SYS暴拉320万倍！详解黑客如何从“币安API钓鱼事件”撬走上亿美元

区块爱好者联盟

了解区块链，关注这个就够了

正文

7月4日凌晨五时许，币安交易所出现超大额提现，2小时内，超过7000枚比特币转入同一地址，何一对此表示，这只是一个看上去比较异常的正常转账，并非网传被盗。然而，同日上午八时，币安暂停交易与提现，进行临时维护。

既然是“正常转账”，何来停机维护呢？

在巨额比特币流转的背后，一个名为Syscoin的小币种，在4日四时许价格迅速拉升了320万倍，一枚SYS价格达到了96BTC——SYS的日常均价一直是0.00003BTC左右。随着SYS价格被拉爆，黑客再通过其他交易所出货，至少能获利8000万。

币安官方公告指出，这是一次“部分API用户的钓鱼事件”，何为API钓鱼事件？又是如何获利的呢？

对此，小编采访了KEX交易所的CTO刘宏斐。API钓鱼事件，可理解为通过常规的钓鱼手段，包括并不限于假冒网上银行、垃圾邮件、虚假电商广告等不法手段，来获取收集用户的账号信息，并由此获得API接口权限，并通过大量的API接口操作来影响交易市场。刘宏斐表示，由于API权限位于用户权限下，因此只要得到了平台的用户权限即可控制其API权限。如果黑客能够从一个或者几个平台获取大量的API控制权，即大量的用户账号登录信息，就可以左右市场行情。

发动攻击的人掌控足够的API之后，足以操控某个币种的市场涨跌，只要涉及的资金量和某项目的资金盘达到一定比例，就能引发巨额涨跌，因此交易量小和单价低的小币种容易成为攻击对象。当瞬间拉高小币种的价格之后，再通过卖出提前低价埋伏在其他交易平台的该币种即可获利。

这样的事件过后往往跟随比特币的下跌，3月7日，币安也发生了性质极为相似的黑客攻击时间，那一次买入的小币种是VIA，攻击发生后两天，比特币暴跌近1000美元。这一次，攻击发生后30分钟，比特币跌去130美元。黑客通过提前做好的空单，可二次获利。

针对这次异常事件，币安提出了四点处理方案，包括删除全部API记录、回滚异常交易账户记录、返还手续费、以及成立币安投资者保护基金等。

那么删除API记录的做法能够在多大程度上弥补损失呢？刘宏斐指出，“如果是单纯删除API记录，其实作用不大，只能防止攻击者在短时间内不能进行再次攻击。真正有效的方式是，修复生成API过程可以绕过二次验证（GOOGLE验证等）的漏洞，防止在用户未知的情况下生成API”。

交易所阻止黑客控制API有若干种办法，首先就是要尽可能保障用户账号的安全，通过短信验证码、GOOGLE验证码等安全手段(币安误解OTP意义，使得生成API流程的2FA被绕开)增加账号的安全机制；另外，在生成API的过程中加入人工审核的互动过程，确认此操作为用户的本意操作。据刘宏斐介绍，KEX交易所目前采用的也是这种安全措施。

对于回滚交易的操作，刘宏斐认为，这仅仅只能恢复事故之前的账户情况，对用户的利益做到一定程度的弥补，但对于“追回”黑客已经获取的利润没有任何意义。因为此种攻击黑客并没有直接通过被盗账号来直接获取利益，而是通过大量被盗账号的买卖行为影响市场，并且在其他平台上已经交易提现。

对于普通交易所用户来说，虽然账户记录已经回滚，但潜在地，会有相当一部分加密货币交易者对币安甚至所有的交易所安全性产生质疑与恐慌，甚至引发踩踏性跟风抛盘，这对于整个加密货币行业都不啻于一场打击，也会连带着对区块链产业产生冲击。

随着信息化不断深入到我们生活中的每个角落，我们的资产由传统的有形资产在不断转化为无形的数字资产。“数字资产不同于有形资产，在保存方式上需要我们重新树立新的信息化安全防范意识”，小编十分赞同这一看法，交易所等金融敏感的平台不应单纯的只强调“用户体验”、“易用性”，而忘记了信息安全的重要性。

文章来源：金色财经

往期好文

【GTC要爆拉30倍？庄家动员手法似传销？】

【币血溅人，币圈暴富了一群骗子】

添加创始人

邀您免费加入价值699/年的官方社区

与10W+区块链爱好者共同交流

限时三天

币智慧A火热上线，1亿糖果任性空投