交易所账户频繁被盗？原来安全漏洞这么多

编译｜张问

编辑｜杨舒芳

币圈现在可以说是哀鸿遍野，到处都是瀑布。尤其是以太坊，从巅峰时期的1400美元跌到现在的260美元，高位入场的人资产几乎只剩了个零头。

这让我想起一句话，“真正的熊市不是人人都喊抄底的时候，真正的熊市是极致的寒冷，没有人敢说话。”

现在相对处于安全位置的，可能只剩下交易所了。可是，交易所最大的问题就是信息安全，被黑客攻击是一方面，用户自己的信息安全也是一方面。尤其是大一些的交易所——所谓的安全等级越高，要求用户填写的信息也越多，像是身份证号、手机号、照片等重要信息要是泄露了，问题就相当严重了。

Group-IB，一家著名的高科技犯罪调查机构，发布了一份调查报告。他们调查了19家交易所，发现一共有720个账户信息被泄露，而且情况在变得越来越严重。我们一起看看，到底用户的账户信息为什么会被盗。

跟大家说个事儿，我们调查了19家交易所，怎么就这么巧，每家交易所都有用户信息泄露的情况出现，无一幸免。

这19家分别是：币安, Bit-z, Bitfinex, Bithumb, Bitstamp, Bittrex, BTCC, CEX.io, Coinone, Gate.io, GDAX, Gemini, HitBTC, 火币, Kraken, KuCoin, OKEx, Poloniex, Wex.nz。

交易所的信息泄露账户数量

Poloniex的问题最严重，有174个账户信息有问题。大家熟知的火币和OKEx也或多或少有信息泄露的问题出现。

从2016年1月到2018年1月，每个月的账户泄露数量

2014年的时候，我们发现只有5个账户有问题，等到2016年底的时候，一共有139个问题账户了。

2017年的账户泄露总数和2016年相比，数量增加了369%。整个2017年中，平均每个月有30.75个账户出现问题，已经不少了；再看2018年1月，单月就有212个账户信息被盗，跟上一年单月相比，直接涨了689%。

情况可以说是很不乐观了。我们发现了这个问题，那就要想一下，这到底怎么发生的？

首先需要承认的是，这跟加密货币市场的关注度激增不无关系。看看Google搜索量就知道了。

比特币在Google上的搜索量

加密货币在Google中的搜索量

不难发现，“比特币”或者“加密货币”的关键词，在2017年底达到了关注度顶峰。更直观一点，比特币这个话题，在Google2017年全年话题排行榜上排第二。

这么多人关注，自然就有更多的人去参与购买。那交易所新开的账户就会更多。多到什么程度呢？我找个图，大家感受一下。

赵长鹏Twitter

币安的CEO赵长鹏在2018年1月4日的时候曾发推文感叹，“实在不好意思，我们先不接受新用户注册了，大家多担待，实在忙不过来了，所有人都在连轴转，我们24小时新增加了25万的用户，要上天了”。

不只币安，几乎所有能叫的上名字的交易所都在接纳蜂拥而至的用户。无形之中，出现问题的概率也大了很多。

分析完环境因素，我们再具体分析一下泄露的那些账户。非常有意思的是，虽然这720个账户来自于全球各地，不过有几个国家问题比较集中。

泄露的账户地域分布

美国的账户泄露问题最严重，有1/3的问题都出在美国，也就是每三个泄露信息的账户中，就有一个是美国人的。紧随其后的俄罗斯和中国大陆。

那为什么美国这个问题最严重呢？

我们发现很多网络罪犯窃取用户信息，是通过僵尸网络来得手的。

这些僵尸网络的IP分散在世界各地，不过，我们找到了他们的主机。有56%的主机是在美国，其次是荷兰，有21%，接着是乌克兰和俄罗斯。主要是因为在美国和荷兰，这些犯罪所需要的基础设施很便宜。

同时，在调查中，我们也发现了几款用来窃取用户信息的软件，比如AZORult，能从浏览器、邮件客户端上窃取用户密码。

为什么你的密码会被轻易地窃取呢？

调查发现，最主要的问题是，在账户验证的时候。现在最广泛使用的验证方法叫“双因子验证”（2FA），简单理解，就是要验证两次，这是相对来讲比较安全的。但是，交易所在用户验证这一关键步骤中，好像并不是特别重视。

用户在登录、交易、取款的时候，

交易所使用双重验证的比例

剑桥大学新型金融研究中心曾经做过调查，在用户登录交易所账户的时候，有3/4的交易所是不强制双重验证的，只有23%的交易所必须要用户验证两次。而在交易的时候，也有65%的交易所可以不用双重验证。这还是主流交易所的表现，更别提其他不知名的交易所了。

但是用户自己就没有责任吗？当然有，孤掌难鸣。

用户使用双重验证的比例

美国马里兰大学和约翰斯·霍普金斯大学联合研究发现，居然有将近1/3的用户从来没有用过双重验证这个东西，只有1/4的用户在任何操作上都使用这种安全的方法。

而且，有些用户不仅懒得验证，连密码这么重要的东西，也是能省则省。

有调查显示，在主流的35家交易所中，有超过70%的交易所是允许用户设置非常不安全的密码的。其中43%的交易所允许用户的密码长度在7位以下，还有34%的交易所允许密码可以不同时包含字母和数字。

这是什么概念呢？如果你懒到家，建了一个密码是“12345”，居然还能通过70%的主流交易所审核。

信息泄露账户的密码长度统计

看到这儿，回想一下自己平常的操作，有没有上述这些危险情况？虽然熊市里，各位的账户资产已经大为缩水，但账户安全还是要讲究下的。

所以这份报告的最后，研究人员也提醒大家，虽然交易所的一些行为你控制不了，但自己要有安全的意识，密码设置复杂一些，不同交易所的密码也不能一样，双重验证一定要记得用。

要保住自己的账户啊，万一比特币又涨回来了呢。

—End—