当前位置:  首页 →热点 →正文

抹茶“丢币”始末

2019-07-16 20:52:36 核财经

文|嚯嚯

编辑|文刀

2019年7月13日凌晨,用户王超(化名)存放在MXC抹茶交易所里的900个VDS币不翼而飞,市值约2万元。

之后,多个用户的丢币反馈集中到平台方。据抹茶统计,共计20多名用户在事件中受到资产损失,金额达15个BTC。

抹茶团队当即在深夜召开线上会议,商讨赔付方案。

事后排查,被盗事件并非因技术攻击造成,主要因黑客撞库以及个别用户被非法的钓鱼网站误导,导致账号泄露从而丢币。

针对用户资产损失,抹茶发布了全额赔付的公告,并表示后续将强制用户绑定手机短信验证和谷歌验证,同时对交易所相关安全措施、程序和操作进行完善。

事实上,因未绑定短信和谷歌验证而遭遇账户被盗的事件在币圈并非孤例。提高自身安全意识无疑是所有币圈投资者的必修课。

用户深夜丢币 平台全额赔付

事故发生在深夜。7月13日3点30分,多名用户的丢币反馈涌向抹茶客服。

王超的第一反应是“懵逼”,他回忆,“13号上午8点,我邮箱收到了3个异地登录的通知。”攻击者分别通过埃及、泰国、荷兰三地的IP地址登上了他的抹茶账号。

通过查账,王超发现,账号原有的900个VDS Token在凌晨时分被兑换成了以太坊。随后,攻击者用高点买入,低点卖出,在“YKC/ETH”的交易对上将资产转移。

抹茶“丢币”始末

7月13日凌晨,YKC/ETH成交量暴增

高买低卖正是此次盗币者转移用户资产的主要方式。当日凌晨,YKC对ETH的交易对上成交量出现暴增。

“平台在接到用户反馈后便第一时间便进行了核实与调查。”抹茶向蜂巢财经回忆,团队几乎是连夜召开了线上会议,先排查事故原因,之后开始针对用户的损失商讨赔付方案。

抹茶发生资产安全事故后,原因首先成为外界最为关心的问题。王超称,他的账号里已经设有手机短信安全验证,为何盗币者能绕过这一关?他怀疑是抹茶平台遭受了黑客攻击所致。

对此,抹茶方面向蜂巢财经表示,经技术团队排查,用户在资产被转移的过程中,平台并未遭受技术攻击,“事故起因是黑客撞库以及个别用户被非法的钓鱼网站误导,使部分投资者账号泄露从而丢币。”

针对王超的个例,抹茶有关技术人员表示,这是因为攻击者拦截了用户的短信验证。“拦截的意思是短信验证码到不了用户那,但黑客可以获取。”

事发后,抹茶着手善后事宜,“目前平台已开始着手联系被盗用户进行登记。”

年初以来,日均交易量突破42亿元的抹茶交易所成了币圈“网红”,而此次安全事故的发生让它获得了广泛的关注。被盗事件后,外界有传闻称该平台被盗资产在“几个亿”。

对此,抹茶平台创始人MC在用户评论区回应,丢币数亿是谣言,“总共损失金额100多万,我们将启动备用基金,统一登记账号后三天进行回滚结算,全额赔付。”

据统计,此次事故涉及用户达20余名,整体损失金额近15个比特币。

对于平台选择全额赔付的原因,抹茶有关负责人告诉蜂巢财经,“其实抹茶是没有义务进行赔付的,但我们希望能够通过此次事件,让用户对抹茶建立起足够的信任,也希望他们能真正地把安全问题重视起来。”

多重验证为用户资产加锁

15个比特币的被盗损失引起了抹茶团队内部的重视。

7月13日事发当日,抹茶发表了“关于用户资产损失赔付及安全系统升级”声明,“针对此次事件,团队也进行了反思,后期会实行更为严格的安全举措,例如强制用户绑定谷歌验证码等。”

同时抹茶提醒投资者,不要在各交易所或其他渠道账号设置相同密码,并对交易账号进行手机、谷歌验证码等多重安全绑定,以防不法分子盗取资产。

作为此次事故的受害者,王超坦言,不设谷歌验证是自己疏忽了,“前期我选择抹茶是因为在上线VDS交易的众多平台中,抹茶的交易深度最足。我注册账号的时候只设置了短信验证,起初嫌麻烦,就把谷歌验证忽略了。”

在登陆验证环节上,币安和火币都曾先后发表公告,专门提醒投资者设置谷歌验证,老牌交易所们对用户资产端的安全防范十分重视。

抹茶“丢币”始末

去年10月,火币公告称用户务必设置谷歌验证

Google身份验证器是一款动态口令工具,“谷歌验证比短信更安全的,因为它是有私钥的,解绑的话需要联系客服验证身份才能解绑。”抹茶有关技术人员介绍。

从抹茶的声明中不难发现,抹茶将此次安全事故归咎于用户缺乏安全意识。但也有用户提出,平台内部的安全机制是否过硬。

对此,抹茶有关负责人告诉蜂巢财经,平台代码为独立开发,且和国内顶尖的多家顶级的安全防护公司展开了深度合作,在自身安全机制上下足了功夫,“当然,后续我们也会尽全力保障用户资产安全,并对相关安全措施、程序和操作进行重大完善。”

对于强制用户绑定手机和谷歌验证码的原因,上述人士表示,“绑定手机和谷歌验证码,能很大程度上保护用户的账户安全,之前很多用户嫌麻烦忽视了这两个安全登陆流程,现在我们实施强制绑定,是希望能为用户资产再上一把锁。”

另一方面,抹茶希望用户也能提高自身安全意识。“对用户而言,首先尽量避免在不同交易所使用相同的邮箱账户和密码,其次绑定手机验证和谷歌验证码。切勿泄露账户信息。做到这三点就能在很大程度上提高安全性。”

“裸奔”的代价

在炒币者眼中,除了币价大跌,最忌惮的恐怕要数资产被盗。针对两步验证的重要性,有业内人形容,不开通手机和谷歌验证的账户,相当于处在“裸奔”状态。

“在两步验证的保护下,攻击者仅仅拥有用户名和密码已不足以黑入账户。他还需要拿到进行两步验证的移动设备或拦截验证码,这无疑加大了攻击难度。”

事实上,不绑定手机、谷歌验证而造成的安全事件,在币圈并非孤例。

今年1月14日,名为“一无所有的韭菜”的投资者在巴比特论坛发帖求助称,他存放在火币交易所账户里的5.4个比特币不翼而飞。

控诉很快引来了关注,有人表示同情,希望火币能帮他挽回损失;但也有人通过公开的账户截图发现,上述账号竟然没有绑定邮箱和谷歌身份验证器(GA),状态近乎裸奔。

一周后,火币官方发布“关于巴比特论坛网友关心的丢币情况说明”表示,在丢币用户账内比特币被转走过程中,火币未遭到技术攻击。火币建议建议该名用户尽快向警方报案,平台会尽全力提供帮助,争取挽回损失。

抹茶“丢币”始末

用户“一无所有的韭菜”最初的求助帖已被删除

相比火币的这名用户,抹茶交易所的20多名丢币用户是幸运的。此次,抹茶对用户损失选择了全额赔付,但对于投资者而言,提高自身安全意识成为在币圈淘金的首要必修课。

文章来源|核财经,文章仅作者观点,不代表BB财经立场

本文内容来自网络采集,版权归原作者所有,转载请联系原作者