近年来,资安已成为各国政府、企业聚焦的核心议题,尤其在金融服务领域,更是一场攸关“信任”的无声战争,攻击者的招数不断翻新,而防御者的挑战则与日俱增。
今年初,美、日、韩三国联合发表声明,警告“拉撒路集团(LazarusGroup)”等北韩骇客组织持续锁定加密货币领域发动攻击,光是去年就造成6.6亿美元的资产损失,进一步突显这个市场的安全挑战。
在这样的背景下,《区块客》有幸专访全球最大加密货币交易所——币安(Binance)的安全长JimmySu。币安作为加密货币产业的绝对领导者,不仅肩负保障用户资产的责任,也需应对层出不穷的攻击威胁,并在多国监管下不断强化资安体系。
在这次的专访中,JimmySu将分享加密货币产业所面临的资安挑战,以及币安如何应对日益精密的攻击、强化防护机制,又是如何在这场“没有终点的攻防战”中,始终保持领先。
骇客哪怕只成功一次,就能造成钜额损失;而我们,必须做到滴水不漏。
加密货币资安挑战再升级,国家级骇客成最大威胁“骇客手法越来越高明,更何况许多攻击已不再单纯由个人或犯罪集团发动,而是来自国家级的骇客组织,”JimmySu一开场就直指当前所有企业在资安领域内面临的最大挑战。
JimmySu举例说明,如近期Bybit遭到攻击,已有多个机构指出幕后黑手正是北韩的“拉撒路集团(LazarusGroup)”,不仅手法极为精密、技术高超,还拥有国家资源支持,面对如此狡猾且具有高度组织性的敌人,更突显出企业必须不断强化防护机制的重要性。
除此之外,人工智能(AI)技术发展虽然带来机会与高效率,却也让骇客有了更多的“武器”,JimmySu提到,不法分子甚至开始利用AI进行社交工程攻击,从而增加防范难度。
JimmySu提醒,无论攻击者是骇客或诈骗分子,攻击手法都在不断进化,且具有高度技术性、复杂性,一旦用户稍有不慎或防范意识不足,即使是币圈老手,也有可能落入陷阱,造成难以挽回的损失。
加密货币vs传统金融:资安标准大不同相较于传统金融体系,加密货币市场凭借区块链技术、智能合约,以低成本、高效率的优势,打破地域藩篱与时间限制,为用户带来更灵活、多元的选择。然而,正因为运作模式有着本质上的不同,两者在资安挑战上也大相迳庭。
JimmySu强调,银行有固定的营业时间,股汇市也有开盘、收盘时间,而加密货币市场则是24小时全天候不停歇,“任何时间点都有交易发生,每一秒钟都是潜在的攻击窗口”,这也意味着骇客攻击的风险更高,对于安全防护的要求自然也更加严苛。他表示:
以币安为例,我们建立一套完善的机制,帮助我们可以随时进行必要的系统更新,同时确保对使用者体验的影响程度降到最低。
另一方面,智能合约、链上资金流转分析等,这些都是仅存在于区块链科技上的新技术,代表资安团队成员必须具备对应的技能,JimmySu说:
在币安,我们会针对所有可能威胁到安全的潜在因素,从技术漏洞再到人员行为等进行相应准备,并且定期进行各种安全审查,包括渗透测试、漏洞扫描与程式码审查等。唯有如此,我们才能保护使用者免于各种危险。
AI既是利刃,亦是盾牌AI技术虽然为资安带来新挑战,但它能成为威胁,也能化作防线,端看如何驾驭,币安也正积极运用AI来对抗骇客、诈骗。
JimmySu透露,币安拥有一套非常完整的保护机制,并已在安全系统中导入AI、机器学习(ML)和大型语言模型技术,透过建立负责且深度学习模型,协助团队检测潜在的诈骗、帐户接管,甚至虚假身份认证(KYC)资料等可疑用户行为,一旦触发警报,就能在威胁尚未酿成损害前加以拦截。
另针对AI深伪技术(Deepfake)可能会被用来绕过身份验证的情况,JimmySu回应指出,币安会要求用户在KYC过程中执行特定动作,并由资安团队进行人工审核,以确保真实性。
防骇策略大揭密:技术、团队、外部合作全面升级作为全球最大的加密货币交易所,币安如何防范骇客攻击?JimmySu指出,币安投入大量资源与人力,从“4大面向”力求打造最严密的安全机制:
以模拟方法了解敌情,透过内部与外部白帽骇客的协助,进行模拟攻击,测试平台的弱点与漏洞,从而持续精进平台的安全性。除了内部庞大且专业的安全团队持续监控平台运作与交易之外,币安还与顶级的外部供应商合作,如与领先的链上情报公司Chainalysis、TRMLabs和Elliptic等进行合作,以协助进行针对性调查。币安拥有一套全面且先进的安全措施,包括但不限于设定严格的存取权限、加密安全协定等,并已获得国际权威机构的认可,成功在全球多地获得ISO27001与27701,以及SOC2的认证。币安定期要求全体员工完成与资料保护及其他安全议题相关的培训课程和检验。JimmySu提到,过去就有其他同业的员工因被钓鱼攻击,导致权限遭到窃取,“因此,我们相信,每一位员工都是整座安全城池不可轻忽的一环”。
用户如何自我保护?“3大防盗手段”学起来加密货币交易所落实安全防护机制固然重要,但用户的自我保护意识也不容小觑。对此,JimmySu向用户提出3点建议:
开启双重验证(2FA):光靠密码保护是不够的,强烈建议用户在所有平台启用2FA来增加安全性;资产分散存放:大额资产可考虑存放在冷钱包内,避免单一帐户成为骇客目标。其他做法还包括为不同帐户设定不同密码、为钱包或交易所使用不同的行动装置;提高警觉,勿点击陌生连结:钓鱼攻击是骇客常见的手法,建议用户避免点击任何陌生连结,并确保仅在官方网站进行交易。万一不幸遇到骇客攻击或遭遇诈骗,用户又该如何自救?JimmySu建议,应第一时间向所在执法机关报案,虽然不保证资产一定能追回,但目前已有愈来愈多的执法人员得以协助此类案件。
此外,JimmySu也提醒用户务必提防“二次诈骗”,对于任何声称能够帮助取回资产的人,都应该抱持高度警觉。
资产追回机制与用户保障:币安如何做到?过去大众普遍认为,加密货币一旦遭骇或被诈骗,几乎等同“石沉大海”难以挽救,但币安凭借强大的资安团队,已成功帮助许多用户追回资产。
据统计,光是在2024年,币安就成功拦阻高达42亿美元的潜在诈骗损失,保护280万用户免受不法分子侵害。除此之外,币安还协助追回并冻结8,800万美元的被盗资产。
然而,对于币安而言,资安防御不只是“事后补救”,更重要的是“事前预防”。为了降低用户受害风险,币安去年主动致电潜在受害者达30,000次,平均每日发送给用户的个人化警示讯息亦达15,000封;若诈骗不幸发生,币安也会迅速协助被害人进行资产追回,2024年币安每月平均成功协助用户追回诈骗损失件数为800件。
“我认为,币安在这方面所付出的努力是我们对于保护用户这项核心价值最直接的体现,即便这些投入亦无法为币安带来回报,”JimmySu表示:
我们作为行业领导者,深知自己的责任所在,这不仅是保护币安的用户,更是守护整体加密货币生态系的安全,从而为这个产业带来更多信任。
JimmySu补充说:“虽然加密货币业界目前并没有统一的交易所资安标准,但币安早已主动设立SAFU(SecureAssetFundforUsers)用户保护基金,以应对极端事件带来的用户损失。这项举措已成为业界典范,许多交易所纷纷仿效。”
不只挡骇客,还要“防内鬼”!谈到资安威胁,外部骇客往往是大家关注的焦点,但其实,内部风险往往更为隐蔽,却同样致命。对于币安来说,如何确保内部人员不会成为安全破口,甚至遭到恶意利用,也是资安防线中不可或缺的一环。
对此,JimmySu表示,币安已建立一套严格的内部监控与防范机制,且公司设备都具备行为监控功能,若有异常行为就会触发警报,例如异常多的档案下载和上传、病毒入侵,或造访钓鱼网站等。
另一方面,币安也会定期针对员工进行强制安全培训,也会不定期进行安全测试,借此强化员工安全防范意识,真正做到内外兼顾、滴水不漏。
资安攻防战不停歇,如何筑起最强防线?随著加密货币产业日趋成熟,资安防线也逐步强化,但骇客威胁从未停歇。面对这场没有终点、没有烟硝的攻防战,该如何进一步提升产业的安全韧性? JimmySu认为,从技术到教育,每一个环节都至关重要,唯有持续强化技术防线、加强资安意识教育,才能真正筑起防线,守护市场的信任与未来。他指出:
在资安领域内,没有绝对的安全,不管是个人或企业始终要持续提升在资安上的投入,不可安逸于现状,无论是在系统上的持续升级,或是为潜在可能的攻击做好各种演练都至关重要。
另一方面,近期的Bybit事件也证明,加密货币产业的整体韧性,相对于过去有非常显著的提升,市场并没有因为发生如此大规模的骇客事件而崩溃,而是展现相当大的团结。
与此同时,JimmySu也相信“教育”是不可轻忽的一环,尤其是在培养“安全意识”以及“资安卫生(CyberHygiene)”方面。
他强调,这不仅针对一般投资人,交易所员工的培训也同等重要,尤其当市场行情比较高亢时,安全更可能被众人忽略,JimmySu举例称,若培养良好的资安卫生习惯,例如定期更新程序、定期更换密码,不要随意点击不明连结等,也都可以降低资安事件发生的机率。
〈骇客每秒都在找漏洞!币安如何靠AI、白帽骇客、风控机制全面防御?〉这篇文章最早发布于《区块客》。
