深扒! 币安被盗的7074.18枚比特币去哪了?

时间 2020-08-02 标签深扒币安被盗 7074.18 7074 18 枚比特币

做者 | Anthony Xie
程序员

责编 | 乔治面试

出品 | 区块链大本营（blockchain_camp）编程

一周前，知名加密货币交易所 Binance（币安）遭受黑客攻击，被盗 7074.18枚比特币。
尽管其创始人赵长鹏在屡次AMA中披露了一些黑客盗币的细节，并承诺使用“SAFU基金”全额承担本次用户的损失，此后也出现了“回滚交易”的争议讨论，但这7074.18枚比特币究竟如何被盗？现在又被转移到哪里？业界并无详细的深究与讨论。
但国外的这位小哥用 Google BigQuery 好好深扒了一下，发现了很多猫腻。丢掉的7074.18枚比特币还能不能找回来？一块儿往下看！

最近一年的时间里，在业务上，咱们只选择支持 Binance。咱们选择 Binance 做为第一个交易所合做伙伴，由于咱们相信 Binance 的追踪记录、安全协议以及对用户的承诺。安全

所以，当发现 Binance 被黑了7074.18枚比特币时，对咱们来讲，这真是一个毁灭性的打击。微信

事情是怎样的？网络

若是你了解整个事件，可选择跳过这部分。app

对于此次“灾难”，Binance 没有对外发表太多言论。虽然他们已经分享了关于盗窃的一些细节，但对于更细微的细节，他们却仍在保持沉默。机器学习

根据他们最近（5月10日）更新的博客，他们正在努力保持最高程度的透明度，但担忧分享太多的安全细节会让黑客感到不安，并最终削弱他们本身的安全。ide

尽管如此，我仍旧认为让社区真正了解到底发生了什么是十分有必要的，所以我将在本文中深刻探讨。工具

活动时间表

如下是咱们对事件发生时间的了解。

5月7日下午5:15（世界协调时），7074.18枚比特币从 Binance 热钱包中抽出。

5月7日下午7:00（世界协调时），Binance 关闭了非预约维护的存款和取款。 Cz 向用户保证，基金是 SAFU，交易不会中断。

5月7日11时36分（世界协调时），Binance 宣布了一个安全漏洞，并证明黑客可以从 Binance 热钱包中提取7074.18枚比特币。

5月8日下午12时42分（世界协调时），Binance 限制全部现有 API 密钥只容许交易，并宣布全部现有 API 密钥将在 UTC 时间下午1:30删除。

5月8日下午1:30（世界协调时），Binance 删除全部现有 API 密钥。

此次盗窃和以前有何类似之处？

不管是最近、仍是过去的攻击都涉及到 Binance 的 API 和网络钓鱼。

黑客经过将本身假装成值得信赖的实体，而后欺骗用户泄露敏感信息。

一个用来“钓鱼”的假 Binance 登陆界面

一般被盗取的信息是用户 API 密钥，这使得攻击者可以以编程的方式与交易所进行交互，就好像他们本身就是用户同样。

在 Binance 上有3个不一样级别的 API 权限：

读取ー得到有关持币、交易历史和市场数据的能力。
交易 - 执行交易的能力
提取ー取出资金的能力

当用户建立一组 API 密钥时，通常状况下，读取和交易权限默认开启，提取权限则被禁用。因为提取权限可能会带来高风险，Binance 要求用户首先设置双重身份验证和 IP 白名单。

在 SYS 和 VIA 攻击期间，攻击者大部分时间都只获得了纯交易访问API密钥。由于攻击者不能从只有交易访问权限的帐户中提取资金，因此他们必须首先从新分配资金。

他们是这样作的：

首先，在攻击以前，攻击者将目标对准一个易于操纵的交易所。一般状况下，被攻击目标有着交易量小、订单量也少的特色。黑客会提早购买一些这样的数字货币。
而后，攻击者发出限价订单，以荒谬的价格（一般是正常价格的万倍以上）出售他们的数字货币。
随后，攻击者利用盗取帐户的 API 发送大量购买订单，并以万倍以上的价格在市场的另外一边购买本身的数字货币。完成这一步后，他们就有效地将财富从仅具备交易访问权限的账户转移到了具备提取权限的账户。
最后，攻击者试图从 Binance 取出“战利品”。一旦取出并存入其余地方，就几乎没有人能够扭转交易了。

你能够在 Binance 交易历史中找到证实上述方法的证据。在2018年的 API 黑客攻击中，攻击者经过以提升 SYS 和 VIA 的价格的方式，试图转移前面提到的资金。

以下图，在2018年7月3日和2018年3月6日，SYS / BTC 和 VIA / BTC 的价格和成交量分别出现了异常。

此次有什么不一样？

这一次，攻击方式有所不一样。根据 Binance 的官方声明，黑客可以得到大量的用户 API 密钥、谷歌验证 2FA 码和一些其余敏感信息。

经过 2FA 码，黑客彻底能够启用提取权限，同时禁用 IP 白名单。这一次，黑客不须要冒着被人怀疑的风险而提升数字货币价格，进行屡次交易，而后将资金转移，此次攻击更容易。

为了证明这一推理，我从 Binance 的 API 中提取了上个月每小时的交易数据。

若是 API 密钥被用来操纵交易，交易量和货币价格将会出现异常峰值。

交易数据比较

我计算了黑客攻击前30天交易量和价格的每小时最大值，还计算了黑客攻击当天的交易量和价格的每小时最大值。

目的是比较二者，看看黑客攻击当天的每小时价格和交易量是否有所上升。

成交量比较

下表按攻击当天每小时最大值（1D_max）和攻击前30天每小时最大值（30D_max）之间的百分比差排序。

交易量

能够看到，LINK/PAX 在黑客攻击当天的每小时交易量出现了大于3倍增加，但这个数字尚未大到能引发怀疑，特别是考虑到事实上，连接 / pax 的价格没有飙升以及。

价格比较

在黑客入侵的当天，在最极端的状况下，咱们也只看到价格上涨了34%。

这进一步说明，这次攻击中黑客没有操纵价格。

交易价格

虽然攻击者可能会在周围进行交易而不会引发注意，但我认为这是不可能的。在不影响价格和交易量的前提下，要转移7074.18枚比特币，须要许多帐户，或者说，须要很长时间。

若是是这样的话，长时间的交易活动极可能会引发原始帐户全部者的怀疑，用户会觉察到本身的资金正慢慢耗尽。一旦有用户向 Binance 投诉，这将会给黑客们带来灾难。

黑客仍在逍遥法外

比特币的价值和可靠性在很大程度上归功于帐本的不可变性。但这也意味着，一旦成功提款，基本上就不可能追回被盗资金。

Binance 证明，黑客可以在这一次交易中提取7074.18枚比特币。我使用 Google BigQuery 查询与黑客有关的交易，并绘制出被盗资金的动向图以下。

圆圈表明钱包地址，线条表明被盗资金流向。圆圈和线宽与两地址间发送的比特币数成正比。

币安被盗资金动向图（不包含小于一个比特币的交易）

Transaction Depth=1

币安被盗资金动向图（不包含小于一个比特币的交易）

Transaction Depth=2

币安被盗资金动向图（不包含小于一个比特币的交易）

Transaction Depth=3

币安被盗资金动向图（不包含小于一个比特币的交易）

Transaction Depth=4

被盗比特币能被追回吗？

据我所知，还不存在 Depth>4 的交易。黑客们正“清洗”被盗的比特币，并将其存在一些固定的地址中。

下面是一个更大的可视化图像，标注了单个钱包地址。

币安被盗资金动向图（不包含小于一个比特币的交易）

附带地址

从某种程度上来讲，追踪这些比特币的来源是很是不可行的，由于涉及这些被盗比特币的交易数量将呈指数级增加。

目前，有3种常见追踪受污染数字货币的方法。

Poison（污染）：用3枚被盗比特币和7枚正常比特币一块儿进行交易，取出10枚「被盗」比特币；
Haircut（削发）：用3枚被盗比特币和7枚正常比特币一块儿进行交易，10个中有30%被标记为「被盗」；
FIFO（先进先出）：用3枚被盗比特币和7枚正常比特币一块儿进行交易，最早出来的三个被标记为「被盗」。

从长远来看，我认为这些方法都不能奏效。给受污染的货币贴上标签或者加入黑名单，从根本上削弱了比特币的可替代性和抗审查性。我不支持那些试图追回或将被盗比特币列入黑名单的想法。

澄清阴谋论

交易所黑客是阴谋论的温床。虽然咱们没有时间在文章中解决全部问题，但咱们能够处理一些最尖锐的问题。

是 Binance 把7074.18枚比特币搞砸了，由于他们把这些比特币发到了 Segwit 地址，而这些地址没法将资金转移到任何地方。

从根本上说，这是不正确的。尽管你在 blockchain 网站上看不到 Segwit 交易，但你能够很容易地在下面这个网站找到交易记录。

这是一个为了推广 DEX 的骗局

糟糕的商业行为。Binance 为了什么而不惜损失大量品牌资产？在全部这一切中，他们甚至没有推广他们的 DEX。

不止7074.18枚比特币被盗

咱们只有 Binance 的官方数据，目前尚未这方面的证据，但权威人士正在密切关注 Binance 的热钱包。

不存在API密钥被破坏的安全漏洞

这个却是有可能。有传言说有700个帐户的提取权限被泄露了。没有人站出来讲他们的帐户被黑了。若是用户的密码和 2FA 被破解，Binance 确定会要求用户重置他们的我的信息。但若是没有 API 密钥被破坏，为何 Binance 要重置 API 密钥？

攻击者仍然控制着许多 Binance 不知道的账户

这是可能的。虽然 Binance 重置了 API 密钥，但黑客仍然能够经过盗取我的信息访问一系列帐户。

这对中心化交易所意味着什么？

推进 DEX（去中心化交易所）的发展

显然，黑客在提醒人们，中心化交易所是容易犯错的，这是对 DEX 的推进。

2019年初，DEX 的交易量处于历史最低水平。

DEX交易量持续下滑

说到底，人们彷佛更偏心便利、速度和流动性，而非安全性。

为何中心化交易很吸引人，主要有如下三点缘由：

保留对资产的彻底控制权
得到优惠的交易价格和进入流动市场的机会
低交易费用

将你的资产分开存到多个交易所

鉴于中心化交易所仍然相当重要，减轻风险的一个方法是将资产分开存到不一样的交易所。

这对 Binance 又意味着什么？

Binance 能够在47天内赚回这4000万美圆

从宏观角度来看，4000万美圆对 Binance 来讲并非一个毁灭性的数字，由于它是世界上最大、最赚钱的交易所之一。

这起价值4000万美圆的 Binance 黑客事件，其形成的损失在交易所被盗历史上排名第六。

10大交易所被盗事件

交易机器人是不可避免的

API 密钥和网络钓鱼是过去3次 Binance 黑客攻击的共同主题。警告用户不要让任何第三方服务提供商访问您的我的 API 密钥是彻底不现实的。这种单方面声明既惩罚疏忽的交易申请，也惩罚像咱们这样缺少安全意识的人群。

与其谴责第三方交易应用程序、而后对它们视而不见的这种无济于事的行为，Binance 应该经过启动本身的 OAuth 客户端来提供支持。经过这样作，Binance 实际上能够经过增强控制和监督，提升交易安全性，并下降将来 API 事故的风险。

拓展阅读：

https://www.binance.com/en/blog/333497959022997504/Binance-Security-Incident-Update

https://binance.zendesk.com/hc/en-us/articles/360006675312-Incident-Recap-on-Irregular-SYS-Trading

https://www.hodlbot.io/blog/a-thorough-investigation-of-the-binance-hack

https://www.blockchain.com/

https://chain.so/address/BTC/bc1qp6k6tux6g3gr3sxw94g9tx4l0cjtu2pt65r6xp

限量预售 | 2019以太坊技术及应用大会

V神空降，传奇人物新书签发

以太坊生态优质项目最佳实践

顶尖峰会+技术培训，聚焦区块链开发核心痛点

深度剖析以太坊2.0新生态与经济体系

6月29日-30日，与您相约北京

推荐阅读：

5月26日- 5月27日，第一届 CTA 核心技术及应用峰会将空降杭州国际博览中心。

目前双日会议预售票发售最后 2 天，仅售 799 元（原票价1099元）。点击阅读原文，立享预售优惠。