成都联安：Cashaa钱包336枚BTC被盗事件分析

一、卡莎盗窃案简介

Coin Crunch于2020年7月10日收到投诉信，受害人称在1点23分登录并进行了两笔交易后，其1.06005561 BTC被盗，被盗BTC已转入地址

14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek。

投诉证明如下：（根据官方描述，为保护投诉人隐私，只截取了第一页的证明）

图1

此后不久，Cashaa涉及的共8个比特币钱包，共计335.91312085个比特币（约合310万美元），被攻击者通过同样的手段转移到同一个地址

14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek。

事发后，Cashaa的CEO Kumar Gaurav对事件做出回应，称该事件只是一次特例btc钱包图片，Cashaa其余账户余额仍然安全，并呼吁各大交易所禁止从与事件相关的地址提现，否则就是“助纣为虐”，几乎所有的交易所都积极响应了Cashaa的号召。

根据Cashaa的解释，这起事件是一名员工使用自己的个人电脑造成的。 黑客通过浏览器会话控制员工电脑，具体攻击方式仍在调查中。

Cashaa 以前不允许使用个人电脑。 这一次，由于设备故障，员工使用了个人电脑。 考虑到“客户体验”，Cashaa于8日临时开放权限。 10日，该员工使用电脑后不久，336 BTC被盗。 根据网上地址，被盗的BTC在转账过程中也混杂在一起。

二、Cashaa币被盗事件分析

成都联安安全实验室分析了这起事件。 涉事BTC在员工操作后短时间内被盗，转账过程中混币流入。 这表明黑客对区块链技术的兴趣由来已久。 积累很可能是相关从业者或黑产业成员。

根据Cashaa提供的信息，该员工8日获得许可，10日遭到袭击。 这太巧合了。 我们认为，Cashaa 在临时授权该员工的计算机之前，应该对该员工的计算机进行安全检查。 . 这里我们推测这是一次针对性很强的攻击。 黑客很可能长期针对Cashaa，他们对公司内部成员和动向了如指掌，所以能够在这么短的时间内控制员工的电脑； 但不排除有知情人配合办案的可能。

根据目前掌握的信息btc钱包图片，我们推测有两种可能：

3. 安全建议

针对这一事件，成都联安呼吁各大交易所和钱包服务商“蚂蚁窝里拆千里堤”。 网络安全建设是一方面，任何薄弱环节都可能成为决堤的“蚂蚁窝”。

1、从交易所开始：服务器层、网络层、终端层、智能合约层、业务层、安全管理体系等各个层面的安全缺一不可； 无济于事。

2、“安全”永远是一个变局的过程，没有攻不破的系统。 随着技术的不断发展，所谓“安全”的系统会变得不安全，因此与第三方安全公司建立持续的合作关系也是必不可少的。

3、对于安全体系来说，人往往是最薄弱的环境，“违规”的可能随时存在。 加强员工的信息安全意识，有效实施良好的安全管理制度，可以避免很大的风险。

4、“补之不晚”。 交易所在遭受黑客攻击后，应立即寻求专业安全公司的帮助，追踪资金的动向，尽可能将公司的损失降到最低。