
Подія Mt. Gox вважається найбільш впливовою безпековою катастрофою в історії шифрування валют. У 2011 році найбільша у світі біржа біткоїнів Mt. Gox вперше зазнала значного безпекового порушення, втративши 25,000 біткоїнів. У 2014 році сталася ще масштабніша крадіжка, було вкрадено близько 850,000 біткоїнів.
Ця подія завдала великого удару по ціні біткоїна та довірі до всієї індустрії шифрування. Багато користувачів зазнали величезних втрат, навіть "втратили все". Інцидент з Mt. Gox став попереджувальним прикладом проблем безпеки бірж шифрування.
Заходи щодо посилення безпеки біржі
Враховуючи ці ці історичні події безпеки, біржа шифрування повинна вжити кількох заходів для підвищення безпеки:
Розділення холодного та гарячого гаманця: зберігайте більшість активів в офлайн холодному гаманці, залишаючи лише невелику частину коштів в гарячому гаманці для задоволення щоденних торгових потреб.
Багатопідпис: вимагає, щоб кілька власників ключів спільно підписували угоду, зменшуючи ризик витоку єдиного ключа.
Регулярний аудит безпеки: найм третьої сторони для регулярної оцінки вразливостей системи.
Навчання співробітників: посилити навчання співробітників з питань безпеки в мережі, запобігаючи атакам соціальної інженерії.
Посилення ідентифікації: впровадження потужного механізму багатофакторної аутентифікації.
Реальний моніторинг: впровадження сучасної системи виявлення аномальних бірж.
Страхування: придбати відповідне страхування для активів користувачів.
Прозорість: регулярне публікування підтвердження резервів активів.
Децентралізовані технології: дослідження впровадження децентралізованих технологій для зменшення ризику єдиних точок відмови.
План дій у надзвичайних ситуаціях: розробити детальний план реагування на аварії безпеки, щоб забезпечити швидку реакцію.
Завдяки вжиттю цих заходів біржа може значно підвищити безпеку, краще захищаючи активи користувачів. Проте, з постійним удосконаленням технологій хакерів, біржа повинна залишатися на чеку та постійно вдосконалювати свої стратегії безпеки.