本節將分析最常見的黑客攻擊策略，并編匯收集被公開發布過的關于安全問題的信息，以及羅列出存在記錄的黑客事件清單。清單上的全部內容都來源于可靠新聞并附有來源注釋。這些信息將有助于加密貨幣持有用戶和交易平臺制定交易系統防御措施，以反抗黑客攻擊。

黑客攻擊方法

與人們的普遍認知相反，絕大多數黑客攻擊都是以社會工程 （social engineering）的形式完成的。Social engineering 是指利用欺騙手段來操縱個人，使其無意間泄露可以被用于欺詐目的的機密或個人信息。下面提供的交易黑客攻擊列表將證明，黑客繞過系統制定的安全措施的方法通常都是以這種手段實現的，實際上很少需要使用中斷加密的方法。一些 social engineer-ing 黑客的普遍形式是：

手機/電子信箱劫持； 通常情況下，黑客利用從社交媒體檢索到的個人信息，冒充目標，并從受害人的移動電話運營商獲得新的手機 SIM 卡，或者重設受害人電子信箱密碼。這就使得黑客能夠訪問所有類型的賬號、獲得各式各樣的信息，而黑客所盜取的信息中，就有可能包含加密貨幣交易所員工的信息。

網絡釣魚; 作為迄今為止最常見的盜取他人賬戶的方式，許多人都采取了防范措施，或者受到賬戶平臺的反釣魚保護。然而在 2014 年 7 月，這種釣魚技術被成功用于從 Cryptsy 竊取 950 萬美金 （見下文）。網絡釣魚經常要求人們在看上去合法合規的網站上登錄他們的賬戶，從而獲取登陸數據。鑒于釣魚網站和釣魚郵件的無處不在，有人在一個漫不經心的時刻上當受騙只是時間問題。

惡意軟件; 2015 年 1 月，多名比特股員工被騙將惡意軟件下載到了他們的工作電腦上，損失共計 520 萬美元。該技術還會利用目標的興趣愛好來誘使他們下載惡意軟件。

防御 social engineering 黑客; 世界上極少有數據庫是沒有經過加密的。由于中斷此類加密是幾乎不可能的，因此攻擊這些數據庫就必須要致力于獲取用于解密數據庫的私鑰或者密碼。因此，大多數交易所被黑只可能是由于糟糕的信息安全協議導致的。大多數情況下，包含交易所客戶全部私鑰的加密數據庫密碼只掌握在幾個關鍵員工手中，這些員工就可以成為低成本 social engineering 攻擊的目標。這種類型的數據泄漏不僅在中心化系統中非常常見，而且也是造成系統最大損失的關鍵點。

總結性地說，加密貨幣本身很少被黑，但是它們的核心協議或者共識機制卻是有可能受到損害的。這幾乎總是設計不當的共識機制和中心化系

統的最終結局——人為失誤造成的嚴重損失。

從下面列出的黑客攻擊、下圖中的錢包客戶端和去中心化私鑰系統的情況可以推斷，將資產存儲在離線冷錢包里以及多簽名身份驗證，是最重要的黑客資金盜取防御措施。

交易所黑客攻擊事件時間線

2011 年 6 月 Mt. Gox，875 萬美金;

早期規模最大、最重要的加密貨幣交易所，同時也是第一個已知的加密貨幣交易所黑客受害者。這起事故的原因——我們必須假設——是由于其低標準的安全措施導致的。當時總部位于日本的 Mt. Gox 沒有使用任何一種版本控制軟件，這意味著任何一位程序員都可能出于意外而撤銷同事的全部工作，如果他們恰好在同一個文件上編輯代碼。就在黑客攻擊前不久，比特幣交易所引入了一個新測試環境，因此舊版本的軟件更改已經被推送到交易所客戶，并處于未經測試的狀態。

2011 年 10 月 Bitcoin7，5 萬 美 金;

Bitcoin7—— 當 時 全 球 第 三 大BTC/USD 交易所——成為了俄羅斯黑客組織的目標。10月 5 日，該交易所網站向用戶發布了一條信息，稱“攻擊本身不是僅僅針對 bitcoin7.com 服務器，而是對于屬于同一網絡的其他網站和服務器也都采取了行動。最終黑客們成功突破了整個網絡，并導致隨后對 bitcoin7.com 網站的嚴重破壞。”最初的突破無論發生在哪個層面，都能讓黑客們接觸到網站的熱錢包。黑客攻擊后不久，Bitcoin7 便永遠地關門大吉了。

2012 年 3 月 Bitcoinica，22.8 萬美金;

Bitcoinica 是利用名為 Linode 的網絡主機發動黑客攻擊的最突出受害者之一。Bitcoinica 的CEO周同在最初表示損失了1萬枚BTC后，向Ars Technica承認實際上丟失了 4.3554 萬枚比特幣，所有這些幣全都存放在 Linode 服務器上的未加密熱錢包里。

2012 年 5 月 Bitcoinica，8.7 萬美金;

第一次黑客攻擊后 10 周，Bitcoinica又一次被盜取了一筆資金。這一次不僅是丟失比特幣，甚至 Bitcoinica 用戶數據庫也遭到嚴重破壞。姓名、電子信箱地址、密碼和其他敏感數據全部被盜，盡管這些信息被存儲在具有不同加密方案的獨立數據中心的獨立服務器上。

2012 年 7 月 Bitcoinica，30 萬美金;

第三次攻擊令 Bitcoinica 再次丟失了客觀數量的比特幣。然而，關于黑客是內部監守自盜的傳言永遠無法被證實。

2012 年 9 月 Bitfloor，25 萬美金;

截至 2012 年 9 月，總部位于紐約的Bitfloor 是以美元做交易的第四大交易所。在攻擊中，黑客獲得了交易所錢包密鑰的未加密備份。此備份是在 Bitfloor創始人 Roman Shtylman 進行手動升級并將數據存入磁盤上的未加密分區是創建的。被泄露的錢包鑰匙被用于清空Bitfloor 上的大量熱錢包。

2013 年 5 月 ? Vircurex，16 萬美金;

一個人為錯誤導致了 1454 枚 BTC，225.263 枚 TRC 和 23.400 枚 LTC 被盜。根據 2013 年 5 月Vircurex 的報告，黑客獲得了他們托管服務商的 VPS 控制賬戶的登錄憑據，然后成功請求到了所有服務器的重置根密碼。

2013 年 6 月 ? Picostocks，13 萬美金;

6 月 10 日，Picostocks 的發言人在bitcointalk.org 論壇上透露，多個賬戶是使用相同的密碼操作的，這就給黑客提供了進入交易所錢包的許可。

2013 年 11 月 ? Picostocks，300 萬美金;

同年 11 月，Picostocks 又被盜取了一筆大得多的金額。由于此次被黑的一部分錢包是冷錢包，無法被通過互聯網訪問，因此黑客有可能是內部人員。

2014 年 2 月 ? Mt. Gox，4.6 億美金;

這是有史以來第二大的加密貨幣交易所黑客攻擊。鑒于相對較小的加密貨幣市場，這是影響力最大的攻擊事件。“危機戰略草案”中顯示，黑客多年以來一直在利用同一個 bug 針對該公司進行研究。“危機戰略草案”泄露后，Mt. Gox 承認損失了 4.6 億美元 。來自該公司內部的事后資料報告稱，他們曾經使用的源代碼可以說是“一塌糊涂”。自 2011 年 6 月的黑客攻擊以來，Mt. Gox 的安全措施似乎并沒有得到充分加強。

2014 年 3 月 ? Cryptorush，57 萬美金;

BlackCoin 發布了他們區塊鏈的一個新分叉，其中產生了一個 bug 使得 BlackCoin 的所有者能夠兌現幣他們實際擁有的資金更大的金額。官方聲明的副本現保存在 bitcointalk.org 論壇上。

2014 年 3 月 ? Poloniex，6.4 萬美金;

一個類似的 bug，利用交易被安排發生在同一時刻，從而提取多于超過錢包內實際存儲的金額，以達到從 Poloniex 上盜取資金的目的。

2014 年 3 月 ? Flexcoin，，60 萬美金;

在對加密貨幣存儲服務提供商進行攻擊后，所有的熱錢包全部被清空。黑客進入 Flexcoin 系統的手段，目前尚不清楚。

2014 年 7 月 ? Cryptsy，950 萬美金;

這一嚴重的黑客攻擊事件，直到發生兩年后該公司宣布破產的時候才被公開。在最初針對技術問題的一番指責過后，Cryptsy 據稱在破產前成為了網絡釣魚的攻擊目標，并被迫暫停了交易。

2014 年 8 月 ? BTER，165 萬美金;

盡管 BTER 通過談判，使黑客歸還了部分被盜資金而減少了他們的損失，但一位開發者聲稱問題完全在于交易所本身，而黑客攻擊造成的損失本身是可以避免的。

2014 年 10 月 ? Mintpal，130 萬美金;

Mintpal 的黑客攻擊情況以及其隨后的破產原因依然不清楚。2017 年，Ryan Kennedy 因欺詐和洗錢罪名被帶到英國法院，并在黑客攻擊后得到了交易所，這引起了人們對其內部人員的懷疑。

2015 年 1 月 ? 796Exchange，23 萬美金;

即使將服務器遷移到高度安全的云端站點，也無法保護當時交易量最大的交易所避免被黑客成功攻擊。在發現了系統弱點之后，黑客們能夠欺騙客服部門，讓他們把比特幣發送到錯誤的錢包里。796Exchange的總裁 Nelson Yu 告訴 cointelegraph.com，” 準確地說，錢包系統在這次事件中一點也不受影響。資金盜取發生在基金的交易過程中。”

2015 年 1 月 ? Bitstamp，520 萬美金;

2015 年的 Bitstamp 黑客劫案是眾多復雜的網絡釣魚攻擊中一個很好的例子。多個員工被鎖定，并通過利用他們的興趣愛好信息被誘騙下載惡意軟件。通過這種手段，攻擊者獲得了對兩個服務器的訪問權，其中包含 Bitstamp 熱錢包的密碼。

2015 年 2 月 ? BTER，175 萬美元;

黑客針對 BTER 的第二次攻擊尤為重要，因為這次他們襲擊的目標是 BTER 的冷錢包。他們是如何做到這一點的，至今仍然是個謎。

2016 年 4 月 ? Shapeshift，23 萬美金;

Shapeshift 的黑客攻擊時為數不多的，可以追溯到該公司一名員工的黑客攻擊之一。在盜取了 13 萬美金之后，他們把敏感信息賣給了一名黑客。據信，黑客制造了第二筆盜竊，金額為 10 萬美金。

2016 年 5 月 ? Gatecoin，214 萬美金;

這次黑客攻擊是一個久經考驗的策略的轉折點。攻擊者似乎改寫了系統，使其將存款轉賬儲存在熱錢包中，而不是應該存放的冷錢包中，以此增加了后來被盜走的金額。

2016 年 8 月 ? Bitfinex，7 千 7 百萬美金;

Bitfinex 使用 BitGo 的多簽名錢包系統，被許多人認為是極其安全的。然而，黑客一定是設法獲得了私人錢包的鑰匙以及 BitGo 的 API 的關鍵點，直到今天仍然留下了許多關于攻擊性質和過程的問題。

2017 年 2 月 ? Bithump，1 百萬美金;

黑客成功地獲取了超過 3 萬名Bithump 用戶的個人信息。數據泄露是該公司一名員工的私人電腦被黑客攻擊的結果。然后，這些信息被用來進行欺詐通話，以竊取用戶的身份驗證代碼。

2017 年 4 月 ? Youbit，530 萬美金;

之后被稱為”Yapizon” 的韓國交易所的四個熱錢包被成功攻擊并清空。被盜金額相當于公司總資產的 36%。

2017 年 2 月 ? Youbit， “全部資產的 17%”;

在 Youbit 發生的第二起黑客搶劫案迫使交易所宣布破產。這兩起襲擊事件都是鄰國朝鮮的間諜機構所為，但這些說法無法核實。

2018 年 1 月 ? Coincheck，5 億美金;

由于安全手段不足，Coincheck 成為了這一大規模黑客搶劫案的輕松目標。交易所不進將其客戶的資產存儲在熱錢包中，而且也沒有用已經成為行業標準的多簽名身份驗證起來保護這些錢包。

2018 年 2 月 ? Bitgrail，1.87 億美金;

人們對意大利 Bitgrail 在今年 2 月向當局提交的黑客攻擊了解甚少。根據交易所自己的說法，造成損失的具體日期甚至無法確定。自然地，對 Francesco Firano 本人作為 CEO 策劃盜竊資金的指控不斷上升，但是沒有任何證據可以證明這一點。Firano 試圖將責任推卸給BitGrail 使用的 Nano 令牌區塊鏈背后的開發者。

2018 年 6 月 ? Coinrail，4 千萬美金;

Coinrail 時另一個在被黑客攻擊后不得不關閉的交易所。盡管該公司 70% 的資產都存放于冷錢包中，但黑客仍然盜走了 4 千萬美金。這一事件標志著韓國交易所在幾個月內第三次被黑客攻擊，這意味著加密貨幣交易所黑客們集中在亞洲。

2018 年 9 月 ? Zaif，6 千萬美金;

總部設在日本的 Zaif 措手不及，因為黑客從他們的熱錢包偷走了 6 千萬美金。該公司只有通過與Fisco 合作才能生存，而 Fisco 制服了 4.45 億美金的被盜金額，以獲得交易所股權的大部分份額。

加密貨幣交易所黑客攻擊損失金額總量。

總結

通過觀察這些黑客，可以總結出一些有趣的信息：

1. 大多數成功攻擊的加密貨幣交易所的事件，發生在總部設于亞洲的公司身上。

2. 上面提到的絕大多數黑客攻擊的都是被集中管理的熱錢包。

3. 被列舉的許多攻擊事件都是由于人為錯誤導致的，即數據未在加密情況下存儲、更新在沒有質量保證的情況下推送、偽裝成客戶的黑客沒有被發現，或者交易所員工成為網絡釣魚目標。

通過使用客戶端錢包，和在私鑰上進行多重簽名身份驗證，真正的去中心化加密貨幣交易所大大降低此類黑客攻擊成功的可能性。除此之外，這也讓公司員工更加難以實現從內部挪用資金。