从 KuCoin 被盗聊起，盘一盘那些年我们丢过的币

KuCoin 的惊魂 48 小时

9 月 26 日凌晨 2 点 51 分，加密货币交易所 KuCoin 收到数据库风险警报；

3 点 01 分，KuCoin 收到风控系统余额监控的警报；

3 点 04 分，KuCoin 收到风控系统 XPR 转出异常警报；

3 点 05 分，KuCoin 收到热钱包余额不足的警报；

3 点 10 分，KuCoin 收到 BPC 异常；

3 点 05～14 分，KuCoin 陆续收到其他 Token 警报；

3 点 15 分，KuCoin 建立紧急沟通小组，开始排查行为逻辑；

3 点 20 分，KuCoin 运维关闭钱包服务器，关闭后依然发生异常, 此时定位到私钥被泄露；

4 点，KuCoin 货币应急小组到位；

4 点 20 分，KuCoin 钱包团队转移剩余资金到冷钱包；

4 点 25 分，KuCoin 开始更新修复程序；

4 点 50 分，KuCoin 热钱包资金完成转移到冷钱包，开始与客户进行解决方案沟通；

5 点，KuCoin 初步定位到原因，联系各大交易所封锁涉黑交易地址。同时进行了多国的报警，随后发布悬赏，黑客地址随后公布。

KuCoin 交易所的首席执行官 Johnny Lyu 随后在 YouTube 直播中表示：黑客通过某些渠道获得了 KuCoin 交易所热钱包的私钥，导致在热钱包中的用户资产被盗走。KuCoin 交易所将剩下的用户资产将转移到了新的平台热钱包中，同时关闭了用户的充提币渠道。 他还提到 KuCoin 交易所将在一周内逐步开放充币和提币功能，用户的资产损失将由 KuCoin 承担。

据 Decrypt 报道，被 KuCoin 标记为异常的地址从 9 月 26 日凌晨至今已累计接收到 11486 枚 ETH、458866 枚GLA、28443 枚 HAT、21660273 枚 OCEAN、29999 枚 CHR，以及一定数量的 ARPA、AOA、ORN、SNX 等代币。 虽然 KuCoin 一直强调失窃总金额在其加密货币总持有量中占比较小，同时承诺会一力承担所有损失，但如此大数额的被盗资产量，很难让人无动于衷，更何况部分代币的被盗数量在相关币种当前总流通供给量内还占据着不小的份额。

与以往的黑客不断拆分资产并试图以各种方式洗钱的画风不同，这次黑客在 KuCoin 交易所盗币成功后，进行了大规模被盗资产转移，直接将 USDT 分散充入交易所，企图快速变现。 面对黑客“愣头青”一般的动作，KuCoin 则有针对性地发文面向各大交易平台寻求协助。 接到 KuCoin 消息的各大交易平台陆续作出了响应，MXC、币安等交易所迅速冻结了流入该平台的资产，随后 Bitfinex、一向“高冷”的 Tether 也相继冻结 KuCoin 攻击地址上约 3,300 万 USDT。 CeFi “联‘冻’”已成态势，但是总有一些交易平台是无法掌控的。 面对手段稍显稚嫩的黑客，网友们吃瓜不嫌事大，调侃的同时还纷纷出谋划策，给出了销赃的新思路。

出人意表的是，黑客居然也是个从善如流的人。 据资产追踪平台 CoinHolmes 数据显示，27 日下午，标记为“KuCoin Hacker”的多个地址持续将大量 OCEAN 代币转入 Uniswap 进行砸盘出货，直接导致了与 OCEAN 关联的交易对价格大幅波动，仅在 3 个小时内就直线下跌 10 个百分点。 去中心化数据共享协议 Ocean Protocol 迅速做出回应，同日 19 时宣布暂停 OCEAN 智能合约以保护用户资金安全。且在 28 日中午发出公告，表示系统已完成合约硬分叉，持币者只需等待钱包完成更新，便可立即使用新的 OCEAN 代币进行交易。 也有不少人认为 Ocean Protocol 团队这种硬分叉的做法，与去中心化金融协议的理念相悖，过于简单粗暴。 无独有偶，被盗取近 1/4 流通量的 Ampleforth 也在 28 日下午发文，称为有效阻止 KuCoin 攻击者转移被盗的 AMPL，已部署智能合约升级。

根据 Chainsmap 的追踪，截至 28 日上午，黑客已完成套现约 4,300 枚 ETH。 Etherscan 的数据显示至 28 日，KuCoin 黑客钱包内有包括 AMPL、ORN、VIDT 在内的 150 多种代币，价值约为 1.74 亿美元。

截至发稿前，KuCoin 首席执行官 Johnny Lyu 在 9 月 30 日凌晨“关于热钱包异常转账事件进展”直播中表示，KuCoin 现已联合 ORN、VELO、KAI、AMPL、USDT、OPQ、NOIA、COV、SNTR 和 VIDT 10 个项目方，共计追回了 1.4 亿美元资产。

在漫长的岁月里，我们手中的“ 饱经沧桑”的加密数字货币，究竟都经历了哪些跌宕起伏？

那些年，我们被盗过的币

每年，由于黑客攻击造成的全球经济损失平均高达几十亿美元，其中很多受害者都是加密数字货币和区块链技术领域的投资者和用户。 大概是一个魔咒，每一轮“牛抬头”都会有至少一个平台出事。

2011 年 10 月，位于日本东京的世界上最大的比特币交易商 Mt.Gox（昵称“门头沟”）被盗，黑客从平台盗走了约 2,609 枚比特币，原因是黑客盗取了服务器上的 wallet.dat 文件，拿到了 Mt.Gox 的热钱包私钥。 如果事情就此结束，那么后人回顾“门头沟被盗”事件时，也不会用上“臭名昭著”这四个字。

2014 年 2 月 7 日，Mt.Gox 突然发布官方声明：“系统出现漏洞，若不解决这个漏洞，交易细节有可能会被篡改”，并单方面暂停了所有比特币提币服务。 2 月 23 日，Mt.Gox CEO Mark Karpelès 辞去比特币基金会董事会成员职务。同一天，Mt.Gox 删除了其 Twitter 账户上所有的帖子。 在这将近一个月的时间里，Mt.Gox 提币服务一直没有恢复。 2 月 24 日，Mt.Gox 关停了所有交易活动，完全下线了交易平台。随后，Mt.Gox 官网声称是遭到了“一次蓄谋已久的黑客攻击”。同一时间，有泄露出的内部文件称，此次被黑客盗取了约 85 万枚比特币，Mt.Gox 已经资不抵债。 这一次，Mt.Gox 丢失的比特币数量占到了世界比特币总值的 7%。消息公开后，比特币的价格暴跌了 36%。

4天后，Mt.Gox 在东京申请破产。3月9日，Mt.Gox 又在美国申请了破产保护。 在这个魔幻的世界里，反转也许会迟到，但绝不会缺席。 仅仅过了一个月，Mt.Gox 便声称在一个旧账户里找到了 20 万枚比特币，总损失由最初的 85 万枚比特币，降为 65 万枚比特币。 面对这“失而复得”的 20 万枚比特币，丢币用户为主的债权人与法院指定的 Mt.Gox 受委托人之间开始了冗长的赔偿诉讼纠缠。 Mt. Gox 关闭后，曾启动民事破产程序。 后来，由于比特币价格上涨，以日元计价的资产规模超过了其负债，破产程序被终止。随后启动了以受托人日本律师小林伸明（Nobuaki Kobayashi）为主导的民事再生程序，以清偿 Mt. Gox 的用户资产。 根据 2019 年 3 月东京地方法院的调查报告书显示，Mt.Gox 现金存款为 695.5 亿日元，数字资产为 14.2 万枚比特币、14.3 万枚 BCH 及 BSV，这些财产将被清偿给债权人。

根据文件中法院对交易所进行的二次债权认定显示，交易所被认定的债权为 6857.3 亿日元，折合约 66 亿美元，未被认定的债权为 2162.1 亿日元，折合约 19.5 亿美元。 或许是双方无法就清偿方案达成一致，2019 年 10 月，东京地方法院下令将重整计划的截止日期延长至 2020 年 3 月 31 日。 2020 年 3 月，受托人小林伸明（Nobuaki Kobayashi）律师与债权人分享了补偿方案的纲要，小林伸明在纲要中表示，目前的策略是“不购买额外的 BTC 或 BCH”。因此，现有的 BTC/BCH 持有量依然不足以偿付 BTC 和 BCH 的索赔。所以纲要中指出：“除 BTC 和 BCH 之外的所有加密货币将尽量以现金的形式清算。”同时，小林伸明还表示：“清算程序中的法币索赔会优先得到支付，以确保法币索赔方的利益。” 紧接着，计划于 3 月 31 日提交的清算赔偿计划推迟到了 7 月 1 日。到期后，再次推迟三个多月，最新的提交时间为 2020 年 10 月 15 日。 与看起来遥遥无期的清偿日期不同的是，Ｍt.Gox 前 CEO 居然很有可能在接受法律惩罚之后变成一名亿万富翁。 6 月，东京高等法院对加密货币交易所 Ｍt.Gox 前 CEO、被告 Mark Karpelès 进行了上诉判决，藤真理子审判长支持了有期徒刑 2 年 6 个月、缓刑 4 年的一审判决，驳回了辩护方的上诉。Mark Karpelès 则表示，还没有决定是否继续上诉，正与法律团队商议处理办法。 而据英国《金融时报》报道，Mt.Gox 前 CEO Mark Karpelès的公司 Tibanne 拥有 Mt.Gox 约 88% 的所有权。破产清算完成之后，Mt.Gox 将得到价值超过 9.77 亿美元的比特币，而其中的 88% 属于 Karpelès。 究竟是黑客作祟？还是监守自盗？或许等到赔偿正式结束的时刻，Mt.Gox 的时代才算是真正落幕。

金钱永不眠。 Mt.Gox 的惨剧让世人看到了加密数字货币的潜能，也让一些人看到了不劳而获也能尝到甜头。2014 年 3 月，黑客盗走了加密货币交易所 Poloniex 平台 12.3% 的比特币。黑客发现同时发起多笔提币时，后台会显示账户余额为负数，提币记录却可以成功写入数据库，提币程序居然也可以成功执行，黑客利用此代码漏洞把资金偷走了。

2014 年 8 月 15 日，黑客从国内著名的山寨币交易所 BTER 盗走了 5,000 万个 NXT 币，价值约为 1000 万人民币。原因是 BTER 平台将所谓的冷钱包私钥放在了服务器上，使得 NXT 并没有实现冷存储，获得钱包私钥的黑客将币取走。当时 BTER 和黑客谈判，表示愿支付 110 个比特币赎金赎回丢失的平台币，但结果仍是与虎谋皮，黑客拿走了比特币，却没有归还 NXT 。

2014 年 12 月，黑客 Johoe 从在线钱包服务商 blockchain.info 钱包里“盗取”了 300 枚 BTC。原因是在钱包软件升级过程中产生了技术问题，导致临时性安全漏洞出现，这个安全漏洞仅仅存在了 2 个多小时，但还是给了 Joheo 机会。事后，Johoe 如数归还了盗取的比特币，成为了加密数字货币被盗史上难得的“白帽黑客”。 苍天饶过谁。

2015 年 1 月，黑客通过入侵交易所热钱包，盗走了曾经是最大的比特币交易平台之一、Mt.Gox 的竞争对手——Bitstamp 约 19,000枚比特币。

2015 年 2 月，又又又是 BTER，黑客利用 BTER 从冷钱包填充热钱包的瞬间，盗走了 7,170 枚比特币。

2016 年 8 月，黑客盗取平台热钱包，从知名的老牌交易平台 Bitfinex 盗走了 119,756 枚比特币。

2017 年 6 月，黑客入侵了韩国大型加密货币交易平台 Bithumb 某雇员的个人电脑，获取了Bithumb 近 31,800 名用户的个人信息，包括姓名、手机号码以及邮件地址。用户数据泄漏，黑客盗走了某用户时价 1,000 万韩元的比特币。

2017 年 7 月，黑客利用 Parity 钱包中，多重签名技术中的“关键”漏洞，盗走了 15.3 万枚以太坊，时价约为 3,260 万美元。

2018 年 1 月，日本交易所 Coincheck 将 NEM 币储存在了热钱包中，黑客盗取了热钱包私钥，将交易所全部 NEM 转走。

2018 年 3 月，黑客通过 unicode 钓鱼网址，盗取了数字资产交易平台币安部分用户的 API Key。然后通过 API 接口，入侵币安交易所，使用 API 交易机器人大量买入 VIA 币，然后抛售，控制币价。

2019 年 3 月，Bithumb 遭受攻击，大量 EOS 和 XRP 被盗，平台损失 1,900 万美元。

2019 年 5 月，币安因黑客攻击技术，被盗 7,000 个比特币，当时价值约 4,000 万美元。币安 CEO 赵长鹏称其遇到了非常聪明并且长期潜伏的黑客，黑客团体使用了复合型的攻击技术，绕过了币安的风控系统，提走了 7,000 个比特币（约占币安 BTC 总持股量的 2％）。

2019 年 7 月 12 日，日本持牌加密货币交易所 BITPoint Japan 发布公告称，东京时间 7 月 11 日发生加密货币热钱包不法侵害事件，损失金额换算约 35 亿日元（约人民币 2.23 亿元），其中客户资产约为 25 亿日元，BITPoint Japan 自有资产约为 10 亿日元。

2019 年 11 月 27 日，韩国头部虚拟货币交易平台 Upbit 发布公告称，在当地时间午时 13 时，共计 34.2 万枚以太坊从 Upbit 以太坊热钱包转入匿名钱包地址。慢雾科技曾推测，Upbit 可能是遭遇 APT（高级持续性威胁）攻击，但也不排除内鬼的可能性。

显然，代码可以审计，但人性无法审计。在每一个被盗事件的背后，都是人性的阴暗面在蠢蠢欲动。 我们期待未来的金融应用可以更安全开放，但我们也知道，新生事物的诞生总是伴随着迭代和完善，这并不是一蹴而就的简单过程。对于现有金融体系的挑战和颠覆，这个过程注定漫长，且坎坷。 人造的系统永远有被攻克的可能，安全问题已经成为交易所的阿喀琉斯之踵，会伴随行业永远存在。 对风险常怀敬畏之心，是经历了这些跌宕起伏之后的，水落石出的人生智慧。