摘要:这就是接下来我们要首先向交易所等机构介绍的,安全不是像电影里看到的就黑客攻击那么简单,很多时候安全防护的重点不是防火墙之类的纯技术问题。上面这张图片是我们对PlusToken运营时间线的大致判断,同时下面大家看到的是北京链安的Chainsmap链上数据追溯系统下,我们摘取了两笔2018年年底交易所的提币交易,当时的很多大型交易所的提币交易都可以看到提往PlusToken地址的分支,当时其影响力可见...
金色公开课03/09的嘉宾:北京链安COO王延魏
王总是信息安全领域十年老兵,2006年即开始移动互联网安全工作,在该领域具有丰富的技术和产品经验。作为区块链链上数据和追溯技术方面的资深专家,已经领导团队应对了数十起数字资产安全和追索事件。
让我们一起看看王总分享了哪些精彩内容:
看着比特币价格现在一百美元一百美元的往下跌,大家可能心里其实并不太好。
当然,市场自有起起伏伏和周期,只要掌握合理的投资方式和风险意识,相信总有赚钱的机会等着我们,这对投资者和市场中的交易所、基金等机构都一样。
但是,如果你的币被盗了,参与的项目跑路了,那真是欲哭无泪,今天我就为大家介绍下数字资产领域的安全问题,特别是如果发生安全事件,这些币我们能否追回,最后再说说我对机构和个人的安全建议。
事实上,近期围绕数字资产的安全事件不少啊,就如这张片子呈现的,我们可能都有所了解,有些事件还成为了一时热点。
如果说在2018年以前,我们提数字资产安全还是“门头沟”被盗,是盗币,是智能合约代码漏洞,那么今天我们提“数字资产安全”、“区块链安全”那就不单单是技术安全了,它的外延已经扩大,影响也不单单是所谓的“币圈”。
去年4月我们提出的一个观点,那就是如果对区块链安全的认知还是简单的什么盗币、智能合约安全,那说明认知还需升级,区块链安全正在渗透进多个领域,也正在成为多种违法活动的手段。比如电信诈骗如今就与数字资产领域紧密结合,可能只是借用区块链的概念,也可能直接使用数字资产作为渠道和手段。
所以,去年我们就提出了区块链安全的三个趋势,现在看来都逐步应验,比如最近我们热议的Defi安全事件,它只是技术漏洞吗?其实已经涉及金融规则上的漏洞,涉及金融安全问题。这样很正常,因为数字资产,“数字”体现的是技术,“资产”体现的是金融,当然需要我们以更全面的视野看到相关安全问题。
当然,数字资产安全问题的防御和解决,依托的还是技术,这是我们北京链安视角的一个数字资产的安防体系,即从“云”(服务器)到”端“(客户端)到”链“(区块链系统),其中对客户端的安全,可能大家意识的还不够,这正是我们的强项之一,毕竟我过去做了十年的移动安全,最近两周有个针对安卓系统的木马,交易所客户端便在其攻击范围内。
可能大家还发现有个有意思的地方,注意看上面片子右上角,比如”内网“安全,这个对交易所很重要吗?员工安全教育听上去好像从技术角度也不够酷。这就是接下来我们要首先向交易所等机构介绍的,安全不是像电影里看到的就黑客攻击那么简单,很多时候安全防护的重点不是防火墙之类的纯技术问题。
比如这是某交易所的热钱包和冷钱包的比特币进出策略,其实很简单,就是围绕一个值,用户充值多,使得热钱包里的币多的时候,就往冷钱包转,如果低于某个值就冷钱包往热钱包里转。这样不会频繁转账而节省成本,保障了业务的正常进行,而且一旦真的热钱包被盗了,损失是可控和可以提前预案的。这里的核心其实不是技术,而是一种策略
先给大家一点时间看看图中的案例,简单来说就是客服点击了邮件附件,从而交易所中了木马,进而让黑客进一步进入系统盗币。上周美国财政部制裁中国OTC兑换商,提及的黑客攻击的源头也是邮件附件被交易所的人点开,然后中招。
看看,这里面涉及的是技术问题吗?还是一种安全意识。作为交易所,有没有给客服做相关教育?有没有给客服使用的电脑做一些权限控制?交易所的办公区和公网有没有做隔离?如果有客户去了你的交易所办公区,它连接的WIFI是专门配置的吗?这些都是我想说的,区块安全关键可能真的不是注意外部防黑客,可能需要你由内而外,比如如果你密钥的权限管理的内控不做好,还需要什么黑客,一个内鬼就能让你完蛋。
所以,这是想强调的,由内而外建立你的安全体系。
回到用户角度,上面我们提的是可能良心交易所,为了守护你在机构的资产,用心防护,但是如果就是骗局,开始就准备跑路,最终真的跑路呢?接下来,我们就回顾下著名的PlusToken事件,巧了,上周一批涉案比特币又动了。
上面这张图片是我们对PlusToken运营时间线的大致判断,同时下面大家看到的是北京链安的Chainsmap链上数据追溯系统下,我们摘取了两笔2018年年底交易所的提币交易,当时的很多大型交易所的提币交易都可以看到提往PlusToken地址的分支,当时其影响力可见一般。
PlusToken涉案的币种有比特币、以太坊、EOS等,但是主要还是比特币,我们可以看看上面这张片子体现的每月流入变化,可以看到高峰在2019年2月后,不考虑重复进出的情况,累积流入的BTC将高达20万枚,它们最终在跑路后被重新归集转移到若干个地址开始后续的洗钱变现。
上面这张图片简单介绍了PlusToken的链上洗钱策略,真的是懂行的人干的,毕竟这么大一笔比特币,不有些技术含量处理起来也不容易。包括上周动账的这笔,也是不断分拆成二位数、个位数的比特币后进行混淆,往往处理一批三四千枚比特币的中间过程就可能产生超过20万笔交易,如果不是有专业的技术手段很难剖析这个过程。
我们简单看一个例子,这个1Li4打头的地址去年很有名,它承接了涉案的3.3万枚比特币的洗钱起点,直到今年2月11日才清空完毕,片中是其首次洗钱处理的2433枚比特币的早期过程,连续转账,然后拆分。
上面呈现的是PlusToken洗钱最令人头疼的阶段,就是其各批次洗钱过程中分离的比特币拆分为小额后,彼此之间的混淆,此起彼伏,非常刺激,毕竟这一切对于洗钱者用代码就可以自动化完成,你要人工看能眼睛看花
关于PlusToken的洗钱细节我们不方便展开,细说也太技术,让人犯困,接下来说一个有趣的话题,包括今天我看还有人说,PlusToken的涉案资金在砸盘吗?PlusToken怎么就成了多次比特币价格下跌的背锅侠?
希望大家一起思考的几个问题,因为PlusToken涉案比特币数量特别巨大,大家天然的就有种可能一下子砸盘的危险,但是我们可以想象一下,在本身比特币交易就被多个交易所割裂的情况下,市场哪里能有流动性一次性承接过大数量的比特币来“砸”。
通过前面介绍的PlusToken洗钱的大致脉络,我们也看到了,这不是一个快速的“砸”的过程,就其中一笔3.3万枚比特币的资产也用了几个月才清空,而且整个过程最终也是以数十枚比特币为单位派发,它是一个渐进的舒缓的过程。何况中间的主要交易很可能在场外,涉及场内的交易从时机上会进一步被分散,很难形成持续的“砸盘”的合力。
此前,有公司把比特币价格和PlusToken资金走向活跃度放一起,得出结论PlusToken在砸盘,这个归因似乎过于简单化,即抛开了更多市场原因,就盯着一个因素,显然不够科学。何况PlusToken几度在比特币价格上行的时候活跃,也是与投资者类似的心态,换你也愿意在市场活跃的时候参与啊。
所以PlusToken从其洗钱机制来看,20万枚比特币的量从时间上已经被分布开,能产生的市场影响也没预想的那么大,PlusToken砸盘说至少缺乏足够的证据。甚至今天有人说是因为PlusToken上周转账砸盘导致价格下跌,这就更没谱了,直到今天中午,我们的数据监测发现这批比特币还处于混淆阶段,连场外市场都还没进入呢。
再回到安全问题,既然PlusToken这样复杂的洗钱行为,在北京链安这样专业的机构通过技术手段也可以追踪,那么拿回被盗被骗数字资产的难点在哪里?我们再看一个例子。
这是近期热门的一个巨鲸账户被盗的例子,事件大家都很熟悉了,反正只要你装了金色财经,肯定第一时间能得到快讯通知。
还是看我们ChainsMap系统的追踪,可以看到其实这笔比特币早期就有少量进入HitBTC,其实这部分比特币距离盗币者最”近“,理论上如果有心是可以去寻找一些线索的。
但是到了后期,相关比特币就分成非常小的额度,而且有很多其它来源的比特币参与混淆过程,这就是典型的专业的混币服务了,最终我发现流入的交易所几乎覆盖了所有主流的所,即很可能交易发生在场外,买入比特币的人也可能对其来源不知情(或者装作不知情)
做个总结,那就是数字资产通过技术手段可以进行追踪,但是接下来需要其它环节配合,比如交易所承认你技术上的取证,这方面我们配合过多起盗币和安全事件的追踪,还是从技术上得到了交易所的认可,但是这还不够,我们希望能有个行业共识或者主要市场玩家建立的机制。
接着还有个非技术问题,举个例子,比如今天金色的主持人我不知道哪个银行开的户,假设哪天我拿着她名字和身份证号去银行说,”这个人账上两万块钱有问题,本来是我的,麻烦给我冻结了“,银行什么反应?
银行肯定会觉得我有毛病,你谁啊你,你说冻结就冻结。是的,这其实涉及司法程序,我们看新闻一些经济案件涉及的银行资产冻结也是法院发起的。所以,如果你撞上了盗币、数字资产诈骗,最直接的追回起点还应该是传统的司法渠道,大部分人也是这么做的,比如去报案,而技术追踪可以作为一个配合的取证手段。
最后,说说如何保卫我们的数字资产,先对机构说说,建议就在上面的片子里,请先做好内控和管理,你把密钥首先管好了,就避免了可能最惨重的损失。
另外,就反洗钱而言,建议大家重视起来,这么说不是为了给我揽业务,而是以美国财政部近期从案例发布到政策层面都体现了对数字资产犯罪行为的重视,国内也对此类案件也愈加重视,无论你注册在新加坡,还是美国,或者马耳他,都可能涉及此类监管。你总不愿意糊里糊涂就有啥大案的比特币流到你这里而上国家政府层面的黑名单吧?
如果你不幸被盗币,那么也请及时与我们这样专业的机构联系,尝试在早期观察相关数字资产的流向,尽可能结合其它途径挽回损失。
再说说对个人的建议,其实个人也难,选个交易所或者什么项目,哪天这个所宣称因为被盗币而关门,你都不知道是真被盗了还只是一个跑路的借口。这就是一个行业的蛮荒阶段,缺乏现代金融体系下的监管,任何选择都只是”相对安全“。所以,如果你主要交易的是主流币,那么可能一些老牌的,大型的,口碑较好的甚至已经开始向正规化方面转型的所更值得信赖。
如果你是屯币流,不爱炒币,就是比如通过定投积累数字资产,那么可以将币放在独立钱包。只不过这个时候要注意自己的密钥或者助记词等”密钥等价物“的安全,一方面防止被他人盗取,另一方面也要注意别写在纸上啥的,结果却放在自己都不知道的地方遗失了。
另外,我们也多次碰到一些朋友过于佛系,币放独立钱包后都懒得去看,结果因为不知道什么原因币被盗后几个月才偶然发现,时不时,还是去你的钱包看一看的。
还有个建议,这里不是说不吉利的假设,密钥等信息最好给你最信任的亲人一份备份。比如万一遇到个人的人身意外,银行资产哪怕不知道密码还有一套证明身份让亲人继承的机制,这独立存放的数字资产不做好提前安排可就真没了。
至于骗局,这个其实都是常识,你要是平时不相信过高收益率的所谓“理财”,在数字资产领域也应该不会相信,止住贪念,保持常识
做个总结:技术只是安全的一部分,无论机构还是个人都需要建立自己的安全意识、常识和制度体系,就如大多数人防疫的关键不是医学知识,而是戴口罩勤洗手。如果发生数字资产损失,请及时与专业的追溯机构联系跟进其后续走向,同时通过司法等手段尝试挽回经济损失。
北京链安是业内可以唯一提供“云+端+链”一体化安全解决方案的安全公司,可以为行业提供全面的安全解决方案。
而在前面多次提及的Chainsmap则是我们强大的链上数据追溯系统,已经有很多成功的链上追踪和分析案例。