星球日报
搜索
手机客户端
iPhone · Android
微信公众号
微信公众号

iPhone · Android

微信公众号

冷钱包被盗?“这是黑客被黑的最惨的一次”

2019-08-29

黑客内心OS:我明明可以靠技术,确偏偏要靠撬保险柜!

冷钱包被盗?“这是黑客被黑的最惨的一次”

8 月 17 日,CoinTiger交易所突然放出一条公告,表示近日发现存放 PTT 的冷钱包被黑客攻击,导致该钱包约 4 亿(401,981,748)枚 PTT 被盗取。

根据 CoinTiger交易所提供的黑客地址发现,4 亿 PTT 早在 7 月 1 日就已经被黑客转走,时隔 47 多天, CoinTiger 才正式向项目方和用户披露此事。

目前,PTT 项目方现在已经将 2.8 亿枚 PTT 的钱包地址锁定了,另外 1.2 亿枚 PTT 已经被黑客转出流入市场。

根据抹茶交易所数据显示,8 月 28 日下午 3 时,PTT 报价 0.023 RMB,这 1.2 亿 PTT 价值人民币 276 万人民币,4 亿 PTT 价值 920 万人民币。在 8 月 29 日上午,价格已跌至 0.013 RMB。

冷钱包被盗?“这是黑客被黑的最惨的一次”

可是,项目方和交易所至今尚未就处理方案问题达成共识,交易所至今也未对冷钱包被盗一事对用户作出合理解释:为何隐瞒被盗事实?为何冷钱包也能被盗?为何限制用户提币?

项目方因不愿做合约升级和新币映射等问题也受到了外界的种种猜测......

用户至今无法提币,只能割肉,或者等待。

冷钱包被盗,技术上可能性为零

CoinTiger 公告发出之后,最为骇闻惊人的一点就是冷钱包为何会被盗?目前外界对 CoinTiger 冷钱包被盗普遍的推测分为两种,要么是监守自盗,要么是交易所出现了“内鬼”。

众所周知,冷钱包就是不连网,很难被黑客入侵。目前交易所发生的被盗事件大部分都是因为热钱包被盗而导致的,包括今年 5 月币安的 7000 枚比特币。

Odaily星球日报询问的几家安全公司都表示,从技术角度来说,冷钱包被盗的可能性几乎为零。

“但如果交易所非要说把私钥放到优盘里被人抢走了,或者放到保险柜中,黑客入门把保险柜撬了,如果是这样的话,到底是真被盗了还是假被盗了谁又能说得清呢?”安全公司 PeckShield 的一位分析人士告诉 Odaily星球日报。

"冷钱包被盗,不应该是小偷吗?怎么成了“黑客”了,这是黑客被黑的最惨的一次!黑客心里 OS:我明明可以靠技术,确偏偏要靠撬保险柜!"炒币用户小米调侃道。

CoinTiger 至今没有对外公布冷钱包被盗细节。

交易所要求项目升级,创造新币种

盗币事件发生后,从 8 月 17 日-24 日,交易所和项目方多次发布公告,就处理方案僵持。

冷钱包被盗?“这是黑客被黑的最惨的一次”

对于 CoinTiger 来说,被盗的 1.2 亿枚 PTT 流入市场,是由于自己的过失造成的,需“硬性赔付”。而 CoinTiger 也拿出了“回购PTT”的计划,但实施情况尚未公布。

同时,CoinTiger 则直接要求项目方升级合约,希望创造一个新币种,再把原来已经冻结的 2.8 亿枚 PTT,映射到新币种中。

“我们要求归还不是让项目方为我们的错误买单,而是要求‘物归原主’。”

“第二,关于合约升级,可能大家不知道,这是业界面对合约漏洞或者被盗普遍的方式。他们合约做过审计,但是现在有 2.8 亿盗币没办法动,升级是最佳方式,而且一点都不麻烦。”CoinTiger 还表示会承担合约升级的成本。“他们不升级,那么准备怎么处理这 2.8 亿?这是他们一直回避的问题。”

但是项目方却无法接受,“升级合约的成本太大了,我们无法接受。”如果要升级合约,PTT 要关闭所有交易所的充值和提取,需要让所有用户承担这里面的成本。”PTT 项目方表示。

如果进行合约升级和新币映射的话,所有持有 PTT 的交易所和用户都要暂停 PTT 交易,无疑这对于币价处于上涨期的 PTT 来说肯定是一个相当大的打击。

PeckShield 安全公司的分析人士认为交易所并没有权利要求项目方去做新币映射,“举个例子,假使美联储发行了一个亿美元,结果有个大老板 3000 万被偷了,大老板很着急,找美联储的人商量说,你重新发行一个亿山姆币吧,然后分我 3000 万,把美元作废。其实新币映射的技术成本不高,就是升级下智能合约。打个比方,假使你的币上了好多交易所,因为一个交易所的问题,你升级了合约,然后要重新发个币,再上交易所,其他交易所认不认是一个问题,主要还是品牌和运营压力吧。而且如果项目方自己的币被盗了,项目方可以用这种方式弥补用户,但问题是这次丢币跟项目方没关系啊。”

CoinTiger 被盗币的消息放出来后,根据 CoinTiger 数据显示,PTT 当天价格一度下跌超过 70%;这几天价格稍微有些反弹了,但相比消息放出来之前还是下跌了 80%。

神仙打架,用户遭殃:没法提币

在这个事件中谁最受伤,毫无疑问是普通的投资者。

在 CoinTiger 里面的 PTT 被盗后,CoinTiger 方面就冻结了用户提币。

据一位 PTT 投资者认为,目前 CoinTiger 的热钱包里只有 3700 万枚 PTT,根本没办法兑付 PTT 投资者们。

这样造成的结果就是,原来那些想提币的用户,没办法只能在交易所内就地处理卖了,形成很大的抛压盘,把价格打下来了。

冷钱包被盗?“这是黑客被黑的最惨的一次”

目前,PTT 在 CoinTiger 上的价格在逐渐走低,用户眼睁睁看着 CoinTiger 与其他交易所的价差越拉越大,却无能为力,他们被“套”在了 CoinTiger 交易所。

 “如果 CoinTiger 想归还用户的 PTT,理应到抹茶去收货,想买 4 个亿的币还是很简单的,偏偏只在自己平台慢慢收货?”老韭菜赵飞很不理解 CoinTiger 目前不作为的表现。

“CoinTiger 把用户的提币功能关闭,却没有关闭充币功能;其次,CoinTiger 还把我们在 CoinTiger 做市场商账户的交易功能关闭了,这就意味着现在 PTT 在 CoinTiger 上的价格已经完全由 CoinTiger 来把控,CoinTiger 这么做的逻辑就是为了降低自己在二级市场的回购成本。”PTT 工作人员 Eden 控诉道。

项目方是否应“归还”2.8亿PTT?

至此,盗币事件已经过去 2 个月了,交易所和项目方到现在还未就用户赔付问题达成统一意见,根据 Odaily星球日报向两家当事人了解,发现双方争执的点在于被项目方冻结的那 2.8 亿 PTT 的归属权的问题。

CoinTiger 坚称,被锁定的 2.8 亿 PTT 是用户充到 CoinTiger 上的,这些币是属于用户的,PTT 项目方应当把这些币“归还”给交易所。

“交易所发生了盗币事件,从逻辑上来说,这 4 亿都应该交易所去赔偿的,现在我们锁定了这 2.8 亿没有流向市场的 PTT 是在帮交易所,所以也不存在我们把币‘归还’给交易所这一说法。”Eden 告诉 Odaily星球日报。

PTT 项目方希望交易所先为已经流向市场的 1.2 亿 PTT 承担责任。但是据 PTT 项目方的透露,CoinTiger 到现在还没有开始处理这 1.2 亿 PTT 的赔付问题。

目前,PTT 的价格在抹茶上的价格要高于 CoinTiger 上的价格,可能会导致用户搬砖套利,但并不知道 CoinTiger 上面没有提币功能,就只能低价卖掉。

“我们一开始对 CoinTiger 的诉求就是停止 PTT 交易,对用户进行持仓快照,对已经流入市场的 1.2 亿 PTT 进行清算。”Eden 说道。

“清算完这 1.2 亿 PTT 之后,我们再来商讨那 2.8 亿 PTT 该如何去处理。这是我们当时的诉求,但是 CointTiger 到现在连这 1.2 亿 PTT 的赔付问题都还没去处理。”Eden 继续说道。

而 CoinTiger 一直想让项目方将这 2.8 亿 PTT 归还给他们,一位 CoinTiger 内部人士对 Odaily星球日报称“只要 2.8 亿 PTT 归还,我们马上恢复提币,且能保证用户提币。”

CoinTiger:项目方想割我们

根据 Odaily星球日报的了解,CoinTiger 到现在还没有提出具体的赔付计划是因为盗币事件发生后,PTT 在 7 月底上线抹茶,币价有了很大的拉升,CoinTiger 并不愿意在二级市场高价回购 4 亿 PTT,而且 CoinTiger 认为项目方把他们当成了最大的韭菜。

CoinTiger 内部人员 Amy 告诉 Odaily星球日报,7 月 1 日在他们做钱包理财的时候就已经发现 PTT 被盗。

为什么当时没有立即把这件事曝出来,是因为 CoinTiger 觉得按照当时 PTT 的币价,这个结果完全是可控的,其次,因为 PTT 上线的一些交易所深度不够,黑客手中还有 70% 的 PTT 没有流向市场。

早在去年 6 月,PTT 便登陆了二级市场交易。不过表现不佳,币价长期处于历史低位。根据 CoinTiger 数据显示,7 月 1 日 PTT 币价在 0.00010—0.00023 USDT 左右徘徊,直到 7 月 29 日登陆抹茶后,开启 ProtonPTT 项目方(PTT)的 5 折抢购活动,PTT 这才打了个翻身仗。7 月 29 日晚 9 点,PTT 报价 0.0029 USDT,与抢购价 0.00025 USDT 相比,涨幅高达 1098%。

所以按照 PTT 7 月初的价格,CoinTiger 的回购成本也不会超过十万美元,按照后来的币价则需要近千万元人民币才能够将 4 亿 PTT 回购回来。“恰逢币价大涨,有点猝不及防吧。4 亿 PTT 本来几十万的事,现在闹成上千万的市值”,PTT 持仓用户江楠唏嘘道。

那么在被盗币的这期间,CoinTiger 对项目方和用户封锁丢币的消息,除了追踪黑客的地址,检查冷钱包被盗的原因,CoinTiger 就没做过其他补救吗?

Amy 透露,7 月 1 日被盗币,从 7 月 2 号开始,他们就已经准备了应急的基金去买 PTT 了,PTT 表示,CoinTiger 的基金会并没有按计划买到低价的 PTT。

相反,CoinTiger 表示现在那 1.2 亿 PTT 已经解决的差不多了,至于为什么现在还不开放提币,Amy 解释是因为现在那 1.2 亿 PTT 没办法满足市场上所有用户的提币需求,没办法处理用户提币的优先权问题。

至于 2.8 亿被锁定的币,CoinTiger 认为 PTT 项目方拒绝做合约升级和新币映射的原因是,项目方想让 CoinTiger 在二级市场高位接盘 PTT,交易所认为 PTT 现在正处于币价上升期,是吸引韭菜入场的前期阶段,如果这个时候去做合约升级和新币映射会影响项目方吸引新韭菜入场的整个进程。

PTT 持仓用户阿升实在坐不住了,他认为“难道现在就让我们这么等下去吗?其实交易所和项目方双方可以请个信任的第三方机构处理这个事件,现在把我们用户搞的天天不安心。” 

参考资料:

8月17日CoinTiger 公告《CoinTiger币虎关于PTT事件的情况说明》;8月18日,PTT项目方公告《关于PTT在CoinTiger交易所遭非法窃取的公告(最新进展)》;8月21日CoinTiger 公告《CoinTiger币虎关于PTT事件的进一步说明(最新进展)》;8月21日PTT项目方公告《关于 PTT 近期被盗事件对 CoinTiger 交易所的全面警告声明》;8月24日CoinTiger发布《CoinTiger关于PTT被盗事件处理致广大投资者的一封信》;8月24日PTT项目方发布《二次警告丨关于 PTT 近期被盗事件对 CoinTiger 交易所的全面警告声明》。

原创文章,作者:王也。转载/内容合作/寻求报道请联系 report@odaily.com ;违规转载法律必究。

参与讨论

登录后参与讨论

王也

新锐作者

王也

微信:hao1250549397,欢迎爆料骚扰

总文章数: 212


分享至

微信扫一扫分享

0