ANC:黑客大軍「撞庫」攻擊交易所，是誰泄露了用戶數據？_Yefam.Finance

上周開始，一頭部交易所開始頻繁遭遇撞庫攻擊。

「幾十個數據包，都在凌晨開始撞庫，嘗試登錄用戶的賬號。」該交易所安全負責人CC稱。

該交易所有十幾位用戶宣稱自己丟了幣，有趣的是，他們在這個平臺上的用戶名和密碼，和幣安的最為相似，只是多了一個特殊字符。

CC所在團隊攔截了其中一個撞庫的數據包，發現其中有4000條交易所的用戶名和密碼數據。

到底是誰泄露了用戶的數據？

01不翼而飛

7月20日8點半，用戶珂賢醒來了。按照平時的慣例，他準備先打開交易所的頁面，查看各種數字貨幣的價格。

但他突然看到，手機上有很多彈出的郵件。

凌晨3點，居然有多次登錄交易所的郵件提示。珂賢突然警覺，馬上登錄交易所，卻發現自己價值37萬的數字貨幣，只剩下價值400元的。

Tether已凍結Yearn被黑客竊取的170萬USDT:金色財經報道，Bitfinex及Tether首席技術官Paolo Ardoino剛剛發推文稱，Tether已凍結了Yearn DAI v1 vault被黑客竊取的170萬USDT。[2021/2/6 19:01:48]

他馬上查看交易記錄，發現了一件有趣的事情：

所有的幣，都被兌換成ETH，然后購買了一個小幣種——WICC。

有趣的是，黑客買入的價格都是固定的，即0.000853個ETH，而賣出的價格，都是0.0007782個ETH。

而買入操作5秒后，必然開始賣出操作。

每次的交易量也不高，一般都是500到1000個WICC。

一看如此的規律操作，就知道是機器和程序化交易。如此精密，人做不到。資深黑客CC稱。

Origin稱OUSD黑客攻擊主要由合約中重入漏洞引發:去中心化共享經濟協議OriginProtocol（OGN）聯合創始人MatthewLiu更新關于“穩定幣OUSD遭受攻擊”一事稱，“團隊在采取措施以追回資金，包括與交易所以及其他第三方合作，以識別出黑客地址，并對資金進行凍結。黑客同時使用TornadoCash和renBTC來進行洗錢和轉移資金，目前，黑客錢包中還有7137枚ETH和224.9萬枚DAI。此次攻擊是由合約中的一個重入漏洞（reentrancybug）引發。團隊將在未來幾天內采取措施，試圖彌補用戶資金，還將討論OUSD持有者的補償計劃。”據此前報道，OUSD因此次攻擊事件造成700萬美元損失。Origin提醒稱，“目前已禁用了vault存款，請不要在Uniswap或Sushiswap上購買OUSD。”[2020/11/17 21:03:47]

那為何黑客都是高買低賣？這樣操作的原因是什么？

媒體：愛沙尼亞加密貨幣交易所Crex24或被黑客攻擊:有媒體收到匿名信息舉報，愛沙尼亞加密貨幣交易所Crex24在2月初突然撤出13億個HTMLcoin之后或遭受黑客攻擊。?HTMLcoin最初于2020年1月在Crex24上上線，但是，用戶的HTMLcoin資金突然從交易所中消失了，導致許多人懷疑是黑客入侵造成的。?此后，Crex24確認HTMLcoin錢包已受到影響，并表示正在與山寨幣團隊合作以彌補損失。（CryptoGlobe）[2020/3/8]

黑客在另外一邊，操作了其他賬號，低價買幣之后，再高價拋出，相當于低買高賣。CC稱，在這個反復操作的過程中，用戶的錢，就被轉移到了黑客的賬戶上。

而珂賢的37萬，就在幾秒一次的操作中，被一點點蠶食，最終只剩下400元。

黑客的進化速度是驚人的，他們根本不需要提幣。CC稱，一般的交易所，對提幣操作的安全防護會比較多，比如給郵箱發驗證鏈接，給手機發驗證碼等。

公告 | Binance Jersey將獎勵入侵其域名和推特賬號的白帽黑客:據官方公告，UTC時間8月16日15:00，一名白帽黑客通過對Binance Jersey使用的電子郵件域名服務提供商進行社交工程，獲得@BinanceJE（Binance Jersey）推特賬號訪問權限。該白帽黑客在推特賬號@BinanceJE上發布了幾條推文，之后將其刪除。其在與安全團隊的溝通中態度合作并開放，Binance Jersey能夠在幾分鐘內恢復域名，幾個小時后恢復推特。Binance Jersey將向其發出安全漏洞賞金，并與服務提供商繼續調查。Binance.JE上所有資金都安全。沒有數據被泄露。如果您是白帽黑客，并希望報告幣安生態系統內產品安全漏洞，可查看Binance Bug Bounty計劃。根據報告的問題嚴重性可獲得高達10萬美元獎勵。 注：社交工程是描述非技術類入侵的術語，多依賴于人類互動且通常涉及到欺騙其他人來破壞正常的安全程序。昨晚，推特用戶LightningNetwo9攻擊幣安法幣交易所Binance Jersey官方推特賬號。黑客聲稱成功越過官方域名binance.je，本可通過網絡釣魚計劃輕易進行騙局，但決定不這樣做。[2019/8/18]

但黑客繞開了這一步，開始利用交易所的流動性，選擇一些流量較小的小幣種，將錢洗出來。

動態 | 六種方法避免SIM調換黑客攻擊:此前，美國數字貨幣投資者Michael Terpin以2.24億美元起訴他的手機服務提供商 AT＆T，原因為黑客攻擊其SIM卡。網絡安全行業專家表示，此類黑客攻擊可被避免。首先，可以警惕擁有你手機號碼的人；第二，使用除手機外的其他身份驗證網絡和應用程序來驗證身份；第三，不要長時間將數字貨幣存儲在任何交易所；第四，致電移動服務提供商請求額外安全保護；第五，避免在線發布電話號碼；第六，不要吹噓你的數字貨幣收益。[2018/8/20]

和珂賢有同樣遭遇的用戶，有十多人，他們被以同樣方式洗走的錢，從幾萬到幾十萬不等。

案發時間，幾乎都是7月19日凌晨。

除了WICC之外，黑客還購買了小幣種SHOW。一共兩個幣種，操作手法完全相同。

我們都在凌晨3點左右收到了登錄郵件。但這時大家都在睡覺，沒人會注意。被盜用戶Woody稱。

而CC追蹤這些登錄的IP地址，發現來自日本、巴基斯坦、阿爾及利亞等國家，但有一個IP，在所有的賬戶都出現過，它來自墨西哥。

在所有賬戶里出現同一個IP，證明這是同一批黑客團隊所為。

02撞庫攻擊

多個安全團隊對這次攻擊進行了監測，并證實這是一次典型的“撞庫攻擊”。

所謂的撞庫攻擊，核心的邏輯是，黑客用一個平臺的用戶名和密碼，去嘗試登錄其他平臺。

那么問題來了：這些撞庫的用戶數據，都是怎么來的？

被撞庫的用戶都表示，他們在這個交易所的用戶名和密碼，幾乎是唯一的。

因為這個交易所的密碼要求極為嚴格，需要數字、特殊字符，還要求字母大小寫，所以被撞庫攻擊的可能性，幾乎沒有。珂賢稱。

但他們的密碼，和一個平臺的賬號密碼最為相近，就是幣安。

因為幣安的密碼不需要特殊字符，所以我在這兩個交易所的密碼，只差一個特殊字符。Woody稱。

特殊字符只有那幾個，被試出來的可能性非常大。CC稱。

CC根據這條線索，和其他安全團隊追查此事，并攔截了一個撞庫的數據包。

里面共有4000條用戶名和密碼數據，顯示的數據日期是6月25日，并留下了某個頂級交易所的名字，還附上了流水號。CC嘗試用這些用戶名和密碼登錄該交易所，發現都可以成功。

CC稱，這幾乎證明，用于撞庫的數據，就來自某個交易所的用戶名和密碼。

而出現這樣的情況，一般有兩個可能性：

第一，該交易所6月25日前的數據外泄，被黑客盜取；

第二，該交易所利用自己的用戶數據庫，對其他交易所進行撞庫攻擊。

如果是第一種，說明該交易所的安全，做得并不到位——數據量如此之大，應該是黑客拖庫，把整個數據庫盜走了。

如果是第二種，這個交易所已基本視用戶為玩物，直接去其他交易所，洗劫自己的用戶。

03交易所安全

CC稱，其實，基本上所有的交易所，都經歷過撞庫攻擊。

這些用來撞庫的數據，除了來自其他交易所外，也可能來自其他互聯網平臺。

交易所就是一個金礦，所以任何可以淘金的可能性，黑客都不會放過。CC稱。

而最可怕的一點是，只要黑客能登錄，根本不需要提幣的操作，就能將賬號里的數字貨幣洗劫一空。

只需要找個小幣種，進行高買低賣。

如何防住虎視眈眈的黑客大軍？

CC表示，交易所是資金安全重地，用戶應該設置獨立的賬號和密碼，它們不和其他任何地方的賬號密碼相同或相似。

此外，可以啟用「谷歌驗證」的安全手段。

CC稱，目前，幾乎所有交易所的用戶名和密碼，都在黑市出現過，但暫時無法核實數據真假。

對于用戶來說，這是一顆定時炸彈，必須將以上兩點做好。

千萬不能嫌麻煩。CC稱，現在黑客的進化速度特別快，針對數字貨幣領域的進攻，已被他們上升到戰略高度，每天都在研究進攻策略。

當然，交易所也應該設置更為復雜的登錄策略，對于撞庫等異常操作進行監控。

未來的攻防大戰，都將集中在數字貨幣領域。

而交易所，正在成為黑客眼中最重要的淘金地……

可以說，采用怎樣的安全措施，都不為過。

來源鏈接：mp.weixin.qq.com

本文來源于非小號媒體平臺：

一本區塊鏈

現已在非小號資訊平臺發布1篇作品，

非小號開放平臺歡迎幣圈作者入駐

入駐指南：

/apply_guide/

本文網址：

/news/3626967.html

免責聲明：

1.資訊內容不構成投資建議，投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有，僅代表作者本人觀點，不代表非小號的觀點或立場

上一篇：

小心你的數字錢包！不了解黑客的7種手段你可能是下一個受害者

下一篇：

知道創宇安全顧問張亮：交易所安全大起底

Tags：ANCbinanceNCENANWick Financebinance-coinSoy FinanceYefam.Finance

BTC