区块链安全事件回顾：Bitfinex被黑

今天我们来说说发生在2016年8月的比特币交易所Bitfinex的黑客事件。

Bitfinex 是交易比特币、以太币和莱特币等数字货币的最大交易所之一。 在黑客窃取了价值约 6500 万美元的比特币后，比特币价格暴跌。

根据 Bitfinex 在 8 月 2 日凌晨发布的公告，该交易所在发现安全漏洞后停止了交易。

Bitfinex 社区和产品开发总监 Zane Tackett 证实，有 119,756 个比特币（价值约 6200 万美元）被黑客窃取，该公司已经知道系统是如何被破坏的。 截至东京时间8月3日下午2点30分，比特币兑美元的价格下跌了5.5%，这意味着比特币在两天内的跌幅已经达到了13%。 比特币价格周一（8 月 1 日）下跌 6.2%，但尚不清楚周一的下跌是否与黑客攻击有关。

从Bitfinex公布的信息来看，其最大的漏洞在于热钱包安全机制。 Bitfinex 选择了一家名为 BitGo 的安全平台公司。 该公司为用户的热钱包采用多重签名机制，以实现用户BTC的安全存储。但首先需要假设Bitfinex向BitGo发送的所有指令都是正确且安全的，所以它很有可能是Bitfinex在发送指令的过程中出现了问题

Bitfinex 采用多重签名安全技术架构。 一般交易所往往采用“单一签名”的记账方式。 此外，Bitfinex 平台本身还管理着另一个“签名”。 这些签名的密钥分散在多台服务器上，连夜被盗。 “这么多服务器，没有内部支持很难做到。”上述高层人士表示。

其次，Bitfinex 采用“热存储”/“热钱包”的方式。 这大大增加了用户密钥暴露在网络中的可能性，甚至100%在线，跨账户时始终在线，给黑客更多的窃取机会。 一般其他平台主要使用“冷钱包”，即大多将比特币离线保存。

数字货币钱包有两种类型：冷钱包和热钱包。 冷钱包也可以称为离线钱包，热钱包可以称为联网钱包。

什么是冷钱包

比特币钱包冷存储是指一种让钱包保持离线状态的方法。 具体来说，玩家在离线计算机上生成比特币地址和私钥并确保它们的安全。 以后挖矿或者在交易平台上获得的比特币都可以发送到这个离线生成的比特币地址。 这台离线计算机生成的私钥永远不会出现在其他在线终端或网络上。

为什么要使用冷库？ 使用比特币钱包冷存储技术主要是出于安全考虑。

举两个例子：

1. 一位超级富有的比特币用户想要确保他的比特币钱包绝对安全。 即使电脑被黑了，黑客仍然无法得到比特币私钥。 这样一来，这个大账就必须要用到冷库技术。 他离线生成几对比特币地址和私钥作为冷库钱包。 所有需要存储的比特币都将在未来发送到这些地址。 这初步保证了比特币的安全性。

2、一个比特币交易平台每天都有庞大的比特币用户群，用户在平台上拥有数以万计的比特币。 为了保证这些比特币的安全，交易平台的管理人员每天定时将存放在主机服务器上的比特币放入冷库钱包中。 并且服务器上只存储少量比特币以应对正常的取款请求，这样即使黑客入侵交易平台主机也无法获取用户存储的比特币。

通过以上案例，我们可以知道，使用比特币冷存储技术可以避免大部分损失。 比特币交易平台OKCoin一直采用冷存储，所有比特币都存储在线下账户中。 当平台收到用户比特币充币时黑客为什么不入侵比特币，会直接发送到OKCoin的线下账户。 每个用户的充值地址都不一样。

Bitfinex丢币事件提醒我们要守住钱包——这个比特币交易平台的核心。 随着比特币行业的快速发展，安全问题变得越来越重要。 Bitfinex 盗窃事件导致 12 万枚比特币丢失，用户损失巨大黑客为什么不入侵比特币，成为自 2014 年日本 Mt.Gox 事件以来最严重的比特币损失案件。Mt.Go 损失 3.5 亿美元，744,408 BTC，最终倒闭。 虽然这次安全漏洞事件表明Bitfinex设置的自动化机制在一定程度上也失效了，但我们希望看到事件后续能有积极的进展，对行业产生积极的影响； 我们希望 Bitfinex 不会重蹈 Mt.Gox 的覆辙希望业界的安全问题一直响个不停。