台湾加密货币交易所币托(BitoPro)爆出资安事件,知名链上侦探ZachXBT今(2)日稍早揭露,BitoPro疑似在5月8日被盗,损失约1,150万美元,但官方却迟迟未对外说明,引发社群质疑。消息持续延烧之际,BitoPro终于发表声明,首度松口证实遭到骇客攻击。根据BitoPro的说法,事发当下平台正进行钱包系统升级与资产移转作业,岂料旧热钱包在调度资金过程中遭遇攻击。官方声明指出:事件发生当下,已立即启动紧急应变机制,并于第一时间将平台资产安全移转至新钱包及阻断骇客行为。
平台虚拟资产储备充足,用户权益完全不受影响。自事件发生至今,用户加值、提领与交易功能皆维持正常运作。ZachXBT先前揭露,当日BitoPro多条链上的热钱包,包括以太坊(Ethereum)、波场(Tron)、Solana与Polygon,均出现异常资金外流。骇客随后将资产迅速转至去中心化交易所(DEX)变现,并透过TornadoCash等混币工具与Thorchain跨链桥进行洗钱,最终流入WasabiWallet等隐私钱包,整体手法相当老练。
对此,BitoPro表示,事发后已委托第三方资安团队全面协助调查、追踪相关线索,并强调平台绝大多数资产长期储存于无对外连线的冷钱包中,未曾受影响。为展现资产安全与资讯透明的最高承诺,也将在近日公开新热钱包地址供外界查验。然而,这起骇客入侵事件距今已逾3周,币托始终未主动说明,直到ZachXBT点名质疑,才选择对外回应。对用户而言,平台的三缄其口与事后补救,恐怕难以消除心中的疑虑。
「5/8的事情为什么到今天被披露才解释」、「请问如果今天Zachxbt没发现的话会有这则声明吗」,来自用户的质问,仍在网路上不断延烧。对台湾加密货币产业而言,BitoPro作为本土最早完成「洗钱防制法令遵循声明」的虚拟资产平台之一,长期以合规与稳健为人所知,虽然平台强调「用户权益完全不受影响」,但这次事件亦显示,资讯揭露的时机与沟通方式,若未妥善拿捏,依旧可能在信任关系中留下细缝。资安攻击虽非新鲜事,但相较于事件本身,用户更在意的往往是是平台面对风险时的态度与作为。如何在第一时间诚实以对、建立快速通报与透明揭露的机制,将成为平台能否争取用户长期信赖的关键试炼。