专栏首页区块链大本营独家! 币安被盗原因找到了! 7074枚比特币竟是这样丢掉的

独家! 币安被盗原因找到了! 7074枚比特币竟是这样丢掉的

素材来源 | 成都链安、PeckShield

编辑 | 佩奇

出品 | 区块链大本营(blockchain_camp)

5月8日早上8点28分,知名加密货币交易所币安承认再次受到黑客攻击。截止到目前撰文时间,已经有7074.18个比特币被盗。

以下为币安官方微博发布的安全信息更新公告。

对此,币安创始人赵长鹏在AMA中首次披露了黑客盗币的细节。他表示,黑客此前已发现系统存在的安全漏洞,但一直很耐心,直到系统出现大额交易才出手。

直播地址:

https://www.pscp.tv/w/b6I-lTFQWEVkQlBQQlBsS2V8MW1yR212anBicUJKea09rHwXRK_mMqOZXufBTFd6iCrb7SjGYhQ4_QOvoDet

此外,赵长鹏还对外披露,币安在5月7日凌晨就发现了“大规模的安全漏洞”,该漏洞导致黑客能够访问用户应用程序接口密钥(API keys)、双因素身份验证码、以及其他信息。按照安全通知中公布的一笔交易,黑客从币安交易所中取走了价值大约4100万美元的比特币。

安全公司:或为用户API key和Secret key信息泄露导致

对此次攻击,区块链大本营(blockchain_camp)第一时间联系了 Beosin 成都链安科技安全团队,对此事件进行了深度分析。老铁们,先了解一下交易详情:

此次事件发生在575013块,总损失最高可达7074个BTC,共涉及到以下44个提币地址:

详细提币地址

截至目前,币安热钱包(1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s)已被盗约7074.18枚BTC。

现在币安的热钱包余额 3,612.69114593个 BTC,说明币安热钱包的私钥安全,经过团队分析,在05月08日 01:17:18通过 API 接口在同一时间发起提币操作。

币安交易所的 API 申请后会生成 API key 和 Secret key,如下图:

API 接口有限定用户开放 IP 限制和开放提现功能。开放提现就是直接利用 API key 和 Secret key 直接提现,不需要收集验证码、短信、谷歌验证码。如下图:

API 部分官方调用代码 demo 如下:

来自 https://github.com/binance-exchange/python-binance

成都链安分析认为是用户的 API key 和 Secret key 信息泄露导致的此次攻击

如果用户没有限制 IP 并配置了开放提现功能,任意攻击者在获取了 API key 和 Secret key 信息后便可以实现攻击。

用户的信息泄露途径可能有:

1、普通用户一般不会使用 api key,一般是高级用户用于代码中实现自动化交易,可能是用户源码泄露导致 api Secret key 泄露

2、用户被钓鱼攻击,输入了 API key 和 Secret key 被黑客截取。

3、用户的 API key 和 Secret key 保存的电脑被攻击窃取。

4、币安交易所系统原因导致用户 API key 和 Secret key 泄露,其中只有71个用户开放了提现功能,被盗币。

被黑客盗取的7074枚 BTC 的主要20个地址如下:

此外,区块链大本营还采访到了 PeckShield 研发副总吴家志。吴老师认为,此次币安被盗事件大致上可以分三个层面分析:交易所,帐号托管系统,个人用户。

1、交易所层面概率较低,例如之前龙网事件,是客服人员安装了恶意软件,渗透进入内网造成;

2、账号托管,就是散户投资这类的软件,把应用程序接口提供给中间商,一旦中间商被渗透,可能一次性取得大量接口秘密,造成此类问题,这类软件可能在下载的时候被替换安装包,或者中间商的服务器被攻破,都有可能;

3、第三类就是个人用户的设备,如手机电脑等被安装木马等,从个人用户设备上取得 API secret 以及2FA认证。

此外,吴老师还表示,看到币安这次在一个交易里头打包7074 BTC出金,主要目标地址20个都是新地址,这样的情况其实能够触发风控机制,比如单位时间内出金的量以及新地址能收的金额。

来看看大佬们的反应

事件发生后,波场创始人孙宇晨第一时间发文表示,“无需惊慌,一切安好!我愿意拿出7000BTC等值的美元进入币安。”当然,前提是赵长鹏同意他这么做。

而事实上,赵长鹏表示并不需要,“真的很感激,但现在还不需要。币安将通过 SAFU 基金弥补损失,而且足够了。我们只是受伤,并非破产。”

而有些人并不是那么友善。

FCoin创始人张健却不这么认为,针对币安被盗7000枚比特币事件,他希望大家不要利用这次被盗事件去攻击别人,这是损人不利己的事情,一个平台的信誉等各方面的积累需要时间。

不过,币安这句“被盗BTC”由币安全额承担,也很霸气了!

相信这次币安7000多BTC被盗事件的发生,必将引起监管的涉入、用户个人对隐私保护的重视以及交易所风控机制的完善等等,区块链大本营将持续跟踪此次事件并作进一步深入报道,老铁们,要持续关注哟!

本文分享自微信公众号 - 区块链大本营(blockchain_camp),作者:佩奇

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-05-08

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 黑客攻击币安API完全调查:我们发现了比价值96比特币的SYS更有意思的信息

    在 7 月 4 号的币安 API 被攻击本该是一件大事,当天,有 11 个名为 SYS 的 Token 在币安交易所内以 450 万人民币(96 个比特币)的价...

    区块链大本营
  • 小心!智能合约再爆高危漏洞,两大加密货币直接变废纸!

    区块链大本营
  • 听听Vitalik对token设计的看法

    区块链大本营
  • 币安交易所比特币被窃漏洞分析

    根据币安首席执行官赵长鹏对外披露的信息,该交易所在 5 月 7 日发现了大规模的安全漏洞,该漏洞导致黑客能够访问用户应用程序接口密钥(API keys)、双重身...

    Tiny熊
  • Python学习手册(第4版).1

    装饰器就是一个给对象添加额外功能的函数,其本质是函数。它的基本构造:高阶函数+函数嵌套+闭包。

    云深无际
  • Web API 和 API 的区别

    API(Application Programming Interface,应用程序编程接口)是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件...

    梨涡浅笑
  • 初识--Web APIs

    API(Application Programming Interface,应用程序编程接口)是一些预先定义的函数,目的是提供应用程序与开发人员基于某软件或硬件...

    清出于兰
  • 记一次应急中发现的诡异事件

    在一次应急响应中,无意发现来自不同地区和人员的攻击,两种留后门的方法,截然不同的操作,不同的技术手法。

    FB客服
  • 如何使用Web Share API[每日前端夜话0x84]

    Web Share API 自从它首次在Android 版 Chrome 61中推出以来,似乎已经不再受到关注。从本质上讲,它提供了一种方法,可以直接从网站或 ...

    疯狂的技术宅
  • API是什么意思,不懂技术看不懂?

    API是应用程序编程接口的缩写,它是一个软件中介,可以实现两个应用程序间的相互对话。当你使用类似微博或腾讯QQ发送即时信息或在手机上查看天气时,API都起到了重...

    用户4677291

扫码关注云+社区

领取腾讯云代金券