(2/2更新資訊:目前YES-BTC已經關站,網站聲明表示董事長何兆翼目前不知去向)
出包的是交易所不是比特幣
根據Yes-BTC數位比特加密貨幣推廣中心的Facebook粉絲專頁揭示,Yes-BTC自上線第一天就已經遭受駭客攻擊,在之後幾個月陸續遭盜領小額比特幣,待2014年10月底已經被盜轉267枚比特幣左右。而公司執行長何翼兆為了補回差額,以公司名義向地下錢莊借貸300萬元,到2015年1月中時資金缺口更為高達500萬元。
隨後何翼兆為了償還債務,自己下場高價收購比特幣,再將比特幣市價轉賣回現今滾債,但因流動量不大,反而讓債務滾到約900萬元,而資金缺口也達500至600萬元。
更糟糕的是,交易所在2015年1月30日又遭攻擊,分別被盜取86及82枚比特幣,讓損失的比特幣總數達到435,依筆者賺稿時Yes-BTC比特幣交易所公佈的世界加權平均價,1枚比特幣等於新台幣7179.38元,也就是說遭竊的比特幣價值高達約新台幣3,130,860元。隨後何翼兆也在粉絲專頁坦承給予太多成員系統交易所後台權限及系統SSH遠端登入權限,這可能是造成比特幣失竊的主因,而關於後續事宜處理,則要等到2月14日至2月17日之間召開的說明會,才會有進一步消息。
單從這個事件來看,或許讀者會很直覺地認為比特幣的安全性大受打擊,但實則不然,雖然曾為全球最大比特幣交易Mt.Gox,也因疑似受到攻擊,遭竊85萬枚比特幣,導致破產而關閉,但與Yes-BTC比特幣交易所發生的問題一樣,兩者的問題都是交易所的比特幣遭竊,而不是比特幣的問題。
▲Yes-BTC比特幣交易所的安全機制說明,並沒有提到如何儲存比特幣。
▲Yes-BTC數位比特加密貨幣推廣中心的Facebook粉絲專頁所揭示的失竊訊息備份。
▲針對失竊事件危機處理的相關訊息備份。
交易所不安全,不代表比特幣不安全
要瞭解這次的失竊風波,就必需先瞭解比特幣的儲存方式,然而為了不使問題複雜化,筆者在這邊只簡單介紹比特幣的儲存手段,其餘部分或許往後有空再來討論。
比特幣是種全新的虛擬貨幣,它與信用卡、點數卡、電子錢包等仍以實體貨幣為基礎的電子貨幣不同,電子貨幣只是實體貨幣的另一種交易形式。而比特幣與新台幣、美金、歐元一樣,本身就是獨立的貨幣,與一般貨幣不同的是,比特幣的具備雙向的確認機制,除了擁有者持有這枚比特幣之外(或是每份,比特幣最小可以切割至0.00000001枚),比特幣的運作機制也會在每枚比特幣上儲存是哪個「錢包」擁有它。
而比特幣的錢包有點類似電子信箱帳號,1個人可以申請多個錢包,1個錢包也可以給多個人使用,而比特幣一定要存放在錢包中,錢包儲存了為比特幣加密的私密金鑰,這組金鑰可以視為交易的通行證。基本上只要金鑰不外流,別人就不能盜取錢包中的比特幣,但是當金鑰外流後,就代表比特幣有極大的風險會遭盜取。
在這次的事件中,雖然Yes-BTC比特幣交易所並沒有詳細說明遭盜領的原由,但是照經驗判斷,應該是屬於其網站安全性的問題,導致金鑰遭竊或外流,也就是說攻擊者可以使用金鑰,循正常交易手續領走比特幣,而非比特幣本身的運作出了紕漏。
從事件中我們可以學到的,就是不該輕易把比特幣存放在「非自己控管」的錢包中,也要謹慎儲存金鑰,至於那些已經被竊走的比特幣,幾乎不可能被尋回,所以受害者大概只能祈禱Yes-BTC比特幣交易所會擔下賠償責任。
▲Yes-BTC從事比特幣交易的事業,自身網站安全性又不夠嚴謹,實在相當諷刺。