7月4日淩晨五時許,币安交易所出現超大額提現,2小時内,超過7000枚比特币轉入同一位址,何一對此表示,這隻是一個看上去比較異常的正常轉賬,并非網傳被盜。然而,同日上午八時,币安暫停交易與提現,進行臨時維護。
既然是“正常轉賬”,何來停機維護呢?
在巨額比特币流轉的背後,一個名為Syscoin的小币種,在4日四時許價格迅速拉升了320萬倍,一枚SYS價格達到了96BTC——SYS的日常均價一直是0.00003BTC左右。随着SYS價格被拉爆,黑客再通過其他交易所出貨,至少能獲利8000萬。
币安官方公告指出,這是一次“部分API使用者的釣魚事件”,何為API釣魚事件?又是如何獲利的呢?
金色财經邀請KEX交易所的CTO劉宏斐對事件進行技術解讀。API釣魚事件,可了解為通過正常的釣魚手段,包括并不限于假冒網上銀行、垃圾郵件、虛假電商廣告等不法手段,來擷取收集使用者的賬号資訊,并由此獲得API接口權限,并通過大量的API接口操作來影響交易市場。劉宏斐表示,由于API權限位于使用者權限下,是以隻要得到了平台的使用者權限即可控制其API權限。如果黑客能夠從一個或者幾個平台擷取大量的API控制權,即大量的使用者賬号登入資訊,就可以左右市場行情。
發動攻擊的人掌控足夠的API之後,足以操控某個币種的市場漲跌,隻要涉及的資金量和某項目的資金盤達到一定比例,就能引發巨額漲跌,是以交易量小和單價低的小币種容易成為攻擊對象。當瞬間拉高小币種的價格之後,再通過賣出提前低價埋伏在其他交易平台的該币種即可獲利。
這樣的事件過後往往跟随比特币的下跌,3月7日,币安也發生了性質極為相似的黑客攻擊時間,那一次買入的小币種是VIA,攻擊發生後兩天,比特币暴跌近1000美元。這一次,攻擊發生後30分鐘,比特币跌去130美元。黑客通過提前做好的空單,可二次獲利。
針對這次異常事件,币安提出了四點處理方案,包括删除全部API記錄、復原異常交易賬戶記錄、返還手續費、以及成立币安投資者保護基金等。
那麼删除API記錄的做法能夠在多大程度上彌補損失呢?劉宏斐指出,從技術角度看,“如果是單純删除API記錄,其實作用不大,隻能防止攻擊者在短時間内不能進行再次攻擊。真正有效的方式是,修複生成API過程可以繞過二次驗證(GOOGLE驗證等)的漏洞,防止在使用者未知的情況下生成API”。
交易所阻止黑客控制API有若幹種辦法,首先就是要盡可能保障使用者賬号的安全,通過短信驗證碼、GOOGLE驗證碼等安全手段(此次攻擊中,生成API流程的2FA被繞開)增加賬号的安全機制;另外,在生成API的過程中加入人工稽核的互動過程,确認此操作為使用者的本意操作。據劉宏斐介紹,KEX交易所目前采用的也是這種安全措施。
對于復原交易的操作,劉宏斐認為,這僅能恢複事故之前的賬戶情況,對使用者的利益做到一定程度的彌補,但對于“追回”黑客已經擷取的利潤則沒有意義。
因為此種攻擊黑客并沒有直接通過被盜賬号來直接擷取利益,而是通過大量被盜賬号的買賣行為影響市場,并且在其他平台上已經交易提現。
對于普通交易所使用者來說,雖然賬戶記錄已經復原,但潛在地,會有相當一部分加密貨币交易者對币安甚至所有的交易所安全性産生質疑與恐慌,甚至引發踩踏性跟風抛盤,這對于整個加密貨币行業和區塊鍊産業都會産生沖擊。
劉宏斐建議,普通使用者為了保護自己在這樣的事件内免受損失,需要做到兩點。首先最好将平台内提供的安全防護手段,例如,短信驗證、郵箱驗證、谷歌驗證碼等安全機制盡可能的打開,這樣雖然增加了登陸的複雜度,但其實這也是保證平台數字資産的最基本手段;其次就是安全保密資料的儲存方式。例如,密碼采用專業的密碼管理工具,存放數字資産的移動裝置不随意安裝未知APP,不随意掃描二維碼等,不在未知陌生的站點洩露使用者資訊。
随着資訊化不斷深入到我們生活中的每個角落,我們的資産由傳統的有形資産在不斷轉化為數字資産。金色财經認為,數字資産不同于有形資産,在儲存方式上需要我們重新樹立新的資訊化安全防範意識,交易所等金融敏感的平台不應單純的隻強調“使用者體驗”、“易用性”,而忘記了資訊安全的重要性。