素材來源 | 成都鏈安、PeckShield
編輯 | 佩奇
出品 | 區塊鏈大本營(blockchain_camp)
5月8日早上8點28分,知名加密貨幣交易所幣安承認再次受到駭客攻擊。截止到目前撰文時間,已經有7074.18個比特幣被盜。
以下為幣安官方微博釋出的安全資訊更新公告。
對此,幣安創始人趙長鵬在AMA中首次披露了駭客盜幣的細節。他表示,駭客此前已發現系統存在的安全漏洞,但一直很耐心,直到系統出現大額交易才出手。
直播地址:
https://www.pscp.tv/w/b6I-lTFQWEVkQlBQQlBsS2V8MW1yR212anBicUJKea09rHwXRK_mMqOZXufBTFd6iCrb7SjGYhQ4_QOvoDet
此外,趙長鵬還對外披露,幣安在5月7日凌晨就發現了“大規模的安全漏洞”,該漏洞導致駭客能夠訪問使用者應用程式介面金鑰(API keys)、雙因素身份驗證碼、以及其他資訊。按照安全通知中公佈的一筆交易,駭客從幣安交易所中取走了價值大約4100萬美元的比特幣。
安全公司:或為使用者API key和Secret key資訊洩露導致
對此次攻擊,區塊鏈大本營(blockchain_camp)第一時間聯絡了 Beosin 成都鏈安科技安全團隊,對此事件進行了深度分析。老鐵們,先了解一下交易詳情:
此次事件發生在575013塊,總損失最高可達7074個BTC,共涉及到以下44個提幣地址:
詳細提幣地址
截至目前,幣安熱錢包(1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s)已被盜約7074.18枚BTC。
現在幣安的熱錢包餘額 3,612.69114593個 BTC,說明幣安熱錢包的私鑰安全,經過團隊分析,在05月08日 01:17:18透過 API 介面在同一時間發起提幣操作。
幣安交易所的 API 申請後會生成 API key 和 Secret key,如下圖:
API 介面有限定使用者開放 IP 限制和開放提現功能。開放提現就是直接利用 API key 和 Secret key 直接提現,不需要收集驗證碼、簡訊、谷歌驗證碼。如下圖:
API 部分官方呼叫程式碼 demo 如下:
來自 https://github.com/binance-exchange/python-binance
成都鏈安分析認為是使用者的 API key 和 Secret key 資訊洩露導致的此次攻擊。
如果使用者沒有限制 IP 並配置了開放提現功能,任意攻擊者在獲取了 API key 和 Secret key 資訊後便可以實現攻擊。
使用者的資訊洩露途徑可能有:
1、普通使用者一般不會使用 api key,一般是高階使用者用於程式碼中實現自動化交易,可能是使用者原始碼洩露導致 api Secret key 洩露
2、使用者被釣魚攻擊,輸入了 API key 和 Secret key 被駭客擷取。
3、使用者的 API key 和 Secret key 儲存的電腦被攻擊竊取。
4、幣安交易所繫統原因導致使用者 API key 和 Secret key 洩露,其中只有71個使用者開放了提現功能,被盜幣。
被駭客盜取的7074枚 BTC 的主要20個地址如下:
此外,區塊鏈大本營還採訪到了 PeckShield 研發副總吳家志。吳老師認為,此次幣安被盜事件大致上可以分三個層面分析:交易所,帳號託管系統,個人使用者。
1、交易所層面概率較低,例如之前龍網事件,是客服人員安裝了惡意軟體,滲透進入內網造成;
2、賬號託管,就是散戶投資這類的軟體,把應用程式介面提供給中間商,一旦中間商被滲透,可能一次性取得大量介面秘密,造成此類問題,這類軟體可能在下載的時候被替換安裝包,或者中間商的伺服器被攻破,都有可能;
3、第三類就是個人使用者的裝置,如手機電腦等被安裝木馬等,從個人使用者裝置上取得 API secret 以及2FA認證。
此外,吳老師還表示,看到幣安這次在一個交易裡頭打包7074 BTC出金,主要目標地址20個都是新地址,這樣的情況其實能夠觸發風控機制,比如單位時間內出金的量以及新地址能收的金額。
來看看大佬們的反應
事件發生後,波場創始人孫宇晨第一時間發文表示,“無需驚慌,一切安好!我願意拿出7000BTC等值的美元進入幣安。”當然,前提是趙長鵬同意他這麼做。
而事實上,趙長鵬表示並不需要,“真的很感激,但現在還不需要。幣安將透過 SAFU 基金彌補損失,而且足夠了。我們只是受傷,並非破產。”
而有些人並不是那麼友善。
FCoin創始人張健卻不這麼認為,針對幣安被盜7000枚比特幣事件,他希望大家不要利用這次被盜事件去攻擊別人,這是損人不利己的事情,一個平臺的信譽等各方面的積累需要時間。
不過,幣安這句“被盜BTC”由幣安全額承擔,也很霸氣了!
相信這次幣安7000多BTC被盜事件的發生,必將引起監管的涉入、使用者個人對隱私保護的重視以及交易所風控機制的完善等等,區塊鏈大本營將持續跟蹤此次事件並作進一步深入報道,老鐵們,要持續關注喲!