首次遭遇网络攻击后该如何应对——避免第二次攻击发生

Phemex 分享其前所未有入侵事件中的经验教训。

即使是思想领袖，也难免面临在线运营业务的各种风险。 Phemex，一家融合了集中式和去中心化平台最佳流程的混合交易所，于一月底遭受了一次来自高级威胁行为者的攻击。

Phemex 团队没有回避这一不受欢迎的事件，而是选择了坦诚和透明——也许这是他们从中获得的最重要的教训。

“我们希望通过本文来回应此次事件，谈谈我们是如何应对的，以及解释我们为防止未来发生类似事件所采取的措施，”Phemex首席执行官Federico Variola表示。

他强调，尽管此次攻击来自高度复杂的威胁行为者，但绝大多数用户资金从未处于风险之中，且交易所已承担了所有用户的损失。

“我们也尽快恢复了核心业务，并立即重新设计了我们的热钱包安全基础设施，以大幅降低未来的这些安全风险，”他继续说道。

攻击与防御

攻击者有着加密货币黑客的历史，被认为技术极其高超，因此此次网络攻击性质复杂且难以防范。执法部门尚未公开确认这些肇事者的身份，但他们很可能居住在支持此类行为的国家，并且可能免于任何起诉或其他法律制裁。

Bybit 最近遭受的黑客攻击 据 Variola 称，似乎与同一集团有关，但事件有所不同。

“在我们的案例中，热钱包成为了攻击目标，”他说。“而在 Bybit 的案例中，攻击对象是他们的主要 ETH 冷钱包。”

Phemex 采用独立的热钱包和冷钱包系统，以最大限度地降低在“边缘情况”期间发生损失的风险——“边缘情况”是网络安全术语，指发生在正常或预期极限范围之外的问题或情形。

“仅我们的热钱包资金被盗，正因为我们将热钱包和冷钱包分开，才得以最大限度地减少损失，”Variola 表示。“所发生的事件无疑是负面的，但这仍在我们交易所可承受的范围内。”

该攻击通过社交工程实施，目标是通过 Telegram 针对 Phemex 员工。A 完整事件报告 出现在 Medium 上。

估计将 总价值 被盗资金金额为 8500 万美元，因此在攻击发生期间，透明度和对用户的可信度是 Phemex 的最高优先事项之一。

“我们立即通知了用户，”Variola 继续说道，“并通过鼓励他们使用我们的自我验证 亲自核实，向他们保证资金安全。”默克尔树储备证明工具。””

一旦 Phemex 控制并评估了损失，下一步就是将损害降至最低。一些资金已经被追回。在其他交易所出现的被盗资金已被立即冻结。

“资金的回收工作目前仍在进行中，我们希望能够追回相当数量的被盗资产，”Variola 表示。尽管如此，“我们仍拥有足够的资源以保持全面运营。”

与此同时，Phemex 正在与执法机构、网络安全公司及其他加密平台合作，推进恢复工作。该交易所在 24 小时内成功恢复了用户的核心功能——这可能是任何知名加密交易所遭遇黑客攻击后最快的恢复之一。随后，Phemex 实施了严格的手动审核机制，对存取款交易进行审查，以加强安全防护，确保在事件发生后的短期内没有恶意交易发生。

经验教训与采取的行动

在此次安全漏洞发生后，Phemex 技术团队立即设计并实施了更加稳健的热钱包安全基础设施。

“我们学到并反思的一个重要教训是，Phemex在最近的牛市期间增长非常迅速，而我们的一些运营程序落后于我们的发展，”Variola 表示。“这次网络攻击表明，过去对我们之前规模来说可能足够的安全措施，如今已经无法满足我们当前的规模需求。”

Phemex的新架构采用零信任架构设计，并利用尖端的Enclave技术。这包括AWS Nitro，以实现对热钱包的强大芯片级安全保护。

虽然这解决了眼前的问题，但并不会让 Phemex 超越黑客。因此，团队采取了措施保护所有其用户可能持有的钱包。

“我们计划采用分层钱包系统与冷钱包相结合，”Variola 表示。“这同样适用于热钱包——未来热钱包将只持有我们资金中极小的一部分。”

分层体系同样适用于热钱包，结合了热钱包的互联网连接、速度与效率以及冷钱包的增强安全性和人工控制。

Phemex 也在增加专注于基础设施安全的员工数量，不同团队负责监督各个独立环节，同时减少了能够访问整个系统的人员数量。Variola 承诺，从头到尾，每项任务都将由业内领先的第三方进行审核。

这可能会使Phemex的服务交付步伐放缓一步，但Variola团队坚信这是必须完成的。

“采用新系统后，我们交易所的运营将更加复杂，但这一点不可避免，因为安全是最高优先级，”Variola 表示。“我们对新系统充满信心，正申请第三方针对这些安全标准的认证。”