加密資產(chǎn)交易所BitMart為失竊資金買單

時間：2021-12-25|瀏覽：451

「BitMart 已完成初步安全檢查并確定受影響的資產(chǎn)。這個安全漏洞主要是由于我們的兩個熱錢包被盜私鑰造成的?！?2月6日，加密資產(chǎn)交易所BitMart的創(chuàng)始人Sheldon Xia在推特上確認了失竊原因。
不同于加密資產(chǎn)冷錢包與互聯(lián)網(wǎng)隔離，熱錢包則與互聯(lián)網(wǎng)鏈接，它允許所有者相對簡單地充提資產(chǎn)，但也更容易給黑客可乘之機。這一次，BitMart中招了。
公開的交易所評級信息顯示，BitMart創(chuàng)建于2018年，注冊在開曼群島，號稱在全球擁有550萬用戶，在中國、韓國、美國設(shè)有辦事處。2021年9月28日，該交易所宣布將停止接受中國大陸用戶的新注冊賬號，并將于2021年11 月 30 日中午 12:00（美國東部時間）停止為中國大陸用戶提供服務(wù)。
停止在中國大陸運營的4天后，BitMart被盜近2億美元的加密資產(chǎn)。
12月5日上午7點左右，不斷有用戶在BitMart的官方社交群內(nèi)表示，他們的ERC-20（以太坊鏈上Token標準）和BEP20（BSC鏈上Token標準）的資產(chǎn)很難從該交易所提現(xiàn)出來，有人40分鐘到1個小時內(nèi)都未從鏈上看到轉(zhuǎn)賬（交易）成功的信息，「通常情況下，每分鐘都有轉(zhuǎn)賬成功的信息。」
危機事實上已經(jīng)來臨，因為BitMart后來更新的公告顯示，他們在12月4日就發(fā)現(xiàn)了ETH熱錢包和BSC熱錢包出現(xiàn)的「大規(guī)模安全漏洞」，但這一信息似乎并未第一時間向用戶披露。
BitMart稱12月4日發(fā)現(xiàn)漏洞
12月5日上午8時許，有用戶詢問「BitMart是不是被黑了」、「我的賬戶是否安全時」，社群管理員斬釘截鐵地回復(fù)「No Sir」、「它是安全的，別擔(dān)心」等等。一段時間內(nèi)，管理員仍將這類詢問定義為「FUD」（傳遞恐慌）和「fake news（假消息）」，并一再囑咐用戶相信官方信息「保持平靜」。
此后，有用戶發(fā)現(xiàn)，BitMart上線的如Safemoon、Shib、Floki等Meme類的幣大量從熱錢包被轉(zhuǎn)移，且該市場內(nèi)的這些代幣出現(xiàn)了價格的大型下跌，一些人將此歸因于當(dāng)日整體市場的下行，但也有人認為這些Meme資產(chǎn)被人為操控拋售，還有人從鏈上地址發(fā)現(xiàn)BitMart熱錢包內(nèi)的一些資產(chǎn)已經(jīng)被兌換成了ETH，并通過Tornado Cash這一知名鏈上隱私信息處理工具進行混幣操作。
不斷有用戶往社群內(nèi)傳遞鏈上的異常信息，直到5日上午10時許，BitMart才在社群內(nèi)公布了創(chuàng)始人Sheldon Xia在推特上承認ETH和BSC熱錢包出現(xiàn)「大規(guī)模安全漏洞」的消息。
12月6日，在Sheldon Xia披露失竊系熱錢包私鑰被盜后，有用戶在其推特下留言詢問「是否是內(nèi)部人干的」，但未得到回復(fù)。
安全機構(gòu)預(yù)估BitMart損失近2億美元
12月6日，Sheldon Xia表示，BitMart已完成初步安全檢查并確定受影響的資產(chǎn)。但他并未披露具體有哪些資產(chǎn)受到了影響。此前該交易所表示受事故影響的資產(chǎn)價值在1.5億美元。

加密資產(chǎn)交易所BitMart為失竊資金買單
而第一個披露BitMart安全異常的區(qū)塊鏈安全機構(gòu)PeckShield則通過鏈上數(shù)據(jù)給出了受影響的資產(chǎn)清單，該機構(gòu)最早注意到Bitmart一個地址上有數(shù)千萬美元的加密資產(chǎn)穩(wěn)定地流出到以太坊瀏PeckShield披露BitMart ETH（左）和BSC（右）熱錢包受波及資產(chǎn)
PeckShield披露的清單顯示，該交易所ETH熱錢包中有28種加密資產(chǎn)受波及，包括SHIB、SAITAMA等Meme幣，也有GALA、SAND等GameFi熱門資產(chǎn)，還包括50多萬美元的主流資產(chǎn)USDC，共計損失約1億美元；該交易所BSC熱錢包中有20種加密資產(chǎn)受影響，包括SAFEMOON、BabyDoge、FLOKI等Meme幣，還包括超35萬美元的BSC-USD和213.57個BNB，共計損失約9600萬美元。
這和BitMart給出的1.5億美元受波及金額有差距，但后者未披露具體受影響的資產(chǎn)清單。
除了清單外，PeckShield還給出黑客的操作路徑，「很直白：transfer-out（轉(zhuǎn)出）, swap（交換）, and wash（清洗）?！?br>PeckShield披露的黑客操作路徑
從該機構(gòu)給出的路徑圖看，黑客從BitMart的ETH和BSC熱錢包轉(zhuǎn)出資金后，利用在ETH和BSC雙鏈上部署的去中心化聚合交易應(yīng)用1inch進行了代幣兌換，最后將兌換好的資產(chǎn)打進了加密資產(chǎn)隱私服務(wù)工具Tornado Cash，該工具常常被黑客用來混幣，以掩藏可在鏈上追蹤的地址信息。
網(wǎng)絡(luò)威脅情報公司 Digital Shadows 的首席信息安全官 Rick Holland 在接受CNBC采訪時表示，網(wǎng)絡(luò)犯罪分子通常會尋求混幣服務(wù)，這些服務(wù)客觀上造成了非法資金與干凈的加密貨幣混在一起，本質(zhì)上，它通過制造一種新型的加密貨幣來形成混幣功能，方便使用服務(wù)者進行各種資產(chǎn)的互換。因此，即使區(qū)塊鏈鏈上信息公開可查，但仍有辦法讓調(diào)查人員難以追蹤交易的最終目的地。
最近一個月，加密資產(chǎn)世界已經(jīng)發(fā)生了多起被盜事件。上周，去中心化金融平臺 BadgerDAO 遭到黑客攻擊，損失了1.2億美元；10月底，去中心化交易所BXH被盜，損失了近1.5億美元。黑客攻擊交易所、項目平臺，受損的最終方往往是用戶。
BitMart的被盜事故發(fā)生后，SAITAMA、FLOKI、SHIB等多個在該交易所上架的項目方均表態(tài)與其站在一起對抗黑客。
「我們還在與多個項目團隊進行交談，以確認最合理的解決方案，例如代幣交換，不會損害用戶資產(chǎn)。我們現(xiàn)在正在盡最大努力檢索安全設(shè)置和我們的操作?！?2月6日，Sheldon Xia表示，BitMart將使用自己的資金來彌補這一事件并補償受影響的用戶。對于用戶關(guān)心的如何補償，Xia尚未詳細說明。