中心化交易所是储存加密货币资产的糟糕选择: 历数中心化交易所的安全灾难

This blog post was published before LocalEthereum became LocalCryptos.

比起传统货币,加密货币的一个主要优势就是排除了第三方的风险,取代了信任一个第三方来保管客户资金的方式,这也是传统银行运作的原理,区块链使用一种不可篡改公开账本技术,可直接使用密码学工具对其进行审计。

在没有你的私钥授权的情况下,任何人均不可能撤销、转移、销毁或访问你的加密货币,这就是区块链技术的魅力之处。 只要你确保私钥的安全(即使一串字符—),抄写在一张纸上,或存储在一个硬件钱包,甚至在隐藏在你的电脑中的某个文本文件里,你便可以确信你的加密货币是安全的。你可以完全相信数学、密码学以及区块链技术而不需要相信一个第三方。

该特征适用于现今所有加密货币,包括比特币和以太坊等,但 只在你安全持有你的私钥的情况下才有作用

当你在一个中心化交易所上购买加密货币或将加密货币存入中心化交易所之时,你并不持有这些加密货币的私钥;反之,这等于信任这些交易所,就如你选择信任银行一样,让他们代保管你的资产。

当你将资产存储于一个中心化交易所时,你将无法享受到加密货币的安全特性,相反,由于与中心化交易所有关的 各种组合 风险,你的存款有很大的损失或被盗的风险:

  1. 中心化交易所经常是不法分子的目标。 由于加密货币的不可逆转特征,因此中心化交易所经常成为偷窃犯罪的目标,截至目前已有价值数十亿美元的加密货币从中心化交易所被偷走。
  2. 中心化交易所经常是事故发生的场所。 由于加密货币界中仍有许多未开发的商业机会,很多美元技术经验的企业家不断涌入,试图应用新技术,此前已有很多初创中心化交易所因简单的错误导致资金丢失的事故发生。
  3. 用户资产往往没有保障。 在世界上的大多数国家和地区中,银行账户往往可以得到政府的担保,但这一规则并不存在于加密货币界,此外,因管理不善与盗窃猖獗,保险公司往往也会避开加密货币相关的业务。

以上任何一个因素相信都可以在你选择信任一个中心化交易所之前好好考虑一番。 当然当这些风险 聚集 在一起时,那简直就是灾难。

正是在比特币白皮书的第一段,比特币创始人中本聪(Satoshi Nakamoto)解释了如何通过一个点对点系统,人们可不再需要信任任何第三方金融机构。

一个点对点电子货币系统允许人们在线上直接从一方发送至另一方,而 无需通过任何金融组织

然而在当今,有点讽刺意味的是,我们面临的大部分风险仍然源于信任第三方。 我们经常看到新闻标题写着中心化交易所犯下 致命 错误导致客户损失 数百万美元 甚至更高的资产,但人们仍然继续冒险选择相信这些不可靠的机构,这很可能是因为在诸如LocalEthereumEtherDelta等去中心化交易所推出之前,中心化交易所似乎是唯一的选择。

Vitalik Buterin,以太坊(Ethereum)的创始人,曾在2014年的备忘录中发表类似观点,当时的去中心化编程语言正处于早期的发展阶段:

我意识到仍然有数个问题困扰着比特币的发展, 包括各种诈骗服务、不可靠交易所以及常常令人惊讶的安全性缺失,这些并不是由独具去中心化特征的比特币引起的,相反,这是因为仍存在大量的中心化因素,而这些中心化因素存在可以被根除的可能性。

It is now a well-known fact that centralized exchanges tend to be extremely unreliable.现在,中心化交易所极度不可靠已经是一个普遍的共识了, But if you still don’t believe us, below is a timeline of some of the many catastrophes caused by centralized exchanges.如果你仍然不相信我们,下面我们盘点了数个中心化交易所的重大安全灾难, 这应该作为一个警示,提醒人们中心化交易所对存储资产来说,是一个非常 糟糕 的选择。

注:以下信息可能来自人们的推测甚至谣传,在这些案例中,我们并不是要对这些公司提出控诉,我们只是在收集并整理他人的信息,我们将尽最大努力确保其所载资料准确无误,如您觉得其中任何部分有误导或失实之处,请与我们联系。**


Mt. Gox账户遭窃事件 (2011)

在2011年3月份, Mt. Gox被出售给Mark Karpelès (a.k.a. MagicalTux),其中有一项销售的条款就是交易所的一部分收入将分发给交易所的原所有者,为了审计这部分收入,原所有者被赋予了对一个账户的管理权限。

原所有者的管理账户后来神秘被窃(被窃过程如何发生至今仍然是个谜)。在六月份,偷窃者使用偷取的管理权限,将大量的比特币转账至其账户中,并有在市场中抛售了大量的比特币 庞大的订单造成了市场的瞬间崩塌,几乎吃掉了整个订单列表,成交价格甚至低于1美分。

在市场崩塌期间,攻击者使用自己的账户购买了及其便宜的比特币然后提现。 也有其他与攻击事件无关的人利用此次市场崩塌期间购买价格低廉的比特币。

此次攻击的规模到现在仍未正式公布,有人预估偷窃者偷走了50万个BTC,并造成2500BTC的损失。

Mt. Gox后来撤销了相关交易并宣称已经全额赔偿遭受事件影响的客户,这最后造成了Mt. Gox的垮台,在黑客事件发生后,交易所暂停了几天的交易。

Bitomat钱包意外抹除事件 (2011)

Bitomat是世界上第一个支持波兰法定货币的比特币交易所,其成功地发布世界上首个BTC/PLN交易市场。

在2011年7月份,Bitomat例行重启其一台代管于亚马逊的服务器,重启过程中意外地 摸出了 a大量的比特币。 由于未对比特币钱包进行备份,该交易所丢失了17000BTC。

Bitcoin7黑客事件 (2011)

Bitcoin7是当时较为小众的交易所,于2011年6月份开始运营。

2011年10月5日,该交易所突然遭受身份证不明实体的入侵,整个网站突然被替换成一条标语,显示该交易所的比特币钱包与其整个数据库均已遭受入侵,大约11000BTC倍盗走,此后该交易所未能重新上线。

Bitcoin7在此次事件后永久性地关闭。

Mt. Gox无效地址事件 (2011)

2011年10月份,距离上次账号事件仅仅几个月后, 该交易所意外地将2609BTC发送到一个无效的地址, 因该无效地址没有私钥,因此导致这些比特币永久性的丢失 .

Mt. Gox对遭受此事件影响的客户进行全额的赔偿。

Bitcoinica盗窃事件 (2012)

在2012年3月份,云托管公司遭受一次重大的入侵,黑客利用托管商客户支持门户中的漏洞获取了对其若干服务器的访问权限。

黑客锁定了与比特币相关的Linode账户,一旦他们获得了服务器的访问权限,他们即转走了发现可以偷走的一切东西,在遭受攻击的所有受害者中,比特币交易平台Bitcoinica遭受的打击最大

Bitcoinica 表示在攻击事件中丢失了43554BTC 并表示将全额偿付给其客户。

Bitcoinica盗窃事件 #2

仅仅在Bitcoinica被曝遭受攻击的两个月后,其再次成为一次攻击事件的主要目标。

On May 12, 在2012年5月12日,攻击者获得了与bitcoinica的托管服务器关联邮箱的控制权,使用该邮箱,他们再次进成功入侵到了Bitcoinica的服务器,并再一次地,偷走了发现的任何东西。这一次,报告称Bitcoinica被偷走了18547BTC。

4名交易平台的客户在圣弗朗西斯科法庭败诉 客户要求平台赔偿460000美元,他们声称Bitcoinica忽略了客户的存款安全,无法执行合法的取款请求。

后来,来自波兰的交易所BitMarket.eu发现其丢失了客户约19980BTC存款,因为这些自称被存储在了一个Bitcoinica账号,据报道,BitMarket.eu的客户根本没有意识到他们的资产会被存储在Bitcoinica。

Bitcoinica盗窃事件 #3

不出意料,Bitcoinica再次成为一次攻击的目标,而且显然是一次没有关联的攻击事件,2012年7月13日,Bitcoinica宣称黑客偷到了其Mt.Gox的访问权限, 利用偷来的证书,他们成功地偷走了40000BTC和40000美元。

在此次事件数周后,比特币社区数个大人物发贴推测17岁的Zhou Tong,Bicoinica创始人之一,有可能是这些盗窃事件背后的主角。 这些推测根据数个与Zhou Tong相关联的邮箱地址得出,这些邮箱地址被发现与Bitcoinica的Mt. Gox账户失窃事件相关联联.

随后,Zhou Tong表示此前与其”有生意上来往”的Chen Jianhai才是背后的黑客,据Zhou Tong(又名Ryan Zhou)所说,他神秘的富翁朋友奇迹般地承认了盗窃Bitcoinica的事实,并答应归还被盗比特币”,当然前提是Bitcoinica不再追究其过错。当然,大部分人都不相信Chen Jianhai这个人并不存在,或者说只是一个替罪羊罢了,而且Zhou Tong才是真正的小偷。

BTC-e储备资金遭窃事件(2012)

2012年7月31日,属于BTC-e的储备资金账户被窃,黑客利用账户的API证书向账户存入大量“虚假”的USD存款,并在BTC/USD市场中大肆购入巨额BTC,巨额的购买订单甚至震动了整个市场。

黑客随后迅速地提现了购得的比特币,但未能提走全部比特币。 官方预估 大约有4500BTC在此次事件中被盗走。

BTC-e事后偿还了遭受损失的用户并冲正了交易。

BitFloor事件 (2012)

在2012年9月份,一名黑客获得了访问一个未加密的Bitfloor钱包的权限,该备份甚至包含了“冷钱包”的备份(指 特意 离线储存的比特币地址私钥文件)。

昨晚,我们的一些服务器遭受入侵,黑客获得权限访问钱包私钥的加密备份(位于加密区的真实私钥文件),他们用这些钥匙可以把硬币兑换掉。这次袭击发生在硬币BitFloor绝大多数是持在手。

大约24000BTC被偷走并再也没有找回来。 事故后BitFloor短暂性地关停,随后重新上线并承诺向其客户赔偿损失,但直至现在,只有部分客户得到赔偿。

Vircurex盗窃事件 (2013)

Vircurex曾是一个流行的加密货币交易所,拥有包括Terracoin, Litcoin, Namecoin, Devcoin, Terracoin等替代币交易市场。 2013年5月份, 黑客盗走了1454BTC以及诸如LTC、Terracoin等替代币。

在随后的一连串攻击事件中这个交易所终于破产

Bitcash.cz盗窃事件 (2013)

2013年11月,捷克的比特币交易所Bitcash.cz报告称其成为攻击事件的目标, 其中有484BTC被一名不明身份的黑客盗走

Mt. Gox崩溃事件 (2014)

Mt. Gox尽管是过去一连串安全事故的主要受害者,但其仍然是世界上最大的比特币交易所。 在2014早些时候,这个交易所彻底崩溃,这至今仍然被认为是比特币有史以来的最大丑闻。

2014年2月7日,Mt.Gox宣布暂停所有比特币提现,因为其偶然发现了一个严重的“技术问题”,在一个新闻稿中, 他们最初解释说,他们已经发现了比特币钱包的存在异常交易活动,并在几周前已经开始进行技术调查。官方正式表示,它已经发现比特币客户端API中存在一个错误,导致“比特币提款的处理方式出现问题”。

该公司表示,“交易延展性”是造成漏洞的首要原因,此外,该漏洞不仅限于Mt. Gox或比特币,比特币核心客户端的开发人员需要更新软件来解决问题。

我们发现的问题不仅限于MtGox,还会影响所有比特币发是送给第三方的交易。 我们相信,长期来看,解决这个问题所必要的改革对于整个社区来说具有积极作用。因此我们采取了必要的行动,暂停比特币提现,直到该技术问题得到解决。

在最初的新闻稿中他们并没有透露他们是史上最大的比特币盗窃案件中的受害者。 直到2月23日,公司的内部备忘录在网上泄露,名为*Mt.Gox危机策略草稿,方才揭露了比特币大规模被盗的真相。 该内部文件显然是该交易所高管包括MarkKarpelès等人撰写的,其描述了这起重大盗窃案的相关细节,以及继续交易所的正常交易同时对外保守秘密的策略。

这几个星期以来,MtGox的客户一直受到无法进行比特币提现的影响,而这个问题本身就是复杂的。而后MtGox公开宣称其“交易可调整性”导致其系统遭到攻击及盗窃,核心开发人员需要完成某些技术工作才能解决问题。Mt.Gox的解决方案遭到了批评,最终由Blockchain.info提供了解决方案进行修复,而事实证明,确有大量比特币被盗窃。 在这时,因延展性相关的漏洞,已有744408BTC遭盗窃,而该漏洞已存在了几年且未被关注过。 由于热钱包中的一条线索的泄露,处于冷储存中的资金惨遭清空。

泄露的文件进一步表明,“MtGox随时都可能破产,而且值得破产”,但也同时解释说,“这种规模的盗窃案件”将不可逆转地破坏公众对比特币的看法,并“可能使得比特币行业倒退5-10年,并招致政府迅速而严厉的打击“。

这份备忘录同时阐述了重建交易所的战略,即重新开放交易并从长期的经营利润中逐渐偿还被窃资金的规划。 备忘录实质上是公开了一项精明的计划,以掩盖一起涉案金额5亿美元的盗窃案件,并企图继续保持交易所的正常运营。

被盗的744408BTC大约占当时流通中比特币总量的6%,在当时估值超过4.5亿美元。 据附件中的资产负债表显示,该交易所至少拥有624408BTC以及5500万美元的客户负债,但实质上这时这家交易所手里只有2000比特币。

在这份文档泄露并在各大比特币论坛以及聊天频道流传的前一天,Mark Karpelès从比特币基金会辞职并删除了Mt.Gox的所有推文,几天后,消息传出,该公司在东京申请破产保护,并正式报告损失了价值约4.73亿的比特币和法定货币。

Mark Karpelès于2015年8月在日本被捕并被指控贪污和非法操控数据。Mt.Gox事件预示着交易所的没落。东京警方发言人表示,Mark Karpelès涉嫌于2013年2月非法进入交易所的电脑系统即交易所关闭前的一年,并为自己的个人账户非法充值超过100万美元。2016年Mark Karpelès以1000万日元(约10万美元)保释金为代价获得了保释。

目前该公司仍在处于破产程序中,而MarkKarpelès则被禁止离开日本。

Poloniex盗窃事件 (2014)

2017年3月份,著名的加密货币交易所 Poloniex,一个至今仍是最流行的替代币交易所之一的交易所,在一次攻击事件中丢失了占总量12.3%的比特币。

由于Poloniex处理客户提现的方法存在漏洞,使得攻击者可以从Poloniex的钱包中窃取大量比特币。攻击者发现,如果在几乎同一时刻发出几次提现请求,即使随后账户的余额会变成负值,这些提现也会同时得到处理。

该交易所决定对其客户的账户余额强行进行一次12.3%的减值,而不是作为一家公司去承担损失。Tristan D’Agosta即Poloniex创始人表示 这是比特币在受影响用户之间公平摊分的唯一途径。

如果我不做出这个决定,大部分人就会尽可能快地将所有资产提现,确保没有留下那12.3%。

MintPal盗窃及诈骗事件 (2014)

MintPal曾一度是一家流行的Dogecoin, VeriCoin以及Litecoin等替代币交易所。

2014年7月13日该交易所宣称 其是一起黑客入侵事件的受害者。 攻击者设法偷取了交易所钱包中的8百万Vericoin,在当时价值约为180万美元。

VeriCoin的开发者非常迅速地执行了一次硬分叉将盗的币倒回至交易所手中。不幸的是,这次事件只是MinPal问题的开端。

那次事件发生之后,有报道称在被Moonpay收购之后已被转手 Moopay的首席执行官Alex Green在一篇长篇博文中写道:

我[…]目前已跟他们的管理层进行接触,并让他们知道我们对收购事宜感兴趣,如果他们也同样感兴趣,我们愿意进行谈判。在与MintPal管理层进行多次对话后,我们达成了双方都感到满意的方案,并且正在等待签署的文件(将于本周进行)。

CEO承诺将安全作为MintPay的工作重点,以恢复大众对其的信心:

我们接手MintPal第一件事就是是加强系统的安全性,进行一些性能调整;并对操作程序进行正式审计和审查。

然而,在当年10月(仅在收购几个月后),Alex Green突然宣布Moopay将申请破产,并立即停止所有业务。没有任何事先的警告,MintPal交易所突然就关闭了并停止处理提现。

当交易所与客户的资金受困成为关注焦点时,Alex Green解释说Moopay对MintPal“暂无控制权”,尽管公开记录表面事实与此相反。Alex Green声称该公司已将交换交给新管理层,并通知Moonpay员工声称MinPal已不再归其公司所管。

而就在前不久,一位Moopay前员工公开控告 Alex Green从交易所中盗走了3700BTC。 事实上,Alex Green原来只是一个别名,这个骗子的真名是Ryan Kennedy。

发生在MintPal的事情就相当于在一个城市投下一枚核弹,一个由Mike和Ferdous组成的两人团队现负责清理工作,并试图追踪MintPal涉案的3700BTC交易,现被指控流进了Ryan Kennedy的个人账户。

在对这起复杂的骗局进行了为期三年的调查后,2017年,Ryan Kennedy(也就是Alex Green)被英国警方控告诈骗罪及洗钱罪。

[Kennedy] 根据2006年的《欺诈法》和2002年的《犯罪收益法》,[Kennedy]被指控犯有多项罪行。据称这些罪行是在2014年1月至12月期间犯下的。其盗窃的比特币当时价值超过100万英镑,用于其奢侈糜烂的生活中。

当这项指控发生时,Ryan Kennedy已于2016年因强奸罪被判决服刑11年。

BTER盗窃事件 #1 (2014)

2014年8月 中国加密货币交易所BTER发推特宣称大约有5000万NXT,当时价值约160万美元被盗走。

最初,一位BTER代表提出建议称交易所将联系NXT开发团队并要求进行区块链回滚操作,但NXT开发团队随后确认,社区中的大多数成员反对这一做法。这个交易所随后放弃回滚区块链这个方案。

Bitfinex涉嫌操控订单和市场价格 (2014)

幌骗“长期以来一直用来描述一种通用的市场操纵策略,即交易者创建订单 但不会让订单实质成交,这可能听起来有点令人摸不清头脑,但其实它是一种简单的策略:只要价格走向虚假出价和报价,这些订单就会突然撤销,这些“假”订单旨在给其他人一个大量供求的感觉,但这些虚假的流动性仍然可能会引起巨大的价格波动,因为交易员和交易机器人被诱骗创建大量的市场订单,这些订单在没有明显的市场价格变动时则无法实质上成交。

在美国,在著名的2010年美国股票市场闪跌事件之后,幌骗的做法显然已经是非法的了。

据称Bitfinex则采用了另一种方式的幌骗,在一篇标题为多伪装就可以成真: 当Bitfinex自己也对自身市场使用了幌骗手法发表于2017年10月,指控Bitfinex如何克隆其他交易所的出价和报价信息,以及在自己的市场上运行内部套利机器人以给出高流动性的错误感觉。

幌骗的过程大概是这样子:

2014年,首个交易市场上线后不久,Bitfinex采用了一种独特的套利机器人,其目标是创造流动性并提高交易量。 Bitfinex套利机器人自动复制来自其他交易所的订单,包括Mt. Gox和Bitstamp,并将这些订单加入Bitfinex的订单列表,就好像这些订单是在自己的市场上发生的一样。

一旦这些被机器人导入的订单在Bitfinex上成交,这些套利机器人则会马上转到订单源交易所执行同样的交易。 对于当时使用Bitfinex的普通用户而言,交易所的一切都显得很正常。从表面上看,这个做法听起来不是非常恶毒或危险,虽然这种做法显然存在一定的欺骗性,但订单最后仍被执行,因此似乎并不重要, 当然如果真是情况不是这样子那就另当别论

当套利机器人开始变得 轻微地 无法与市场同步,则会出现大问题,这种情况会在市场负荷较高时出现。 当Bitfinex显示的导入订单不再存在于源交易所时,他们的套利机器人便无法执行这些订单,这时悲剧发生了。

结果便是达到了与传统“幌骗”类似的效果,交易中被迫创建看起来似乎很容易被市场消化的订单,但实际上市场没有足够的深度,结果以一个很糟糕的价格成交。 这可能是一系列发生于2014年至2015年的闪跌的根本原因,当时Bitfinex的市场价格数次大幅度的下滑,而其他市场则非常稳定。

796遭入侵事件 (2015)

2015年1月某个时候,一个名称为796的交易所遭入侵,当时796是中国最大的期货交易所。

尽管入侵的相关细节仍未查明,但结果就是 一个黑客设法将用户的提现地址换成了自己的地址,并偷走了1000BTC。

Bitstamp遭入侵事件 (2015)

在2015年1月,Bitstamp宣称他们的一些热钱包遭到入侵. 在发现黑客入侵之后,交易所暂停了交易功能并进行内部调查,并发现大约有19000BTC倍黑客盗走。

后来发现 黑客一直在诱导Bitstamp员工打开其钓鱼电子邮件,以便在其内部网络部署恶意代码,通过其中一名职员成功地打开了受污染的Microsoft Word文档,黑客成功地感染了Bitstamp内部专用网络中的一部电脑。

LocalBitcoins遭入侵事件 (2015)

2015年1月,LocalBitcoins,一个中心化的比特币场外交易所遭入侵,黑客成功地从用户钱包中偷走了17BTC。

这起盗窃与其他盗窃案件相比金额非常小,因为只有少数使用比特币钱包的用户被入侵,LocalBitcoins对于此事发表评论:

黑客利用LiveChat访问来传播某种Windows程序文件,这可能是一种新的键盘记录软件,且病毒防护软件尚未能检测到此类病毒。如果用户安装了这些程序,则黑客可以设法访问这些受害者的不同帐户。

早就数月之前的2014年5月,该网站在一起入侵事件中遭到入侵,通过对服务的托管服务提供商进行社会工程攻击,获得了服务器根访问权,黑客对LocalBitcoin的核心服务器拥有大约40分钟的全面管理权限。当时LocalBitcoin的加密硬盘卷没有加载到服务器中,黑客也没有正确的密码,因此这次事件中没有任何数据泄露。

BTER遭入侵事件 #2 (2015)

2015年2月15日,中国的加密货币交易所BTER宣称黑客设法入侵其冷钱包,此次入侵距离上次事故不到一年,并从交易所盗走了价值约160万美元的资产。

交易所宣称一共有7170遭黑客盗走, 该公司在微博上声明称正在与执法人员就此事进行调查。

KipCoin遭入侵事件 (2015)

2015年2月17日,BTER事件两天后,另一家中国交易所遭入侵。KipCoin一家不怎么流行的中国比特币交易所在微博上宣称早在2014年中期黑客入侵了其服务器托管商Linode的账户,获得了账号的控制权。

使用盗来的Linode登录凭证,黑客获得了对KipCoin服务器的控制权,并控制了其钱包。超过3000BTC被盗走。 该交易所声称正在配合执法部门调差,以追回丢失的比特币。

Bitfinex遭入侵事件 #1 (2015)

2015年5月,著名的交易所Bitfinex遭入侵,黑客设法获得Bitfinex热钱包的控制权,并拦截了一笔大额的存现。

交易所的相关发言人确认有1581BTC遭盗走,并转到一个外部的比特币地址。 后来Bitfinex想客户赔偿了损失的比特币。

Cryptsy遭入侵事件 (2016)

2016年1月,著名的加密货币交易所Cryptsy宣称遭到入侵

事实上,入侵早在一年以前便也发生,在接连数月的提现问题投诉、满天飞的谣言和疯狂的猜测之后,官方才正式公布遭入侵的事实。于此同时,交易所正忙着收集从客户那里赚来的钱,试图将一切弥补上。

我们决定抽出我们的经营利润,逐步地将这些损失填补上,从而避免完全地关闭网站。

据报道,一位名为“Lucky7Coin”的黑客设法将木马恶意软件植入Cryptsy所使用的钱包源代码中,这使他能够不断地从交易所汲取加密货币。当时损失达13000BT和300000 LTC,价值约1000万美元。

就在这个月,因为黑客入侵事件,Cryptsy宣布已经破产

Cointrader遭入侵事件 (2016)

2016年3月,加拿大比特币交易所Cointrader宣布因黑客入侵事件而关闭平台。

相关的入侵详情并未公布,与其它交易所相比,其损失金额可能相对较小。Cointrader此前是一家不知名的交易所,关闭前数月的交易量非常少。

Gatecoin遭入侵事件 (2016)

2016年5月,香港的加密货币交易所Gatecoin遭入侵,首次入侵发生于5月9日,并持续了几天的时间。

亚洲时间的昨天晚上,我们侦测到的热钱包有泄漏的可能,因此我们决定暂时关闭交易所和端口,以尽量减少进一步的潜在损失,我们正在进行全面的调查,以确定问题的根源。

最初,交易所的CEO并未提及损失资金数额,但说到“数额很大”。 景观具体的数字未曾正式地公布,但交易所其损失了185000ETH以及250BTC。

Bitfinex遭入侵事件 #2 (2016)

2016年8月,价值约7200万美元的比特币从Bitfinex被盗走,这是Bitfinex第二次发生黑客盗币事件,Bitfinex也是史上第二大中心化交易所。

Bitfinex位于香港,是世界上最大的以美元计价的比特币交易所,也是世界上BTC/USD交易对市场深度最深的交易所。虽然关于这家交易所的市场流动性,爆出很多操纵市场订单的幌骗操纵丑闻。

Bitfinex 约120000BTC从其用户账号中被盗走,在当时价值约6500万美元,一个交易所的发言人告诉记者Bitfinex尚未决定如何处理这些损失。

对于黑客事件的指责转向了BitGO,BitGo是Bitfinex签约的区块链安全公司。2015年,BitGo和Bitfinex合作开发了一套复杂的2/3密钥管理系统,为每个客户提供多签名比特币钱包,其中Bitfinex拥有两个密钥,其中一个密钥离线储存,第三个钥密匙由BitGo保管。

事件发生之后,BitcoinTalk论坛所有人”theymos”称BitGo将“无效的安全感”出售给客户,据推测”[Bitfinex实际是]在100%热储存的环境下进行冷存储的交易,即是Bitfinex从之前的存储方案转为BitGo提供的多签名方案的过程。入侵事件之后,Bitfinex重新应用其原先的冷存储方案并中止使用BitGo提供的多签名钱包解决方案。

而随后震惊所有人的是: Bitfinex并没有以公司的行为去承担损失,而是强行扣取每个用户余额的36%并发行BFX代币,以补上损失的资金。 他们表示,“BFX代币”可以由交易赎回或转换为其母公司iFinex的股份。

然而问题在于: 根据法律专家的说法,Bitfinex在其服务条款中明确指出该公司没有在未经许可的情况下访问客户资金的合法权利. Bitfinex的服务条款摘录如下:

尽管私钥的分配受有效留置、产权负担以及待处理处置方案等限制,但所有存储于多签名钱包中的比特币均归属于你。 你可以在任何时候从多签名钱包中提现这些比特币,以避免其受到相关留置的处理。

Ryan Straus,一个 Fenwick & West 律师,向金融科技公司提供监管建议,并与他人合写了美国法律书籍中的比特币章节,其确认“对未被黑客入侵的客户造成损失,一定程度上违背了公司的服务条款”。

“我感觉就像被抢劫了一样。” 一个在该平台的资产达到美元5位数字的投资者说道告诉路透社. “基本上他们就是拿用户的钱来维持平台的正常运营。”

2017年4月3日,入侵事件的8个月后,Bitfinex开始允许用户以每BFX代币1美元的价格卖出BFX代币。

QuadrigaCX智能合约事故 (2017)

2017年6月,加拿大最大的加密货币交易所 犯了一个编程错误,最终导致公司损失价值约150万美元的以太坊。

当例行将以太坊转入以太坊经典即一个智能分叉合约时,一个QuadrigaCX程序员犯下严重错误. 程序员在分叉智能合约中调用了一个含有损失交易数据的函数,这是因为未能以0x(指示字符串是十六进制编码所必需的)为某个值加上前缀。智能合约因错误而无法正确执行,这些ETH因此永远受困于此。

这个错误造成永久性的67316 ETH损失。 QuadrigaCX用其利润为该错误埋单,用户未受到影响。

Bithumb遭入侵事件 (2017)

在2017年7月,一次大规模入侵发生在韩国加密货币交易所Bithumb,此时这家交易所是世界上五大加密货币交易所之一。

Bithumb表示,黑客从其员工个人计算机上的偷走了用户的缓存信息,数据包括31000名用户的用户姓名、邮箱地址、手机号码等信息。

被盗的客户信息随后被用于进行复杂的鱼叉式网络钓鱼攻击,以偷取用户储存于交易所上的数字资产。 黑客能够盗走数十亿韩元的资金。

Bithumb在一个声明中表示他们将以每人100000韩元(约合87美元)的标准赔偿数据泄露的受害者,后来有一百多名Bithumb用户在国家警察局网络犯罪报告中心向Bithumb提出控诉

BTC-e崩溃事件 (2017)

BTC-e作为世界上最大且最古老的交易所之一,于2017年7月宣布停止运营。

2017年7月26日,一个美国司法部发布新闻稿 确认逮捕Alexander Vinnik并没收开设于保加利亚的BTC-e交易所。 美国陪审团的起诉书显示BTC-e是Mt.Gox,Bitcoinica,Bitfloor等盗窃案件中的销赃交易所。

圣弗朗西斯科 – 加利福尼亚北部地区的一个陪审团已经起诉了一个俄罗斯国民与其经营的BTC-e的组织,涉嫌无执照经营货币服务业务,洗钱及相关犯罪。

美国政府声称,这一交易所曾协助洗清超过40亿美元的不义之财。

对于Vinnik而言,起诉书指称他从臭名昭着关于Mt.Gox的电脑入侵或者说“黑客攻击”中获得资金,而Mt.Gox这家早期的数字货币交易所最终倒闭,部分原因是黑客攻击造成的不可逆转的破坏与损失。 起诉书称,Vinnik从攻击Mt.Gox的黑客手中获得资金,并通过各种在线交易平台洗清这些资金,其中包括他自己的BTC-e以及位于加利福尼亚州旧金山且已经不存在的数字货币交易平台Tradehill。起诉书指称,通过BTC-e转移资金,Vinnik试图掩盖他与黑客事件的非法所得的关系,最终导致当局对其的调查。

在其关闭之前,交易所的管理人员早就知道要保持非常低调,低调到以至于知道Vinnik被捕的消息爆出之前,交易所背后的实际控制人仍不被公众所知.

根据美国司法部的说法,Alexander Vinnik,据称是BTC-e的创始人,发展了一个严重依赖罪犯的客户群,包括不要求用户进行身份身份,提供模糊的匿名交易和不验证资金来源,以及缺乏任何反洗钱程序等。

Alexander Vinnik在希腊被捕并引渡至美国,他面临着最高55年的牢狱之灾,他否认了这些指控,声称他仅仅是BTC-e的技术顾问,而不是实际控制人。

OKEx事件 (2017)

2017年8月,大量用户举报称其账号在中国交易平台的OKEX存在可疑的交易活动,该交易平台是OKCoin下属的一个平台。

至少超过10名OKEx用户指控有超过600BTC在几乎同一时间从他们的账户中被偷走。 一位用户说道他此前就注意到其OKEx账号在德国未明IP的登录信息。

OKEx响应并否认交易所遭到黑客攻击,并指责受影响的用户未能通过双因素身份验证工具保护其帐户,他们在推特上说道:

不, OKEx没有遭到入侵,但有数名用户的密码被盗。 这也是为什么我们发出提醒,要求所有用户妥善保管密码,还有一份介绍设置Google 2FA的指南。

按照OKEx的说法,报道所说的几乎同时发生的盗窃案例大多都是巧合,且都源于用户的错。 总的来说,OKEx遭攻击事件据报道造成了600BTC的损失。