【Zaif 交易所遭駭|事件追蹤】日本資安專家:兇手已曝光

0 15

還記得日本加密貨幣交易所「Zaif」被駭客攻擊的事件嗎?今(2018)年9月中旬,這間不算太大的日本交易所遭到駭客攻擊,被竊走了將近6000顆比特幣(BTC)、一些比特幣現金(BCH),和比較小眾的加密貨幣「萌奈幣(MonaCoin,MONA)」,損失了67億日圓(大約5938萬美元,18.43億台幣)。動區也在第一時間進行報導。經過快要兩個月的調查與測試後,案情終於迎來一線曙光。

 

本「巨型銀行」三菱日聯金融集團(Mitsubishi UFJ Financial Group,MUFJ)旗下的子公司「Japan Digital Design(以下簡稱『JDD』)」,本週一(5)發佈新聞稿表示,該公司日前與資安專家杉浦隆幸合作,並協同曾經在「趨勢科技*CTF資安攻防賽」中,得到季軍的日本資安團隊「TokyoWesterns」,三方連袂出擊,要找出「Zaif事件」的兇手。

[*註]:CTF為「Capture The Flag」的縮寫,意為「搶旗」,是自古以來,人們競技的其中一種方式,雙方互相搶奪對手旗幟,我方奪下的旗幟越多,贏面就越大。CFT資安攻防賽借鏡「搶旗」的精神,每位選手一方面保護自己的伺服器,一方面要嘗試利用對手伺服器的漏洞,取得對方金鑰(即為旗幟),上傳金鑰至主辦方的伺服器就算得分,分數高低則決定勝負。2015年「趨勢科技CTF資安攻防賽」的總決賽在東京舉辦,由「TokyoWesterns」隊取得第三名的成績。

Zaif被攻擊後不久,這批調查軍團就開始分析所有從這間交易所流出的資金,並在上個月發現,一部份被偷走的小眾加密貨幣「萌奈幣」,開始流動了。JDD說明,從10月20號開始,他們便一路觀察這些「萌奈幣」的交易,其中有5筆特別可疑,目前已經向有關單位提報。JDD更聲稱,這5筆可疑交易的收發方,平時有什麼習性,他們也有了初步的掌握。

雖然具體的追蹤方式沒有公開,但新聞稿大致解釋了一下過程:

先前為了調查、追蹤那些遭竊的「萌奈幣」,我們已有針對「萌奈幣」區塊鏈上的現金流,做整個網路的「*靜態程式分析(以下簡稱『靜態分析』)」。待我們發現遭竊的「萌奈幣」開始流動後,決定更進一步,在進行「靜態分析」時,大範圍部署一些持有「萌奈幣」的節點,一來預測可能有問題的資金流,另一方面,也好確認實際在「萌奈幣」的鏈上追蹤資金時,能否獲取有用的資訊,像是嫌犯的IP位址等等。答案顯然是肯定的,透過這些「靜態分析」,我們得到許多準確而有用的資訊。舉例來說,我們已經能掌握,追蹤失竊「萌奈幣」所需花費的成本。

[*註]:「靜態程式分析」是指在不執行電腦程式的條件下,進行程式分析的方法。以這次Zaif的調查來說,若調查團隊想要模擬一些歹徒未來的行動,不可能真的在「萌奈幣」的區塊鏈網路上執行,既會驚動到整個網路上的人,歹徒也可能因而得知目前調查的方向。所以調查團隊必須要在一個,像是「萌奈幣」網路模擬器的地方,才能預演他們的推測。

為什麼選擇「萌奈幣」進行追蹤,官方沒有提及。可能是因為她太小眾,犯案的駭客在挪動時容易大意;抑或是「萌奈幣」的區塊鏈網路規模,較另外兩個遭竊的加密貨幣(BTC、BCH)來得小,進行「靜態分析」會比較容易。

監管法網下仍遭駭,金融廳猶如被賞巴掌

同樣是今年初,日本另一家加密貨幣交易所「Coincheck」遭駭,損失高達5.32億美金。自此,日本金融廳(FSA)便規定,國內所有加密貨幣交易所要營業,都須向金融廳登記申請牌照,待審核通過才能營運。隨後,金融廳更點名實際運營Zaif的新創公司「科技局公司(テックビューロ株式会社,英文:Tech Bureau, Corp.)」,要求他們改善許多業務流程。監督的力道並沒有放軟,金融廳在今年9月初,再一次修訂《支付服務法》,以更嚴格的標準審核交易所登記案。

雖然相形之下,「Zaif事件」損失的金額只有「Coincheck事件」的九分之一,好似小菜一碟,但由於上述背景,營運Zaif的「科技局公司」無疑是給金融廳賞了一個大巴掌。因此,在Zaif被攻擊後,金融廳多次向「科技局公司」祭出命令,要該公司改善諸多業務流程、系統建設。不過「科技局公司」的表現似乎不理想,因為金融廳曾對外放話,非常後悔發予牌照給他們,並表示,若狀況再不給善,將採取更激烈的手段,比如勒令停、歇業,甚至可能會收回Zaif的營業牌照。

「科技局」落跑,賠償責任落別家

在賠償用戶這方面,「科技局公司」的做法也差強人意。據悉,「科技局公司」將在11月22日前,脫出手上所有Zaif的股份,交予「飛斯科數位資產集團(株式会社フィスコ,英文:Fisco Digital Asset Group)」。日後對Zaif用戶的賠償責任,將完全由「飛斯科數位資產集團」承擔。

?相關報導?

觀點:千呼萬喚始出來!金管會終於表態承擔加密貨幣監管,這其中,安全問題應是首要

監管進程,美國證券交易委員會(SEC)宣布將發佈「ICO 指導規範」


 

《BlockTempo動區動趨》LINE官方號開通囉~立即加入獲得第一手區塊鏈、加密貨幣新聞報導!

加入好友

 

文章引用來源

留言
Loading...