请选择 进入手机版 | 继续访问电脑版
彩云比特
摘要

编辑 | 佩奇 出品 | 区块链大本营(blockchain_camp) 素材来源 | 成都链安、PeckShield 5月8日早上8点28分,知名加密货币交易所币安承认再次受到黑客攻击。截止到目前撰文时间,已经有7074.18 ...

编辑 | 佩奇
出品 | 区块链大本营(blockchain_camp)
素材来源 | 成都链安、PeckShield


5月8日早上8点28分,知名加密货币交易所币安承认再次受到黑客攻击。截止到目前撰文时间,已经有7074.18个比特币被盗。

以下为币安官方微博发布的安全信息更新公告。

317.jpg

对此,币安创始人赵长鹏在AMA中首次披露了黑客盗币的细节。他表示,黑客此前已发现系统存在的安全漏洞,但一直很耐心,直到系统出现大额交易才出手。

316.jpg

此外,赵长鹏还对外披露,币安在5月7日凌晨就发现了“大规模的安全漏洞”,该漏洞导致黑客能够访问用户应用程序接口密钥(API keys)、双因素身份验证码、以及其他信息。按照安全通知中公布的一笔交易,黑客从币安交易所中取走了价值大约4100万美元的比特币。

安全公司:或为用户API key和Secret key信息泄露导致

对此次攻击,区块链大本营(blockchain_camp)第一时间联系了 Beosin 成都链安科技安全团队,对此事件进行了深度分析。老铁们,先了解一下交易详情:

315.jpg

此次事件发生在575013块,总损失最高可达7074个BTC,共涉及到以下44个提币地址:

314.jpg
详细提币地址

截至目前,币安热钱包(1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s)已被盗约7074.18枚BTC。

现在币安的热钱包余额 3,612.69114593个 BTC,说明币安热钱包的私钥安全,经过团队分析,在05月08日 01:17:18通过 API 接口在同一时间发起提币操作。

币安交易所的 API 申请后会生成 API key 和 Secret key,如下图:

313.jpg

API 接口有限定用户开放 IP 限制和开放提现功能。开放提现就是直接利用 API key 和 Secret key 直接提现,不需要收集验证码、短信、谷歌验证码。如下图:

312.jpg


API 部分官方调用代码 demo 如下:



成都链安分析认为是用户的 API key 和 Secret key 信息泄露导致的此次攻击。

如果用户没有限制 IP 并配置了开放提现功能,任意攻击者在获取了 API key 和 Secret key 信息后便可以实现攻击。

用户的信息泄露途径可能有:

1、普通用户一般不会使用 api key,一般是高级用户用于代码中实现自动化交易,可能是用户源码泄露导致 api Secret key 泄露
2、用户被钓鱼攻击,输入了 API key 和 Secret key 被黑客截取。
3、用户的 API key 和 Secret key 保存的电脑被攻击窃取。
4、币安交易所系统原因导致用户 API key 和 Secret key 泄露,其中只有71个用户开放了提现功能,被盗币。

被黑客盗取的7074枚 BTC 的主要20个地址如下:

310.jpg

此外,区块链大本营还采访到了 PeckShield 研发副总吴家志。吴老师认为,此次币安被盗事件大致上可以分三个层面分析:交易所,帐号托管系统,个人用户。

1、交易所层面概率较低,例如之前龙网事件,是客服人员安装了恶意软件,渗透进入内网造成;
2、账号托管,就是散户投资这类的软件,把应用程序接口提供给中间商,一旦中间商被渗透,可能一次性取得大量接口秘密,造成此类问题,这类软件可能在下载的时候被替换安装包,或者中间商的服务器被攻破,都有可能;
3、第三类就是个人用户的设备,如手机电脑等被安装木马等,从个人用户设备上取得 API secret 以及2FA认证。

此外,吴老师还表示,看到币安这次在一个交易里头打包7074 BTC出金,主要目标地址20个都是新地址,这样的情况其实能够触发风控机制,比如单位时间内出金的量以及新地址能收的金额。

来看看大佬们的反应

事件发生后,波场创始人孙宇晨第一时间发文表示,“无需惊慌,一切安好!我愿意拿出7000BTC等值的美元进入币安。”当然,前提是赵长鹏同意他这么做。

309.jpg

而事实上,赵长鹏表示并不需要,“真的很感激,但现在还不需要。币安将通过 SAFU 基金弥补损失,而且足够了。我们只是受伤,并非破产。”

而有些人并不是那么友善。


308.jpg


FCoin创始人张健却不这么认为,针对币安被盗7000枚比特币事件,他希望大家不要利用这次被盗事件去攻击别人,这是损人不利己的事情,一个平台的信誉等各方面的积累需要时间。

不过,币安这句“被盗BTC”由币安全额承担,也很霸气了!

相信这次币安7000多BTC被盗事件的发生,必将引起监管的涉入、用户个人对隐私保护的重视以及交易所风控机制的完善等等,区块链大本营将持续跟踪此次事件并作进一步深入报道,老铁们,要持续关注哟!

全部评论
显示全部楼层 |
跳转到指定楼层

509

主题

931

帖子

8万

积分

超级版主

庄稼更需要阳光

Rank: 8Rank: 8

积分
80643
发表于 2019-5-9 09:44:42 | 显示全部楼层
沙发
据PeckShield数字资产护航系统数据显示,昨天晚间22:35分起,币安交易所热钱包被盗取的7,074枚BTC出现多次异动,黑客将此前20个地址中的若干地址余额汇聚起来,将资金统一转移至bc1q2rdpy、16SMGihY9、1MNwMURYw、16SMGihY9、bc1qnf2ja、bc1qx3628、bc1q3a5hd开头的7个新地址,其中前6个地址分别有1,060枚BTC,最后一个地址转入707枚BTC,加上其他小额地址,本次币安被盗的7,074枚BTC已基本全部被转移。PeckShield在此提醒各大交易所留意最新的资金流向,并对相关新地址做及时冻结处理。
打赏BTC:115AP42pC7s92qyYAPKAiER6MxicZSPAVS
打赏LTC:LL9yede2R5hDf1xjsxqT4g3br4dfSQk1ed
打赏DOGE:DSTUVgjbbuGwjXHoJ6qHyEFEVGC3MFAxwP
回复 支持 反对

使用道具 举报

509

主题

931

帖子

8万

积分

超级版主

庄稼更需要阳光

Rank: 8Rank: 8

积分
80643
发表于 2019-5-9 10:21:05 | 显示全部楼层
板凳
潘志彪kevin
10小时前 来自 微博 weibo.com已编辑
币安丢7K币事件
---------------
币安全程公开处理此事件,反馈很快,还是值得肯定的。CZ可能不太了解算力和挖矿,有那样的想法也正常,毕竟他只是想拿回自己的币并不是故意去伤害其他人。
1. 通过重组(reorg)来双花丢币交易理论上确实可行,技术上来说重组的影响比软分叉(硬分叉)造成的影响要小很多。
2. 可行性多少:过半吧。CZ联系某陆纠集算力,嫡系算力加上可直接争取的算力估计约26E,略微过全网一半。考虑参与矿池有额外奖励,吸引中间派矿池矿工加入,最终可稳定拿下全网过半算力。诱惑哄骗矿工比矿池更容易一些。
3. 假设65%算力在被盗交易30个确认时参与重组行动,那么需要花费16小时40分钟达到相同高度。
4. 一旦高度胜出,则全网算力汇合至一条链,似乎什么都没发生过。当然,不参与的矿池损失会很大。
4. 在接近17个小时的时间里,人们大概率会发现此次行动,因为全网出块速度太慢了,同时很多监控系统会探测到分叉。
5. 可能的行动:UASF。在重组行动成功之前,会有人会放出全节点补丁,该补丁可以强行认可被盗交易的块哈希值,使得高度即使胜出的重组链也无法重写现有的数据。
6. 比特币节点因为对被盗交易的块哈希存在共识分歧,全网硬分叉。
7. 硬分叉后,两条链的价格交给市场决定。CZ可以拿回重组链上的7k币,但拒绝重组的链是无法拿回的。
8. 如果重组成功了,那也对比特币没有本质改变,只是确认数少的大额交易不再安全而已。以后收发7K的币,至少等一天的确认数再说。

几个探讨:
---------------
1. 如果丢币的是某国政府,甚至FBI这样的机构呢?如果该机构要求各家矿池,无论公司或个人,进行算力重组会发生什么?
2. 如果盗币的是全球知名恐怖组织呢?假设他们拿着7K的币去买核弹呢?

上述两个脑洞场景,猜测结果都会发生UASF。这个世界没有善恶,只有不可篡改的数据。只有全节点,才能定义你自己的比特币。

更新
--------
1. 这里并没有为币安辩护什么,只是分析可能性以及步骤等,或存在很多错误。
2. 当年BFX丢10万币时,也咨询过多家矿池考虑过重组方案,但他们并没有公开这段历史。相比之下,币安在透明性上依然做得最好。
3. 任何决策都是tradeoff
4. 币圈已经成熟很多,当年BFX丢币时可是价格剧烈波动的,如今简直风平浪静
打赏BTC:115AP42pC7s92qyYAPKAiER6MxicZSPAVS
打赏LTC:LL9yede2R5hDf1xjsxqT4g3br4dfSQk1ed
打赏DOGE:DSTUVgjbbuGwjXHoJ6qHyEFEVGC3MFAxwP
回复 支持 反对

使用道具 举报

    您需要登录后才可以回帖 登录 | 立即注册   

    本版积分规则

    qq客服QQ
    weixin微信公众号
    weibo官方微博
    滇ICP备14007133号-1 滇公网安备 53011102000197号   
    快速回复 返回顶部 返回列表