Upbit交易所大量ETH被盗事件详解

昨日12时06分，成都链安态势感知系统Beosin-Eagle eye检测到以太坊Upbit交易所的热钱包地址通过一笔交易向未知​​地址转移了34万多枚ETH。

黑客转出342,000 ETH后，地址中只剩下111.3 ETH，几乎是空的。

随后，官方公告称：

紧接着，成都联安的安全团队对整个代币转账的交易时间线进行了完整的审核：

北京时间11月27日13时18分，Upbit的TRON地址TDU1uJ批量向TA9FnQrL开头的地址转账TRON币比特派usdt被盗，共转账超过11.6亿个TRON币和2100万个BTT。

北京时间11月27日13:02，8,628,959个EOS从Upbit EOS钱包地址转入Bittrex交易所；

北京时间11月27日凌晨1时55分左右，超过1.52亿枚XLM从Upbit交易所转入Bittrex交易所。

通过我们的进一步分析，我们认为EOS、XLM、TRON代币的转移很可能是交易所风控机制触发的避险操作，并且有数据显示Upbit与bittrex存在合作关系。 因此，大量的EOS和XLM转移到Bittrex交易所，可能是Bittrex帮助规避风险。

随后，北京时间下午4时56分，Upbit官方斗面CEO李锡佑发布通知称，官方已暂停加密货币充提服务，并紧急调查原因，并表示Upbit将完全承担损失。

至此，Upbit的整个代币转账流程已经很清楚了。 针对此次ETH被盗事件，成都联安安全团队进行了如下分析判断：

UpBit交易所被盗可能是由于存储热钱包私钥的服务器受到攻击导致私钥被盗，或者是交易签名服务器受到攻击，而不是由于控制服务器受到攻击热钱包API转账。

从转账交易（hash为0xa09871A******43c029）来看，黑客或团伙一次性将账户内的资金全部转走，并没有做任何不必要的操作。 随后，有用户充值了约4700eth到UpBit交易所，目前交易所已将资产转入交易所控制的地址0x267F7*********0a8E319c72CEff5。

从目前已知情况来看，UpBit交易所可能受到鱼叉式钓鱼邮件、水坑攻击等攻击，并在获得交易所内部员工甚至高管的PC权限后进行进一步攻击。 并且有报道称，朝鲜黑客于5月28日利用钓鱼技术，通过电子邮件向Upbit交易所用户发送钓鱼邮件比特派usdt被盗，进行网络攻击。

在此，成都联安提醒广大项目方：

1、私钥要妥善保管，来源和目的不明的邮件尽量不要点击；

2、在员工个人电脑上安装主流杀毒软件，加强对内部员工的安全意识培训。 建议找靠谱的第三方安全公司加强内网防护。

3、对于私钥存储服务器，建议指定专人运维。

可采取有效的防护措施：

1.重写服务器命令，如黑客常用的history和cat命令，开发脚本进行持续监控。 如果有敏感命令的推送提醒，运维人员只需在重写命令后维护新的命令即可。

2、完善自身的资金风险控制体系，及时报警和阻止交易，防止出现大额损失。