编译|张问
编辑|杨舒芳
币圈现在可以说是哀鸿遍野,到处都是瀑布。尤其是以太坊,从巅峰时期的1400美元跌到现在的260美元,高位入场的人资产几乎只剩了个零头。
这让我想起一句话,“真正的熊市不是人人都喊抄底的时候,真正的熊市是极致的寒冷,没有人敢说话。”
现在相对处于安全位置的,可能只剩下交易所了。可是,交易所最大的问题就是信息安全,被黑客攻击是一方面,用户自己的信息安全也是一方面。尤其是大一些的交易所——所谓的安全等级越高,要求用户填写的信息也越多,像是身份证号、手机号、照片等重要信息要是泄露了,问题就相当严重了。
Group-IB,一家著名的高科技犯罪调查机构,发布了一份调查报告。他们调查了19家交易所,发现一共有720个账户信息被泄露,而且情况在变得越来越严重。我们一起看看,到底用户的账户信息为什么会被盗。
跟大家说个事儿,我们调查了19家交易所,怎么就这么巧,每家交易所都有用户信息泄露的情况出现,无一幸免。
这19家分别是:币安, Bit-z, Bitfinex, Bithumb, Bitstamp, Bittrex, BTCC, CEX.io, Coinone, Gate.io, GDAX, Gemini, HitBTC, 火币, Kraken, KuCoin, OKEx, Poloniex, Wex.nz。
交易所的信息泄露账户数量
Poloniex的问题最严重,有174个账户信息有问题。大家熟知的火币和OKEx也或多或少有信息泄露的问题出现。
从2016年1月到2018年1月,每个月的账户泄露数量
2014年的时候,我们发现只有5个账户有问题,等到2016年底的时候,一共有139个问题账户了。
2017年的账户泄露总数和2016年相比,数量增加了369%。整个2017年中,平均每个月有30.75个账户出现问题,已经不少了;再看2018年1月,单月就有212个账户信息被盗,跟上一年单月相比,直接涨了689%。
情况可以说是很不乐观了。我们发现了这个问题,那就要想一下,这到底怎么发生的?
首先需要承认的是,这跟加密货币市场的关注度激增不无关系。看看Google搜索量就知道了。
比特币在Google上的搜索量
加密货币在Google中的搜索量
不难发现,“比特币”或者“加密货币”的关键词,在2017年底达到了关注度顶峰。更直观一点,比特币这个话题,在Google2017年全年话题排行榜上排第二。
这么多人关注,自然就有更多的人去参与购买。那交易所新开的账户就会更多。多到什么程度呢?我找个图,大家感受一下。
赵长鹏Twitter
币安的CEO赵长鹏在2018年1月4日的时候曾发推文感叹,“实在不好意思,我们先不接受新用户注册了,大家多担待,实在忙不过来了,所有人都在连轴转,我们24小时新增加了25万的用户,要上天了”。
不只币安,几乎所有能叫的上名字的交易所都在接纳蜂拥而至的用户。无形之中,出现问题的概率也大了很多。
分析完环境因素,我们再具体分析一下泄露的那些账户。非常有意思的是,虽然这720个账户来自于全球各地,不过有几个国家问题比较集中。
泄露的账户地域分布
美国的账户泄露问题最严重,有1/3的问题都出在美国,也就是每三个泄露信息的账户中,就有一个是美国人的。紧随其后的俄罗斯和中国大陆。
那为什么美国这个问题最严重呢?
我们发现很多网络罪犯窃取用户信息,是通过僵尸网络来得手的。
这些僵尸网络的IP分散在世界各地,不过,我们找到了他们的主机。有56%的主机是在美国,其次是荷兰,有21%,接着是乌克兰和俄罗斯。主要是因为在美国和荷兰,这些犯罪所需要的基础设施很便宜。
同时,在调查中,我们也发现了几款用来窃取用户信息的软件,比如AZORult,能从浏览器、邮件客户端上窃取用户密码。
为什么你的密码会被轻易地窃取呢?
调查发现,最主要的问题是,在账户验证的时候。现在最广泛使用的验证方法叫“双因子验证”(2FA),简单理解,就是要验证两次,这是相对来讲比较安全的。但是,交易所在用户验证这一关键步骤中,好像并不是特别重视。
用户在登录、交易、取款的时候,
交易所使用双重验证的比例
剑桥大学新型金融研究中心曾经做过调查,在用户登录交易所账户的时候,有3/4的交易所是不强制双重验证的,只有23%的交易所必须要用户验证两次。而在交易的时候,也有65%的交易所可以不用双重验证。这还是主流交易所的表现,更别提其他不知名的交易所了。
但是用户自己就没有责任吗?当然有,孤掌难鸣。
用户使用双重验证的比例
美国马里兰大学和约翰斯·霍普金斯大学联合研究发现,居然有将近1/3的用户从来没有用过双重验证这个东西,只有1/4的用户在任何操作上都使用这种安全的方法。
而且,有些用户不仅懒得验证,连密码这么重要的东西,也是能省则省。
有调查显示,在主流的35家交易所中,有超过70%的交易所是允许用户设置非常不安全的密码的。其中43%的交易所允许用户的密码长度在7位以下,还有34%的交易所允许密码可以不同时包含字母和数字。
这是什么概念呢?如果你懒到家,建了一个密码是“12345”,居然还能通过70%的主流交易所审核。
信息泄露账户的密码长度统计
看到这儿,回想一下自己平常的操作,有没有上述这些危险情况?虽然熊市里,各位的账户资产已经大为缩水,但账户安全还是要讲究下的。
所以这份报告的最后,研究人员也提醒大家,虽然交易所的一些行为你控制不了,但自己要有安全的意识,密码设置复杂一些,不同交易所的密码也不能一样,双重验证一定要记得用。
要保住自己的账户啊,万一比特币又涨回来了呢。
—End—
领取专属 10元无门槛券
私享最新 技术干货