文|呵呵 　　

　　

　　编辑|刀 　　

　　

　　2019年7月13日凌晨，用户王超(化名)存放在MXC抹茶交易所的900枚VDS币不翼而飞，市值约2万元。 　　

　　

　　之后多个用户的丢币反馈集中在平台端。据抹茶统计，共有15名用户在该事件中遭受资产损失，金额达15 BTC。 　　

　　

　　抹茶团队随即在深夜召开线上会议，讨论支付方案。 　　

　　

　　经调查，此次被盗并非技术攻击所致，主要是黑客撞库和个人用户被非法钓鱼网站误导，导致账号泄露和硬币丢失。 　　

　　

　　针对用户的资产损失，抹茶发布了全额赔付的公告，并表示今后将强制用户绑定短信验证和谷歌验证，同时完善交易所的相关安全措施、流程和操作。 　　

　　

　　事实上，因未绑定短信和谷歌验证导致账号被盗的案例在币圈并非孤例。提高自我安全意识无疑是所有货币投资者的必修课。 　　

　　

　　用户深夜丢币 平台全额赔付 　　

　　

　　事故发生在深夜。7月13日3点半，众多用户的丢币反馈涌向抹茶客服。 　　

　　

　　王超的第一反应是“被迫”。他回忆说，“13号早上8点，我的邮箱收到了三个异地登录的通知。”攻击者通过埃及、泰国和荷兰的IP地址访问了他的抹茶账户。 　　

　　

　　通过审计，王超发现账户里原来的900块VDS币在凌晨时分被兑换成了以太坊。随后，攻击者在高点买入，在低点卖出，并转移“YKC/ETH”交易对中的资产。 　　

　　

　　 7月13日凌晨，YKC/ETH成交量激增。 　　

　　

　　高价买，低价卖，是这个偷钱贼转移用户资产的主要方式。早盘，YKC对ETH的交易量激增。 　　

　　

　　“平台接到用户反馈后第一时间进行了核实和调查。”抹茶向蜂巢财经回忆，团队几乎连夜召开线上会议，排查事故原因，然后开始讨论用户流失的赔付方案。 　　

　　

　　抹茶发生资产安全事故后，原因首先成为外界最关心的问题。王超说他的账号已经有短信安全验证了，为什么盗钱贼还能绕过这个？他怀疑抹茶平台被黑客攻击了。 　　

　　

　　对此，抹茶向蜂巢财经表示，经技术团队调查，平台在资产转移过程中并未受到技术攻击。“事故原因是黑客撞库，个人用户被非法钓鱼网站误导，导致部分投资者账户泄露，损失资金。" 　　

　　

　　对于王超的情况，抹茶相关技术人员表示，这是因为攻击者拦截了用户的短信验证。“拦截是指短信验证码无法到达用户，但黑客可以获取。” 　　

　　

　　事发后，抹茶开始处理善后事宜。“目前平台已经开始联系被盗用户进行注册。” 　　

　　

　　年初以来，日均交易额突破42亿元的抹茶交易所成为币圈“网络名人”，此次安全事故的发生引起广泛关注。被盗后，有传言称平台被盗资产数以亿计。 　　

　　

　　对此，抹茶平台创始人MC在用户评论区回应称，损失上亿币是谣言。“总损失金额超过100万。我们会启动备用金，统一账户注册后三天回滚结算，全额赔付。” 　　

　　

　　据统计，此次事故涉及15名用户，损失总额近15个比特币。 　　

　　

　　至于平台选择全额付费的原因，抹茶负责人告诉蜂巢财经，“其实抹茶没有义务付费，但是我们希望通过这次事件，让用户对抹茶建立足够的信任，希望他们能够真正重视安全问题。” 　　

　　

　　多重验证为用户资产加锁 　　

　　

　　5个比特币被盗丢失引起了抹茶团队的注意。 　　

　　

　　7月13日事发当天，抹茶发布了“关于用户资产损失赔偿及安全系统升级”的声明。“针对此次事件，团队也进行了反思，并将在后期实施更严格的安全措施，如 　　

　　

　　同时，抹茶提醒投资者不要在每个交易所或其他渠道账户设置相同的密码，在交易账户上做手机、谷歌验证码等多重安全绑定，防止不法分子盗取资产。 　　

　　

　　作为这次事故的受害者，王超承认没有设置谷歌验证是他的疏忽。“前期选择抹茶，是因为在众多线上VDS交易平台中，抹茶的交易深度最深。我注册账号的时候只设置了短信验证。刚开始太麻烦，就忽略了谷歌验证。” 　　

　　

　　在登录验证环节，币安和火币都发布了公告，特别提醒投资者设置谷歌验证。老牌交易所非常重视用户的资产安全。 　　

　　

　　去年10月，火币宣布用户必须设置谷歌验证。 　　

　　

　　谷歌认证器是一个动态密码工具。“谷歌认证比短信安全，因为它有私钥。如果要解除绑定，需要联系客服核实身份。”抹茶相关技术人员介绍。 　　

　　

　　从抹茶的声明中不难发现，抹茶将安全事故归咎于用户安全意识不足。但也有用户提出了平台内部安全机制是否过于强大的问题。 　　

　　

对此，抹茶有关负责人告诉蜂巢财经，平台代码为独立开发，且和国内顶尖的多家顶级的安全防护公司展开了深度合作，在自身安全机制上下足了功夫，“当然，后续我们也会尽全力保障用户资产安全，并对相关安全措施、程序和操作进行重大完善。”

　　

对于强制用户绑定手机和谷歌验证码的原因，上述人士表示，“绑定手机和谷歌验证码，能很大程度上保护用户的账户安全，之前很多用户嫌麻烦忽视了这两个安全登陆流程，现在我们实施强制绑定，是希望能为用户资产再上一把锁。”

　　

另一方面，抹茶希望用户也能提高自身安全意识。“对用户而言，首先尽量避免在不同交易所使用相同的邮箱账户和密码，其次绑定手机验证和谷歌验证码。切勿泄露账户信息。做到这三点就能在很大程度上提高安全性。”

　　

“裸奔”的代价

　　

在炒币者眼中，除了币价大跌，最忌惮的恐怕要数资产被盗。针对两步验证的重要性，有业内人形容，不开通手机和谷歌验证的账户，相当于处在“裸奔”状态。

　　

“在两步验证的保护下，攻击者仅仅拥有用户名和密码已不足以黑入账户。他还需要拿到进行两步验证的移动设备或拦截验证码，这无疑加大了攻击难度。”

　　

事实上，不绑定手机、谷歌验证而造成的安全事件，在币圈并非孤例。

　　

今年1月14日，名为“一无所有的韭菜”的投资者在巴比特论坛发帖求助称，他存放在火币交易所账户里的5.4个比特币不翼而飞。

　　

控诉很快引来了关注，有人表示同情，希望火币能帮他挽回损失；但也有人通过公开的账户截图发现，上述账号竟然没有绑定邮箱和谷歌身份验证器（GA），状态近乎裸奔。

　　

一周后，火币官方发布“关于巴比特论坛网友关心的丢币情况说明”表示，在丢币用户账内比特币被转走过程中，火币未遭到技术攻击。火币建议建议该名用户尽快向警方报案，平台会尽全力提供帮助，争取挽回损失。

　　

用户“一无所有的韭菜”最初的求助帖已被删除

　　

相比火币的这名用户，抹茶交易所的20多名丢币用户是幸运的。此次，抹茶对用户损失选择了全额赔付，但对于投资者而言，提高自身安全意识成为在币圈淘金的首要必修课。

　　

互动时间

　　

你会给账户安全上几把“锁”？

　　

了解更多区块链优质内容，请关注公众号：蜂巢财经News