从孟加拉央行账户被黑客事件分析区块链能否有效打击网络犯罪

区块链

比特币

以太坊

看法

报告

区块链或分布式账本技术能否拯救世界重要的金融系统免受攻击？

银行在进行跨境支付和转账时会使用一些统一的电子信息，这些信息由特定的代码和标识符组成，是一个通用的金融术语。

金融机构各司其职怎么查看比特币账户，通过各项政策和程序遵守相应的法律规定，核实参与者信息，发现违法行为，关注一切可疑现象。 每一笔交易都会被一些特殊的数据库核对，其中包括一些公司和个人的黑名单信息或者政府通缉人员的信息。 涉及的系统涉及大量资金，并且为这些系统添加了保护层。

但无论安全系统多么先进，即使有大量人员监控货币交易，黑客仍然可以成功窃取大量资金。

今年早些时候发生了一起令人讨厌的黑客事件。 孟加拉国银行在纽约联邦储备银行（NYFR，以下简称纽约联储）的账户被盗8100万美元。 黑客最初计划窃取 10 亿美元。 幸运的是，对于一些大额转账，纽约联储不会一次性转账。 在转账过程中，黑客不小心把收款人的名字拼错了，以至于最后只拿到了8100万美元。 .

以下是事件的具体细节。

整个攻击过程

事件仍在调查中，但当事人忙于推卸责任。 纽约联储表示，它已成功拦截了大多数可能的转账请求。 网络犯罪分子向纽约联储发送了多达 35 条消息，谎称来自孟加拉国中央银行，并索要 10 亿美元，但只有一小部分通过了。 纽约联储每天处理 8000 亿美元的国际汇款，所以 8100 万美元根本不算什么。

孟加拉国央行表示，黑客发送转账请求的频率如此可疑，纽约联储本应发现一些本可以提前预防的线索。 过去一年，孟央行每月仅发出2次左右的汇款请求，且全部汇入公司账户。 从来没有一天发过35个请求，还是转到了个人账户。

负责银行网络必要的软硬件通信和网络安全的SWIFT也遭到了无情的批评。 SWIFT 网络每天为 10,000 多家银行和企业处理 2500 万次通信。 有人指责SWIFT多年来从不为自身的网络安全做任何事情。 SWIFT 应该投资一些先进的技术来防止攻击的发生。

孟加拉中央银行也离不开它。 有人说，由于银行网络的安全性差，其系统遭到破坏。 攻击发生前一个月，黑客已成功在银行系统植入木马病毒，但银行完全不知情，给了黑客足够的准备时间。 银行工作人员从不在线监控交易，只是在收到来自SWIFT网络的信息后，才手动打印具体的交易信息。 黑客提前1天进行远程控制，导致打印机出现故障。 等他们第二天成功打印出SWIFT网络发送的交易信息时，已经晚了。

最终，这次袭击的时机恰到好处。 黑客在周四发送了汇款请求，而当纽约联储向孟加拉国央行发送确认信息时，已是周五和周六，银行工作人员正在休假。 而当孟加拉中央银行发现不对劲时（即在“修好”打印机之后），纽约联储放假了。 最后，当纽约联储试图阻止这笔交易时，资金已经抵达菲律宾，那里的银行正在为农历新年假期放假。

幸运的

在黑客发出的35个请求中，前几个请求缺少重要信息，因此被纽约联储系统拒绝。 没过多久，黑客就发现了问题，改正错误后重新提交。 此时，纽约联储已批准 5 项请求。 请求的其他部分被拒绝纯粹是侥幸。 汇款请求的收款人在菲律宾，地址恰好在朱庇特大街。 Jupiter这个词是纽约联储系统中一艘伊朗油轮的名字。 伊朗当时受到了美国的制裁，所以这部分要求也没有成功。

全球网络的漏洞

事实证明，全球网络，尤其是那些涉及货币交易的网络，是黑客的主要目标。 目前，黑客已经掌握了高端技术，而且很有组织性。

这些黑客以能够访问海量数据资源而自豪，有些甚至在某些流氓政府的资助下进行数百万美元的欺诈。 银行业对此也负有责任。 每当发生攻击时，大多数银行都保持沉默，不向公众宣布，好像这样做会有用似的。 他们应该本着开放和合作的精神共享信息和进行调查，以便及早发现和修复系统漏洞。

参与孟加拉国央行攻击的黑客熟悉他们的系统，知道如何避开一些安全的地方，主要针对国际支付网络中的薄弱环节。 黑客可能还与早前厄瓜多尔银行在美国富国银行的账户被盗案（损失1200美元）有关。 这两家银行现在都在法庭上。

安全公司赛门铁克认为这些黑客属于一个名为 Lazarus 的组织。 该组织声称对 2014 年对索尼影业的袭击负责，并称这是由朝鲜政府赞助的。

区块链和分布式账本

区块链用于支持比特币，一种去中心化的虚拟货币系统。 世界各国的金融体系都是中心化的，服务于由政府发行怎么查看比特币账户，在国内占有一定经济地位的法币。 去中心化系统本质上是无信任的，因为这些系统中没有中央机构或企业，所以任何决定都是通过系统中达成的共识来做出的。

区块链中的交易记录不可逆、不可篡改。 这样，所有权就确立了，比特币的转账就实现了。 同时，也可以防止“合法拥有者”对同一个比特币进行两次支出（double spend，double spend）。 比特币交易由参与虚拟货币系统的计算机或节点的共识来验证，没有单一的中心化机构来记录交易。 区块链可以保证比特币系统的公开性（无许可），无需中央权威机构的同意或决策，因此是匿名的。

分布式账本的定义更为广泛。 它的创建者将区块链设计为与比特币系统集成，但分布式账本架构可以支持所有类型的系统。 例如，金融服务中的分布式账本系统被允许避免过度匿名。 分布式账本系统的应用非常灵活。

分布式账本架构和风险管理

基于分布式账本和多数据库同步运行的反欺诈系统，可以有效打击类似孟加拉国央行被黑客攻击的事件。 该系统可以先记录保密交易，为以后的交易验证做准备，但系统不会完全公开交易细节（不像传统区块链所有交易都是公开的）。 其次，系统还可以存储和更新经过验证的合法信息和发送方和接收方信息。

今天，商业银行和金融机构自己负责运行内部风险管理系统并更新黑名单和制裁信息。 将开发风险管理系统的责任留给商业银行只会导致严重的技术质量问题。 而分布式系统可以使国际市场上的任何人受益，不仅是大银行，也包括缺乏风险管理能力的小银行。

通常，银行系统的误报率很高，即使有一点点可疑，交易也会被取消。 但实际上，大部分交易只是缺少信息的问题，在重新提交交易请求之前已经被更正。 因此，负责监控交易的银行工作人员可以放松警惕，并假设大多数交易是无害的。 分布式账本系统可以由主要中央银行和大型商业银行维护。 从长远来看，是否需要像 SWIFT 这样的中央网络当然值得商榷。 事实上，使用标准化的 ISO 格式，分布式系统可以独立运行，也可以在一些关键人员的帮助下运行。

“混合”系统的合作研究

目前，央行正在开发一些“混合型”系统，数据由单一机构集中管理，但同时也鼓励发展大规模的分布式账本系统，以确保网络安全。 这样的系统可以在国际、区域和本地使用，确保不同地区的中心化机构可以为共享的去中心化系统构建另一层保护。

然而，开发这样一个基于国际化价值转移的系统通常需要很长的时间和大量的成本。 同时需要内部协作，甚至可能影响到私钥，这意味着在这段时间里，系统很容易受到攻击。 但是，混合系统比旧系统更快地识别欺诈交易和洗钱，并且补救措施更到位。

注意：即使是最新最好的技术也不能保证银行的风险管理系统是 100% 完美的。 黑客的攻击手段通常比较简单，容易获得信任，包括植入病毒，关闭监控或打印功能，或者只是观察相关人员的工作规律和弱点，然后选择一个好的攻击时间，通常是周末或法定节假日对他们更有利。

原版的：