**加密货币买卖所币安 8 日发作黑客攻击，损失 7000 枚比特币，价值约达 4100 万美元。这是币安建立以来发生的第三次重大平安事故，且这次更直接重创币安自身。

只管损失金额应不至于袭击营运，但其 CEO 赵长鹏曾在已往采访中对 DeepTech 透露，币安拥有 16 层平安机制。那么，为何仍挡不住黑客？

币安是一样平常公认全球按买卖量计**的加密货币买卖所，而这是继去年 3 月、7 月分别传出黑客攻击事宜后，外界所知的币安自建立以来发生的第三次重大平安事故。

差其余是，前两次币安事后均未宣布自身实质损失，而这次则是一次损失 4100 万美元。

以币安一年赢利至少数亿美元而言，这一损失应不足以对其营运发生袭击，真正袭击的，是行业与用户对币安的品牌、及其平安手艺的信心。

图｜币安买卖所创始人兼 CEO 赵长鹏（泉源：Binance）

去年币安买卖所创始人兼 CEO 赵长鹏曾在接受 DeepTech 专访时示意，”平安”是币安最焦点的两大优势之一。他说，”我们在速率上有**的优势，另外就是平安上一直异常稳固，这两块是币安很焦点的优势。”

那时他就向 DeepTech 直言，币安”**是黑客**的攻击目的”。据其指出，币安建立以来不停遭受大量攻击，有些时刻运气好可以几天不被攻击，但欠好的时刻，一天被攻击次数甚至多达 10 次、20 次，且攻击力道异常凶猛。

而这次事宜是在北京时间 5 月 8 日凌晨，赵长鹏通过推特示意，币安需要举行一些计划外的服务器维护，这将影响到资金的存取，约连续几个小时，但不会影响到买卖。并示意人人不必惊慌（No Need to FUD），资金是平安的（funds are #safu）。

几小时后，币安发布通告称，北京时间凌晨 3 点左右，其发现了买卖所存在大规模的平安破绽（large scale security breach）。恶意攻击者（maliciousactors）使用了一系列手艺手段：钓鱼、病毒以及其他攻击方式，获取了用户的 API 密钥、二步验证码以及”潜在的其他信息”（potentialother info）。

据区块浏览器 Blockchain.com 上一段买卖纪录，黑客从中盗取了 7000 枚比特币，价值约 4100 万美元。

该通告进一步指出，可能另有一些受影响的账户尚未被识别到。此次破绽仅影响到了币安热钱包中的比特币，大约占其持有的比特币总量的 2%，且以上买卖是唯一受影响的买卖。

通告显示，该笔买卖完成后触发了系统内部警报，随后币安马上住手了所有的提现。在接下来的一个周中，币安将举行”周全的平安检查”，资金的存取都将被暂停，而买卖将会继续。不外赵长鹏在通告中有忠告用户”黑客仍有可能控制部门账户”。

“我们所有的其他钱包都是平安无损的，”赵长鹏在币安的通告中如是说道，他进一步填补，”黑客们耐心地举行守候，并在适当的时机以多个看似自力的账户，实行了准备充分的偷窃。该笔买卖的结构通过了我们现有平安系统的检测。很不幸的是，我们并没有能在事发前顺遂阻断这笔买卖。”

16 层防护失灵，黑客如何渗透币安？

“没能在事发前顺遂阻断这笔买卖”，事实意味币安的平安机制泛起了什么水平的失灵呢？

赵长鹏曾透露，币何在平安机制设计上有 16 层防护，”目前为止（指受访那时）最多只被攻击触及到第 3 层”。这 16 层防护分成许多差别维度，包罗营业平安、物理平安、网络平安等，每个维度再进一步分层，以是总计自我定义出16 层。

理想上，是在外来攻击**渗透第 1 层、第 2 层的时刻，币安就能够察觉并加以处置。但此次攻击事宜说明，币安的平安机制虽多达 16层，但仍有可渗透攻击的破绽。

据区块链平安公司北京链安对媒体分析，币安此次失贼可能是由于内网遭受黑客的历久 APT 渗透，而非单个或者批量用户被钓鱼病毒入侵导致，且被盗的 7000 多个比特币散落在 40 多个黑客控制的钱包地址当中，并没有发生转移。

另一区块链平安公司 Peckshield 随后跟进称，共有 7074 枚比特币失贼，其被存储于 20 个主要地址中，并未进一步扩散。

成都链安深度分析后以为，黑客是通过 API 接口在同一时间发起了提币操作，而用户的 API key 和 Secret key 可能泄露，由于有些用户可能没有设置对 IP 的限制和开放提现功效的限制，因而黑客得以绕过验证码、短信和二步验证码等平安措施提现。

成都链安还进一步指出了用户泄露信息的可能途径：

1、普通用户一样平常不会使用 APIkey，一样平常是**用户用于代码中实现自动化买卖，可能是用户源码泄露导致 API Secret key 泄露；

2、用户被钓鱼攻击，输入了 APIkey 和 Secret key 被黑客截取；

3、用户的 API key 和 Secret key 保留的电脑被攻击窃取；

4、币安买卖所系统缘故原由导致用户 APIkey 和 Secret key 泄露，其中只有 71 个用户开放了提现功效，被盗币。

据赵长鹏示意，包罗 Coinbase 在内的一众买卖所示意，会将可能的黑客地址拉入黑名单，以阻止其将资金存入其余买卖所。赵长鹏在推特上@了 Coinbase，并对包罗 Coinbase 以及其他买卖所在内的偕行示意了谢谢。

如何赔付相关损失？

关于用户损失的赔付方面，通告指出，其将使用”用户资产平安基金”（SecureAsset Fund for Users, 又称 SAFU）来赔付用户损失。该基金建立于 2018 年 7 月 3 日，资金泉源是客户买卖手续费的 10% 的划转，其建立初衷在于在极端情况下（in extreme cases）珍爱币安的用户。该基金的相关资金都存储在币安的冷钱包中。

一些业内人士在事发后立刻示意愿给予币安资金支持，不外赵长鹏在推特上予以婉谢，示意币安谢谢各路人士和机构的支持，但币安有足够的资金来赔付客户的损失。

他说，币安只是受损了，但并没有停业（We’re hurt，but not broke）。并进一步示意，币安的慈善事业仍在推进，若是想要资助的话，可以思量下资助慈善项目（Our Charity efforts will continue, please consider to donate to those）。

不外有媒体估算，币安 SAFU 基金建立至今共约 10 个月时间，累积金额应不到 2000 万美元，远低于此次损失的 4100 万美元。若此一估算为真，则 SAFU 或不足以赔付此次用户的损失。

一度思量区块回滚填补损失

另外，值得注意的是，据赵长鹏在推特所言，他曾一度思量接纳区块回滚来填补损失。

从推特相关讨论来看，有网友自动建议币安接纳区块回滚的方式来填补损失，比特币焦点开发者 Jeremy Rubin 也在推特上向赵长鹏提出了类似建议，赵长鹏回应称将郑重思量这一建议，而 Primitive Venture 的合伙人 Dovey Wan 则示意其在询问了一些大的矿池后发现这并非一个可行的方案。

不久后，赵长鹏在推特上示意，经由同包罗 Jeremy Rubin 、Prestwich、Bcmakes、Hasufl 以及吴忌寒等在内的多方讨论后，币安决议不采取回滚区块的方式来填补损失。并枚举了若是接纳回滚区块的方式后，其带来的优瑕玷。

据他指出，优点包罗：1. 我们可能通过给予矿工费用来”抨击”黑客；2. 阻止未来可能的黑客攻击；3. 探索比特币网络如何应对这类问题的可能性。

而瑕玷则包罗：1. 破坏了比特币网络的公信力；2. 造成比特币网络和社区的盘据。这些危险跨越 4000 万美元。3. 黑客证明了我们的设计以及用户间存在的弱点，而这在以前是不明显的。4. 只管这对我们来说是个昂贵的教训，但它不仅是个教训。保证用户的资金平安更是我们的责任。

只管赵长鹏很快示意放弃此一方案，但相关讨论已带来大量争议。由于，此一方案若真的付诸实行，无论乐成与否，对于加密货币去中心化的精神都是一大袭击。

不外，相较于去年 3 月，币安遭遇黑客攻击后，引发市场恐慌效应，比特币在不到 2 小时内就大跌了 1,000 美元。本次加密货币市场反应则是相当清淡。

停止 8 日下昼发稿时间，除了币安币（BNB）在已往 24 小时录得约 6% 的跌幅，市值前十名的其他币种虽普遍下跌，但幅度并不大，比特币仅录得 0.55% 的跌幅。