KuCoin 被盜 2 億美元！多家機構合作攔截，駭客會不會換得一場空？

香港時間 9 月 26 日凌晨，知名加密貨幣交易所 KuCoin 發生盜幣事件，駭客侵入平台熱錢包，盜走了價值超過 1.5 億美元的比特幣、以太幣、USDT。事發後，KuCoin 也以公開的態度及時通報了這起事件，KuCoin  CEO Johnny 也通過直播的方式通報了整個事件的來龍去脈和最新進展。

然而，到了撰寫本文時，根據 KuCoin 後來提供與駭客相關的地址之後，損失總額已躍升至 2.03 億美元。

就目前情況看，整個事態正向著可控的方向發展，而區塊鏈安全公司北京鏈安參與了對相關資產的流向分析和追踪，接下來就讓我們對這起事件進行回顧。

事發經過

KuCoin 視角：

CEO Johnny 表示，2020 年 9 月 26 日 02:51 分，團隊收到第一次風控系統報警，發現了一個反常的 ETH 轉帳記錄，轉帳目標地址為 0xeb31973e0febf3e3d7058234a5ebbae1ab4b8c23，接著多起異常交易發生，KuCoin 隨即啟動應對機制。

ChainsMap 鏈上視角：

如今，如果你打開著名的以太坊區塊瀏覽器 0xeb31973e0febf3e3d7058234a5ebbae1ab4b8c23 已經被標記為盜竊標記。

Etherscan 會根據相關 Token 動態價格計算地址上的代幣資產總值，因此，目前主流外媒基於鏈上轉帳記錄數據，大多報導稱 KuCoin 此次有 1.5 億美金被轉出。經 KuCoin 團隊確認，在駭客大規模轉出 KuCoin 資產的同時，KuCoin 錢包團隊也在轉出資產「避險」，如已被 Tether 和 Bitfinex 凍結的 3500 萬 USDT，其中有 1300 萬為 KuCoin 錢包團隊轉出，2200 萬為駭客轉出。

據此，KuCoin 也一直未公佈實際的涉案金額，KuCoin CEO Johnny 也表示，由於很多受影響的代幣為 ERC-20 代幣，他們的價值評估工作仍在進行中，將在確認後公佈具體的代幣和金額。

從交易記錄來看，該地址首筆入帳交易發生於香港時間 9 月 26 日 02:49:18，該交易即竊取了超過 1388 萬枚 ERC20 USDT。

而本其事件另一特點在於，除了主流的 ERC20 USDT 之外，它大批量的盜取了 KuCoin 熱錢包的各類代幣。同時，從行為模式來看，駭客很可能採取了一種代碼遍歷盜幣的方式，對各類代幣不做餘額驗證，輪詢發出轉移指令，於是，我們可以看到一些轉帳金額為「0」的代幣轉帳，只是消耗了一些 GAS，這對於駭客來說也確實是一種更加「高效」的轉移方式。

在比特幣方面，通過北京鏈安的 ChainsMap 檢測系統分析，9 月 26 日 03:05:37，KuCoin 熱錢包連續向一個地址連續轉帳，總額達 1008 BTC，同時還轉入了 999160 OMNI USDT。

KuCoin 的應對

KuCoin 視角：

CEO Johnny 表示，技術人員事發後即成立應急小組，建立緊急溝通群，開始排查和摸索現在系統當中的一些行為邏輯。

同時，運維人員緊急關閉錢包服務器，並開始轉移熱錢包的存量資金到冷錢包，而相關的交易所充提業務也暫停。

對於用戶，KuCoin 發布了相關公告，鄭重表示，若有用戶在此次事件中遭受損失，全部將由 KuCoin 及其保險基金一力承擔。

ChainsMap 鏈上視角：

從 KuCoin ERC20 USDT 來看，在 9 月 26 日 06:28 之後就基本暫停，其比特幣相關交易則在當日凌晨 4:34 之後便不再有向熱錢包的用戶轉帳歸集，

同時，我們也可以看到 KuCoin 緊急將其受攻擊熱錢包中的其它代幣進行了轉移，從事發後措施來看，KuCoin 在這些環節反應還是比較迅速和到位的。

鏈上圍堵：多家機構合作攔截，駭客或竹籃打水一場空

KuCoin 視角：

CEO Johnny 表示，目前已經與包括火幣、幣安、OKex、Bybit、Bitmax 等全球主流交易平台、項目方、安全機構以及警方取得聯繫，已經採取了一部分有效措施，正在全力的追捕這些資產。

ChainsMap 鏈上視角：

北京鏈安得知此事後，很快開啟了相關資產的監控以及與 KuCoin 的聯動配合機制，很快便發行了一批 ERC20 USDT 的動向。

可以看到駭客建立了一個獨立地址，先進行了 1 USDT 的轉帳測試，接著直接打入 5 萬 USDT，這樣的交易組進行了兩次分別達到兩個地址，此後，駭客又將這兩個地址中的 USDT 部分打入到入 0xdf0921 開頭地址，相關 USDT 開始進一步分散轉帳，有 11000 枚 USDT 流入到抹茶交易所。對此，我們也將相關資訊及時向相關交易所同步，並進行通告，抹茶也很快做了相關帳戶的凍結。

與此同時，KuCoin CEO Johnny 在直播中沒有提及的一點是，他們顯然與 USDT 發行方 Tether 進行了聯繫。而 Tether 也給予了積極響應，通過智能合約直接將相關 USDT 進行鏈上凍結，與此同時，Bitfinex 也宣布凍結了被盜的 EOS USDT。

從目前來看，被盜的其餘 ERC20 代幣和比特幣暫未有所動作，在行業的追捕圍堵之下，駭客要想完全將這筆資產進行充分的轉移和變現將難度和成本極大。

事實上，就在香港時間 9 月 26 日 21:18:35，駭客再度試圖轉移 USDT 資產。

顯然，這筆被凍結的資產的轉移已經被阻止，不止此時的駭客心中是何感想？

餘波：交易所該如何應對資產安全 

KuCoin 安全事件已經過去超過 24 小時，圍繞事件本身的喧囂也漸漸散去。目前，KuCoin 正在與國際執法部門一起調查此事件，並將懸賞 10 萬美元，以獎勵可以提供有效線索的人。

和往常一樣，作為今天的知名地址，駭客轉移資產的地址已經成為一個塗鴉板和廣告牌，一些怪異的 Token 被轉入這個地址進行展示和調侃，這也算這個行業一個黑色幽默般的現象。

當然，更加嚴肅的問題還留待我們繼續思考，關於 KuCoin 相關安全事件發生的原因，還需他們進一步調查和對外公佈。但是，對於任何交易所來說，做好內部風控防範道德風險，做好不同業務網絡間的隔離，以及落實多簽機制都是最基本的，卻需要紮實執行的安全措施。

同時，KuCoin 安全事件也體現出，除了防患於未然之外，當安全事件發生後，合理的應對也將有效減少損失。從這個角度來看，KuCoin 在這起事件中還是有可圈可點之處，如相對快速的發現問題並緊急保護現有資產，及時發動行業進行聯防，特別是抓住關鍵環節盡可能阻止關鍵資產的進一步轉移。當然，很關鍵的一點還有公開，KuCoin 及時公開遭受攻擊的消息，並由 CEO 通過直播方式傳達資訊，還是和有效的達到了溝通的效果，這些做法或許都值得其他交易所放入自己的預案策略之中。

對於交易所來說，資產安全可謂重中之重的事宜，我們希望各大交易所在接下來更加重視安全措施。而作為專業的技術安全機構和鏈上資產追溯專業服務提供商，我們也願為行業賦能，保障客戶和其用戶的資產安全。