「Web3大西進」是交易所XREX與區塊鏈媒體《Web3+》共同聯名製作的Podcast節目,將以深入淺出的方式解說區塊鏈。
節目由XREX執行長黃耀文擔任主持人,在每一集的節目中,都會有他最犀利的觀察、評論。「Web3大西進」固定每雙週一於《數位時代》Podcast頻道更新,千萬不要錯過。每雙週一於《數位時代》Podcast頻道更新,千萬不要錯過。
🔥每日精選最重要區塊鏈新聞、第一手採訪 👉歡迎加入《Web3+》官方Telegram
延續上一集「Web3大西進」邀請 XREX 資安長 Sun Huang 分享,直接從大家最感興趣的金流分析開始,了解一家交易所應該具備哪方面的資安、金流監控與反洗錢能力,才能稱得上是一家安全的交易所?
擁有超過 15 年的資安資歷的 Sun,從 Web1 一路走到了 Web3,目前除了帶領 XREX 資安團隊做好交易所的防禦與攻擊,所創辦的資安社群 DeFiHackLabs 目前有上百位來自全球的白帽駭客與上千位社群成員,共享 Web3 資安知識培養更多專業人員。
Podcast重點精華
Q:交易所能為用戶提供第二道防線嗎?
當一個使用者被詐騙,想要把錢匯給詐騙平台,或是手機、密碼已經被偷了,其實不見得會有損失,這時候可以看交易所如何去做第二道防線。
XREX在提高使用者帳戶的安全上有幾個要點可以分享:
第一點:用戶帳號的安全檢查
我們可以去看用戶註冊所使用的email,過去有沒有密碼洩漏的問題,是否曾經被曝光到其他地方。
假設某個電商網站被駭,其實很多駭客組織手上就已經有用戶所註冊的email,所以如果用同樣的email、密碼註冊交易所,就算密碼強度很強,但終究在網路上曝光過,那XREX會給予警示不接受這一組email跟密碼。
第二點:與金流有關的交易,強制開啟2FA雙重驗證
現在如果使用交易所的話,大部分交易所其實都會要求開啟「2FA雙重驗證」機制,例如用戶提款的時候。
最有名的應該就是Google Authenticator這個App,它可以很快速的產生一次性的驗證碼,也就是說,除了自己的帳號跟密碼之外,要另外再輸入這個一次性的驗證碼,用意是加強帳號的安全性,因為有些人可能已經偷到了你的帳號跟密碼資料,可是他沒有你的手機,那他就沒有辦法取得你這個一次性的驗證碼。
現在有些人會把這個App同步到雲端,這是Google Authenticator最近出的新功能,Sun非常的建議不要開啟,因為非常危險。Google本來的用意是要防止當一個用戶手機掉了,可以透過Google帳號去還原,但是如果今天換作Google帳號被盜,那就意味著攻擊者也有你的驗證碼,某種程度上就增加了被盜的風險。
第三點:針對用戶的帳號行為做風險評估
以XREX交易所來說,會去看用戶登陸的IP國家有沒有變動,在可疑情況出現,可能會將用戶帳號臨時凍結,同時通知用戶去做授權,像是在台灣登入Gmail,某天到印度旅行,在印度登入Gmail,也會要求再次驗證身分的概念。
除了登入位置變化,也包括用戶交易行為、交易量,如果突然變化,也會被偵測到。今天假設用戶提幣數量與頻率可能與平常大不相同,而且交互地址是第一次出現,XREX就會視為可能有風險,可以在某一些重點的功能去幫用戶去做卡關。
Q:有哪些追蹤金流的案例可以分享?
目前其實很少人出來分享相關故事,Sun針對AML反洗錢分析這一塊來分享。交易所的角度去看,可以分成入金跟出金兩塊分開來看。
出金
比如說今天你的帳號密碼被駭了,駭客登入你的帳號後要出金,把所有的比特幣轉到這個駭客組織的錢包,可是這個組織的錢包,很有可能已經被XREX在使用這個反洗錢的工具與廠商掌握到,在這個駭客登入帳號並申請出金的時候,系統就會測到,這個時候XREX會警示,並暫時凍結你的帳號,因為這時並不確定是用戶真的要出金還是用戶帳號已經被駭客入侵。
入金
常常會有用戶會買到高風險的幣,尤其是點對點(P2P)交易,可能是買到北韓賣出來的幣、俄羅斯流出來的幣,或者是駭客去駭了去中心化協議轉賣出來的幣。
當用戶把這些幣存到我們交易所的時候,如果說配合的這些反洗錢組織跟技術能夠測得到的話,XREX可能會給一個高風險的提示,如果偵測不到,當用戶存到交易所的同時,國際的檢調單位常常也會很快就追過來,這個是入金會產生的風險。
Q:從可疑行為或違法行為的角度來看,要如何洗幣?
洗幣可以簡單歸納成3個階段:
第一階段:資金多次轉移
在這個階段,所盜取的資金的會經過多次的轉移,然後分散到多個錢包,目的為混淆資金來源和所有者,增加追蹤的難度。
第二階段:混幣階段
這時進入到混幣階段,駭客會通過不同的方式去進行混幣,消除他們的交易紀錄或是來源,舉例來說,今天我把比特幣換成以太幣,然後把以太幣換成solana,再換回比特幣。
有一個很知名平臺Tornado Cash,概念就是大家把幣放進去,比如說A放進去的幣,那今天A要領出來,A就拿B的錢出來的概念,而且A可以去設定,比如現在放進去,3天後才會領。
第三階段:套現
最後一個階段就是套現,駭客會將混出來的幣變現,也就是變成法幣。
Q:在洗幣3階段中,有什麼真實的案例可以分享?
Sun分享一個案例,去年Axie Infinity側鏈Ronin被駭,損失金額大概是6.2億美金,竊取了17萬顆以太幣,2500多萬顆USDC,從分析報告中可以將洗幣流程分為兩次。
第一次
先把2500多萬顆的usdc到去中心化平台換成八千多顆的以太幣,再把6000多顆的以太幣打到火幣、FTX 、crypto.com等交易所,並在交易所換成比特幣提出去,再經過一層混幣。
第二次
第二次稍微複雜,駭客將17萬顆以太幣打到Tornado Cash,洗出來的以太幣跨鏈再換成比特幣,比特幣經過兩次的混幣器最後去套現。
針對這個事件,美國的執法部門在去年說他們追回了300萬美金,那目前應該有追回多一點,所以基本上如果有足夠的技術跟好的工具,其實這些行為都是很透明的。
可以發現最後洗幣的斷點都在現金,換成現金就沒辦法追了,但是他們一定要換成現金,因為要用到錢,所以這方面和銀行、監管單位,還有法治制單位的合作是非常的重要。
Q:Sun為什麼從網路時代的web1到web2,最後進入web3的資安領域?
原因一:發現比特幣被拿來當贖金
2013年CryptoLocker勒索軟體爆發,一旦用戶上鉤後,電腦的所有的檔案會被加密,並要求你支付比特幣當贖金來解密。
原因二:北韓國家隊大規模瞄準crypto產業
北韓組織轉向到加密貨幣產業,所以Sun也就跟著在加密貨幣產業追蹤。
其實駭客轉向也可以看得出來,第一個是使用者越來越多,所以駭客會轉移他的攻擊目標;第二個就是因為錢往哪裡走他們往哪裡走。當時又很常聽到交易所常常被駭的這些新聞,綜合以上這些因素,Sun就覺得未來區塊鏈的資安也會有很大的潛力跟市場需求。
Q:加密貨幣交易所是Web2.5的防禦?而智慧合約是完全不一樣的web3思維,之間的差異為何?
第一點:web2與web3的資安漏洞
在web2世界,可以讓漏洞繼續存在,web2比較像是一層一層的防禦,其實你的漏洞存在,只要人家攻擊不了這個漏洞,即使漏洞沒有被及時修補,還是可以透過網頁型的防火牆防禦,而且web2所有的交易是可逆的,帳戶資產都是在資料庫裏面可以被恢復。
在web3世界就不一樣了,因為區塊鏈的特性公開、透明,不可竄改,所有的交易可能也不可逆轉,且要讓大家信任平台,所以大部分的協議都開源,對於攻擊者是一個很好的攻擊機會。
第二點:web2與web3被駭所帶來的影響
因為web2的特性,使得被駭的後果沒有web3所帶來的影響嚴重。
在web2中,駭客攻擊大企業,企業損失大部分是用戶的個資,例如2013年雅虎(Yahoo)公司被駭31億的用戶資料,2021年臉書(Meta)洩漏5億多的用戶資料。就算是銀行被駭也不怕,資產被轉走了,兩個銀行互通電話、資料庫改一改,錢就又被改回來了,所以它的交易是可逆的。
在web3的世界損失的是財產跟錢,像剛剛前面提到的Ronin案例,去年北韓直接竊取6.2億美金,web3領域很可能因為一個小漏洞,就會造成很大的損失。
第三點:web2與web3的漏洞回報獎勵(Bug Bounty)
Sun比較了一下,2021年Google支付這些Bug Bounty大概870萬美金,平均一人大概拿了一萬出頭美金。
在web3世界,像是polygon這個公鏈,他們曾經就對一個白帽駭客支付了200萬美金,另外一家公司叫Aurora,NEAR協議中的第二層協議(LAYER2),分別對兩位白帽駭客支付100萬美金。
web2裡雖然損失資料,但是某種程度上是能夠修復的,但是在web3裡面,被駭就是錢整個不見了,所以那個痛感是更明顯的,也導致項目方其實願意支付更多的錢去提前修復漏洞。
Q:最近的駭客攻擊趨勢?
第一種:假空投與送幣資訊
當有人要送幣或者空投等等,其實都要格外的注意是不是一些惡意攻擊。像是6月某個駭客組織駭了OPEN AI的CTO的Twitter,透過他的twitter發一個空投釣魚資訊,通常這種網站的設計就是你點進去,當你授權時,資產同時就會飛走。
第二種:駭客透過web2平台做web3的攻擊
例如說像是透過discord、facebook、twitter帳號。最近一個案例為某項目的discord權限被駭,駭客發布假消息,16個小時就有450個用戶上當,獲取了70多萬美金。
第三種:假交易所、假錢包、假app
要小心一些假的交易所、假的錢包和假app,它們會在你提幣的時候把這些錢包地址替換掉。
Q:用戶如何保護好自己的資產?
第一點:用戶的行為安全性
不要將助記詞上傳到網路上或是截圖放在手機、電腦裡,這些行為就算是再厲害、再安全的交易所平台、錢包等等,都無法拯救。
第二點:保管好助記詞
助記詞一定要離線保存,並且可以放兩份,可以一份放在保險箱。
第三點:不要複製、貼上
有時候建立錢包要去導入你的私鑰,建議的不要使用複製,貼上的功能,因為很多惡意程式就是在等你複製的時候將助記詞偷走。
第四點:對於向你索取助記詞的網站保持警戒
建立小狐狸錢包,一開始會要你去備份助記詞,然後要你再輸入一次,以及在導入錢包時也要助記詞,只有這兩個地方會要你輸入助記詞,除此之外其他要你輸入助記詞的地方基本上都是假的。
第五點:持續驗證
要持續驗證,免費空投、高報酬平台基本上都是假的。
第六點:
錢包要做好風險管理,依據交易行為做資產隔離,錢包一些放少量資產做日常交易、Defi交互,一些做儲備像是冷錢包。
🔥每日精選最重要區塊鏈新聞、第一手採訪 👉歡迎加入《Web3+》官方Telegram
核稿編輯:高敬原
