SHA:成都鏈安：Cashaa錢包336枚BTC被盜事件分析_Smartshare

一、Cashaa被盜幣事件簡述

CoinCrunch在2020年7月10日收到一封投訴信，受害者稱自己在1：23分登錄并進行兩筆交易后，自己的1.06005561BTC被盜。被盜BTC轉進了地址14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek。投訴憑證如下所示：

圖1而后不久，Cashaa公司涉及的總計8個比特幣錢包，共計335.91312085個比特幣被攻擊者通過同樣的手段轉移到同一個地址14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek。事件發生后，Cashaa的CEOKumarGaurav對此次事件做出了回應，聲稱此次事件只是個例，Cashaa其余賬戶的余額仍是安全的，并呼吁各大交易所禁止此次事件的相關地址提現，否則就是『助紂為虐』，幾乎所有的交易所都積極響應了Cashaa的呼吁。根據Cashaa給出的解釋，本次事件是因為一個雇員使用了自己的私人電腦造成的，黑客通過瀏覽器session控制了雇員的電腦，但具體攻擊方式還在調查中。Cashaa公司此前并不允許使用個人電腦，此次員工使用個人電腦是因為雇員設備故障，Cashaa公司考慮到『客戶體驗』于8號為其臨時開通權限。雇員在10號使用電腦操作后，不久336BTC便被盜走。根據線上地址來看，被盜的BTC在轉移過程中還進行了混幣。二、Cashaa被盜幣事件分析

成都鏈安CMO：交易所需建設一套完整的資金內控系統:3月11日晚8點，成都鏈安CMO Adolfo Gao做客“抹茶周三見”時發表觀點：交易所需建設一套完整的資金內控系統，并對每筆資金的出入都應該做好審核和記錄。此外他還指出，關鍵私鑰和轉賬授權的防護也是重中之重。成都鏈安科技是最早專門從事區塊鏈安全的公司，由前海母基金，聯想創投，復星國際，分布式資本等知名企業和創投戰略投資，電子科技大學楊霞教授，郭文生教授，高子揚博士聯合創立。“抹茶周三見”是MXC抹茶推出的一檔AMA活動，不定期邀請重量級嘉賓在周三進行分享。[2020/3/11]

成都鏈安·安全實驗室針對此次事件進行分析，本次涉及BTC是在雇員操作后很短的時間內被盜的，且轉移過程中流入混幣，這說明黑客對區塊鏈技術早有積累，很有可能是相關從業人員或黑產成員。根據Cashaa給出的信息，雇員在8號獲得許可，在10號就遭受攻擊，這太過于巧合，我們相信Cashaa公司在對員工電腦進行臨時授權前，應當是會對員工電腦進行過安全檢查的。這里我們推測這是一起有極高針對性的攻擊，黑客極有可能瞄準Cashaa已久，對公司內部成員和動向都非常了解，才能在這么短的時間內，控制雇員的電腦；但也不排除內部人員配合作案的可能性。

動態 | 成都鏈安: 今日被盜巨鯨用戶可能遭到了持續性攻擊:金色財經消息，今日被曝被盜至少1500BTC和約6萬BCH的大戶可能早就被黑客選為攻擊目標，被盜地址1Edu4yBtfAKwGGsQSa45euTSAG6A2Zbone自2018年1月23日起共收到5423枚BTC，其中絕大數來自長期持有BTC占據大戶榜前50的地址1JsVdtXZHKnuzUihEjCPyRm5EEcxRjWGEh。2019年2月8日，用戶生成了一筆金額為1662.4的巨額utxo并在19年多次使用該筆資金拆出小額進行交易，我們猜測黑客可能通過該地址與1JsVdtXZHKnuzUihEjCPyRm5EEcxRjWGEh的資金聯系等確認了用戶的身份，黑客可能在19年就確定了目標并進行了持久化的社會工程學攻擊。攻擊者在攻擊得手后立刻開始了混幣和資金轉移，值得注意的是攻擊者用于拆分資金的兩個地址之一在19年頗為活躍，經成都鏈安AMl系統分析發現其中部分資金來自幣安等交易所，這些交易所可能有相關提幣記錄，成都鏈安正在跟蹤這一線索。[2020/2/22]

動態 | 成都鏈安推出Beosin-AML虛擬資產調查取證和反洗錢合規系統:為幫助虛擬資產服務商（VASP）監測交易風險、執行反洗錢合規程序，幫助監管部門監督VASP合規流程執行情況，幫助執法部門快速收集虛擬資產犯罪案件證據，為受害者提供技術協助，成都鏈安科技推出可視化的虛擬資產合規監測和調查取證分析系統Beosin-AML。系統上線技術援助服務，受害者被盜幣或不慎參與了跑路盤、資金盤等非法項目后，可在網站提交相關信息，平臺開展調查、分析和追蹤等取證服務。成都鏈安Beosin-AML虛擬資產調查取證和反洗錢合規系統，采集鏈上交易數據，分析加密貨幣犯罪和安全事件，結合機器學習模型綜合分析鏈上交易的合規和安全風險。幫助區塊鏈行業建立合法、合規的應用生態。[2019/12/10]

針對于目前掌握到的信息，我們推測有兩種可能性：攻擊者是專業從事相關黑產的團伙，其瞄準Cashaa已久，掌握著公司相關人員信息和網絡管理制度，通過傳統攻擊手段持續性的對公司人員的信息設備進行攻擊，或已掌握部分系統的權限，此次攻擊是建立在前期攻擊基礎上進行的。公司內部有相關人員配合作案，將公司信息泄露給了攻擊實施者，再針對性的配合社工手段進行攻擊，拿到雇員電腦權限。三、安全建議

針對此次事件，成都鏈安呼吁各大交易所和錢包服務商，『千里之堤毀于蟻穴』。網絡安全建設是一個面，任何薄弱點都能可能成為擊垮堤壩的『蟻穴』。1、從交易所出發：服務器層、網絡層、終端層、智能合約層、業務層、安全管理制度等各個層面的安全都不可或缺；一旦出現短板，即使其他方面做的再好，也無濟于事。2、『安全』永遠是一個博弈的過程，沒有攻不破的系統。隨著技術的不斷發展，原先所謂『安全』的系統也會變得不安全，因此與第三方安全公司建立持續的合作關系也是不可或缺的。3、對于安全體系來講，人往往是最薄弱的環境，隨時存在『違規操作』的可能性，加強員工的信息安全意識，切實實施良好的安全管理制度可以規避很大的風險。4、『亡羊補牢，為時不晚』。在遭受黑客攻擊后，交易所應第一時間向專業的安全公司尋求幫助，追蹤資金動向，盡可能將公司的損失降到最低。

Tags：ASHCASCashaaSHABitStashPanda CashSmartshare

以太坊交易