台湾YES-BTC遭窃 董事长不知去向
日前Yes-BTC比特币交易所爆发长期遭攻击者陆续转出小额比特币事件,到了2014年10月底发现时已经被盗取约267枚比特币,而近期又再糟攻击,让被盗取的比特币总数上升到435枚,这些比特币依撰文时的行情计算约值新台币313万余元。在这起事件背后,读者是否会怀疑比特币的安全性。
目前YES-BTC已经关站,网站声明表示董事长何兆翼目前不知去向
问题出在交易所不在比特币
根据Yes-BTC数位比特加密货币推广中心的Facebook粉丝专页揭示,Yes-BTC自上线第一天就已经遭受骇客攻击,在之后几个月陆续遭盗领小额比特币,待2014年10月底已经被盗转267枚比特币左右。而公司执行长何翼兆为了补回差额,以公司名义向地下钱庄借贷300万元,到2015年1月中时资金缺口更为高达500万元。
随后何翼兆为了偿还债务,自己下场高价收购比特币,再将比特币市价转卖回现今滚债,但因流动量不大,反而让债务滚到约900万元,而资金缺口也达500至600万元。
更糟糕的是,交易所在2015年1月30日又遭攻击,分别被盗取86及82枚比特币,让损失的比特币总数达到435,依笔者赚稿时Yes-BTC比特币交易所公布的世界加权平均价,1枚比特币等于新台币7179.38元,也就是说遭窃的比特币价值高达约新台币3,130,860元。随后何翼兆也在粉丝专页坦承给予太多成员系统交易所后台权限及系统SSH远端登入权限,这可能是造成比特币失窃的主因,而关于后续事宜处理,则要等到2月14日至2月17日之间召开的说明会,才会有进一步消息。
单从这个事件来看,或许读者会很直觉地认为比特币的安全性大受打击,但实则不然,虽然曾为全球最大比特币交易Mt.Gox,也因疑似受到攻击,遭窃85万枚比特币,导致破产而关闭,但与Yes-BTC比特币交易所发生的问题一样,两者的问题都是交易所的比特币遭窃,而不是比特币的问题。
▲Yes-BTC比特币交易所的安全机制说明,并没有提到如何储存比特币。
▲Yes-BTC数位比特加密货币推广中心的Facebook粉丝专页所揭示的失窃讯息备份。
▲针对失窃事件危机处理的相关讯息备份。
交易所不安全,不代表比特币不安全
要了解这次的失窃风波,就必需先了解比特币的储存方式,然而为了不使问题复杂化,笔者在这边只简单介绍比特币的储存手段,其余部分或许往后有空再来讨论。
比特币是种全新的虚拟货币,它与信用卡、点数卡、电子钱包等仍以实体货币为基础的电子货币不同,电子货币只是实体货币的另一种交易形式。而比特币与新台币、美金、欧元一样,本身就是独立的货币,与一般货币不同的是,比特币的具备双向的确认机制,除了拥有者持有这枚比特币之外(或是每份,比特币最小可以切割至0.00000001枚),比特币的运作机制也会在每枚比特币上储存是哪个「钱包」拥有它。
而比特币的钱包有点类似电子信箱帐号,1个人可以申请多个钱包,1个钱包也可以给多个人使用,而比特币一定要存放在钱包中,钱包储存了为比特币加密的私密金钥,这组金钥可以视为交易的通行证。基本上只要金钥不外流,别人就不能盗取钱包中的比特币,但是当金钥外流后,就代表比特币有极大的风险会遭盗取。
在这次的事件中,虽然Yes-BTC比特币交易所并没有详细说明遭盗领的原由,但是照经验判断,应该是属于其网站安全性的问题,导致金钥遭窃或外流,也就是说攻击者可以使用金钥,循正常交易手续领走比特币,而非比特币本身的运作出了纰漏。
从事件中我们可以学到的,就是不该轻易把比特币存放在「非自己控管」的钱包中,也要谨慎储存金钥,至于那些已经被窃走的比特币,几乎不可能被寻回,所以受害者大概只能祈祷Yes-BTC比特币交易所会担下赔偿责任。
▲Yes-BTC从事比特币交易的事业,自身网站安全性又不够严谨,实在相当讽刺。
Scan QR code with WeChat