首發 | “336枚BTC去哪兒”后續追蹤—Cashaa交易所錢包被盜事件進一步分析_CAS:CASH

距離上次的Cashaa的“攻擊”事件已經過去了一周左右，Cashaa創始人兼首席執行官披露了被盜事件更多細節，下文中將進行詳細敘述。

事件回顧

7月11日北京時間凌晨8點10分，CertiK天網系統 (Skynet) 檢查到在比特幣區塊638606和638692處Cashaa交易所發生交易異常，安全研究員迅速介入調查，詳細研究了攻擊者針對Cashaa交易所擁有的比特幣錢包發動兩次攻擊過程。

隨后，CertiK于第一時間在金色財經等媒體上發布了相關新聞和消息。

百度Apollo首發 “Apollo 001”系列紀念數字藏品:金色財經報道，據百度Apollo智能駕駛官方公眾號，百度Apollo全網首發首款 “Apollo 001”系列紀念數字藏品，以百度汽車機器人為主體形象，每款對應一個百度Apollo自動駕駛重要里程碑事件。據悉，該數字藏品將于2022年7月8日 09:55發布汽車機器人家族全家福空投款。[2022/7/7 1:58:19]

第一次攻擊發生于7月10日北京時間晚6點57分，受害者Cashaa的比特幣錢包之一

1Jt9mebBwqCk8ijrVDoT5aySu2q9zpeKde被盜用并向攻擊者賬戶

14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek轉移了1.05977049個BTC（約合9800美元）。攻擊者通過某種方式入侵受害者電腦，受害者在Blockchain.info上的比特幣錢包被盜，并向攻擊者賬戶轉移了BTC。第二次攻擊發生于7月11日北京時間凌晨8點10分，受害者Cashaa的總計8個比特幣錢包，共計335.91312085個比特幣（約310萬美金）被攻擊者通過同樣的手段轉移到同一個14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek地址中。

LBank藍貝殼于5月3日20:00首發 CSPR(Casper)，開放USDT交易:據官方公告，5月3日20:00，LBank藍貝殼上線 CSPR(Casper)，開放USDT交易，同時并開放充值，資料顯示，Casper網絡是基于CasperCBC規范構建的第一個實時權益證明區塊鏈。Casper旨在加速當今企業和開發人員對區塊鏈技術的采用，同時確保隨著網絡參與者需求的發展，其在未來仍能保持高性能。[2021/5/3 21:19:51]

官方聲明及解析

根據Cashaa對該事件的官方聲明，這起攻擊發生的過程是攻擊者滲透攻擊進入“Cashaa India Over-the-counter”（OTC，場外交易市場）雇員的電腦，操縱電腦從而盜取了受害者賬戶的所有資金。印度東德里（East Delhi）的一位OTC交易經理與7月10日發生首次攻擊有關。早在7月8日，該雇員報告過公司提供給他的機器存在故障，因此他請求通過使用自己的個人電腦來進行操作。為了保證用戶體驗，一向不允許使用個人電腦的Cashaa經管理層決議同意了這個請求。

LBank藍貝殼于4月9日16:50首發 BOSON:據官方公告，4月9日16:50，LBank藍貝殼首發BOSON(Boson Protocol)，開放USDT交易，4月9日16:00開放充值，4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。

LBank藍貝殼于4月9日16:50開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ，可按凈充值量獲得等值1%的BOSON的USDT空投獎勵；交易賽將根據用戶的BOSON交易量進行排名，前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/9 20:02:26]

Cashaa官方聲明中稱，攻擊者是通過被攻擊電腦中瀏覽器的活動進程（active sessions in the browser）來控制的該電腦。現在被確認的攻擊方式有phishing，病以及其他攻擊方式，但是官方并沒有確認最終的攻擊手段。被盜取的比特幣被轉移到14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek地址后，被最終轉移到多個錢包地址中。Cashaa接到該雇員的事故報告后，立刻開啟了內部調查，并向德里數字犯罪署（Delhi Cyber Crime Bureau）進行了報告，報告編號為20807200031555。

LBank藍貝殼于4月10日01:00首發 BOSON，開放USDT交易:據官方公告，4月10日01:00，LBank藍貝殼首發BOSON(Boson Protocol)，開放USDT交易，4月9日23:00開放充值，4月12日16:00開放提現。上線同一時間開啟充值交易BOSON瓜分10,000 USDT。

LBank藍貝殼于4月10日01:00開啟充值交易BOSON瓜分10,000 USDT。用戶凈充值數量不少于1枚BOSON ，可按凈充值量獲得等值1%的BOSON的USDT獎勵；交易賽將根據用戶的BOSON交易量進行排名，前30名可按個人交易量占比瓜分USDT。詳情請點擊官方公告。[2021/4/7 19:54:33]

與此同時，Cashaa也向其社區以及相關數字貨幣交易所進行了相關報告，共享了黑客的比特幣錢包地址。其中，Cashaa告知了所有主要交易所，包括WazirX，Binance，CoinDCX和Bitbns，并敦促他們監測與此地址相關聯的所有交易。在攻擊事件發生后，被攻擊的電腦已經被封存當做調查物證，涉事雇員也暫時被停職，直至調查結束。

IMEOS首發 BM表示EOS合約具有整數溢出保護:據金色財經合作媒體IMEOS報道：近日ETH出現多個ERC20智能合約的處理溢出錯誤，BM在推特上發表評論：新的ETH契約Bug可能會破壞整個Token的供應，讓持有者留下無價值Token.這就算為什么代碼不能成為法律，隨即表示EOS erc合約不容易受到這種攻擊。而EOS官方群也有人表示擔憂EOS是否具有整數溢出保護？BM回應：有很多C ++模板類可以封裝類型并檢查溢出。[2018/4/25]

事件發生后，Cashaa也召開了董事會進行商議，但到目前為止，并沒有官方宣布如何進行賠償。預計官方會于7月底公布所有細節，包括攻擊方法和賠償方式。屆時CertiK將會繼續跟蹤分析該起事件。

社區支持

ZebPay，WazirX，CoinDCX及Bitbns等交易所的高層管理人員均已在Twitter（推特）上發表了對Cashaa給予支持的推文，并表示他們將采取一切必要的預防措施，以確保這些資金在他們力所能及的范圍內不流動。

社區中有人傳言該起事件是內部雇員所為，針對該問題，Cashaa根據對該起事件進行調查的數字犯罪調查公司的反饋，認為本起事件并不應該為內部雇員所為。目前由于調查并未結束，因此尚不能對攻擊事件下定論。攻擊事件發生后，Cashaa宣布將會與Anti-Money Laundering（AML，反洗錢）企業合作，定制專屬鏈上AML工具，幫助減少數字貨幣犯罪。

防范建議

交易環境復雜的操作系統、瀏覽器、網絡環境都將使交易存在很大的安全隱患。目前國內大部分基于手機平臺（MTK）的錢包，都可以被攻擊。

通過導出錢包固件，不僅可以看到多個幣種的緩存信息，還可以找到生成助記詞的各種庫。很多開發團隊在以業務優先的原則下，對自身錢包產品的安全性并未同等重視。

一旦出現了安全性問題，將會導致大量用戶出現賬戶貨幣被盜。資產一旦被盜，將會無法掛失，并且很難被追回。

CertiK團隊總結了以下幾點建議：

數字貨幣攻擊是多技術維度的綜合攻擊，需要考慮到在數字貨幣管理流通過程中所有涉及到的應用安全，包括電腦硬件、區塊鏈軟件，錢包等區塊鏈服務軟件，智能合約等。當然，由于員工安全意識薄弱帶來的一些安全隱患也不能排除，而往往這方面是人們最難察覺到并且最容易忽略的。

攻擊者對于將要采取的攻擊方式經常會進行測試后再進行大規模采用進行攻擊。因此需要重視對于潛在攻擊方式的檢測和監視，不要多次受到同一方式的攻擊。

加強數字貨幣賬戶安全保護方法，使用物理加密的離線冷存儲（cold storage）來保存重要數字貨幣。許多最著名的交易所都利用硬件錢包或硬件安全模塊來存儲和處理所管理的加密資產。雖然沒有一個系統可以具有100％的安全性，但這樣的系統被破壞的概率更低。

聘請專業的安全團隊進行網絡層面的測試，并通過遠程模擬攻擊來尋找漏洞。

比如CertiK團隊，會模擬真實環境中黑客攻擊的方式來攻擊系統中最薄弱的部分，以找到系統的漏洞和薄弱環節。入侵一個系統的突破口可能是在Web應用中的遠程代碼執行漏洞，可能是服務器上運行的舊版軟件，也可能一位員工無意中執行了測試團隊發送的釣魚郵件中的后門程序。

而在CertiK專業的檢測過程中，將會對包括系統架構以及員工等所有可能被攻擊的環節進行逐一排查和測試，讓那即便只剩下0.00000000000001%被攻擊的可能性都不復存在。

Tags：CASCASHSHAASHPEPECASHCashBet CoinSHAHdash幣下輪牛市能漲到1000美元嗎

BNB