近日，又出現(xiàn)了一種新型攻擊手法，慢霧安全團(tuán)隊(duì)已經(jīng)確認(rèn)真實(shí)攻擊發(fā)生，并對(duì)此發(fā)布預(yù)警表示，如果數(shù)字貨幣交易所、錢包等平臺(tái)在進(jìn)行“EOS 充值交易確認(rèn)是否成功”的判斷存在缺陷，可能導(dǎo)致嚴(yán)重的“假充值”，攻擊者可以在未損失任何EOS的前提下成功向這些平臺(tái)充值EOS，而且這些 EOS可以進(jìn)行正常交易。

這次的EOS假充值攻擊和之前出現(xiàn)過(guò)的USDT、以太坊代幣假充值類似，更多責(zé)任應(yīng)該屬于平臺(tái)方。由于這是一種新型攻擊手法，且攻擊已經(jīng)在發(fā)生，相關(guān)平臺(tái)方應(yīng)盡快自查，若對(duì)自己的充值校驗(yàn)沒有十足把握，應(yīng)盡快暫停EOS充提。

黑客攻擊手法：只有想不到，沒有做不到

從2018年開始，黑客就頻繁出沒區(qū)塊鏈及加密貨幣領(lǐng)域盜幣，其中一般都持有價(jià)值數(shù)億美元加密貨幣錢包的交易所就成了被黑客盯死不放的目標(biāo)。據(jù)相關(guān)人士統(tǒng)計(jì)，2018年交易所被盜的加密貨幣數(shù)量比17年增加了13倍，每天都有270萬(wàn)美元的加密資產(chǎn)被盜，相當(dāng)于每分鐘就有1860美元被盜。

這么多的攻擊，交易所怎么就不防呢?其實(shí)更大的原因或許是它們壓根就防不住。圈內(nèi)人都知道，加密貨幣市場(chǎng)是迅速發(fā)展起來(lái)的，交易所乃至許多涉及其它加密貨幣相關(guān)業(yè)務(wù)的團(tuán)隊(duì)都沒有時(shí)間或資源來(lái)構(gòu)建能高效即時(shí)的安全解決方案，而且交易所通常是科技公司，而不是網(wǎng)絡(luò)安全公司，他們的安全意識(shí)往往低于他們必須保護(hù)的資產(chǎn)級(jí)別。

另一方面，隨著加密貨幣市場(chǎng)的擴(kuò)大，黑客們盜取加密貨幣的經(jīng)驗(yàn)越來(lái)越豐富，攻擊手法也在不斷演變且愈發(fā)復(fù)雜，根據(jù)慢霧區(qū)近日上線“被黑檔案庫(kù)”中匯總的過(guò)去報(bào)道的發(fā)生過(guò)的各類攻擊信息顯示，黑客攻擊下交易所的損失金額達(dá)到了$ 2,674,885,099.52，主要有24件被報(bào)道的交易所被盜事件。

具體則有釣魚攻擊、合約攻擊、服務(wù)器攻擊、網(wǎng)站系統(tǒng)攻擊、替換網(wǎng)站地址、盜取交易所錢包等多種攻擊手法。

此外，據(jù)了解，黑客們?nèi)ツ赀€部署了社會(huì)工程學(xué)等先進(jìn)攻擊手法，盜取他人身份后，偽裝成其他人竊取投資人的加密資產(chǎn)，2018年6月底開始持續(xù)到現(xiàn)在的“假充值”攻擊也是其中一種新型攻擊手法，最開始是有交易所出現(xiàn)USDT“假充值”漏洞，隨后是以太坊代幣也出現(xiàn)了類似的問(wèn)題，雖然火幣、OKEx、幣安等多家交易所在經(jīng)過(guò)安全排查后都稱不存在相關(guān)“假充值”漏洞，但多幣種輪流出現(xiàn)同樣的攻擊方式，足以說(shuō)明加密貨幣交易所的安全缺陷。

面對(duì)黑客攻擊，交易所如何防守?

實(shí)際上，面對(duì)黑客花樣百出的攻擊，交易所其實(shí)是防不勝防的。“上有政策，下有對(duì)策”這個(gè)規(guī)律在交易所和黑客之間同樣適用，交易所防得再嚴(yán)密，黑客也總能找到地方鉆空子，畢竟以安全著稱的美聯(lián)儲(chǔ)銀行也曾被朝鮮黑客盜走過(guò)8100萬(wàn)美元。

只是目前加密貨幣行業(yè)中大多數(shù)交易所的安全性實(shí)在太差，做不了強(qiáng)悍的安全防護(hù)，自己能力范圍內(nèi)的安全保障總該做好。從之前因黑客攻擊破產(chǎn)的門頭溝交易所、Youbit交易所等事例來(lái)看，對(duì)交易所來(lái)說(shuō)，安全有時(shí)真的是能夠決定生死的關(guān)鍵。

這次“假充值”漏洞也是一樣，雖然直接受害人是交易所，目前尚未對(duì)普通投資者造成直接損失。但攻擊者通過(guò)這種方式獲得大量幣后，肯定不會(huì)冒著被平臺(tái)發(fā)現(xiàn)后凍結(jié)賬戶的風(fēng)險(xiǎn)屯著等升值，好的方法就是在被發(fā)現(xiàn)前，盡快用掉。如此一來(lái)，無(wú)論是砸盤變現(xiàn)還是通過(guò)交易轉(zhuǎn)換成其它幣種，都會(huì)對(duì)幣價(jià)造成影響。

截至發(fā)稿前，OKEx和火幣都已對(duì)EOS“假充值”攻擊做出了回應(yīng)表示，對(duì)所有上賬信息細(xì)節(jié)均會(huì)做嚴(yán)格確認(rèn)，不會(huì)受此漏洞影響。降維安全實(shí)驗(yàn)室則發(fā)現(xiàn)了某知名區(qū)塊鏈數(shù)字貨幣錢包應(yīng)用的轉(zhuǎn)賬通知機(jī)制存在缺陷，會(huì)將EOS“假充值”攻擊生成的虛假轉(zhuǎn)賬交易以通知方式推送給錢包用戶，如果此缺陷被攻擊者利用來(lái)進(jìn)行垃圾廣告推廣、詐騙等活動(dòng)，那么會(huì)給錢包用戶造成很大困擾和風(fēng)險(xiǎn)。

總之，交易所安全無(wú)小事，注重安全技術(shù)與系統(tǒng)的升級(jí)、多多進(jìn)行風(fēng)險(xiǎn)排查、及時(shí)采取應(yīng)對(duì)措施總是好的。