曲速區(qū)：只有不忘歷史才能展望未來(lái)，在接下來(lái)這段時(shí)間里曲速區(qū)將帶你一起回顧區(qū)塊鏈安全事件總結(jié)與區(qū)塊鏈技術(shù)展望。

三、Bitfinex 遭黑客攻擊事件詳細(xì)回顧

今天我們來(lái)說(shuō)第三個(gè)被盜事件：比特幣交易所Bitfinex 遭黑客攻擊事件

三、Bitfinex 遭黑客攻擊事件解析

時(shí)間：2016年8月

Bitfinex 是交易比特幣、ether 和萊特幣等數(shù)字貨幣的最大交易所之一。因黑客攻擊竊取了大約價(jià)值6500萬(wàn)美元的比特幣后，比特幣的價(jià)格出現(xiàn)跳水。

根據(jù) Bitfinex 在 8 月 2 日凌晨發(fā)布的公告，該交易所在發(fā)現(xiàn)了一個(gè)安全漏洞后便停止了交易。

Bitfinex 負(fù)責(zé)社區(qū)和產(chǎn)品開(kāi)發(fā)的主管塔克特(Zane Tackett)證實(shí)，119,756 個(gè)比特幣（價(jià)值約6200萬(wàn)美元）遭黑客竊取，該公司已經(jīng)知道相關(guān)系統(tǒng)是如何被入侵的。到東京時(shí)間8月3日下午2:30分為止，比特幣兌美元價(jià)格下滑了5.5%，意味著比特幣兩日的降幅已經(jīng)達(dá)到了13%。周一(8月1日)，比特幣價(jià)格下降了6.2%，盡管外界并不清楚周一的下跌是否與此次黑客攻擊有關(guān)。

從Bitfinex公告的信息上看，它最大的漏洞出在熱錢包安全機(jī)制上。Bitfinex選用的是一家叫BitGo的安全平臺(tái)公司，這家公司使用對(duì)用戶的熱錢包進(jìn)行多重簽名機(jī)制，以期實(shí)現(xiàn)用戶BTC安全存儲(chǔ)。但這首先需要假設(shè)Bitfinex發(fā)送給BitGo的所有指令都是正確安全的，所以，很有可能在Bitfinex發(fā)出指令的過(guò)程中已經(jīng)產(chǎn)生了問(wèn)題

Bitfinex采用的是多重簽名的安全技術(shù)架構(gòu)。一般的交易所往往采取“單簽名”記賬方式，在此之外，Bitfinex平臺(tái)自身還管理了另一個(gè)“簽名”，這些簽名的密鑰分散在多個(gè)服務(wù)器上面，一夜之間被盜光。“這么多服務(wù)器，要是沒(méi)有內(nèi)應(yīng)，也很難做到”，前述資深人士分析。

其次，Bitfinex采取的是“熱儲(chǔ)藏”/“熱錢包”的做法。這使得用戶的密鑰接觸到網(wǎng)絡(luò)的可能性大大增多，甚至100%在線，當(dāng)跨賬戶的時(shí)候總是在線，給予黑客盜取的機(jī)會(huì)也更多。一般其他平臺(tái)以“冷錢包”為主，即大部分是離線保留比特幣。

數(shù)字貨幣錢包分為兩類：冷錢包及熱錢包。冷錢包也可稱之為非聯(lián)網(wǎng)錢包，熱錢包則可稱之為聯(lián)網(wǎng)錢包。

什么是冷錢包

比特幣錢包的冷儲(chǔ)存（Cold storage）是指將錢包離線保存的一種方法。具體來(lái)說(shuō)，玩家在一臺(tái)離線的電腦上生成比特幣地址和私鑰，并將其妥善保存起來(lái)。以后挖礦或者在交易平臺(tái)得到的比特幣都可以發(fā)到這個(gè)離線生成的比特幣地址上面。由這臺(tái)離線電腦生成的私鑰永遠(yuǎn)不在其它在線終端或者網(wǎng)絡(luò)上出現(xiàn)。

為什么要使用冷儲(chǔ)存呢？使用比特幣錢包冷儲(chǔ)存技術(shù)主要是出于安全上的考量。

舉兩個(gè)例子：

1、某比特幣超級(jí)大戶想保證他的比特幣錢包絕對(duì)安全，即使在電腦被黑客入侵的情況下，黑客依然得不到比特幣私鑰。這樣，這位大戶就必須使用冷儲(chǔ)存技術(shù)，他離線生成幾對(duì)比特幣地址和私鑰，作為冷儲(chǔ)存錢包，以后所有需要儲(chǔ)存的比特幣都發(fā)到這些地址上面。這樣初步就保證了比特幣的安全。

2、某比特幣交易平臺(tái)每天有龐大的比特幣用戶群，用戶在平臺(tái)上存有數(shù)以萬(wàn)計(jì)的比特幣。為了保證這些比特幣的安全，交易平臺(tái)的管理人員便每天定時(shí)將主機(jī)服務(wù)器上所儲(chǔ)存的比特幣放入冷儲(chǔ)存錢包中。而只在服務(wù)器上存有少量的比特幣，來(lái)應(yīng)付正常的提現(xiàn)請(qǐng)求，這樣就算黑客入侵了交易平臺(tái)主機(jī)也無(wú)法得到用戶所儲(chǔ)存的比特幣。

在上面的案例中可以知道，使用比特幣冷儲(chǔ)存技術(shù)就可以避免大部分的損失,比特幣交易平臺(tái)OKCoin一直采用的是冷存儲(chǔ)，所有比特幣都存儲(chǔ)在離線帳戶上，當(dāng)平臺(tái)收到用戶比特幣充值時(shí)，將直接發(fā)送至OKCoin的離線帳戶。而每一次用戶的充值地址都是不相同的。

曲速未來(lái)實(shí)驗(yàn)室提醒：Bitfinex丟幣事件，提醒我們要抓緊錢包——這個(gè)比特幣交易所平臺(tái)的核心要害。隨著比特幣行業(yè)的飛速發(fā)展，安全問(wèn)題日益重要。不翼而飛的120,000個(gè)比特幣，巨額的用戶損失，Bitfinex盜竊案成為自2014年日本Mt.Gox事件后最嚴(yán)重的比特幣丟失案件，當(dāng)年Mt.Go丟失價(jià)值3.5億美元、744,408BTC，并最終倒閉。雖然此次安全漏洞事件說(shuō)明Bitfinex設(shè)置的自動(dòng)化機(jī)制在一定程度也是失效的，但我們希望看到事件后續(xù)有良性進(jìn)展，產(chǎn)生對(duì)行業(yè)積極影響的借鑒意義；我們希望Bitfinex不再重蹈當(dāng)年Mt.Gox的結(jié)局，希望行業(yè)安全問(wèn)題警鐘長(zhǎng)鳴。