Sitemap

一本财经APP

闭注金融科技立异的力气

一本财经微信大众号

金融科技范畴最具影响力新媒体。笃志金融科技范畴考察、深度、原创、独家报道,以及商业案例解析。我们不生产碎片化新闻,只出品深度而专业的报道——闭注金融科技立异的力气。

币安“泄密门”火仍烧!CoinDesk 获取黑客对话记载,恐逾6万笔用户新闻遭泄

2019-08-08
15077
分享到

举世最大加密货币商业所币安(Binance),昨日惊传大范围用户新闻走漏事情。北京时间周四截至午时时间,黑客继续于电报群大范围发布第二波币安被盗用户新闻。目前为止,据黑客声称,恐有众达 60000 笔用户 KYC(Know Your Customer) 新闻走漏。依据 CoinDesk 独家取得黑客与币安对话记录,此次事情疑为币安本年 5 月黑客攻击后衍生的“黑吃黑”事情,且此中可以涉及内部人士泄密。

据了解,周三币安用户 KYC 新闻曝光之前,一名代号“Bnatov Platon”(以下简称“普拉登”)的黑客已与 CoinDesk 记者举行了长达一个月的对话。实质显示,此次用户新闻走漏事情的完备故事仿佛更为繁杂,可以追溯到 5 缘垒币安被盗 7000 枚比特币一案,且另有愈来愈众内情细节正浮现,而整举事情范围可以众达 60000 用户 KYC 新闻走漏。KYC 新闻一般是指用户与平台注册时所供应的身份认证新闻。

1

(根源:Pixabay)

60000 用户 KYC 遭走漏,与 5 月币安被盗有闭?

据 CoinDesk 周三报道,币安商业所正考察一同走漏客户验证新闻的事情。此次走漏可以会影响到 2018 年和 2019 年向该公司发送 KYC 新闻的 6 万名私人用户。据称,此次走漏与本年 5 月的黑客攻击直接相闭。

8 月 7 日,一名网名为瓜尔迪安(Guardian M)的电报(Telegram)用户了一个电报群内发布了数百张私人持有身份证的照片和写有“Binance, 02/24/19”字样的纸条,声称提交的数据由黑客盗自币安商业所。瓜尔迪安向 CoinDesk 独家供应了数百张照片,CoinDesk 已确认了少许用户的身份,用户已识别出了本人上传到币安的人脸照片和私人 ID。

瓜尔迪安告诉 CoinDesk,他(或她)起码另有 6 万封邮件,他会随时间的推移释放这些邮件。

对此,币安官方第一时间发布声明,外示电报群中传达的新闻与币安内部体系中的数据不相符,于是目前还没有证据外明这些新闻直接来自币安商业所本身。

精细声明如下:

2

图|闭于讹传“KYC 事情”的声明(根源:币安官网)

从上述声明可以看出,币安官方认为这些图像不包罗币安体系所印的数字水印,目前还不分明这些图像是从哪里取得,其平安团队正起劲寻找通通可以的线索,试图确定这些图像的根源。

另外,币安还增补道,这名身份不明的人此前请求通过 300 枚比特币换取声称掌握的 10000 个用户 KYC 新闻。币安拒绝继续对话后,这名须眉才开端网上和媒体上发布这些照片。

币安认为,这些数据和本年 1 缘垒的 KYC 垂纶事情中涉及的数据为同一批,并外示假如有人能供应与黑客身份相闭的新闻,并协帮币安用执法手腕追踪黑客,币安将为其供应 25 枚比特币举措酬赏。

用户新闻走漏为真

终究上,自本周一以后,CoinDesk 曾经联络到三位受害者,他们的 ID 图像和其他数百张图片被上传到一个公然可用的云驱动器上后,本日赋电报群中传达。此中两私人向 CoinDesk 标清楚这些照片的实性,他们 2018 年 2 月 24 日向币安提交了这些照片。

一名不肯走漏姓名的受害者向 CoinDesk 展现了他自 2018 年 1 月首次注册该账户以后的币安登录记载,每次登录该网站都会收到电子邮件提示。据邮件提示记载显示,他确实 2018 年 2 月 24 日下昼 5 点尊驾登录了币安网。

另外,这名须眉还向 CoinDesk 展现了一张他保保管手机上的 ID 图像,这张照片 UTC 时间 2 月 24 日 6 点尊驾拍摄,与电报群内部传达的那张仿佛一模相同。

CoinDesk 联络的另一位用户可以是本次 KYC 走漏事情的受害者,剖析的照片中确实包罗一张与受害者相似的脸,但所在新闻不准确。

3

图|被走漏的照片(根源:CoinDesk)

对此,CoinDesk 第一时间对这张照片举行了过失级别剖析(Error Level Analysis)。终究外明,此中少许图像曾经被改正,特别是照片中较亮的边沿。照片取证网站 FotoForensics 写道:“剖析结果中,相似的边沿应当具有相似的亮度,通通高比照度的边沿应当看起来互相相似,通通低比照度的边沿也应当看起来相似。凑合原始照片,低比照度的边沿应当和高比照度的边沿相同明亮。”

4

图|用户照片过失级别剖析(根源:fotoforensics.com)

周三的回应中,币安外示, 2018 年 2 月尊驾,因为义务量庞大,币安曾有一周将部分 KYC 审核外包给第三方效劳公司。目前正和第三方效劳公司核对通通新闻。

但币安没有精细阐明这家第三方供应商众洪流平上可以拜访客户 KYC 数据,也没有阐明这个第三方是否可以预先取得实行的图像文献。

“目前,我们正与第三方供应商考察更众新闻。我们正继续考察,并将随时告诉你。”

大约终究并非云云

但本日早些时分,据 CoinDesk 独家报道,一个推特名为“Bnatov Platon(布纳托·普拉登)”的白帽黑客再向 CoinDesk 独家爆料。据其外示,此次事情原形与币安的陈述并不完备相符。

报道指出,本次币安用户 KYC 新闻走漏之前,普拉登早已 7 缘垒就与 CoinDesk 记者取得联络,交换已长达一月之久,此时代,普拉登向 CoinDesk 走漏了他与币安道判的精细实质。

据其外示,普拉登与币安举办了众次会道,他们告竣了一项条约、但厥后却被撤消了。CoinDesk 独家取得了这些对话的完备文本。

尽管此前币安创始人赵长鹏对外披露了“大范围的平安漏洞”,认为该漏洞导致了黑客可以拜访用户运用顺序接口密钥(API keys)、双因素身份验证码、以及其他新闻。但未提及的是,用户的私人隐私新闻也可以已被走漏。

但据普拉登所称,他们没有到场 5 缘垒的黑客攻击,其所攻击的是涉案此中的币安内部职员(exchange「insider」)。他声称,币安商业所的一位内部职员帮帮公然了许众 API,使得黑客可以直接拜访用户帐户。黑客将客户端 API 密钥(用于长途拜访账户的代码)列外存储普拉登声称可以获取的文本文献中,这使得黑客可以长途拜访资金。

另外,普拉登还走漏,文献中还包罗用户的电子邮件所在和帐户密码等隐私新闻。应用被盗的用户隐私新闻,黑客编写了一个恶意脚本,容许他们立即提取 0.002 BTC(大约 23 美元)。

CoinDesk 对此举行了研讨,发明代码仍可以运用不再绽放或公然的 API 调用施行许众函数。另外,当测试一个 API 调用时,效劳器时间的一个简单央求仍然是翻开的。目前还不分明闭闭的 API 端点是被删除了照旧仅仅被躲藏了。

普拉登还外示,被盗的比特币被存放由比特币软件钱包供应商 Blockchain 托管的钱包中,黑客曾经通过 Bitmex、Yobit、KuCoin 和 Huobi 清洗了 2000 众枚比特币,而且期望每天转换众达 100 万美元的比特币。

普拉登曾经向 CoinDesk 共享了 636 个被盗文献,他期望借媒体的闭注促使币安发布黑客事情的实程度,并将袭击者绳之以法。

5

图|被发布的受害者照片(根源:CoinDesk)

另外,普拉登还向 CoinDesk 发布了“币安后门”代码,他将其描画为一段通过“内部职员”拜访币安效劳器的代码。区块链开辟公司 VisibleMagic 的首席技能官维克众·什帕克(Viktor Shpak)外示:“这极有可以成为 API 密钥攻击,他们从某个地方获取了 API 密钥。”

API 密钥用于验证商业所和其他运用顺序中的效劳,而且可以容许黑客做任何事故,比如代外受害者置办加密货币、将加密货币挪动到外部钱包等。

“很可以是一个内部职员创立了一个处理顺序来拜访用户 API 密钥,然后他们就取得了这些 API 密钥,并取得了用户数据的拜访权限,并构修了一个东西包来完毕这项义务,”什帕克说。

相闭代码如下:

public static String getApiKey(String uri, String userId) {

String time = "";

time = get("https://www.binance.com/api/v1/time");

Map param = new HashMap();

param.put("userId", userId);

param.put("desc", "api" + JSON.parseObject(time).getString("serverTime"));

return post(uri + "/exchange/mgmt/account/getApiKey", param);

}

道判决裂,意欲何为?

与 CoinDesk 对话的同时,普拉登也联络了币安。

“我私人念要让币安成为天下上第一个拘捕黑客的商业所。这对币安的声誉好坏常有利的,”普拉登说,并增补道:“我告诉他我有内部新闻,像是内部人士的新闻、内部人士与外界的指导细节或以致是内部人士的照片。我告诉他我有众位黑客的细节─效劳器新闻、身份、电话号码等新闻。”

由其供应的新闻来看,币安是由承当首席成长官(CGO)的 Ted Lin(林义翔),主要认真与黑客的道判。

依据普拉登向 CoinDesk 分享的和林义翔的对话显示,后者曾成心愿付出,以交换那些可以可以拘捕众位黑客、内部人士与追回资金的新闻。然而,同样的对话中,林义翔也批驳了普拉登正运作的“FUD 运动”。

林义翔並对普拉登外示,“仿佛我先前说的,我们不会回应讹诈讹诈。”

但普拉登夸张,本人对财务人工不感兴味。“当我需求钱,我只消破解一个商业所的帐户(黑客的),就能通过骇入黑客的钱包收到 600 或 700 枚币,”他说道。他并早些时分与 CoinDesk 的对话中外示本人是丰饶的。

尽管普拉登看似是利他的,CoinDesk 厥后从普拉登和币安官方得知,这位白帽黑客曾向币安请求 300 枚比特币,如以七月的比特币价钱换算,大约为 300 万美元,将分 50 期付出。

最终,两边的商量决裂了。7 月 22 日,他们开端联络 CoinDesk 的 5 天后,普拉登外示本人曾经不再和币安商量。

“颠末速要一个月的商量,他们并未付出一分钱,”普拉登外示。“我与币安的商业决裂了。”

普拉登供应了以下与林义翔道判决裂的涉及交换的新闻:

Ted Lin(林义翔)(2019 年 7 月 20 日 19:54):

我看到你曾经将新闻供应应媒体了。

Ted Lin(2019 年 7 月 20 日 19:59):

鉴于你的 FUD 运动曾经完毕,无论你以新闻请求的赏金都会分明淘汰。正仿佛我先前说的,我们不会对讹诈讹诈作出反响。但假如你手中有有用的新闻能让我们将坏人绳之以法并追回资金,我们乐意取得更众有闭惹事者的新闻。

Platon(普拉登)(2019 年 7 月 21 日 16:53):

仿佛我先前所说的,我不需求你的钱。

Platon(2019 年 7 月 21 日 16:53):

曾经没有商业的余地了。

Platon(2019 年 7 月 21 日 16:54):

我也没希冀你们会作出回应。

Platon(2019 年 7 月 21 日 16:59):

但我很喜爱看到内部人士和黑客们看到新闻出书的反响。再次重申,我对你们的反响不感兴味。

Ted Lin(2019 年 7 月 21 日 19:04):

我认为你念看到那些黑客们被拘捕?

Platon(2019 年 7 月 21 日 19:11):

我念要,但不是现。

Platon(2019 年 7 月 21 日 19:12):

我甘愿分开并继续察看。

Ted Lin(2019 年 7 月 21 日 19:19):

我们仍对那些能拘捕黑客们、内部人士与追回资金的新闻感兴味,并乐意付出。

Ted Lin(2019 年 7 月 21 日 19:19):

假如你有更众可以完成上述目标的新闻请让我晓得。

Ted Lin(2019 年 7 月 21 日 19:04):

你不再再起我们之前,我们正验证你所具有的新闻类型。

Ted Lin(2019 年 7 月 21 日 19:21):

假如你改动心意并仍念继续,请让我晓得。

Ted Lin(2019 年 7 月 21 日 19:21):

感谢你的资助。

Platon(2019 年 7 月 21 日 19:11):

付钱给我。

着末普拉登外示,“与币安商量是过失的事故,”“他们不是适宜的人…以是我只要将通通的数据发布给它们的客户了。”

终究上,普拉登 7 月 22 日与币安代外的指导中,他外示,“我目今的兴味那些黑客们和公司的内部人士。新闻发布时,我很速乐看到他们的反响。”

Ted Lin 是谁?

此次事情中代外币安与黑客对话的 Ted Lin,是币安 CGO(Chief growth officer)林义翔。

6

(根源:推特)

依据《CoinDesk 中文网》了解,林义翔来自台湾,是币安创始人赵长鹏的高中同窗,两人已有 20 众年交情。他过去科技行业任职,具有丰厚的国际墟市开辟体验,2017 年中,赵长鹏一通电话下,决议到场一同创业。早先他肩负为币安翻开国际墟市的义务。

众所皆知,币安 2017 年末疾速兴起为举世第一大加密货币商业所,并继续称霸行业至今,最大的优势,便是其疾速举世开疆辟土的才能,让同行望尘莫及。而林义翔此中饰演闭键脚色。客岁 6 月、8 月,以及本年年头,币安先后乌干达、列支敦士登以及英属泽西岛胜利开念法币商业平台,近来一个所在是本年 4 月亦落地新加坡。

厥后跟着币安疾速扩张,林义翔脚色也渐渐改变,成为币安的 CGO,内部率领特别的孕育团队(growth team)。

币安孕育团队是通通公司为了应对构造呈现预料外的超速扩张,而修立的特别部分。其 2018 下半年至 2019 年头的熊市时代,仍鳞集推出包罗 Binance DEX、Binance Launchpad、Binance Chain(币安链),以及币安的新加频括币商业所等众项新产物,不光胜利发动出一波墟市行情,更主要的是展现出十分强大的行业开展主导才能。这些孕育动能亦与林义翔所指导的孕育团队有着亲密相闭。

用户新闻仍走漏

但回到此次用户新闻走漏事情,普拉登的要挟 8 月 5 日,成为实行,他将一个夹带 166 位人们 KYC 的 500 张照片的档案上传至绽放文献共享网站中,命名为“Guardian M”。

随后是周三早上上传至 Telegram group 的第二次走漏亚洲乱乱色情网,实质包罗上百张手持身份证的私人照片。

普拉登的标明很简单:他们认为他们做的是准确的事故。

普拉登并发布一系列推特阐明本人的动机。

640

7

thxs

(根源:推特)

“总有人问我,“为什么你要公然这些用户的 KYC 新闻?”,“你怎样取得了这些新闻?”“启事很简单,便是给仍币安商业数字货币的人一个警告(你们的隐私很担忧全),假如我念借此获取收益,我可以地下墟市卖掉这些数据,而不是挑选如许公然它。”

他(们)还说道,“我是怎样拿到这些数据的?不要问我,去问币安吧。从第三方那里?不要开玩乐了。收集垂纶?假如是那样,我确实(需求)具有顶级的收集垂纶技能。”

“币安本可以阻遏这件事故的爆发,可是他们并没有那样做。10,000 张照片换 300 BTC?币安应当继续闭注另有众少张照片被公然。我曾以众种差别的方法向他们供应帮帮,我只是为每一步索要 50 比特币举措奖励。”

8

图|第二波被发布的受害者照片(根源:Binance KYC 电报群)

北京时间周四上午 8 点起,普拉登电报群再次大范围发布第二波据称是币安用户被盗新闻,截至撰稿时间仍继续。《CoinDesk 中文网》稍早亦联络币安官方,但截稿为止尚未取得回应。

后续是否另有众少受害者 KYC 数据被公然?币安又将怎样回应?用户新闻走漏谁来认真?终究原形终究为何?《CoinDesk中文网》将继续跟进报道。


引荐作品

暴雷潮中的理财师:一单曾提成上百万,现在10%“蹲局子”

线上保证流量获客与高效转化

一本学院精髓课程:金融科技企业转型破局研讨班

赎楼贷要火?有玩家已缘琅20亿,协作光大、平安等20家银行

二手炮灰