恭喜币安,成功演出了五彩斑斓的黑

一、币安“被攻击”事件

今日凌晨,币安交易所发生了严重的非用户自主的交易异动,简单地说,就是用户的山寨币被换成了BTC,然后BTC又换成了一种冷门币VIA,成交金额达10000BTC之巨。VIA暴涨达110倍。

然后,币安自然是出于保护用户的义务,紧急停止了提币。

而与此同时,其他交易所上,VIA跟着币安涨幅,完成了了巨额交易,或者说,巨额的增幅利润;并且,BTC在这个卖出过程中,带来的连锁反应,使BTC跌幅超过10%,又使各个BTC期货交易空单获得巨额利润。

这个事件,被当事交易所币安,第一时间定义为黑客行为,在币安的安民告示中大概说了以下几个事儿

在中国香港时间2018年03月07日22:58-22:59两分钟内,VIA/BTC交易对异动,触发风控,自动停止了提币。这是一次大规模通过钓鱼获取用户账号并试图盗币事件。

(定性为黑客攻击)

目前:所有资金安全,无任何资金逃离。

(天下太平,群众情绪稳定)

黑客在长时间里,利用第三方钓鱼网站偷盗用户的账号登录信息。最早被钓鱼的账号可追逆到一月初,但大多数账号是在2月22日左右,用unicode的Binance域名(Binance底部有两个点)钓鱼。黑客获得账号后,自动创建交易API,之后便无动作,直至昨日。

(对手段作出说明)

昨日,在两分钟内,黑客通过盗取的APIKey,在VIA/BTC交易市场,程序化下市价买单,和31个预先充值VIA币的账号高价卖VIA。目的为把BTC输入到31个预先准备的账号,然后迅速想将这31个账号里的BTC提走。但因异常交易触发了自动风控,导致提币暂停,这些币并未被提出。反而,这31个账号预先存入的VIA币也被冻结。黑客非但没有提走币,反而自己的币被扣留。

(表功,声明防御机制起到作用)

这次事件中的黑客有组织有纪律,在成功钓鱼用户的账号信息后,并不急于获利,而是耐心等到最佳时机,选择了流动性较低的VIA币,来最大化自己的获利。

(主观臆测了黑客的思路)

Binance经过严格安全审核后,现已恢复提现。交易从未停过。仍有部分用户因自己的账号被钓鱼者偷盗,并已把BTC买成VIA或其它币,但由于这些交易对手方不是黑客账号,Binance无法回滚交易。在此再次提醒用户注意保护自己的账户安全。

(用户没丢东西,只是仓里的货换了品种,用户你们以后自己小心)

显然,这是一桩极其严重地,对币圈和链圈都造成了巨大伤害的恶性事件,

而币安的告示,则表现出一种丝毫不负责任的态度,以及把锅甩给“高明黑客”的目的。

币安的联合创始人,在各个群里均发言表态:

/可以说对于带来的麻烦没有丝毫不好意思,甚至还有些自豪

首先,技术上

币安的解释是,黑客通过unicode制造了bịnạnce.com(注意ị和ạ下面的点)的假域名。这个行为是2月22日出现的。

Fake unicode也不是什么新技术了,早在2016年,我就见到过有通过fakeunicode创造假地址的警告,当时用假google做了示意ɢoogle.com,这个隐蔽性更强。文章链接如下。

https://mashable.com/2016/11/21/fake-google-domain/#CEgTwARvlaq1

然而通过fakeunicode链接进入的网站,在域名部分不仅不会有https安全提示,域名部分在浏览器地址栏的显示应该是下图这样:

/假google,请看标签部分显示的实际域名

/这是假币安的,当然,作为钓鱼网站,可以修改标签,但必然有瑕疵

/对fakeunicode的技术解释,把punycode下的xn--bnnce-k11b2l转换成unicode,就可以在浏览器与嵌入连接中显示为bịnạnce.com

所以这确实是一个理论成立的攻击方式,但从中招者的角度。我仍然觉得很难不被察觉。

好的,我们假设这就是黑客所采用的钓鱼方式了,那下一个问题,关于渠道:

我们可以理解为,2月22日,一批使用api,进行程序高频交易的大户,中了这个钓鱼的招式。

但我无法知道这个钓鱼采用了什么样的发布渠道,能如此精准地击中这部分在币安交易/使用api的交易/大户。

这种级别的精准投放,在我的广告从业生涯中,是很难想象到的。

因此,具体有多少账户,在这次钓鱼攻击下创建了api,卖掉了多少山寨币。这次钓鱼攻击,都使用了什么具体的发布渠道,这是币安有义务呈报的。

我们假设黑客的投放确实非常高明,是成功的,那第三个问题,币安的二步验证机制:

采用谷歌二步验证,现在应该是交易所安全的标配了吧。在币安,用户创建api,启动api的过程中,谷歌二步验证难道不发挥作用么。二步验证在这次攻击中的失效,要么是平台缺陷,要么是google二步验证工具出了漏洞,这也需要币安进行进一步的解释。

另一种假设——币安平台自导自演,监守自盗

我知道这是一种非常非常严重的指控了,我看到有人完全从币安的角度对此事进行了一套假设,简言之:

一、苦主无名:被盗号者样本不可见。且凌晨被盗号以后,在twitter上爆料的人,都是影响力很小的小号,动机可疑;

二、恶意做空:最近三次小回调,币安都通过小动作,引发了市场的大回调。一次加长维护;一次封禁大陆ip;还有就是这次。

三、事先有预警:当然,每天都有人说重大利空,这个别太当回事儿。

四、交易所的KYC都是假的么?把空单都捋一遍,如果是团伙怎么藏得住。

做空有什么好处

/这是一个毫无根据捕风捉影来源不详的阴谋论谣言,但栩栩如生

根据奥卡姆剃刀法则,对事情的解释,相信最短路径。

/最简单解释的就是最好的

目前,最简单的解释肯定不是假设黑客“有组织、有纪律,有耐心”,而是,币安自导自演,监守自盗。所有不能证伪的事情都是本身即“伪”。所以,希望币安可以通过提供更完整的证据链,对“币安主观作恶”的判断证伪。

否则,我是不会相信黑客作案这种无法证伪的推测。

相信区块链的人,永远不相信交易所

今天的新韭菜大都没听说过Mt.gox的案子了。2014年Mt.gox作为世界最大的btc交易所,声称被窃85万btc,而实际情况呢,就是平台卖了太多不存在的币,而币价暴涨之后,平台无法兑付那么多买到“空气比特币”的用户真实比特币。所以他们说,黑客让币消失了,没错,是黑客干得!

/中心化导致的罪恶,跟人类历史一样长,门头沟之后,他们找到了新的玩儿法。

自从mtgox之后,我就彻底不相信中心化交易所了。并且理解到,区块链和交易所,具有根本的、原则性的对立关系。

一般意义上的交易所,一定是中心化的。而区块链的设计根本是去中心化的。

我们经常只是在说中心和去中心,但究其根本对立,如下:

中心化意味着权力的失衡,即意味着你不得不无条件相信中心(当权者)不会作恶;

而去中心化的根本观点,认为人就是要作恶,只有充分透明公开,以及让行为不得作伪,才是限制作恶的根本方法。因此区块链采用了一套机制,让所有发生的信息交换,记录在一个人人可见、永续、不可作伪的链上。

我相信区块链的机制让比特币本身经造得很,这种规模的折腾再来上几回也完蛋不了。我想交易所们看中的也是这个。但是炒币的你,鲜嫩的韭菜们啊,恐怕就没这么耐操了。

心疼你。

因此,如果你因为区块链的进步而归化这个“未来”技术,而不是单纯的财迷梦想。

我的建议是,远离中心化交易所。

鸡汤的说,我相信,作恶者,终将被区块链的本质淘汰掉。

  • 发表于:
  • 原文链接http://kuaibao.qq.com/s/20180308G1ICJ700?refer=cp_1026
  • 腾讯「云+社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。

扫码关注云+社区

领取腾讯云代金券