针对虚拟货币交易平台Coincheck日前遭遇的价值580亿日元(约合人民币34亿元)的新经币(NEM)被窃事件,日本金融厅1月29日向该平台下达了业务整改命令,要求查明事件原委,妥善处理用户损失,强化管理体系并致力于防止悲剧重演。Coincheck随后在官网上做出回应,声称将于2月13日前以书面形式针对上述内容提交报告。
Coincheck成立于2012年8月,总部位于东京,是日本第二大比特币交易平台。就在前一天(1月28日)凌晨,Coincheck公布了事件的一些细节和补偿方案。该公司表示,总计5.23亿个NEM被盗,约26万用户被卷入其中。Coincheck称受损的客户将获得以88.549日元乘以持有币数的补偿,但何时补偿及相关手续等细节还在讨论当中,补偿资金为自有资金。
被盗源于安全机制松散
当地时间上周五(1月26日),Coincheck陆续发布平台功能受限的消息,上午11时左右发布消息称,NEM入金受限;过了半小时左右,再次发布消息称该币的出金也开始受限;到了12时左右,该公司宣布暂停该币所有的买卖交易;到了傍晚5时许,该公司称平台上的一些其他虚拟货币交易也被暂停。目前,其他法定货币的入金和出金均被暂停,仅有日元入金可行。
Coincheck在1月26日晚间召开记者会,称1月26日凌晨3时前出现了非法访问,几乎全部NEM都被转移走了,公司内部发觉异常是当天上午11时多。保管NEM的账户通常连接互联网,相比离线保管安全度较低。该公司社长和田晃一良称,由于技术难度和人才不足,离线帐户保管技术还没开发出来。
“在此次黑客事件中,Coincheck犯了个特别大的错误,就是把全部的NEM都保管在了‘热’账户里面,这是连接了互联网的;相对的还有‘冷’账户,这是不联网的,外界没有办法入侵。另外,一般来说,一个平台也就一两个员工拥有操作权限,而且需要很多人的见证才能使用。行业标准是大部分的币都存在‘冷’库中,小部分存在‘热’账户里,Coincheck的做法就是缺乏安全机制的表现。”ICO平台ZILLA负责人Abasa Phillips1月29日通过电话对21世纪经济报道记者表示,该平台的核心团队位于东京。
NEM的发起组织NEM.io基金会1月26日针对此事件回应称,此次被盗事件和该基金会的技术没有任何关系,过失都在Coincheck一方,该平台的安全机制比较松散。
该基金会还称,该黑客事件为一个账户所为,其NEM区块链平台上拥有追踪系统,截至目前,黑客还未做出任何移动的行为。该组织将与Coincheck合作,继续跟踪和标记被黑客侵入的钱包及其相关账户,以追查可疑钱包账户的最终拥有者。
“基于区块链的技术和上述追踪系统,黑客对虚拟货币移动行为都会被追踪到,如果他们试图转移这些窃取的NEM,就会被发现。”Phillips说。
料对交易平台加强管理
日本监管在去年推出了新《资金结算法》,要求兑换现金的交易平台执行登记制度。日本监管去年4月1日要求虚拟货币交易平台申请牌照,并于9月底开始陆续发放牌照。目前,已有16家平台获得牌照,另有16家处于在审状态。Coincheck在去年9月提交了申请,目前仍处于在审状态。
“Coincheck还没获得牌照,日本监管发放牌照有一定的限制,就是限制平台交易虚拟货币的种类,只能是比特币、以太币等比较成熟的币种,不能交易ICO代币,以及其他小众的币种,但Coincheck就有限制的币种,这也可能是该平台还未获得牌照的原因。这个事件之后,日本监管将对这些平台的安全机制提出更为严格的要求。”Phillips说。
此次事件成为史上规模最大的虚拟货币被盗案,此前最大规模的事件发生于2014年,总部位于东京的交易平台Mt. Gox当时经手着比特币全球八成的交易,但因黑入侵盗取价值近5亿美元的比特币而申请破产。近期来看,韩国的交易平台Youbit在去年12月份宣告关门并申请破产,该平台在去年被黑客入侵了两次。
“我是‘Mt. Gox事件’受害者之一,我的比特币在当时全被盗了。”Phillips坦言,“据我了解,全球大部分交易平台的安全机制都有漏洞,这也使得黑客盗取虚拟货币的事件频繁发生,可以说一两个月就发生一起,不过这次Coincheck的规模尤为巨大。”
相较一些国家,日本监管对于虚拟货币采取了更为支持的立场,去年4月1日起,比特币等虚拟货币支付手段合法性在日本得到承认。众多分析指出,该政策引发了民众对于虚拟货币的热情,寻求获取上涨收益的个人资金持续流入。从去年10月开始,日本成为全球最大的比特币交易市场,份额维持在四成左右。
在刚刚结束的达沃斯论坛上,不少精英表达了对虚拟货币的警告。美国财长史蒂文·努钦就表示,美国担心这些货币会被用来从事违法活动。