昨天Upbit交易所34万ETH被盗,居然是这个服务器被攻击了……
作者 | 成都链安
责编 | Carol
出品 | 区块链大本营(blockchain_camp)
据行业媒体报道,11 月 27 日下午 1 时左右,韩国知名加密货币交易所 UpBit 安全系统遭到破坏,34200 个以太币失窃(约合580亿韩元)。相应的数字资产从该交易所的热钱包中被转移至一个不知名的钱包地址。
11 月 27 日 12:06分,态势感知系统Beosin-Eagle eye检测到以太坊Upbit交易所热钱包地址向未知地址通过一笔交易转移超过34万ETH。
黑客转移342000ETH之后,该地址当时仅剩下111.3ETH,几近掏空。
随后,官方发布公告对外称:
紧接着,成都链安安全团队对整个代币转移的交易时间线进行了完整复盘。
北京时间11月27日13时18分,Upbit波场地址TDU1uJ向TA9FnQrL开头的地址分批次转移TRON币,共计转移超过11.6亿枚TRON币,2100万枚BTT。
北京时间11月27日1点55分左右,超过1.52亿枚XLM从Upbit交易所转移至Bittrex交易所。
通过我们的进一步分析认为:EOS,XLM,TRON代币的转移很有可能是交易所触发风控机制而进行的避险操作,并且有资料显示Upbit和bittrex为合作关系,因此,大额EOS 和XLM转入Bittrex交易所的操作可能是Bittrex协助规避风险。
随后,北京时间下午4点56分,Upbit官方Doo-myeon首席执行官 Lee Sek-woo发通告表明,官方已经暂停加密货币充提服务,并紧急排查原因,并表明Upbit将会全额承担损失。
至此,Upbit整个代币转移过程已经清晰,我们针对此次ETH被盗事件进行了如下分析判断。
UpBit交易所被盗有可能是存储热钱包私钥的服务器受到攻击导致私钥被盗,或者是交易签名服务器受到攻击,而不是控制热钱包API转账的服务器被黑。
在此提醒广大项目方:
应做好私钥的储存,来源不明、目的不明的邮件尽可能不要点击;
员工个人PC安装主流的杀毒软件,加强内部员工的安全意识培训,建议找可靠的第三方安全公司进行内网防护加固;
对于私钥储存服务器建议分派专人运维。
可以采取有效的防护措施:
重写服务器的命令,比如黑客常用的history、cat等命令,并开发脚本进行持续监控,如果有运行敏感的命令推送提醒,运维人员只需要维护重写命令后的新命令即可;
完善本身的资金风控系统,及时进行报警,和交易阻断,防止大额损失。
作者介绍: 成都链安,全球最早专门从事区块链安全的公司,同时也是全球最早将形式化验证技术应用到区块链安全领域的团队,研发了全球领先的智能合约自动形式化验证平台VaaS,并基于此,建立了“一站式”区块链安全平台,为区块链企业提供安全审计、资产追溯、隐私保护、安全咨询、威胁情报、安全防护等全方位的安全服务与支持。申请软件发明专利和著作权15项。