素材来源 | 成都链安、PeckShield

编辑 | 佩奇

出品 | 区块链大本营(blockchain_camp)

5月8日早上8点28分,知名加密货币交易所币安承认再次受到黑客攻击。截止到目前撰文时间,已经有7074.18个比特币被盗。

以下为币安官方微博发布的安全信息更新公告。

对此,币安创始人赵长鹏在AMA中首次披露了黑客盗币的细节。他表示,黑客此前已发现系统存在的安全漏洞,但一直很耐心,直到系统出现大额交易才出手。

直播地址:https://www.pscp.tv/w/b6I-lTFQWEVkQlBQQlBsS2V8MW1yR212anBicUJKea09rHwXRK_mMqOZXufBTFd6iCrb7SjGYhQ4_QOvoDet

此外,赵长鹏还对外披露,币安在5月7日凌晨就发现了“大规模的安全漏洞”,该漏洞导致黑客能够访问用户应用程序接口密钥(API keys)、双因素身份验证码、以及其他信息。按照安全通知中公布的一笔交易,黑客从币安交易所中取走了价值大约4100万美元的比特币。

安全公司:或为用户API key和Secret key信息泄露导致

对此次攻击,区块链大本营(blockchain_camp)第一时间联系了 Beosin 成都链安科技安全团队,对此事件进行了深度分析。老铁们,先了解一下交易详情:

此次事件发生在575013块,总损失最高可达7074个BTC,共涉及到以下44个提币地址:

详细提币地址

截至目前,币安热钱包(1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s)已被盗约7074.18枚BTC。

现在币安的热钱包余额 3,612.69114593个 BTC,说明币安热钱包的私钥安全,经过团队分析,在05月08日 01:17:18通过 API 接口在同一时间发起提币操作。

币安交易所的 API 申请后会生成 API key 和 Secret key,如下图:

API 接口有限定用户开放 IP 限制和开放提现功能。开放提现就是直接利用 API key 和 Secret key 直接提现,不需要收集验证码、短信、谷歌验证码。如下图:

API 部分官方调用代码 demo 如下:

来自 https://github.com/binance-exchange/python-binance

成都链安分析认为是用户的 API key 和 Secret key 信息泄露导致的此次攻击。

如果用户没有限制 IP 并配置了开放提现功能,任意攻击者在获取了 API key 和 Secret key 信息后便可以实现攻击。

用户的信息泄露途径可能有:

1、普通用户一般不会使用 api key,一般是高级用户用于代码中实现自动化交易,可能是用户源码泄露导致 api Secret key 泄露

2、用户被钓鱼攻击,输入了 API key 和 Secret key 被黑客截取。

3、用户的 API key 和 Secret key 保存的电脑被攻击窃取。

4、币安交易所系统原因导致用户 API key 和 Secret key 泄露,其中只有71个用户开放了提现功能,被盗币。

被黑客盗取的7074枚 BTC 的主要20个地址如下:

此外,区块链大本营还采访到了 PeckShield 研发副总吴家志。吴老师认为,此次币安被盗事件大致上可以分三个层面分析:交易所,帐号托管系统,个人用户。

1、交易所层面概率较低,例如之前龙网事件,是客服人员安装了恶意软件,渗透进入内网造成;

2、账号托管,就是散户投资这类的软件,把应用程序接口提供给中间商,一旦中间商被渗透,可能一次性取得大量接口秘密,造成此类问题,这类软件可能在下载的时候被替换安装包,或者中间商的服务器被攻破,都有可能;

3、第三类就是个人用户的设备,如手机电脑等被安装木马等,从个人用户设备上取得 API secret 以及2FA认证。

此外,吴老师还表示,看到币安这次在一个交易里头打包7074 BTC出金,主要目标地址20个都是新地址,这样的情况其实能够触发风控机制,比如单位时间内出金的量以及新地址能收的金额。

来看看大佬们的反应

事件发生后,波场创始人孙宇晨第一时间发文表示,“无需惊慌,一切安好!我愿意拿出7000BTC等值的美元进入币安。”当然,前提是赵长鹏同意他这么做。

而事实上,赵长鹏表示并不需要,“真的很感激,但现在还不需要。币安将通过 SAFU 基金弥补损失,而且足够了。我们只是受伤,并非破产。”

而有些人并不是那么友善。

FCoin创始人张健却不这么认为,针对币安被盗7000枚比特币事件,他希望大家不要利用这次被盗事件去攻击别人,这是损人不利己的事情,一个平台的信誉等各方面的积累需要时间。

不过,币安这句“被盗BTC”由币安全额承担,也很霸气了!

相信这次币安7000多BTC被盗事件的发生,必将引起监管的涉入、用户个人对隐私保护的重视以及交易所风控机制的完善等等,区块链大本营将持续跟踪此次事件并作进一步深入报道,老铁们,要持续关注哟!

全面学python的时代,作为程序员你怎么看?

https://edu.csdn.net/topic/python115?utm_source=csdn_bw

【END】

作为码一代,想教码二代却无从下手:

听说少儿编程很火,可它有哪些好处呢?

孩子多大开始学习比较好呢?又该如何学习呢?

最新的编程教育政策又有哪些呢?

下面给大家介绍CSDN新成员:极客宝宝(ID:geek_baby)

戳他了解更多↓↓↓

 热 文 推 荐 

开了个会:破局企业云通信,华为加速 Buff 开发者!

☞ 甲骨文中国确认裁员 900 余人;网易回应邮箱账号遭公开叫卖;我国网民达 8.29 亿 | 极客头条

☞ 漫画:如何给女朋友解释灭霸的响指并不是真随机"消灭"半数宇宙人口的?

☞她高中发明著名算法,保送清华姚班,斯坦福 AI 实验室负责人高徒 | 人物志

真正勇猛的程序员,敢于让鲁迅崩溃!

从Pixel 3a到Android Q,一份谷歌AI能力的“成绩单” | Google I/O全程回顾

没有一家公司可以逃避边缘计算 | 技术头条

☞20年无人能破的RSA算法发明人出的密码学难题, 竟被这个无名程序员3年破解!

☞她说:为啥程序员都特想要机械键盘?这答案我服!

点击阅读原文,输入关键词,即可搜索您想要的 CSDN 文章。

你点的每个“在看”,我都认真当成了喜欢

独家!币安被盗原因找到了!7074 枚比特币竟是这样丢掉的相关推荐

  1. 全球区块链第19周看点 | 币安被盗 富达入场

    TokenInsight整理了5月4日-5月11日,区块链行业在交易所.底层公链.去中心化交易所.行业应用.营销模式方面发生的大事件,并对此进行了点评. 本周值得关注的内容 TokenInsight ...

  2. 币安“碟中谍”,真相只有一个

    点击上方"CSDN",选择"置顶公众号" 关键时刻,第一时间送达! 你在疯狂炒币割韭菜的同时,卖镰刀的人也在悄悄地看着你.一直以来,世界各地著名的虚拟货币交易中 ...

  3. 币安布局去中心化交易所,原来是因为这三个原因!

    中国时间2月20日,正是币安发布去中心化交易所测试版的这一天,赵长鹏少有的接受了 Youtube区块链热门节目IVAN ON TECH的直播采访.如此巧合的时间点,无疑是币安有意而为之,将其作为推广去 ...

  4. 专访 Binance 联合创始人CMO 何一:不存在花钱上币安,一经发现,永久黑名单 | TokenInsight...

    ↯ 前言 访谈中,何一无时无刻不透露出对于 Binance 的自信,对行业未来发展的积极态度.何一并没有像媒体中或者社群中所传言或者通过部分聊天记录感觉到的"盛气凌人"形象,更多的 ...

  5. STO不会火,比特大陆不会死,币安会去非洲:区块链行业的63个预测

    翻译 | 贾瑞婷 编辑 | 波波 有句话是这么讲的:凡是杀不死你的,必定能让你更强大. 比特币大神哈尔·芬尼也是这么看比特币的. 作为资深密码朋克.中本聪之外第一个接触比特币的人.传说中同中本聪交集最 ...

  6. V神全面回应币安下架BSV:万字长文、4大要点 (全文)

    "下架不会让人们无法交易BSV,但确实引发了社会对BSV的强烈谴责,这是有用且必要的." 来源 | 火星财经 作者 | 杜会堂 褚杏娟 梁雨山 "完全同意并支持下架BSV ...

  7. 以太宇宙(ETU)可能颠覆OK、火币、币安现有格局,降维打击!

    区块链是分布式账本的一种,一条区块链就是一个独立的账本,两条不同的链,就是两个不同的独立账本.当Alice想把BTC兑换成ETH时,价值就需要在账本间转移,相当于Alice在比特币链上存储的价值,转换 ...

  8. 微信:禁用小程序跳转 App;华为商城上架 PlayStation 5;币安涉及洗钱被美监管调查

    8 部门联合约谈滴滴.首汽等 10 家交通运输平台企业 腾讯 To B 业务架构再升级,原 360 高管李强加入 搜狐第一季度营收 2.22 亿美元,同比增长 24% 8 部门联合约谈滴滴.首汽等 1 ...

  9. 币安Binance.client can‘t find the module client 解决办法

    项目场景: 获取币安交易所的交易行情数据时,报错Binance.client can't find the module client ,Google搞了两天才搞清楚原因,因为模块冲突了,导致大家都命 ...

最新文章

  1. Linux编译lclntsh,Linux下编译C/C++时,出现/usr/bin/ld: cannot find -l*** 错误的处理
  2. 使用Zabbix官方模板监控MySQL
  3. MediaPlayer loading 问题解决
  4. RHEL7OSP-6.0的openstack云主机发放
  5. C++【“using namespace std”的意思、#include “iostream“与#include < iostream>区别、< iostream>与< iostream.h>区别】
  6. Linux学习之系统编程篇:互斥锁(pthread_mutex_init / lock / trylock / unlock / destroy)
  7. 一个本地分支能关联两个远程仓库吗_使用git分支保存hexo博客源码到github
  8. 工厂设计模式案例研究
  9. jps、jstack、jmap、jhat、jstat、hprof使用详解
  10. CentOS7上GitLab的使用
  11. 人工智能再次参加高考:和作家比写作文,AI能打多少分?
  12. 后台管理系统中英文版本切换
  13. nebula模拟器_Nebula街机模拟器使用方法 Nebula街机模拟器怎么用
  14. Python爬虫技术系列-02HTML解析-BS4
  15. 帆软 finereport FCRA 考试 题库+答案,共收录561题,大部分有答案
  16. CSS-Learning | 使用border-radius创建圆形和胶囊形状(长圆形)
  17. 知识蒸馏 | (1) 知识蒸馏概述
  18. 近千万EOS被盗事件回顾,大家请保护好自己的EOS私钥
  19. exp和expdp的filesize参数的使用--导出多个文件
  20. Cadence 将原理图导出PDF格式

热门文章

  1. comsenzexp mysql密码_ComsenzEXP X3
  2. leetcode python3 简单题119. Pascal's Triangle II
  3. java 减法基础_java基础之运算符
  4. alert弹框里弹一个表格_Python学习第十三弹 输入与输出
  5. 记录——《C Primer Plus (第五版)》第十章编程练习第五题
  6. flask (三) 重定向
  7. 2019级C语言大作业 - 火柴人试炼之地
  8. c++两个数组对比去掉重复的元素_每日一道 LeetCode (8):删除排序数组中的重复项和移除元素...
  9. vue2.0的Element UI的表格table列时间戳格式化
  10. 解决:SpringBoot 搭建聚合项目 报 “程序包XXX不存在”