Mt. Gox Hack 的教訓 - 850,000 比特幣被盜

Mt. Gox是一家位於日本東京澀谷的比特幣交易所。它於 2010 年 7 月推出，到 2013 年到 2014 年，它處理了全球 70% 以上的比特幣 (BTC) 交易，是最大的比特幣中介和世界領先的比特幣交易所。

Mt. Gox 宣布，屬於客戶和公司的大約 850,000 個比特幣失去並可能被盜，當時價值超過 4.5 億美元

今天，這一數量的比特幣價值近 400 億美元（取決於一周中的哪一天）。

讀了上面的內容讓我很擔心。如果世界上（曾經）最大的交易所無法阻止如此大規模的黑客攻擊，那麼任何交易所（沒有數百萬美元的安全預算）怎麼能合理地確定這樣的黑客攻擊不會影響他們呢？

對於允許如此大型交易所被黑客入侵的技術方面出了什麼問題，是否存在共識（或至少是一個合理的理論）？在確保使用者資金安全方面，人們可以從這個故事中學到什麼實用的教訓？

對於允許如此大型交易所被黑客入侵的技術方面出了什麼問題，是否存在共識（或至少是一個合理的理論）？

Kim Nilsson 與 Mt. Gox 相關的獨立調查：https ://youtu.be/l70iRcSxqzo （Breaking Bitcoin Conference 2017）

演講摘要：

1. 自 2011 年以來發生多起盜竊案
2. Mt. Gox 在其存在的大部分時間裡都資不抵債
3. 在 Mt. Gox 交易所交易自己的負債
4. 與其他比特幣盜竊有關
5. Alexander Vinnik 於 2017 年被捕，從 Mt. Gox 和其他比特幣盜竊案中收到超過 50 萬比特幣，將比特幣投放到 BTC-e、TradeHill、Mt. Gox 並被美國指控為 BTC-e 管理員
6. 他沒有使用任何比特幣混幣器，做了幾次 UTXO 合併，將比特幣存回 Mt. Gox 並在網上使用他的真實姓名抱怨他被盜的資金被沒收
7. 所有指向 Vinnik 的證據都是針對接收和移動被盜比特幣的錢包。小偷擁有 Mt Gox 的私鑰，可以將比特幣發送到任何地方。不可能一個人進行了這麼多盜竊。
8. 私鑰很可能被盜。在複製的wallet.dat文件上執行第二個比特幣錢包會留下區塊鏈指紋。使用密鑰池在 Bitcoin Core 錢包中預先生成 100 個私鑰。
9. 截至 2011 年 9 月 11 日，前 100 筆盜竊交易的找零地址與 Mt Gox 的密鑰池完全匹配
10. 其中一些地址被分配為 Mt Gox 上的存款地址
11. 小偷偷了比特幣，Mt. Gox 將零錢辨識為存款。
12. 2011 年被黑的事情：擁有多達 100,000 個密鑰的熱錢包
13. 盜竊模式：每筆交易竊取相似的金額，交易之間的時間越來越長，並使用相同的被盜 wallet.dat 文件重新啟動。
14. 事件：Liberty Reserve 取款漏洞 2011（XML 注入），Liberty Reserve 取款漏洞 #2 2011（用於取款的負數導致存款），2011 年熱錢包被盜（80,000 BTC），2011 年 6 月通過受損賬戶公開黑客攻擊（2000 年） BTC), 2011 年 9 月的數據庫被盜 (77,500 BTC), 熱錢包再次被盜 (Sep-Oct 2011) 涉及 630,000 BTC, 錯誤檢測存款 (30,000 BTC), 由於新比特幣錢包 (2609 BTC) 中的錯誤導致比特幣意外銷毀,威利（28,000 比特幣）

在確保使用者資金安全方面，人們可以從這個故事中學到什麼實用的教訓？

1. 交易所應聘請有能力的開發人員來管理資金並使用許多人現在已經在使用的多重簽名
2. 使用最新的比特幣技術並遵循最佳實踐
3. 將大部分資金存放在冷庫中，部分資金存放在熱錢包中以管理存款和取款。
4. 不與使用者資金交易，一切透明
5. 使用者應避免中心化的 KYC 交易所並使用 DEX 或信任最小化的交易所，如 Bisq、HodlHodl、Localcryptos、Sovryn、OpenDEX、TDEX 等。
6. 開發人員應該專注於更好的密鑰管理、信任最小化的交換和第 2 層
7. 開發人員應改善比特幣的隱私，使用者應遵循最佳實踐，例如：無 KYC、無地址重複使用、Coinjoin、Payjoin、完整節點、不要在社交媒體上分享交易資訊等。

今天，大多數最大的交易所都是擁有大量預算的數百萬美元的公司，受到監管機構等的監控。有適當的安全協議，例如大部分比特幣被保存在冷庫中並且需要多人訪問，這限制了黑客攻擊的可能程度。

與此同時，小型交易所仍然會被黑客入侵並關閉。這是人們傾向於建議堅持大型交易所的原因之一。

引用自：https://bitcoin.stackexchange.com/questions/101956