简析 Cashaa 钱包 336 BTC 被盗事件

链闻ChainNews view 35245 2020-7-16 09:22
share to
Scan QR code with WeChat

Coin Crunch 在 2020 年 7 月 10 日收到一封投诉信,受害者称自己在 1:23 分登录并进行两笔交易后,自己的 1.06005561 BTC 被盗。被盗 BTC 转进了地址14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek。

投诉凭证如下所示:(根据官方描述,为保护投诉人隐私,仅截取凭证第一页)

而后不久,Cashaa 公司涉及的总计 8 个比特币钱包,共计 335.91312085 个比特币(约 310 万美金)被攻击者通过同样的手段转移到同一个地址14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek。

事件发生后,Cashaa 的 CEO Kumar Gaurav 对此次事件做出了回应,声称此次事件只是个例,Cashaa 其余账户的余额仍是安全的。并呼吁各大交易所禁止此次事件的相关地址提现,否则就是「助纣为虐」,几乎所有的交易所都积极响应了 Cashaa 的呼吁。

根据 Cashaa 给出的解释,本次事件是因为一个雇员使用了自己的私人电脑造成的,黑客通过浏览器 session 控制了雇员的电脑,但具体攻击方式还在调查中。Cashaa 公司此前并不允许使用个人电脑,此次员工使用个人电脑是因为雇员设备故障,Cashaa 公司考虑到「客户体验」于 8 号为其临时开通权限。雇员在 10 号使用电脑操作后,不久 336BTC 便被盗走。根据线上地址来看,被盗的 BTC 在转移过程中还进行了混币。

事件分析

成都链安-安全实验室针对此次事件进行分析,本次涉及 BTC 是在雇员操作后很短的时间内被盗的,且转移过程中流入混币,这说明黑客对区块链技术早有积累,很有可能是相关从业人员或黑产成员。

根据 Cashaa 给出的信息,雇员在 8 号获得许可,在 10 号就遭受攻击,这太过于巧合,我们相信 Cashaa 公司在对员工电脑进行临时授权前,应当是会对员工电脑进行过安全检查的。这里我们推测这是一起有极高针对性的攻击,黑客极有可能瞄准 Cashaa 已久,对公司内部成员和动向都非常了解,才能在这么短的时间内,控制雇员的电脑。但也不排除内部人员配合作案的可能性。

针对于目前掌握到的信息,我们推测有两种可能性:

攻击者是专业从事相关黑产的团伙,其瞄准 Cashaa 已久,掌握着公司相关人员信息和网络管理制度,通过传统攻击手段持续性的对公司人员的信息设备进行攻击,或已掌握部分系统的权限,此次攻击是建立在前期攻击基础上进行的。

公司内部有相关人员配合作案,将公司信息泄露给了攻击实施者,再针对性的配合社工手段进行攻击,拿到雇员电脑权限。

安全建议

针对此次事件,成都链安呼吁各大交易所和钱包服务商,「千里之堤 毁于蚁穴」。网络安全建设是一个面,任何薄弱点都能可能成为击垮堤坝的「蚁穴」。

从交易所出发:服务器层、网络层、终端层、智能合约层、业务层、安全管理制度等各个层面的安全都不可或缺。一旦出现短板,即使其他方面做的再好,也无济于事。2.「安全」永远是一个博弈的过程,没有攻不破的系统。随着技术的不断发展,原先所谓「安全」的系统也会变得不安全,因此与第三方安全公司建立持续的合作关系也是不可或缺的。

对于安全体系来讲,人往往是最薄弱的环境,随时存在「违规操作」的可能性,加强员工的信息安全意识,切实实施良好的安全管理制度可以规避很大的风险。

「亡羊补牢,为时不晚」。在遭受黑客攻击后,交易所应第一时间向专业的安全公司寻求帮助,追踪资金动向,尽可能将公司的损失降到最低

btcfans公众号

Scan QR code with WeChat

Disclaimer:

Previous: 多位名人政要推特被黑,推特官方回应称正在调查并限制发布推文功能 Next: CertiK 对跨链 DeFi 平台 Kava 的 CDP 和拍卖模块的审计报告

Related