Binance遭黑客攻击损失 4100 万USD,16层安全机制为什么挡不住黑手?

时间:2021-07-18 04:25       来源: www.fjxmjql.com
最大数字货币交易平台Binance 8 日爆发黑客攻击,损失 7000 枚BTC,价值约达 4100 万USD。这是Binance成立以来发生的第三次重大安全事故,且这次更直接重创Binance自己。   尽管损失金额应不至于冲击营运,但其 CEO 赵长鹏曾在过去采访中对 DeepTech 透露,Binance拥有

最大数字货币交易平台Binance 8 日爆发黑客攻击,损失 7000 枚BTC,价值约达 4100 万USD。这是Binance成立以来发生的第三次重大安全事故,且这次更直接重创Binance自己。

尽管损失金额应不至于冲击营运,但其 CEO 赵长鹏曾在过去采访中对 DeepTech 透露,Binance拥有 16 层安全机制。那样,为什么仍挡不住黑客?

Binance是通常公认全球按买卖量计最大的数字货币交易平台,而这是继去年 3 月、7 月分别传出黑客攻击事件后,外面所知的Binance自成立以来发生的第三次重大安全事故。

不一样的是,前两次Binance事后均未公布自己实质损失,而这次则是一次损失 4100 万USD。

以Binance一年获利至少数亿USD而言,这一损失应不足以对其营运产生冲击,真的冲击的,是行业与用户对Binance的品牌、及其安全技术的信心。

图|Binance交易平台开创者兼 CEO 赵长鹏(出处:币安)

去年Binance交易平台开创者兼 CEO 赵长鹏曾在同意 DeepTech 专访时表示,”安全”是Binance最重要的两大优势之一。他说,”大家在速度上有绝对的优势,另外就是安全上一直很稳定,这两块是Binance非常核心的优势。”

当时他就向 DeepTech 直言,Binance”肯定是黑客最大的攻击目的”。据其指出,Binance创立以来不断遭受很多攻击,有的时候运气好可以几天不被攻击,但不好的时候,一天被攻击次数甚至多达 10 次、20 次,且攻击力道很猛烈。

而这次事件是在北京时间 5 月 8 日凌晨,赵长鹏通过twitter表示,Binance需要进行一些计划外的服务器维护,这将影响到资金的存取,约持续几个小时,但不会干扰到买卖。并表示大伙不必惊慌(No Need to FUD),资金是安全的(funds are #safu)。

几小时后,Binance发布通知称,北京时间凌晨 3 点左右,其发现了交易平台存在大规模的安全漏洞(large scale security breach)。恶意攻击者(maliciousactors)用了一系列技术方法:钓鱼、病毒与其他攻击方法,获得了用户的 API 密钥、二步验证码与”潜在的其他信息”(potentiallyother info)。

据区块浏览器 Blockchain.com 上一段买卖记录,黑客从中盗取了 7000 枚BTC,价值约 4100 万USD。

该通知进一步指出,可能还有一些受影响的竞价推广账户尚未被辨别到。此次漏洞仅影响到了Binance热钱包中的BTC,大约占其持有些BTC总量的 2%,且以上买卖是唯一受影响的买卖。

通知显示,该笔买卖完成后触发了系统内部警报,随后Binance立刻停止了所有些提现。在下面的一个周中,Binance将进行”全方位的安全检查”,资金的存取都将被中止,而买卖将会继续。不过赵长鹏在通知中有警告用户”黑客仍大概控制部分竞价推广账户”

“大家所有些其他钱包都是安全无损的,”赵长鹏在Binance的通知中如是说道,他进一步补充,”黑客们耐心地进行等待,并在适合的机会以多个看上去独立的竞价推广账户,推行了筹备充分的偷窃。该笔买卖的结构通过了大家现有安全系统的测试。非常不幸的是,大家并没能在事发前顺利阻断这笔买卖。”

16 层防护失灵,黑客怎么样渗透Binance?

“没能在事发前顺利阻断这笔买卖”,到底意味Binance的安全机制出现了什么程度的失灵呢?

赵长鹏曾透露,Binance在安全机制设计上有 16 层防护,”现在为止(指受访当时)最多只被攻击触及到第 3 层”。这 16 层防护分成不少不同维度,包括业务安全、物理安全、互联网安全等,每一个维度再进一步分层,所以总计自我概念出16 层。

理想上,是在外来攻击开始渗透第 1 层、第 2 层的时候,Binance就可以知道并加以处置。但此次攻击事件说明,Binance的安全机制虽多达 16层,但仍有可渗透攻击的漏洞。

据区块链安全公司北京链安对媒体剖析,Binance此次被盗可能是由于内网遭受黑客的长期 APT 渗透,而非单个或者批量用户被钓鱼病毒入侵致使,且失窃的 7000 多个BTC散落在 40 多个黑客控制的钱包地址当中,并没发生转移。

另一区块链安全公司 Peckshield 随后跟进称,共有 7074 枚BTC被盗,其被存储于 20 个主要地址中,并未进一步扩散。

成都链安深度剖析后觉得,黑客是通过 API 接口在同一时间发起了提币操作,而用户的 API key 和 Secret key 可能泄露,因为有的用户可能没配置对 IP 的限制和开放提现功能的限制,因而黑客得以绕过验证码、短信和二步验证码等安全手段提现。

成都链安还进一步指出了用户泄露信息的可能渠道:

1、一般用户通常不会用 APIkey,通常是高级用户用于代码中达成智能化买卖,可能是用户网站源码泄露致使 API Secret key 泄露;

2、用户被钓鱼攻击,输入了 APIkey 和 Secret key 被黑客截取;

3、用户的 API key 和 Secret key 保存的电脑被攻击窃取;

4、Binance交易平台系统缘由致使用户 APIkey 和 Secret key 泄露,其中只有 71 个用户开放了提现功能,失窃币。

据赵长鹏表示,包括 Coinbase 在内的一众交易平台表示,会将可能的黑客地址拉入黑名单,以阻止其将资金存入别的交易平台。赵长鹏在twitter上@了 Coinbase,并对包括 Coinbase 与其他交易平台在内的同行表示了感谢。

联系方法:hr@mittrchina.com

请随简历附上3篇以往作品(实习生除外)

点击阅读原文知道题跋派↓↓↓

坐标:北京·国贸

-End-

DeepTech招聘:科技编辑/记者,实习生

怎么样赔付有关损失?

关于用户损失的赔付方面,通知指出,其将用”用户资产安全基金”(SecureAsset Fund for Users, 又称 SAFU)来赔付用户损失。该基金成立于 2018 年 7 月 3 日,资金出处是顾客买卖手续费的 10% 的划转,其成立初衷在于在极端状况下(in extreme cases)保护Binance的用户。该基金的有关资金都存储在Binance的冷钱包中。

一些业内人士在事发后立即表示愿给予Binance资金支持,不过赵长鹏在twitter上予以婉谢,表示Binance感谢各路人士和机构的支持,但Binance有足够的资金来赔付顾客的损失。

他说,Binance只不过受损了,但并没破产(We’re hurt,but not broke)。并进一步表示,Binance的慈善事业仍在推进,假如想要资助的话,可以考虑下资助慈善项目(Our Charity efforts will continue, please consider to donate to those)。

不过有媒体估算,Binance SAFU 基金成立到今天共约 10 个月时间,累积金额应不到 2000 万USD,远低于此次损失的 4100 万USD。若此一估算为真,则 SAFU 或不足以赔付此次用户的损失。

一度考虑区块回滚弥补损失

另外,值得注意的是,据赵长鹏在twitter所言,他曾一度考虑使用区块回滚来弥补损失。

从twitter有关讨论来看,有人主动建议Binance使用区块回滚的方法来弥补损失,BTC核心开发者 Jeremy Rubin 也在twitter上向赵长鹏提出了类似建议,赵长鹏回话称将小心考虑这一级建造师议,而 Primitie Venture 的合伙人 Doey Wan 则表示其在询问了一些大的矿池后发现这并不是一个可行的策略。

不久后,赵长鹏在twitter上表示,经过同包括 Jeremy Rubin 、Prestwich、Bcmakes、Hasufl 与吴忌寒等在内的多方讨论后,Binance决定不采取回滚区块的方法来弥补损失。并罗列了假如使用回滚区块的方法后,其带来的优势和弊端。

据他指出,优点包含:1. 大家可能通过给予矿工成本来”报复”黑客;2. 阻止将来可能的黑客攻击;3. 探索BTC互联网怎么样应付这种问题的可能性。

而缺点则包含:1. 破坏了BTC互联网的公信力;2. 导致BTC互联网和社区的分裂。这部分伤害超越 4000 万USD。3. 黑客证明了大家的设计与用户间存在的弱点,而这在以前是不明显的。4. 尽管这对大家来讲是个昂贵的教训,但它不止是个教训。保证用户的资金安全更是大家的责任。

尽管赵长鹏非常快表示放弃此一策略,但有关讨论已带来很多争议。由于,此一策略若真的付诸实行,无论成功与否,对于数字货币去中心化的精神都是一大打击。

不过,相较于去年 3 月,Binance遭遇黑客攻击后,引发市场恐慌效应,BTC在不到 2 小时内就暴跌了 1,000 USD。本次数字货币市场反应则是相当平淡。

截止 8 日下午发稿时间,除去Binance币(BNB)在过去 24 小时录得约 6% 的跌幅,市值前十名的其他币种虽常见下跌,但幅度并不大,BTC仅录得 0.55% 的跌幅。


« 上一篇:暴利!2019年火币收入近7亿美金
» 下一篇:没有了