详解币安API钓鱼事件:黑客何以一夜撬走近亿美元

7月4日凌晨五时许,币安交易所出现超大额提现,2小时内,超过7000枚比特币转入同一地址,何一对此表示,这只是一个看上去比较异常的正常转账,并非网传被盗。然而,同日上午八时,币安暂停交易与提现,进行临时维护。

既然是“正常转账”,何来停机维护呢?

在巨额比特币流转的背后,一个名为Syscoin的小币种,在4日四时许价格迅速拉升了320万倍,一枚SYS价格达到了96BTC——SYS的日常均价一直是0.00003BTC左右。随着SYS价格被拉爆,黑客再通过其他交易所出货,至少能获利8000万。

币安官方公告指出,这是一次“部分API用户的钓鱼事件”,何为API钓鱼事件?又是如何获利的呢?

金色财经邀请KE668棋牌手游X交易所的CTO刘宏斐对事件进行技术解读。API钓鱼事件,可理解为通过常规的钓鱼手段,包括并不限于假冒网上银行、垃圾邮件、虚假电商广告等不法手段,来获取收集用户的账号信息,并由此获得API接口权限,并通过大量的API接口操作来影响交易市场。刘宏斐表示,由于API权限位于用户权限下,因此只要得到了平台的用户权限即可控制其API权限。如果黑客能够从一个或者几个平台获取大量的API控制权,即大量的用户账号登录信息,就可以左右市场行情。

发动攻击的人掌控足够的API之后,足以操控某个币种的市场涨跌,只要涉及的资金量和某项目的资金盘达到一定比例,就能引发巨额涨跌,因此交易量小和单价低的小币种容易成为攻击对象。当瞬间拉高小币种的价格之后,再通过卖出提前低价埋伏在其他交易平台的该币种即可获利。

这样的事件过后往往跟随比特币的下跌,3月7日,币安也发生了性质极为相似的黑客攻击时间,那一次买入的小币种是VIA,攻击发生后两天,比特币暴跌近1000美元。这一次,攻击发生后30分钟,比特币跌去130美元。黑客通过提前做好的空单,可二次获利。

针对这次异常事件,币安提出了四点处理方案,包括删除全部API记录、回滚异常交易账户记录、返还手续费、以及成立币安投资者保护基金等。

那么删除API记录的做法能够在多大程度上弥补损失呢?刘宏斐指出,从技术角度看,“如果是单纯删除API记录,其实作用不大,只能防止攻击者在短时间内不能进行再次攻击。真正有效的方式是,修复生成API过程可以绕过二次验证的漏洞,防止在用户未知的情况下生成API”。

交易所阻止黑客控制668棋牌游戏API有若干种办法,首先就是要尽可能保障用户账号的安全,通过短信验证码、GOOGLE验证码等安全手段增加账号的安全机制;另外,在生成API的过程中加入人工审核的互动过程,确认此操作为用户的本意操作。据刘宏斐介绍,KEX交易所目前采用的也是这种安全措施。

(责任编辑:668棋牌)

本文地址:http://www.jhhenghui.com/shebaoyiliao/2021/0722/15178.html

上一篇:我贵668棋牌游戏飞FTC2000G教练机正进行总装 两个月后可下线试飞 下一篇:摩托罗拉宣布Moto G7 Plus中国红版本即将登陆中国