NCE:技術深度丨幣安被盜的7074.18枚比特幣去哪了?_binance

一周前，知名加密貨幣交易所Binance遭受黑客攻擊，被盜7074.18枚比特幣。盡管其創始人趙長鵬在多次AMA中披露了一些黑客盜幣的細節，并承諾使用“SAFU基金”全額承擔本次用戶的損失，此后也出現了“回滾交易”的爭議討論，但這7074.18枚比特幣究竟如何被盜？如今又被轉移到哪里？業界并沒有詳細的深究與討論。但國外的這位小哥用GoogleBigQuery好好深扒了一下，發現了不少貓膩。丟掉的7074.18枚比特幣還能不能找回來？一起往下看！最近一年的時間里，在業務上，我們只選擇支持Binance。我們選擇Binance作為第一個交易所合作伙伴，因為我們相信Binance的追蹤記錄、安全協議以及對用戶的承諾。

因此，當發現Binance被黑了7074.18枚比特幣時，對我們來說，這真是一個毀滅性的打擊。

事情是怎樣的？

如果你了解整個事件，可選擇跳過這部分。

對于這次“災難”，Binance沒有對外發表太多言論。雖然他們已經分享了關于盜竊的一些細節，但對于更細微的細節，他們卻仍在保持沉默。

根據他們最近更新的博客，他們正在努力保持最高程度的透明度，但擔心分享太多的安全細節會讓黑客感到不安，并最終削弱他們自己的安全。

盡管如此，我仍舊認為讓社區真正了解到底發生了什么是十分有必要的，因此我將在本文中深入探討。

活動時間表

以下是我們對事件發生時間的了解。

5月7日下午5:15，7074.18枚比特幣從Binance熱錢包中抽出。

工信部等五部門：將強化虛擬現實與區塊鏈、數字孿生等技術深度融合:11月1日消息，工業和信息化部、教育部、文化和旅游部、國家廣播電視總局、國家體育總局印發《虛擬現實與行業應用融合發展行動計劃（2022—2026年）》，發展目標包括，到2026年，產業生態持續完善。我國虛擬現實產業總體規模超過3500億元，虛擬現實終端銷量超過2500萬臺，培育100家具有較強創新能力和行業影響力的骨干企業，打造10個具有區域影響力、引領虛擬現實生態發展的集聚區，建成10個產業公共服務平臺。

計劃指出，圍繞近眼顯示、渲染處理、感知交互、網絡傳輸、內容生產、壓縮編碼、安全可信等關鍵細分領域，做優虛擬現實+內生能力，強化虛擬現實與5G、人工智能、大數據、云計算、區塊鏈、數字孿生等新一代信息技術的深度融合，疊加虛擬現實+賦能能力。[2022/11/1 12:04:59]

5月7日下午7:00，Binance關閉了非預定維護的存款和取款。Cz向用戶保證，基金是SAFU，交易不會中斷。

5月7日11時36分，Binance宣布了一個安全漏洞，并證實黑客能夠從Binance熱錢包中提取7074.18枚比特幣。

5月8日下午12時42分，Binance限制所有現有API密鑰只允許交易，并宣布所有現有API密鑰將在UTC時間下午1:30刪除。

5月8日下午1:30，Binance刪除所有現有API密鑰。

這次盜竊和之前有何相似之處？

無論是最近、還是過去的攻擊都涉及到Binance的API和網絡釣魚。

黑客通過將自己偽裝成值得信賴的實體，然后欺騙用戶泄露敏感信息。

信通院金鍵：行業應加速對區塊鏈技術深度和專業理念的普及:9月27日，由工業和信息化部主辦，北京市經濟和信息化局、中國信息通信研究院（以下簡稱中國信通院）等單位承辦的ICT中國·2021高層論壇和2021年中國國際信息通信展覽會在北京舉辦。

會議期間，中國信通院工業互聯網與物聯網研究所所長金鍵在接受記者采訪時表示，當前，區塊鏈相關技術和專業理念需進一步加強科普和推廣，要推動區塊鏈專業人才培養，加強技術研發和應用落地投入，并以開放包容的心態促進國際合作。（人民網）[2021/9/30 17:17:50]

一個用來“釣魚”的假Binance登錄界面

通常被盜取的信息是用戶API密鑰，這使得攻擊者能夠以編程的方式與交易所進行交互，就好像他們自己就是用戶一樣。

在Binance上有3個不同級別的API權限：

讀取ー獲得有關持幣、交易歷史和市場數據的能力。

交易-執行交易的能力

提取ー取出資金的能力

當用戶創建一組API密鑰時，一般情況下，讀取和交易權限默認開啟，提取權限則被禁用。由于提取權限可能會帶來高風險，Binance要求用戶首先設置雙重身份驗證和IP白名單。

在SYS和VIA攻擊期間，攻擊者大部分時間都只得到了純交易訪問API密鑰。因為攻擊者不能從只有交易訪問權限的賬戶中提取資金，所以他們必須首先重新分配資金。

他們是這樣做的：

首先，在攻擊之前，攻擊者將目標對準一個易于操縱的交易所。通常情況下，被攻擊目標有著交易量小、訂單量也少的特點。黑客會提前購買一些這樣的數字貨幣。

火幣于佳寧：必須加快區塊鏈與人工智能等前沿信息技術深度融合:中國通信工業協會區塊鏈專委會輪值主席、火幣大學校長于佳寧表示，區塊鏈和隱私計算相輔相成，可以更好地挖掘分布式場景下數據要素的價值。未來，在“區塊鏈+隱私計算”所搭建的生態里，每個人可以真正擁有自己的數據控制權，可以利用自己的“數字身份”安全存儲數據，同時在使用某個業務時做“選擇性披露”，從而進行可信安全的社會活動，并真正釋放數據價值。于佳寧強調，在數字時代，要構建完整的數字產業生態，必須加快區塊鏈和人工智能、大數據、物聯網等前沿信息技術的深度融合，推動集成創新和融合應用，加快構建新型基礎設施，助力百行千業全面轉型升級，加速實現產業全面上鏈，推動數字經濟與實體經濟深度融合，從而整體驅動生產方式、生活方式和治理方式變革。”（證券日報）[2021/3/26 19:19:09]

然后，攻擊者發出限價訂單，以荒謬的價格出售他們的數字貨幣。

隨后，攻擊者利用盜取賬戶的API發送大量購買訂單，并以萬倍以上的價格在市場的另一邊購買自己的數字貨幣。完成這一步后，他們就有效地將財富從僅具有交易訪問權限的帳戶轉移到了具有提取權限的帳戶。

最后，攻擊者試圖從Binance取出“戰利品”。一旦取出并存入其他地方，就幾乎沒有人可以扭轉交易了。

你可以在Binance交易歷史中找到證明上述方法的證據。在2018年的API黑客攻擊中，攻擊者通過以提高SYS和VIA的價格的方式，試圖轉移前面提到的資金。

如下圖，在2018年7月3日和2018年3月6日，SYS/BTC和VIA/BTC的價格和成交量分別出現了異常。

北斗衛星導航系統發言人：北斗系統高精度服務正與區塊鏈等新技術深度融合:今日上午10時，國務院新聞辦公室舉行新聞發布會，中國衛星導航系統管理辦公室主任、北斗衛星導航系統新聞發言人冉承其介紹，基于北斗的高精度服務在抗擊新冠疫情和南方水災中發揮積極作用，正在加速進入新基建，與新一代通信、，北斗應用新模式、新業態、新經濟不斷涌現。（澎湃新聞）[2020/8/3]

這次有什么不同？

這一次，攻擊方式有所不同。根據Binance的官方聲明，黑客能夠獲得大量的用戶API密鑰、谷歌驗證2FA碼和一些其他敏感信息。

通過2FA碼，黑客完全可以啟用提取權限，同時禁用IP白名單。這一次，黑客不需要冒著被人懷疑的風險而提高數字貨幣價格，進行多次交易，然后將資金轉移，這次攻擊更容易。

為了證實這一推理，我從Binance的API中提取了上個月每小時的交易數據。

如果API密鑰被用來操縱交易，交易量和貨幣價格將會出現異常峰值。

交易數據比較

我計算了黑客攻擊前30天交易量和價格的每小時最大值，還計算了黑客攻擊當天的交易量和價格的每小時最大值。

目的是比較兩者，看看黑客攻擊當天的每小時價格和交易量是否有所上升。

成交量比較

下表按攻擊當天每小時最大值和攻擊前30天每小時最大值之間的百分比差排序。

交易量

可以看到，LINK/PAX在黑客攻擊當天的每小時交易量出現了大于3倍增長，但這個數字還沒有大到能引起懷疑，特別是考慮到事實上，鏈接/pax的價格沒有飆升以及。

聲音 | 臨沂市政府：推動大數據與云計算、區塊鏈等技術深度融合:據瑯琊新聞網報道，日前，臨沂市政府印發《關于貫徹落實〈數字山東2019行動方案〉推進數字臨沂建設的實施方案》。方案指出，發揮數據的基礎資源和創新引擎作用，推動大數據與云計算、人工智能、物聯網、區塊鏈、虛擬現實等技術深度融合。[2019/8/15]

價格比較

在黑客入侵的當天，在最極端的情況下，我們也只看到價格上漲了34%。

這進一步說明，此次攻擊中黑客沒有操縱價格。

交易價格

雖然攻擊者可能會在周圍進行交易而不會引起注意，但我認為這是不可能的。在不影響價格和交易量的前提下，要轉移7074.18枚比特幣，需要許多賬戶，或者說，需要很長時間。

如果是這樣的話，長時間的交易活動很可能會引起原始賬戶所有者的懷疑，用戶會覺察到自己的資金正慢慢耗盡。一旦有用戶向Binance投訴，這將會給黑客們帶來災難。

黑客仍在逍遙法外

比特幣的價值和可靠性在很大程度上歸功于賬本的不可變性。但這也意味著，一旦成功提款，基本上就不可能追回被盜資金。

Binance證實，黑客能夠在這一次交易中提取7074.18枚比特幣。我使用GoogleBigQuery查詢與黑客有關的交易，并繪制出被盜資金的動向圖如下。

圓圈代表錢包地址，線條代表被盜資金流向。圓圈和線寬與兩地址間發送的比特幣數成正比。

幣安被盜資金動向圖

TransactionDepth=1

幣安被盜資金動向圖

TransactionDepth=2

幣安被盜資金動向圖

TransactionDepth=3

幣安被盜資金動向圖

TransactionDepth=4

被盜比特幣能被追回嗎？

據我所知，還不存在Depth>4的交易。黑客們正“清洗”被盜的比特幣，并將其存在一些固定的地址中。

下面是一個更大的可視化圖像，標注了單個錢包地址。

幣安被盜資金動向圖

附帶地址

從某種程度上來說，追蹤這些比特幣的來源是非常不可行的，因為涉及這些被盜比特幣的交易數量將呈指數級增長。

目前，有3種常見追蹤受污染數字貨幣的方法。

Poison：用3枚被盜比特幣和7枚正常比特幣一起進行交易，取出10枚「被盜」比特幣；

Haircut：用3枚被盜比特幣和7枚正常比特幣一起進行交易，10個中有30%被標記為「被盜」；

FIFO：用3枚被盜比特幣和7枚正常比特幣一起進行交易，最先出來的三個被標記為「被盜」。

從長遠來看，我認為這些方法都不能奏效。給受污染的貨幣貼上標簽或者加入黑名單，從根本上削弱了比特幣的可替代性和抗審查性。我不支持那些試圖追回或將被盜比特幣列入黑名單的想法。

澄清陰謀論

交易所黑客是陰謀論的溫床。雖然我們沒有時間在文章中解決所有問題，但我們可以處理一些最尖銳的問題。

是Binance把7074.18枚比特幣搞砸了，因為他們把這些比特幣發到了Segwit地址，而這些地址無法將資金轉移到任何地方。

從根本上說，這是不正確的。盡管你在blockchain網站上看不到Segwit交易，但你可以很容易地在下面這個網站找到交易記錄。

這是一個為了推廣DEX的騙局

糟糕的商業行為。Binance為了什么而不惜損失大量品牌資產？在所有這一切中，他們甚至沒有推廣他們的DEX。

不止7074.18枚比特幣被盜

我們只有Binance的官方數據，目前還沒有這方面的證據，但權威人士正在密切關注Binance的熱錢包。

不存在API密鑰被破壞的安全漏洞

這個倒是有可能。有傳言說有700個賬戶的提取權限被泄露了。沒有人站出來說他們的賬戶被黑了。如果用戶的密碼和2FA被破解，Binance肯定會要求用戶重置他們的個人信息。但如果沒有API密鑰被破壞，為什么Binance要重置API密鑰？

攻擊者仍然控制著許多Binance不知道的帳戶

這是可能的。雖然Binance重置了API密鑰，但黑客仍然可以通過盜取個人信息訪問一系列賬戶。

這對中心化交易所意味著什么？

推動DEX的發展

顯然，黑客在提醒人們，中心化交易所是容易犯錯的，這是對DEX的推動。

2019年初，DEX的交易量處于歷史最低水平。

DEX交易量持續下滑

說到底，人們似乎更偏愛便利、速度和流動性，而非安全性。

為什么中心化交易很吸引人，主要有以下三點原因：

保留對資產的完全控制權

獲得優惠的交易價格和進入流動市場的機會

低交易費用

將你的資產分開存到多個交易所

鑒于中心化交易所仍然至關重要，減輕風險的一個方法是將資產分開存到不同的交易所。

這對Binance又意味著什么？

Binance可以在47天內賺回這4000萬美元

從宏觀角度來看，4000萬美元對Binance來說并不是一個毀滅性的數字，因為它是世界上最大、最賺錢的交易所之一。

這起價值4000萬美元的Binance黑客事件，其造成的損失在交易所被盜歷史上排名第六。

10大交易所被盜事件

交易機器人是不可避免的

API密鑰和網絡釣魚是過去3次Binance黑客攻擊的共同主題。警告用戶不要讓任何第三方服務提供商訪問您的個人API密鑰是完全不現實的。這種單方面聲明既懲罰疏忽的交易申請，也懲罰像我們這樣缺乏安全意識的人群。

與其譴責第三方交易應用程序、然后對它們視而不見的這種無濟于事的行為，Binance應該通過啟動自己的OAuth客戶端來提供支持。通過這樣做，Binance實際上可以通過加強控制和監督，提高交易安全性，并降低未來API事故的風險。

拓展閱讀：

https://www.binance.com/en/blog/333497959022997504/Binance-Security-Incident-Update

https://binance.zendesk.com/hc/en-us/articles/360006675312-Incident-Recap-on-Irregular-SYS-Trading

https://www.hodlbot.io/blog/a-thorough-investigation-of-the-binance-hack

https://www.blockchain.com/

https://chain.so/address/BTC/bc1qp6k6tux6g3gr3sxw94g9tx4l0cjtu2pt65r6xp

Tags：NCENANANCbinanceYield Enhancement LabsEEL FinanceFantom Libero FinancialBinance8

PEPE幣