时隔十个月,币安再爆安全漏洞遭黑客洗劫。
5月8日凌晨1:15:24,币安遭受黑客攻击。此次攻击中,黑客在区块高度575012处从币安热钱包中盗取7000枚比特币。
一时间,币圈喧嚣四起。
没有证据表明币安内网遭受了攻击
针对此事,金色财经独家采访了360区块链专家余云超。他表示,根据币安公开的信息,简单来说,黑客为此次攻击准备了很久,包括探测币安的认证体系、通过各种方式获取用户的认证信息等。
余云超分析,此次黑客首先探测了币安提币的认证步骤,包括需要API密码、2FA代码;之后通过各种攻击方式比如钓鱼网站,去获取用户的认证信息;等受害者信息收集到黑客认为足够的程度,也就有了我们看到的发动攻击,利用获取的认证信息,从币安的热钱包转走部分比特币。
知情人士:币安曾于2020年和2021年将客户资金与公司收入混合在一起:5月23日消息,据三位知情人士报道,币安曾于2020年和2021年将客户资金与公司收入混合在一起,违反了美国要求客户资金分离的金融规则。一位直接了解币安财务状况的人士表示,这笔款项高达数十亿美元,并且几乎每天都在Silvergate Bank持有的账户中发生混合。路透社表示,无法独立核实这些数字或频率。但审查的银行记录显示,2021年2月10日,币安将来自公司账户的2000万美元与来自接收客户资金的账户的1500万美元混合在一起。路透社表示没有发现币安客户资金丢失或被拿走的证据。[2023/5/23 15:21:27]
事件发生后,有消息称,币安此次被盗很有可能是因为币安内网遭到黑客长期的APT渗透,而非单个或者批量用户被钓鱼病入侵导致。
数据:250,000枚ETH从未知钱包转移到币安:金色财经报道,Whale Alert 监测数据显示,北京时间 10:10:47,25 万枚 ETH(约 3.38 亿美元)从 0x5a5 开头地址(0x5a52E96BAcdaBb82fd05763E25335261B270Efcb)转移至币安。
据欧科云链 OKLink 提供的数据显示,该 0x5a5 开头地址为币安的用户充值地址。[2022/9/20 7:07:38]
APT是指高级持续性威胁,本质是针对性攻击。利用先进的攻击手段对特定目标进行长期持续性网络攻击的攻击形式。APT攻击的原理相对于其他攻击形式更为高级和先进,其高级性主要体现在APT在发动攻击之前需要对攻击对象的业务流程和目标系统进行精确的收集。
币安正式推出灵魂绑定代币BAB:9月8日消息,Binance宣布将于2022年09月08日17:00(东八区时间)推出Binance账户绑定(BAB)Token,它是一种灵魂绑定Token,将作为Binance用户已完成KYC认证的身份证明。用户能够在BNB Chain上铸造BAB Token作为身份凭证,并可参与构建多个项目获得奖励。[2022/9/8 13:17:03]
对此,余云超表示,从目前公开的信息来看,没有证据表明币安的内网遭受了攻击。如果黑客通过社工钓鱼等手段拿到了受害者用户的认证信息,就可以直接提币了。当然如果币安内网被黑客成功渗透,那可能产生的后果会比这次还要严重,黑客可以长期慢慢的把他们在内网能接触到的币安钱包里的比特币全部提走。
MDEX上线币安智能链4小时,TVL超18.4亿美金:据MDEX官方数据显示,MDEX上线币安智能链(BSC)4小时,TVL已超18.4亿美金,交易额超过6.6亿美金。[2021/4/9 20:00:00]
余云超认为之所以发生这样的事,除了平台的防御机制、风控可能存在的问题,本质上来说,还是用户安全意识不足,导致自己的认证信息被黑客通过攻击方式获取。
暗藏玄机,又是7000个BTC?!
除此之外,金色财经注意到2018年7月4日,币安也曾被盗7000多个比特币。
余云超对此认为7000这个数字是个巧合,但是也不排除这个数字是否与币安的风控设置有关。但是即使有关,黑客也不可能实地去测试,这个还需要进一步调查。
值得关注和庆幸的是,2018年7月4日之后,币安宣布成立Binance投资者保护基金以保证投资者权益,将拿出10%的交易手续费作为投资者保护基金,相关资产将存放在独立地址,专项专用。所有平台突发风险时对Binance用户进行先行赔付,专项基金用于应对可能出现的极端突发安全事故;对于任何非用户自身原因造成的用户资产损失,Binance将从投资者保护基金中提取资金对用户实施全额先行赔付。
也正基于此,赵长鹏在今天的直播活动中表示,币安用户没有损失,币安不需要帮助,SAFU基金就可以cover了。
交易所领域仍面临着较大的安全风险
目前在加密货币交易所整体安全方面,还是面临比较大的安全风险。之所以会产生这样的原因,余云超认为主要是因为以下原因:
交易所的业务类型直接和个人财产挂钩,而且金额较大,比如比特币当前价格接近4万。与传统互联网产品相比,遭受同样的攻击,传统互联网产品的用户损失的可能是用户信息泄露,比如邮箱、手机号;而交易所用户损失的就是大量的真金白银。
自身重视不足。传统大互联网公司,除了自己建立完善的安全团队,内部防御机制外,还会自建src,欢迎外部安全人员提交自己产品的漏洞,并且给予奖励;而目前的交易所在这方面才逐步开始重视,并且更多的是大交易所在做这些事。
交易所上线的不同币种,涉及到的技术栈不同,导致复杂度增加。一个点出问题,可能就会导致整体的问题,比如这次的攻击事件。
难度大,比如这次币安的攻击事件。从公开的材料来看,黑客能够发动攻击,本质上还是获取了用户认证信息。而黑客获取这些用户认证信息,并不是直接攻击交易所获取的。举个例子,受害用户的电脑中了病,被黑客窃取了认证信息,这是属于交易所防御体系之外的,交易所没法防御。那怎么办呢,风控获取可以能做到一定程度缓解,比如我们换了个新手机第一次登录一些金融类产品,除了账号密码,它还会发送手机号短信验证码,目的就是防止我们的账号密码被盗直接导致财产损失。
只要银行有钱,就有人抢银行。同理,加密货币交易所无论是否去中心化,黑客盗窃永远会有。这不是一个技术问题,而是商业问题。问题的答案也不是监管,而是交易所本身的私利。
ClipperCoinCapital(CCC)的创始人刘震表示,币安一季度利润7800万美元,估值至少几十亿美金,7000BTC的损失虽然很痛,但CZ还是肯定愿意自己掏钱补上,无论有没有SAFU。这就是自由市场的力量,每个人为了私利进行协作,通过无形的手创造自发的秩序与信用。
数字货币是一场Hayek式的自由金融实验,每一次挫折与考验,无论是MtGox事件、“94”事件,还是ICO泡沫的破灭,以及最近的沸沸扬扬的IEO,都进一步证实了这是一个不可逆的历史趋势。
标签:比特币APTANCNAN比特币最新局女人Tortuga Staked AptosVox FinanceLeagueDAO Governance Token
今日共有5位币圈分析师对BTC明日走势进行了判断,其中3位看涨2位看跌。1.看涨@一哥说币:小时线依然有购买力,明日看涨超过7000美元,应减仓操作.
1900/1/1 0:00:001、宏观新闻伊朗央行为金融业开发区块链平台“Borna”中东和北非地区独立报告与分析平台Al-Monitor发布一份报告显示,伊朗央行一直在开发一个名为Borna的平台.
1900/1/1 0:00:00加密通证具有收益率高、与传统资产相关度低的特点,并有成为全球大类资产配置不可或缺的一部分的趋势.
1900/1/1 0:00:00厄休拉·勒古恩在《黑暗的左手》一书中,借人物伊斯特拉凡之口,说了一段让我终生难忘的话,「我身上只有一种天赋,就是知道什么时候该触动那伟大的命运之轮,并且做到行知合一」.
1900/1/1 0:00:001.USDT因监守自盗出现惊人爆雷4月30日,泰达公司的法律总顾问回应纽约州司法部,称公司有大概持有74%左右的USDT现金储备。在纽约州司法体系网站上可以看到原文链接.
1900/1/1 0:00:00在全球市场震荡期间,谁是目前全球表现最佳资产,答案可能是比特币。5月10日,比特币在多家主流数字货币交易所的价格突破6200美元整数关口,创下自2018年11月以来近6个月内的价格新高.
1900/1/1 0:00:00