獨家：幣安「泄密門」火仍在燒！CoinDesk 獲取黑客對話記錄，恐逾6萬筆用戶信息遭泄

新聞 08-09

全球最大加密貨幣交易所幣安（Binance），昨日驚傳大規模用戶信息泄露事件。北京時間周四截至中午時間，黑客持續於電報群大規模公布第二波幣安被盜用戶信息。目前為止，據黑客聲稱，恐有多達 60000 筆用戶 KYC（Know Your Customer）信息泄漏。根據 CoinDesk 獨家取得黑客與幣安對話紀錄，此次事件疑為幣安今年 5 月黑客攻擊後衍生的「黑吃黑」事件，且其中可能涉及內部人士泄密。

據了解，在周三幣安用戶 KYC 信息曝光之前，一名代號「Bnatov Platon」（以下簡稱「普拉登」）的黑客已與 CoinDesk 記者進行了長達一個月的對話。內容顯示，此次用戶信息泄露事件的完整故事似乎更為複雜，可以追溯到 5 月份幣安被盜 7000 枚比特幣一案，且還有愈來愈多內幕細節正在浮現，而整起事件規模可能多達 60000 用戶 KYC 信息泄漏。KYC 信息一般是指用戶與平台註冊時所提供的身份認證信息。

（來源：Pixabay）

60000 用戶 KYC 遭泄露，與 5 月幣安被盜有關？

據 CoinDesk 周三報道，幣安交易所正在調查一起泄露客戶驗證信息的事件。此次泄露可能會影響到 2018 年和 2019 年向該公司發送 KYC 信息的 6 萬名個人用戶。據稱，此次泄露與今年 5 月的黑客攻擊直接相關。

8 月 7 日，一名網名為瓜爾迪安（Guardian M）的電報（Telegram）用戶了在一個電報群內發布了數百張個人持有身份證的照片和寫有「Binance, 02/24/19」字樣的紙條，聲稱提交的數據由黑客盜自幣安交易所。瓜爾迪安向 CoinDesk 獨家提供了數百張照片，CoinDesk 已確認了一些用戶的身份，用戶已識別出了自己上傳到幣安的人臉照片和個人 ID。

瓜爾迪安告訴 CoinDesk，他（或她）至少還有 6 萬封郵件，他會隨時間的推移釋放這些郵件。

對此，幣安官方第一時間發布聲明，表示電報群中傳播的信息與幣安內部系統中的數據不相符，因此目前還沒有證據表明這些信息直接來自幣安交易所本身。

詳細聲明如下：

圖｜關於謠傳「KYC 事件」的聲明（來源：幣安官網）

從上述聲明可以看出，幣安官方認為這些圖像不包含幣安系統所印的數字水印，目前還不清楚這些圖像是從哪裡獲得，其安全團隊正在努力尋找所有可能的線索，試圖確定這些圖像的來源。

此外，幣安還補充道，這名身份不明的人此前要求通過 300 枚比特幣換取聲稱掌握的 10000 個用戶 KYC 信息。在幣安拒絕繼續對話後，這名男子才開始在網上和媒體上發布這些照片。

幣安認為，這些數據和今年 1 月份的 KYC 釣魚事件中涉及的數據為同一批，並表示如果有人能提供與黑客身份相關的信息，並協助幣安用法律手段追蹤黑客，幣安將為其提供 25 枚比特幣作為酬賞。

用戶信息泄露為真

事實上，自本周一以來，CoinDesk 已經聯繫到三位受害者，他們的 ID 圖像和其他數百張圖片被上傳到一個公開可用的雲驅動器上後，今天才在電報群中傳播。其中兩個人向 CoinDesk 證實了這些照片的真實性，他們在 2018 年 2 月 24 日向幣安提交了這些照片。

一名不願透露姓名的受害者向 CoinDesk 展示了他自 2018 年 1 月首次註冊該賬戶以來的幣安登錄記錄，每次登錄該網站都會收到電子郵件提醒。據郵件提醒記錄顯示，他確實在 2018 年 2 月 24 日下午 5 點左右登錄了幣安網。

此外，這名男子還向 CoinDesk 展示了一張他保存在手機上的 ID 圖像，這張照片在 UTC 時間 2 月 24 日 6 點左右拍攝，與電報群內部流傳的那張似乎一模一樣。

CoinDesk 聯繫的另一位用戶可能是本次 KYC 泄露事件的受害者，在分析的照片中確實包含一張與受害者相似的臉，但地址信息不正確。

圖｜被泄露的照片（來源：CoinDesk）

對此，CoinDesk 第一時間對這張照片進行了錯誤級別分析（Error Level Analysis）。事實表明，其中一些圖像已經被修改，特別是照片中較亮的邊緣。照片取證網站 FotoForensics 寫道：「在分析結果中，相似的邊緣應該具有相似的亮度，所有高對比度的邊緣應該看起來彼此相似，所有低對比度的邊緣也應該看起來相似。對於原始照片，低對比度的邊緣應該和高對比度的邊緣一樣明亮。」

圖｜用戶照片錯誤級別分析（來源：fotoforensics.com）

在周三的回應中，幣安表示，在 2018 年 2 月左右，由於工作量巨大，幣安曾有一周將部分 KYC 審核外包給第三方服務公司。目前正在和第三方服務公司核對所有信息。

但幣安沒有詳細說明這家第三方供應商在多大程度上可以訪問客戶 KYC 數據，也沒有說明這個第三方是否可以預先獲得實際的圖像文件。

「目前，我們正在與第三方供應商調查更多信息。我們正在繼續調查，並將隨時通知你。」

或許事實並非如此

報道指出，在本次幣安用戶 KYC 信息泄漏之前，普拉登早已在 7 月份就與 CoinDesk 記者取得聯繫，交流已長達一月之久，在此期間，普拉登向 CoinDesk 透露了他與幣安談判的詳細內容。

據其表示，普拉登與幣安舉行了多次會談，他們達成了一項協議、但後來卻被取消了。CoinDesk 獨家獲得了這些對話的完整文本。

儘管此前幣安創始人趙長鵬對外披露了「大規模的安全漏洞」，認為該漏洞導致了黑客能夠訪問用戶應用程序介面密鑰（API keys）、雙因素身份驗證碼、以及其他信息。但未提及的是，用戶的個人隱私信息也可能已被泄露。

但據普拉登所稱，他們沒有參與 5 月份的黑客攻擊，其所攻擊的是涉案其中的幣安內部人員（exchange「insider」）。他聲稱，幣安交易所的一位內部人員幫助公開了許多 API，使得黑客可以直接訪問用戶帳戶。黑客將客戶端 API 密鑰（用於遠程訪問賬戶的代碼）列表存儲在普拉登聲稱可以獲取的文本文件中，這使得黑客可以遠程訪問資金。

此外，普拉登還透露，文件中還包括用戶的電子郵件地址和帳戶密碼等隱私信息。利用被盜的用戶隱私信息，黑客編寫了一個惡意腳本，允許他們立即提取 0.002 BTC（大約 23 美元）。

CoinDesk 對此進行了研究，發現代碼仍可以使用不再開放或公開的 API 調用執行許多函數。此外，當測試一個 API 調用時，伺服器時間的一個簡單請求仍然是打開的。目前還不清楚關閉的 API 端點是被刪除了還是僅僅被隱藏了。

普拉登還表示，被盜的比特幣被存放在由比特幣軟體錢包提供商 Blockchain 託管的錢包中，黑客已經通過 Bitmex、Yobit、KuCoin 和 Huobi 清洗了 2000 多枚比特幣，並且希望每天轉換多達 100 萬美元的比特幣。

普拉登已經向 CoinDesk 共享了 636 個被盜文件，他希望借媒體的關注促使幣安宣布黑客事件的真實程度，並將襲擊者繩之以法。

圖｜被公布的受害者照片（來源：CoinDesk）

此外，普拉登還向 CoinDesk 公布了「幣安後門」代碼，他將其描述為一段通過「內部人員」訪問幣安伺服器的代碼。區塊鏈開發公司 VisibleMagic 的首席技術官維克多·什帕克（Viktor Shpak）表示：「這極有可能成為 API 密鑰攻擊，他們從某個地方獲取了 API 密鑰。」

API 密鑰用於驗證交易所和其他應用程序中的服務，並且可以允許黑客做任何事情，比如代表受害者購買加密貨幣、將加密貨幣移動到外部錢包等。

「很可能是一個內部人員創建了一個處理程序來訪問用戶 API 密鑰，然後他們就獲得了這些 API 密鑰，並獲得了用戶數據的訪問許可權，並構建了一個工具包來完成這項任務，」什帕克說。

相關代碼如下：

public static String getApiKey(String uri, String userId) {

String time = "";

time = get("https://www.binance.com/api/v1/time");

Map param = new HashMap();

param.put("userId", userId);

param.put("desc", "api" JSON.parseObject(time).getString("serverTime"));

return post(uri "/exchange/mgmt/account/getApiKey", param);

}

談判破裂，意欲何為？

在與 CoinDesk 對話的同時，普拉登也聯繫了幣安。

「我個人想要讓幣安成為世界上第一個逮捕黑客的交易所。這對幣安的聲譽是非常有利的，」普拉登說，並補充道：「我告訴他我有內部信息，像是內部人士的信息、內部人士與外界的溝通細節或甚至是內部人士的照片。我告訴他我有多位黑客的細節─伺服器信息、身份、電話號碼等信息。」

由其提供的信息來看，幣安是由擔任首席成長官（CGO）的 Ted Lin（林義翔），主要負責與黑客的談判。

根據普拉登向 CoinDesk 分享的和林義翔的對話顯示，後者曾有意願支付，以交換那些可能可以逮捕多位黑客、內部人士與追回資金的信息。然而，在同樣的對話中，林義翔也駁斥了普拉登正運作的「FUD 活動」。

林義翔並對普拉登表示，「如同我先前說的，我們不會回應敲詐勒索。」

儘管普拉登看似是利他的，CoinDesk 後來從普拉登和幣安官方得知，這位白帽黑客曾向幣安要求 300 枚比特幣，如以七月的比特幣價格換算，大約為 300 萬美元，將分 50 期支付。

最終，雙方的協商破裂了。7 月 22 日，在他們開始聯繫 CoinDesk 的 5 天后，普拉登表示自己已經不再和幣安協商。

「經過將近一個月的協商，他們並未支付一分錢，」普拉登表示。「我與幣安的交易破裂了。」

普拉登提供了以下與林義翔談判破裂的涉及交換的信息：

Ted Lin（林義翔）（2019 年 7 月 20 日 19：54）：

我看到你已經將信息提供給媒體了。

Ted Lin（2019 年 7 月 20 日 19：59）：

鑒於你的 FUD 活動已經完成，無論你以信息要求的賞金都會顯著減少。正如同我先前說的，我們不會對敲詐勒索作出反應。但如果你手中有有用的信息能讓我們將壞人繩之以法並追回資金，我們願意獲得更多有關肇事者的信息。

Platon（普拉登）（2019 年 7 月 21 日 16：53）：

如同我先前所說的，我不需要你的錢。

Platon（2019 年 7 月 21 日 16：53）：

已經沒有交易的餘地了。

Platon（2019 年 7 月 21 日 16：54）：

我也沒期望你們會作出回應。

Platon（2019 年 7 月 21 日 16：59）：

但我很喜歡看到內部人士和黑客們看到新聞出版的反應。再次重申，我對你們的反應不感興趣。

Ted Lin（2019 年 7 月 21 日 19：04）：

我以為你想看到那些黑客們被逮捕？

Platon（2019 年 7 月 21 日 19：11）：

我想要，但不是現在。

Platon（2019 年 7 月 21 日 19：12）：

我情願離開並繼續觀察。

Ted Lin（2019 年 7 月 21 日 19：19）：

我們仍對那些能逮捕黑客們、內部人士與追回資金的信息感興趣，並願意支付。

Ted Lin（2019 年 7 月 21 日 19：19）：

如果你有更多可以實現上述目標的信息請讓我知道。

Ted Lin（2019 年 7 月 21 日 19：04）：

在你不再回復我們之前，我們正驗證你所具有的信息類型。

Ted Lin（2019 年 7 月 21 日 19：21）：

如果你改變心意並仍想繼續，請讓我知道。

Ted Lin（2019 年 7 月 21 日 19：21）：

感謝你的幫忙。

Platon（2019 年 7 月 21 日 19：11）：

付錢給我。

最後普拉登表示，「與幣安協商是錯誤的事情，」「他們不是合適的人…所以我只有將所有的數據發布給它們的客戶了。」

事實上，普拉登在 7 月 22 日與幣安代表的溝通中，他表示，「我當前的興趣那些黑客們和公司的內部人士。在新聞發布時，我很樂意看到他們的反應。」

Ted Lin 是誰？

在此次事件中代表幣安與黑客對話的 Ted Lin，是幣安 CGO（Chief growth officer）林義翔。

（來源：推特）

根據《CoinDesk 中文網》了解，林義翔來自台灣，是幣安創始人趙長鵬的高中同學，兩人已有 20 多年交情。他過去在科技行業任職，擁有豐富的國際市場開拓經驗，2017 年中，在趙長鵬一通電話下，決定加入一同創業。起初他肩負為幣安打開國際市場的責任。

眾所皆知，幣安在 2017 年底快速崛起為全球第一大加密貨幣交易所，並持續稱霸行業至今，最大的優勢，就是其迅速在全球開疆闢土的能力，讓同行瞠乎其後。而林義翔在其中扮演關鍵角色。去年 6 月、8 月，以及今年年初，幣安先後在烏干達、列支敦斯登以及英屬澤西島成功開設法幣交易平台，最近一個地點是今年 4 月亦落地新加坡。

後來隨著幣安快速擴張，林義翔角色也逐漸轉變，成為幣安的 CGO，在內部帶領專門的成長團隊（growth team）。

幣安成長團隊是整個公司為了應對組織出現意料外的超速擴張，而成立的專門部門。其在 2018 下半年至 2019 年初的熊市期間，仍密集推出包含 Binance DEX、Binance Launchpad、Binance Chain（幣安鏈），以及幣安的新加坡法幣交易所等多項新產品，不僅成功帶動出一波市場行情，更重要的是展現出十分強大的行業發展主導能力。這些成長動能亦與林義翔所領導的成長團隊有著密切相關。

用戶信息仍在泄漏

但回到此次用戶信息泄露事件，普拉登的威脅在 8 月 5 日，成為現實，他將一個夾帶 166 位人們 KYC 的 500 張照片的檔案上傳至開放文件共享網站中，命名為「Guardian M」。

隨後是周三早上上傳至 Telegram group 的第二次泄漏資訊，內容包含上百張手持身份證的個人照片。

普拉登的解釋很簡單：他們認為他們做的是正確的事情。

普拉登並發布一系列推特說明自己的動機。