历史上典型Token被盗案例黑客入侵方法汇总

当前数字货币处于蛮荒时代，市场上充斥着各种谎言、诈骗和陷阱，保护Token资产安全是重中之重。历史上接连发生的黑客盗币事件让Token持有者无法安心，手上有币，如履薄冰，时刻保持高度警觉。Token钱包密钥安全保护的复杂性，更是让很多对区块链感兴趣的小白望而却步。本文旨在对历史上典型的交易所和钱包的被盗案例进行黑客入侵方法探析，以便总结保护Token资产的方法，预防发生致命的损失，同时也让小白更有信心进入Token世界。

以下按照时间顺序列出历史上典型的Token被盗案例，并说明黑客入侵方法，部分案例进一步介绍相关影响和预防措施等。

2011-10Mt. Gox

黑客盗走了约2609枚比特币，时价约为8000美元。

入侵方法：黑客盗取了Mt.Gox服务器上的wallet.dat文件，也就拿到了Mt.Gox的热钱包私钥。

2013 BitFunder/WeExchange

黑客盗走了约有6000枚比特币。

入侵方法：疑似交易所监守自盗，创始人Jon Montroll已被捕。

2014-2-25Mt. Gox

黑客盗走了约80万枚比特币，时价约为3.65亿美元。

入侵方法：黑客利用交易所bug，申请提取比特币时，在收到比特币后修改交易ID，让交易所误以为交易失败，重新发送了比特币。同时，被盗数额之巨大，说明Mt.Gox并没有做冷热钱包分离的策略。另外，从Mt.Gox混乱的管理和不透明的交易中，可以推测出平台可能存在监守自盗或洗钱问题。

2014年3月 Poloniex

黑客盗走了平台12.3%的比特币

入侵方法：黑客发现当几乎同时发起多笔提币时，后台会显示账户余额为负数，但提币记录却可以成功写入数据库，提币程序也可以成功执行，黑客利用此代码漏洞把资金偷走了。

2014-8-15 比特儿BTER

黑客盗走了5000万个NXT币，时价约为1000万人民币，后续谈判中又骗取了110个比特币。

入侵方法：BTER为了赚取POS币的利息，将所谓的冷钱包私钥放在了服务器上，其实NXT币并没有冷存储，导致黑客盗取平台NXT钱包。

影响：由于当时NXT的交易所有限，而且区块能被回滚，黑客也担心自己的赃款不能销赃，或者交易被取消，因此黑客利用NXT的交易留言功能，与比特儿进行谈判，要求用比特币赎回NXT币：“We can trade these NXT for some bitcoins to make life easier for you, and me”，最终谈判结果是比特儿丢了夫人又折兵：比特儿临时挪用用户资金支付了110个比特币的赎金，而黑客却没有归还NXT币。同时谈判留言显示，平台安全性存在严重缺陷，用户MD5密码可能已经被泄漏，用户的其他交易所账号存在被撞库的风险。

2014-12-16 blockchain.info

白帽黑客Johoe从blockchain.info钱包里“盗取”了300枚BTC。

入侵方法：blockchain.info在钱包软件升级过程中产生了技术问题，导致临时性安全漏洞出现，这个安全漏洞仅仅存在了2个多小时，黑客利用这段时间“入侵”了Blockchain.info的用户账户。事后，Johoe如数归还了盗取的比特币。专家推测具体bug是代码未对某变量做初始化操作，使得随机数的结果只有256种可能，在这2个多小时里，所有使用blockchain.info钱包的用户，无论是生成私钥，还是签名交易，都使用了一个范围只有256的随机数。blockchain.info钱包在之前也曾出现过随机数生成器bug。

2015-1-5Bitstamp

黑客盗走了约19000枚比特币，时价约为510万美元。

入侵方法：黑客盗取交易所热钱包。

2015-1-28 796交易所

黑客盗走了1000枚比特币

入侵方法：系统更新的一个子模块存在漏洞，黑客利用此漏洞篡改了用户的提现地址。

2015-1-30 LocalBitcoins

黑客盗走了某用户17枚比特币

入侵方法：黑客通过使用在线咨询LiveChat来植入Windows木马，木马可能是当时尚未被病毒保护机制检测到的键盘记录器，用户安装了此木马后，黑客获取了受害者的帐户。

2015-2-14 比特儿BTER

黑客盗走了7170枚比特币

入侵方法：黑客利用比特儿从冷钱包填充热钱包的瞬间，将钱包全部BTC盗走。

2016-03-14 ShapeShift

黑客盗走了315 枚比特币，之后的一个月又有部分Token被盗。

入侵方法：ShapeShift某员工监守自盗，并在被开除后与化名为Rovion Vavilov的黑客合谋盗取了更多Token。黑客声称，他从前雇员那购买到了平台敏感信息，其中包括ShapeShift总部的IP地址、路由器管理员密码以及交易所管理接口等访问细节。黑客通过入侵某员工电脑，使用SSH登录了交易所服务器，将木马命名为看似是Linux系统的自带文件，并更新了时间戳来符合系统时间，同时修改了Linux系统文件来确保木马开机自动运行。

预防措施：此次Token被盗事件足见ShapeShift对信息安全管理能力不足，风控方案很不完善，盗币类型可以归为平台监守自盗。交易所内部加强信息安全监管，是防止内鬼和黑客勾结的重要措施。

2016-08-04Bitfinex

黑客盗走了119756枚比特币，时价约为6500万美元。

入侵方法：黑客盗取平台热钱包。

2017-06-29 Bithumb

黑客盗走了某用户时价1000万韩元的比特币（约合8700美元）。

入侵方法：黑客入侵了Bithumb某雇员的个人电脑，获取了Bithumb 近31800名用户的个人信息，包括他姓名、手机号码以及邮件地址。黑客冒充Bithumb经理给平台用户打电话，并在电话中称其怀疑国外的黑客交易，并指示用户告诉他Bithumb识别码，这个一次性密码授予让黑客访问到了受害者的账户。可见此次黑客盗币还配合使用了社会工程学。

2017-07-19Parity

黑客盗走了15.3万枚以太坊，时价约为3260万美元。

入侵方法：该钱包使用了多重签名技术来加强Token兑换的安全性。多重签名是指，除了用户本人签名，还需要另一名用户对交易签名。但黑客发现了这款钱包代码中的“关键”漏洞，并加以利用盗走了以太坊。

2017-07-26 BTC-e

交易所监守自盗，利用交易所洗钱。

入侵方法：交易所创始人Alexander Vinnik监守自盗，黑客自建交易所算是最高明的方式了吧，同时此人与Mt. Gox被盗资金有关，疑似利用此平台将被盗资金洗白，目前此人已被逮捕。

2017-12-07NiceHash

黑客盗走了4000枚比特币，时价约为6300万美元

入侵方法：黑客盗取平台热钱包。

2018-01-26Coincheck

NEM被从热钱包中匿名转出，时价约为5.23亿美元。

入侵方法：Coincheck将NEM币储存在了热钱包中，黑客盗取了热钱包私钥。

对此次黑客盗币的防范措施：NEM团队标记了黑客盗币地址，并列入各正规交易所黑名单中。

2018-3-7币安

黑客入侵币安交易所，使用API交易机器人大量买入VIA币。

入侵方法：黑客通过unicode钓鱼网址，将字母n被替换为ṇ（下面有个点），来仿冒币安官网binance.com，盗取了部分币安用户的API Key。

影响：异常交易触发了币安风控系统，平台提币功能被禁用，最终异常交易被回滚。普遍的猜测是黑客通过在其他市场提前做空BTC，利用币安异常交易导致的市场情绪跟风盘来获利。

预防措施：针对此类unicode钓鱼，最新版本的chrome等主流浏览器已经能够防御。对于用户来说，需要使用主流浏览器并及时主动升级版本；对于币安等交易所来说，可以完善风控方案，提醒用户当前浏览器存在安全风险，毕竟大部分用户并不清楚这些。

小结

通过以上案例分析可见，黑客入侵方法主要有如下几点：

平台监守自盗。比如，BitFunder/WeExchange、Mt.Gox、ShapeShift、BTC-e等

平台系统bug。比如，Poloniex、blockchain.info、796、Parity等

热钱包被盗。比如，Mt.Gox、比特儿、Bitstamp、Bitfinex、NiceHash、Coincheck等

个人账户被盗。比如，LocalBitcoins、Bithumb、币安等

下篇文章将从这几点出发，总结保护Token资产安全的预防措施，以免个人发生致命的资产损失。

参考文章

比特儿(Bter.com) 比特币交易平台被盗事件全解析 http://www.freebuf.com/news/topnews/40926.html

blockchain.info的问题分析 https://www.okcoin.cn/t-1011063.html

ShapeShift Lost $230k in String of Thefts, Report Finds https://www.coindesk.com/digital-currency-exchange-shapeshift-says-lost-230k-3-separate-hacks/