針對此次UpBit交易所被盜ETH被盜事件,成都鏈安安全團隊分析稱,UpBit交易所被盜有可能是存儲熱錢包私鑰的服務器受到攻擊導致私鑰被盜,或者是交易簽名服務器受到攻擊,而不是控制熱錢包API轉賬的服務器被黑。
從轉賬的交易(hash為0xa09871A******43c029)來看,該黑客或團伙是一次性轉走當時賬戶裡所有的錢,並沒有做多餘的操作,後續又有用戶充值大約4700左右的eth進UpBit交易所,現交易所已將該筆資產轉移至交易所控制的地址0x267F7*******0a8E319c72CEff5。
從目前已知的情況看,UpBit交易所可能遭到魚叉釣魚郵件、水坑等攻擊手法,獲取到交易所內部員工甚至高管的PC權限後實施的進一步攻擊。並且有消息報導曾有朝鮮黑客於5月28日使用網絡釣魚手法通過電子郵件向Upbit交易所用戶發送釣魚郵件進行網絡攻擊。
成都鏈安提醒廣大項目方:
1、應做好私鑰的儲存,來源不明、目的不明的郵件盡可能不要點擊;
2、員工個人PC安裝主流的殺毒軟件,加強內部員工的安全意識培訓,建議找可靠的第三方安全公司進行內網防護加固。
3、對於私鑰儲存服務器建議分派專人運維。
可以採取有效的防護措施:
1、重寫服務器的命令,比如黑客常用的history、cat等命令,並開發腳本進行持續監控,如果有運行敏感的命令推送提醒,運維人員只需要維護重寫命令後的新命令即可。
2、完善本身的資金風控系統,及時進行報警,和交易阻斷,防止大額損失。