如何抓住趁天黑「換幣」的黑客

新聞 03-08

3月7日的夜晚，註定不平靜。

有人抱怨睡早了，有人整夜無眠。早睡的人一覺起來發現幣圈竟成了大瀑布，跌的凄慘；整夜沒睡的人眼看著神來之手秀操作，懷疑人生；還不知道發生什麼的人跟風轉了一篇10萬+爆文《3月7日這一夜，黑客耍了所有人》。

這個神秘之夜究竟發生了什麼？

聲東擊西，黑客玩了一把去中心化

據公眾號區塊律動BlockBeats報道，深夜，世界第二大交易所，福布斯數字貨幣富豪榜第三名趙長鵬所控制的幣安 Binance 交易所大量用戶發現自己的賬戶被盜。不少用戶發現自己幣安賬戶中持有的各種各樣的代幣、數字貨幣被市價即時幣幣交易成了 BTC。

就在用戶還一臉懵逼紛紛致電客服時，市場出現大量代幣被市價拋售現象，絕大部分幣種開始下跌，不明真相的散戶也跟風加入了恐慌性拋售。

成功造成市場慌亂的黑客順利將被盜賬戶所持比特幣全部高價買入 VIA（維爾幣），導致 VIA 突然被拉爆。

而此時，本可以仿照莊家惡意拉盤又砸盤過程的黑客並沒有將手中持有的 VIA 高價賣出，換成 BTC 分散到安全的賬號，然後謝幕退場，而是來了一波聲東擊西。

畢竟攻擊幣安後勢必引起對方注意，而幣安方面為了防止黑客提幣，也暫停了幣安平台上所有的提幣行為。

那如何才能獲利呢？

兩個字：空單。

要知道不少交易所都上線了做空交易。幣安作為全球交易量第二大的虛擬貨幣交易所，其絲毫波動都會影響其他大小交易所。所以此次幣安交易所突然出現絕大多數幣種的下跌必然會間接影響其他其他交易所投資者的投資行為，進而影響虛擬貨幣價值的漲跌。

按照區塊律動的說法，黑客的真正目的是通過在開通做空交易的市場上掛空單，等到幣值下降的時候，直接收割一波離場。這樣操作，根本不需要冒著風險從幣安提幣，在市場下跌的那一刻，就直接完成了利益收割。

更妙的是，大量空單分散在成百上千家交易所，根本無從查起。而黑客本質上也並沒有盜取任何人的數字貨幣，只是幫大家「換了換種類」而已。

官方後續

這篇10萬+爆文出來後，圍觀群眾簡直膜拜，還有這種操作？

但也有不同聲音認為所謂的黑客做空論就是瞎扯淡，並列出了假設黑客在最高點開倉，在最低點平倉。

圖片來源：區塊鏈論壇

收益率533.52%

圖片來源：區塊鏈論壇

而VIA漲了10872.81%，收益遠不如想像。

圖片來源：區塊鏈論壇

面對眾說紛紜的情況，幣安 Binance 交易所也在3月8日迅速給出了官方聲明，以下為聲明原文：

《Binance部分用戶賬號異常事件始末》

親愛的用戶：

在香港時間2018年03月07日22:58-22:59兩分鐘內，VIA/BTC交易對異動，觸發風控，自動停止了提幣。這是一次大規模通過釣魚獲取用戶賬號並試圖盜幣事件。

目前：所有資金安全，無任何資金逃離。

黑客在長時間裡，利用第三方釣魚網站偷盜用戶的賬號登錄信息。最早被釣魚的賬號可追逆到一月初，但大多數賬號是在2月22日左右，用unicode的Binance域名（Binance底部有兩個點）釣魚。黑客獲得賬號後，自動創建交易API，之後便無動作，直至昨日。

昨日，在兩分鐘內，黑客通過盜取的API Key，在VIA/BTC交易市場，程序化下市價買單，和31個預先充值VIA幣的賬號高價賣VIA。目的為把BTC輸入到31個預先準備的賬號，然後迅速想將這31個賬號里的BTC提走。但因異常交易觸發了自動風控，導致提幣暫停，這些幣並未被提出。反而，這31個賬號預先存入的VIA幣也被凍結。黑客非但沒有提走幣，反而自己的幣被扣留。

這次事件中的黑客有組織有紀律，在成功釣魚用戶的賬號信息後，並不急於獲利，而是耐心等到最佳時機，選擇了流動性較低的VIA幣，來最大化自己的獲利。

Binance經過嚴格安全審核後，現已恢復提現。交易從未停過。仍有部分用戶因自己的賬號被釣魚者偷盜，並已把BTC買成VIA或其它幣，但由於這些交易對手方不是黑客賬號，Binance無法回滾交易。在此再次提醒用戶注意保護自己的賬戶安全。Binance永遠以保護用戶的利益為主。我們感謝您對我們的支持！

幣安的回應是否值得相信？（畢竟目前出現了幣安自導自演的外界聲音。）為此雷鋒網編輯與慢霧科技聯合創始人餘弦聊了聊。

餘弦表示昨晚群里的小夥伴全程跟進了這一事件，得出的調查結果也與幣安公告基本一致。

餘弦告訴雷鋒網，首先，API的操作許可權是高於賬號的，為了自動化便利性。另外API自動化操作時API Key被釣魚的可能性是存在的，但具體細節並不能確定，畢竟現在有不少人設置了自動炒幣，搬磚等，而這些都會用程序調用API進行，當然如果這些程序來自第三方，也許就會存在後門。另外，第三方的API軟體，會要求客戶設置Key，這時Key就會暴露給API軟體，黑客可攻擊API軟體得到Key。

從幣安 API Key 的許可權默認設置中也可以看出些細節。首先，在默認許可權設置中並不限制任何 IP 的訪問，但也提醒了用戶安全等級較低的問題。另外，幣安並未將開放提現設置為默認選項，但有些用戶為了操作方便既沒有限制IP，甚至打開了取款提現選項。

也就是說，這次幣安事件的發生與不少用戶安全意識薄弱也分不開。

對於公告最後「幣安表示現已恢復提現，但無法回滾交易」這一說法，來自某區塊鏈創業公司技術人員洛圖告訴雷鋒網，這是因為幣安無法確認對手盤是不是黑客，除非對手盤就幾個，但是一般都是自由交易，無法確認哪個是由黑客控制的。所以不僅要照顧被盜用戶的利益，也要保護對手盤的利益，已經發生的交易回滾有可能損害對手的利益。

「交易所里你賣出BTC，是交易所其它真實用戶實實在在買進去的，當然可以要求交易所將與受害用戶相關的交易回滾，但是有可能對手盤已經再次對幣進行交易，涉及到的交易很複雜，很難對指定交易進行回滾，回滾還得徵求對手盤的同意。除非交易所指定某個時間段內的所有交易作廢，可是交易所一般不會這樣做。」

此處可參考2013年8月16日股票市場光大證券的烏龍指事件，由於個人失誤要求回滾交易的可能為零。

關於防護

實際上過去也曾出現黑客大秀智商圈錢的案例，但是否能與此次幣安事件匹敵？

不能。

比它圈錢多的沒它動作大，畢竟因為這起安全事件直接導致全球數字貨幣價格正在持續下跌中……比他動作大的……似乎沒有。

這只是開始，這波神操作會給黑客們帶來新的啟發，某位安全研究人員也在朋友圈提到，在勒索模式之後又有數字幣起伏獲利，讓攻擊獲利的模式多樣化了。攻擊者的破壞性讓目標和獲利性目標交織，灰犀牛早晚都會來，不能視而不見。

那麼數據貨幣公司應該如何防禦接下來的黑客攻擊？

餘弦告訴雷鋒網編輯，首先其要加強安全風控的能力，包括許可權的控制，以及對API默認許可權的設置。其次與整個安全生態有關，需加強用戶安全意識教育。事實上，很多用戶都面臨著被釣魚的風險，更可怕的是最近多數攻擊手法並非高級攻擊手法，而一旦用到高級手法將更難以防禦。

洛圖則表示，此次用戶賬號被盜關鍵的原因就是丟失了Key，這就相當於丟了錢包的私鑰。對交易所而言，只認Key，類似於銀行網銀，擁有了密碼與盾牌就決定了一個ID的身份。在這次幣安事件中，API漏洞只是一個導火索，其他的操作都是正常的商業操作，而使用API的用戶其實都是大戶，一般來說散戶基本不會使用API。所以最簡單的防護方式即大戶使用自己能相信的第三方軟體來操作，不要從網上隨意下載，避免這種群體性被盜事件。

「當然，其實整件事情更多是金融操作手法的問題，技術漏洞僅僅是一個撬動整個市場的一個槓桿，比特幣市場的可操作性才是需要更進一步討論的問題。」

那對於一臉懵逼醒來發現遭遇「滑鐵盧」的用戶來說應該如何防範安全隱患？兩位安全研究員也給出了意見。

首先在賬號安全方面，要打開Google的二次認證，更要警惕惡意釣魚網址。

另外，根據幣安公開資料顯示，本次出問題的用戶，主要是使用第三方軟體調用幣安API的，這種情況下用戶選擇的第三方軟體的安全性就是重要的問題。建議類似用戶不使用第三方的軟體，自行開發或使用安全性有保證的軟體進行交易。

最後，就是提高用戶安全意識了。（至於怎麼提高法，多看看雷鋒網宅客頻道的文章你就懂了。歡迎關注我們的微信公眾號：letshome）

這件事情就這麼算了嗎？放任那群耍了眾人的黑客們肆意狂歡？

餘弦告訴雷鋒網，大型交易所威脅情報共享可以更好定位出這波黑客。比如在這起事件中攻擊者在幣安上拉爆了VIA，然後在其他交易平台拋售。如果其他平台將相關的威脅情報與幣安共享，並對此進行關聯分析，以此進行溯源定位將會更加容易。

但是最終結果如何，還有待觀望。

當然，若是黑客做空論成立，事件的策劃者恐怕早已開香檳慶祝了。

參考來源：區塊律動BlockBeats、區塊鏈論壇