香港比特币交易所BitFinex在Hack中损失了近120,000比特币
昨天下午,香港比特币交易所BitFinex禁用其客户存款和取款功能,并在其网站上更换了交易引擎,并发出重大安全漏洞通知。当天晚些时候,“社区和产品开发总监” Zane Tackett带着Reddit(用户名“zanetackett”)确认发生了一次攻击,并且从个人客户账户中窃取了近12万比特币。
这一最新的黑客损失约为7200万美元,是自2014年以来比特币交易所遭遇的最大掠夺,当时马克·卡佩尔斯担任首席执行官期间,850,000比特币从书中消失。GOX。与2014年的情况一样,货币的价值正在崩溃。比特币的市场价格在夏季初开始稳步上涨,因BitFinex黑客的消息而下跌了15%。
BitFinex的声明没有详细说明攻击是如何进行的,但向客户保证“正在报告盗窃行为 - 我们正在与执法部门合作”。
Tackett在社交媒体上的陈述似乎排除了内部工作的可能性。因此,人们对BitFinex与其合作伙伴BitGo建立的关键管理策略进行了大量猜测,BitGo是一个使用多重签名交易来实现安全性的比特币钱包提供商。
多重签名交易允许比特币用户将多个私钥 - 在网络上启动交易所需的加密证明 - 分配给单个比特币地址。为了加强安全性,附加到多重签名地址的密钥可以在各方之间进行划分,使得没有一个实体具有在该地址中花费硬币的完全许可。该措施旨在提供单点故障的替代方案,其中持有主密钥的一个人在发生黑客攻击时会失去一切。如果使用正确,多签名事务还可以限制加密货币交易者和交易所之间关系的信任量。
在商品期货交易委员会调查其业务后,BitFinex被迫为其每个交易客户设置多个签名地址。除其他事项外,监管委员会指责BitFinex将客户资金存放在由交易所独家控制的内部地址中。为了遵守委员会,BitFinex转向BitGo。然后为每个客户分配一个单独的比特币地址,以分配三个密钥来存放他们的存款。BitGo持有一把钥匙。其中两个由BitFinex持有 - 一个离线,一个在线。对于要经历的任何交易,必须呈现这些密钥中的任何两个。
作为两个密钥的持有者,BitFinex或可以访问公司密钥的黑客可能已经启动了欺诈性交易。或者,黑客可能涉及违反BitGo和BitFinex安全设备。
然而,这两种情况都清楚地表明,多重签名钱包并不能解决猖獗的比特币交易抢劫问题。即使最强大的安全工具在不正确实施时也毫无用处,似乎再一次如此。