KuCoin交易所盗窃事件回顾分析

活动概况：

北京时间9月26日凌晨，库币交易所遭到黑客攻击，检测到多个热钱包中出现比特币、ERC-20等代币大额提现，已暂停充值和提现服务。

对此，库币交易所也第一时间发布公告：

资产转移：

根据KuCoin交易所发布的公告：

2020年9月26日02:51，库币团队第一时间收到风控系统报警，发现ETH转账记录异常：

0x4b738df5d7f12e3fa1cbe83b8165c542da461ef0c9255fc1a3f275259a92623b

异常的收款地址都是：0xeb31973e0febf3e3d7058234a5ebbae1ab4b8c23，

目前该地址已被etherscan浏览器标记为：Fake_Phishing4378

此后，库币陆续检测到多个ETH和ERC-20代币转账异常告警：

eth被盗

Eth-usdt被盗

Erc20代币炼金术被盗

Erc20 代币 AMPL 被盗

据监测统计，该异常地址目前拥有价值约1.52亿美元的ERC20代币和11480个ETH。

根据转账交易记录，涉及的代币种类较多，包括11486个以太坊、19788586个USDT、458866个Gladius（GLA）、28443个/Hawala（HAT）、21660273个、oceanToken（oCEAN）、29999个、Chroma（CHR）、30452178个件，Ampleforth（AMPL），198,678,919件，AnkrNetwork（ANKR）等。

除EHT和ERC20代币外，Kucoin被盗的其他可疑地址如下（持续更新中）：

作案时间是今天早上4：30-5：30。 直到早上9:00后，库币才重新获得对这个账户的控制权，将最后的95个eth存起来，发送到库币的另一个冷库地址：

另外，根据Cryptoquant的监测数据，UTC时间9月25日20:00，大量比特币从KuCoin钱包流出，随后停止，随后一段时间流出量为零。

随后，根据零时科技安全团队的监控，发现被盗的库币交易所ETH-USDT已部分转账，异常地址为：

0xeb31973e0febf3e3d7058234a5ebbae1ab4b8c23

发送1个USDT测试到转账地址0xc6f928cf9431b82c8c9a10fe954df44e66cbed1c后，再转50000个USDT到这个地址：

之后将部分进入该地址的USDT

0xdf092101010766234f7d261a75de94235270138e 和

0x710da7a06b0c66a18fed27dfa53d937c69ed3b2c 地址。

钱包地址0xdf092101010766234f7d261a75de94235270138e开始进一步分发和转出相关USDT。 目前，已有11,000 USDT流入抹茶交易所。

对此，抹茶交易所也表示，已对相关USDT转账进行监控，并立即冻结了USDT流入账户。 继续关注事发动态，加强监测，跟踪确认可疑资产流向，全力协助友商，严厉打击违法违规行为。”

此外，Bitfinex还冻结了库币交易所异常流出的EOS链上1300万美元，Tether在攻击地址冻结了以太坊链上超过2000万美元。

零时技术安全团队将继续监控有关事情进展情况和转移代币最新状态的报告。

安全建议：

回顾以往各交易所的安全事件，零时科技安全团队认为，加密资产交易所的风险存在于多处、多维度。 从安全攻防的角度来看，每一点都非常重要。 交易所的安全性就像一个木桶。 它不能有任何缺点大额usdt被偷报案管用吗，因为任何缺点都可以作为黑客的入口。

对此大额usdt被偷报案管用吗，零时科技安全团队也给出了如下安全建议：

1. 交易所在日常运营中可以定期进行安全测试，加强安全加固，不至于一时半会补上。

2、培养交易所内部人员的安全意识，加强交易所生产环境、测试环境、调试环境的安全隔离，包括OTC业务、钱包安全解决方案、容易被忽视的内鬼。

3、交易所通常可以使用代码审计、渗透测试等安全服务，从攻击的角度了解系统是否存在漏洞隐患和安全风险。

4、交易所应升级账户密钥结构和风控措施，建立合适的多重签名密钥结构，建立严格的风险控制和检测预警机制。

5、通过与专业安全公司合作，强化安全防线，建立完善、完善的安全保护机制。