技术深度丨币安被盗的7074.18枚比特币去哪了?_NAN:Binance dog

一周前,知名加密货币交易所Binance遭受黑客攻击,被盗7074.18枚比特币。尽管其创始人赵长鹏在多次AMA中披露了一些黑客盗币的细节,并承诺使用“SAFU基金”全额承担本次用户的损失,此后也出现了“回滚交易”的争议讨论,但这7074.18枚比特币究竟如何被盗?如今又被转移到哪里?业界并没有详细的深究与讨论。但国外的这位小哥用GoogleBigQuery好好深扒了一下,发现了不少猫腻。丢掉的7074.18枚比特币还能不能找回来?一起往下看!最近一年的时间里,在业务上,我们只选择支持Binance。我们选择Binance作为第一个交易所合作伙伴,因为我们相信Binance的追踪记录、安全协议以及对用户的承诺。

因此,当发现Binance被黑了7074.18枚比特币时,对我们来说,这真是一个毁灭性的打击。

事情是怎样的?

如果你了解整个事件,可选择跳过这部分。

对于这次“灾难”,Binance没有对外发表太多言论。虽然他们已经分享了关于盗窃的一些细节,但对于更细微的细节,他们却仍在保持沉默。

根据他们最近更新的博客,他们正在努力保持最高程度的透明度,但担心分享太多的安全细节会让黑客感到不安,并最终削弱他们自己的安全。

尽管如此,我仍旧认为让社区真正了解到底发生了什么是十分有必要的,因此我将在本文中深入探讨。

活动时间表

以下是我们对事件发生时间的了解。

5月7日下午5:15,7074.18枚比特币从Binance热钱包中抽出。

北斗卫星导航系统发言人:北斗系统高精度服务正与区块链等新技术深度融合:今日上午10时,国务院新闻办公室举行新闻发布会,中国卫星导航系统管理办公室主任、北斗卫星导航系统新闻发言人冉承其介绍,基于北斗的高精度服务在抗击新冠疫情和南方水灾中发挥积极作用,正在加速进入新基建,与新一代通信、,北斗应用新模式、新业态、新经济不断涌现。(澎湃新闻)[2020/8/3]

5月7日下午7:00,Binance关闭了非预定维护的存款和取款。Cz向用户保证,基金是SAFU,交易不会中断。

5月7日11时36分,Binance宣布了一个安全漏洞,并证实黑客能够从Binance热钱包中提取7074.18枚比特币。

5月8日下午12时42分,Binance限制所有现有API密钥只允许交易,并宣布所有现有API密钥将在UTC时间下午1:30删除。

5月8日下午1:30,Binance删除所有现有API密钥。

这次盗窃和之前有何相似之处?

无论是最近、还是过去的攻击都涉及到Binance的API和网络钓鱼。

黑客通过将自己伪装成值得信赖的实体,然后用户泄露敏感信息。

一个用来“钓鱼”的假Binance登录界面

通常被盗取的信息是用户API密钥,这使得攻击者能够以编程的方式与交易所进行交互,就好像他们自己就是用户一样。

在Binance上有3个不同级别的API权限:

读取ー获得有关持币、交易历史和市场数据的能力。

上海市将研究推动节能项目和区块链技术深度融合:上海市发改委印发上海市2020年节能减排和应对气候变化重点工作安排的通知提出,推动城市交通电动化和清洁化,挖掘节能改造潜力。开展余热资源共享模式的创新与实践,完善“互联网+余热共享”的大数据库交互平台,加强供需对接,促成一批示范性项目。研究推动节能项目和区块链技术的深度融合。(第一财经)[2020/4/30]

交易-执行交易的能力

提取ー取出资金的能力

当用户创建一组API密钥时,一般情况下,读取和交易权限默认开启,提取权限则被禁用。由于提取权限可能会带来高风险,Binance要求用户首先设置双重身份验证和IP白名单。

在SYS和VIA攻击期间,攻击者大部分时间都只得到了纯交易访问API密钥。因为攻击者不能从只有交易访问权限的账户中提取资金,所以他们必须首先重新分配资金。

他们是这样做的:

首先,在攻击之前,攻击者将目标对准一个易于操纵的交易所。通常情况下,被攻击目标有着交易量小、订单量也少的特点。黑客会提前购买一些这样的数字货币。

然后,攻击者发出限价订单,以荒谬的价格出售他们的数字货币。

随后,攻击者利用盗取账户的API发送大量购买订单,并以万倍以上的价格在市场的另一边购买自己的数字货币。完成这一步后,他们就有效地将财富从仅具有交易访问权限的帐户转移到了具有提取权限的帐户。

最后,攻击者试图从Binance取出“战利品”。一旦取出并存入其他地方,就几乎没有人可以扭转交易了。

声音 | 工商银行原董事长:以区块链等为代表的信息技术深刻影响了人类的生产、生活及思维方式的变革:钱塘江论坛11月1日至3日在杭州举行。本次活动主题为《长三角一体化:金融、科技、产业的新使命》,钱塘江论坛主席、中国工商银行原董事长、世福资本董事长姜建清在2019届钱塘江论坛表示,当今世界正处在新一轮科技革命与产业变革孕育兴起时期,以大数据、互联网、物联网、人工智能、区块链等为代表的新一轮的信息技术不断突破,深刻影响了人类的生产、生活及思维方式的变革。新产业、新动能、新技术将成为影响经济增长的关键因素。(新浪财经)[2019/11/2]

你可以在Binance交易历史中找到证明上述方法的证据。在2018年的API黑客攻击中,攻击者通过以提高SYS和VIA的价格的方式,试图转移前面提到的资金。

如下图,在2018年7月3日和2018年3月6日,SYS/BTC和VIA/BTC的价格和成交量分别出现了异常。

这次有什么不同?

这一次,攻击方式有所不同。根据Binance的官方声明,黑客能够获得大量的用户API密钥、谷歌验证2FA码和一些其他敏感信息。

通过2FA码,黑客完全可以启用提取权限,同时禁用IP白名单。这一次,黑客不需要冒着被人怀疑的风险而提高数字货币价格,进行多次交易,然后将资金转移,这次攻击更容易。

为了证实这一推理,我从Binance的API中提取了上个月每小时的交易数据。

如果API密钥被用来操纵交易,交易量和货币价格将会出现异常峰值。

交易数据比较

声音 | 中宣部文改办:区块链等信息技术深刻改变人们鉴赏文化的渠道和方式:据人民网报道,2019年上半年,面对国内外风险挑战增多、经济下行压力加大的复杂局面,文化及相关产业保持稳中有进的发展态势。中宣部文改办相关负责人表示,这份“稳健”的成绩单主要得益于四方面:一是党的坚强领导和持续释放的政策红利为行业发展提振信心。二是积极推进供给侧结构性改革撬动文化消费升级。三是优化管理营造良好发展环境。四是大力发展新技术增强文化发展新动能。云计算、大数据、物联网、人工智能、区块链、5G等新一代信息技术的迅猛发展,深刻改变着人们获取知识、传递信息、鉴赏文化的渠道和方式。[2019/8/20]

我计算了黑客攻击前30天交易量和价格的每小时最大值,还计算了黑客攻击当天的交易量和价格的每小时最大值。

目的是比较两者,看看黑客攻击当天的每小时价格和交易量是否有所上升。

成交量比较

下表按攻击当天每小时最大值和攻击前30天每小时最大值之间的百分比差排序。

交易量

可以看到,LINK/PAX在黑客攻击当天的每小时交易量出现了大于3倍增长,但这个数字还没有大到能引起怀疑,特别是考虑到事实上,链接/pax的价格没有飙升以及。

价格比较

在黑客入侵的当天,在最极端的情况下,我们也只看到价格上涨了34%。

这进一步说明,此次攻击中黑客没有操纵价格。

交易价格

虽然攻击者可能会在周围进行交易而不会引起注意,但我认为这是不可能的。在不影响价格和交易量的前提下,要转移7074.18枚比特币,需要许多账户,或者说,需要很长时间。

公告丨中国铁路总公司与阿里巴巴集团就进一步利用区块链等技术深化路企合作举行会谈:6月22日晚,中国铁路总公司党组书记、总经理陆东福在铁路总公司会见了阿里巴巴集团董事局主席马云一行,双方就进一步深化路企合作举行会谈。马云表示,阿里巴巴集团积极响应高铁网和互联网双网融合的主张,希望更加广泛更加深入地参与到我国铁路事业发展开拓中,充分发挥在大数据、云计算、区块链和物联网等方面的技术优势,进一步深化与铁路总公司在移动支付、信息安全、旅客服务、物流服务等方面的合作,为改善旅客出行体验、降低社会物流成本贡献智慧和力量。[2018/6/25]

如果是这样的话,长时间的交易活动很可能会引起原始账户所有者的怀疑,用户会觉察到自己的资金正慢慢耗尽。一旦有用户向Binance投诉,这将会给黑客们带来灾难。

黑客仍在逍遥法外

比特币的价值和可靠性在很大程度上归功于账本的不可变性。但这也意味着,一旦成功提款,基本上就不可能追回被盗资金。

Binance证实,黑客能够在这一次交易中提取7074.18枚比特币。我使用GoogleBigQuery查询与黑客有关的交易,并绘制出被盗资金的动向图如下。

圆圈代表钱包地址,线条代表被盗资金流向。圆圈和线宽与两地址间发送的比特币数成正比。

币安被盗资金动向图

TransactionDepth=1

币安被盗资金动向图

TransactionDepth=2

币安被盗资金动向图

TransactionDepth=3

币安被盗资金动向图

TransactionDepth=4

被盗比特币能被追回吗?

据我所知,还不存在Depth>4的交易。黑客们正“清洗”被盗的比特币,并将其存在一些固定的地址中。

下面是一个更大的可视化图像,标注了单个钱包地址。

币安被盗资金动向图

附带地址

从某种程度上来说,追踪这些比特币的来源是非常不可行的,因为涉及这些被盗比特币的交易数量将呈指数级增长。

目前,有3种常见追踪受污染数字货币的方法。

Poison:用3枚被盗比特币和7枚正常比特币一起进行交易,取出10枚「被盗」比特币;

Haircut:用3枚被盗比特币和7枚正常比特币一起进行交易,10个中有30%被标记为「被盗」;

FIFO:用3枚被盗比特币和7枚正常比特币一起进行交易,最先出来的三个被标记为「被盗」。

从长远来看,我认为这些方法都不能奏效。给受污染的货币贴上标签或者加入黑名单,从根本上削弱了比特币的可替代性和抗审查性。我不支持那些试图追回或将被盗比特币列入黑名单的想法。

澄清阴谋论

交易所黑客是阴谋论的温床。虽然我们没有时间在文章中解决所有问题,但我们可以处理一些最尖锐的问题。

是Binance把7074.18枚比特币搞砸了,因为他们把这些比特币发到了Segwit地址,而这些地址无法将资金转移到任何地方。

从根本上说,这是不正确的。尽管你在blockchain网站上看不到Segwit交易,但你可以很容易地在下面这个网站找到交易记录。

这是一个为了推广DEX的局

糟糕的商业行为。Binance为了什么而不惜损失大量品牌资产?在所有这一切中,他们甚至没有推广他们的DEX。

不止7074.18枚比特币被盗

我们只有Binance的官方数据,目前还没有这方面的证据,但权威人士正在密切关注Binance的热钱包。

不存在API密钥被破坏的安全漏洞

这个倒是有可能。有传言说有700个账户的提取权限被泄露了。没有人站出来说他们的账户被黑了。如果用户的密码和2FA被破解,Binance肯定会要求用户重置他们的个人信息。但如果没有API密钥被破坏,为什么Binance要重置API密钥?

攻击者仍然控制着许多Binance不知道的帐户

这是可能的。虽然Binance重置了API密钥,但黑客仍然可以通过盗取个人信息访问一系列账户。

这对中心化交易所意味着什么?

推动DEX的发展

显然,黑客在提醒人们,中心化交易所是容易犯错的,这是对DEX的推动。

2019年初,DEX的交易量处于历史最低水平。

DEX交易量持续下滑

说到底,人们似乎更偏爱便利、速度和流动性,而非安全性。

为什么中心化交易很吸引人,主要有以下三点原因:

保留对资产的完全控制权

获得优惠的交易价格和进入流动市场的机会

低交易费用

将你的资产分开存到多个交易所

鉴于中心化交易所仍然至关重要,减轻风险的一个方法是将资产分开存到不同的交易所。

这对Binance又意味着什么?

Binance可以在47天内赚回这4000万美元

从宏观角度来看,4000万美元对Binance来说并不是一个毁灭性的数字,因为它是世界上最大、最赚钱的交易所之一。

这起价值4000万美元的Binance黑客事件,其造成的损失在交易所被盗历史上排名第六。

10大交易所被盗事件

交易机器人是不可避免的

API密钥和网络钓鱼是过去3次Binance黑客攻击的共同主题。警告用户不要让任何第三方服务提供商访问您的个人API密钥是完全不现实的。这种单方面声明既惩罚疏忽的交易申请,也惩罚像我们这样缺乏安全意识的人群。

与其谴责第三方交易应用程序、然后对它们视而不见的这种无济于事的行为,Binance应该通过启动自己的OAuth客户端来提供支持。通过这样做,Binance实际上可以通过加强控制和监督,提高交易安全性,并降低未来API事故的风险。

拓展阅读:

https://www.binance.com/en/blog/333497959022997504/Binance-Security-Incident-Update

https://binance.zendesk.com/hc/en-us/articles/360006675312-Incident-Recap-on-Irregular-SYS-Trading

https://www.hodlbot.io/blog/a-thorough-investigation-of-the-binance-hack

https://www.blockchain.com/

https://chain.so/address/BTC/bc1qp6k6tux6g3gr3sxw94g9tx4l0cjtu2pt65r6xp

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

水星链

[0:62ms0-0:490ms