全球最大Bitcoin交易所Mt. Gox上周宣布破產,其CEO Mark Karpeles指系統因安全漏洞問題,被黑客盜去85萬個Bitcoin,當中約10萬個Bitcoin為Mt. Gox所有,其餘75萬個為客戶所有,合共約值4.7億美元。究竟黑客是用甚麼方法,在這所全球最大的Bitcoin交易所盜去逾億美元的虛擬貨幣?
據Karpeles指出,該交易系統被黑客利用Transaction Malleability的漏洞,以欺詐性贖回的手法,把Bitcoin盜去。Bitcoin是一套嶄新的密碼學虛擬貨幣,其交易方式跟傳統的電子錢包的操作截然不同。所有Bitcoin的交易都通過一部公開的電子帳簿名為Blockchain,記錄全球所有Bitcoin的交易,交易內容包括金額、送款地址、收款地址、交易ID等,並以用戶的個人密碼鑰匙進行電子簽署,以確認身份。
最近有人發現早年的Bitcoin電子錢包軟件中,存在偽造交易內容的漏洞。有關漏洞被黑客掌握,於是不斷向交易所提款,然後偽造交易內容,假裝沒有收到款項。當交易所查看Blockchain,的確沒有見到交易,於是重新匯款,讓黑客騙取額外的Bitcoin。
據知該安全漏洞只在早期的Bitcoin電子錢包軟件中發現,而交易所自行編寫的程式,很大部分使用Bitcoin早期的開放源碼軟件所改寫,因而承襲了有關漏洞,讓不法之徒有機可乘。
當然,Mt. Gox對交易的監控不夠嚴格,才讓黑客在短時間內以單一漏洞騙去巨款。當Mt. Gox醒覺並終止用戶提款時,交易所已經損失不菲了。
電郵:ray@openrice.com