NCE:技術深度丨幣安被盜的7074.18枚比特幣去哪了?

一周前，知名加密貨幣交易所Binance遭受黑客攻擊，被盜7074.18枚比特幣。盡管其創始人趙長鵬在多次AMA中披露了一些黑客盜幣的細節，并承諾使用“SAFU基金”全額承擔本次用戶的損失，此后也出現了“回滾交易”的爭議討論，但這7074.18枚比特幣究竟如何被盜？如今又被轉移到哪里？業界并沒有詳細的深究與討論。但國外的這位小哥用GoogleBigQuery好好深扒了一下，發現了不少貓膩。丟掉的7074.18枚比特幣還能不能找回來？一起往下看！最近一年的時間里，在業務上，我們只選擇支持Binance。我們選擇Binance作為第一個交易所合作伙伴，因為我們相信Binance的追蹤記錄、安全協議以及對用戶的承諾。

因此，當發現Binance被黑了7074.18枚比特幣時，對我們來說，這真是一個毀滅性的打擊。

事情是怎樣的？

如果你了解整個事件，可選擇跳過這部分。

對于這次“災難”，Binance沒有對外發表太多言論。雖然他們已經分享了關于盜竊的一些細節，但對于更細微的細節，他們卻仍在保持沉默。

根據他們最近更新的博客，他們正在努力保持最高程度的透明度，但擔心分享太多的安全細節會讓黑客感到不安，并最終削弱他們自己的安全。

盡管如此，我仍舊認為讓社區真正了解到底發生了什么是十分有必要的，因此我將在本文中深入探討。

活動時間表

以下是我們對事件發生時間的了解。

5月7日下午5:15，7074.18枚比特幣從Binance熱錢包中抽出。

信通院金鍵：行業應加速對區塊鏈技術深度和專業理念的普及:9月27日，由工業和信息化部主辦，北京市經濟和信息化局、中國信息通信研究院（以下簡稱中國信通院）等單位承辦的ICT中國·2021高層論壇和2021年中國國際信息通信展覽會在北京舉辦。

會議期間，中國信通院工業互聯網與物聯網研究所所長金鍵在接受記者采訪時表示，當前，區塊鏈相關技術和專業理念需進一步加強科普和推廣，要推動區塊鏈專業人才培養，加強技術研發和應用落地投入，并以開放包容的心態促進國際合作。（人民網）[2021/9/30 17:17:50]

5月7日下午7:00，Binance關閉了非預定維護的存款和取款。Cz向用戶保證，基金是SAFU，交易不會中斷。

5月7日11時36分，Binance宣布了一個安全漏洞，并證實黑客能夠從Binance熱錢包中提取7074.18枚比特幣。

5月8日下午12時42分，Binance限制所有現有API密鑰只允許交易，并宣布所有現有API密鑰將在UTC時間下午1:30刪除。

5月8日下午1:30，Binance刪除所有現有API密鑰。

這次盜竊和之前有何相似之處？

無論是最近、還是過去的攻擊都涉及到Binance的API和網絡釣魚。

黑客通過將自己偽裝成值得信賴的實體，然后欺騙用戶泄露敏感信息。

一個用來“釣魚”的假Binance登錄界面

通常被盜取的信息是用戶API密鑰，這使得攻擊者能夠以編程的方式與交易所進行交互，就好像他們自己就是用戶一樣。

甘肅省首個5G聯合創新中心：聚焦區塊鏈等技術深度應用:8月3日消息，甘肅5G聯合創新中心近日正式建成使用，該中心是目前甘肅省規模最大、覆蓋面最廣的信息化展廳，主要聚焦區塊鏈等技術在教育、生活、政務、醫療、工業等領域的深度應用，也是推進政府數字化轉型、推動經濟社會數字化建設的一次具體實踐。（人民網）[2021/8/3 1:31:31]

在Binance上有3個不同級別的API權限：

讀取ー獲得有關持幣、交易歷史和市場數據的能力。

交易-執行交易的能力

提取ー取出資金的能力

當用戶創建一組API密鑰時，一般情況下，讀取和交易權限默認開啟，提取權限則被禁用。由于提取權限可能會帶來高風險，Binance要求用戶首先設置雙重身份驗證和IP白名單。

在SYS和VIA攻擊期間，攻擊者大部分時間都只得到了純交易訪問API密鑰。因為攻擊者不能從只有交易訪問權限的賬戶中提取資金，所以他們必須首先重新分配資金。

他們是這樣做的：

首先，在攻擊之前，攻擊者將目標對準一個易于操縱的交易所。通常情況下，被攻擊目標有著交易量小、訂單量也少的特點。黑客會提前購買一些這樣的數字貨幣。

然后，攻擊者發出限價訂單，以荒謬的價格出售他們的數字貨幣。

隨后，攻擊者利用盜取賬戶的API發送大量購買訂單，并以萬倍以上的價格在市場的另一邊購買自己的數字貨幣。完成這一步后，他們就有效地將財富從僅具有交易訪問權限的帳戶轉移到了具有提取權限的帳戶。

范金剛：區塊鏈還須與5G等技術深度融合應用:北京市《政務服務領域區塊鏈應用創新藍皮書》于近日發布。對此，中國電子學會區塊鏈分會常務副秘書長、北京量觀網絡科技有限公司CEO范金剛表示，政府服務領域正成為區塊鏈應用落地的主要戰場之一。在政務服務領域，區塊鏈將能充分發揮其自身的技術理念優勢——即數據共享、業務協同、確權確責和開放創新，從而凸顯出這一核心攻關技術更為重要的價值。范金剛認為，區塊鏈技術正處于發展早期階段，區塊鏈還須與5G、物聯網、人工智能、大數據等技術進行深度的融合應用，才能發揮更大的技術價值；同時，區塊鏈技術和產業應用要想實現良性穩健發展，也必須建立起完善的技術規范、應用規范、標準體系以及相應的人才培養制度。（證券日報）[2020/7/21]

最后，攻擊者試圖從Binance取出“戰利品”。一旦取出并存入其他地方，就幾乎沒有人可以扭轉交易了。

你可以在Binance交易歷史中找到證明上述方法的證據。在2018年的API黑客攻擊中，攻擊者通過以提高SYS和VIA的價格的方式，試圖轉移前面提到的資金。

如下圖，在2018年7月3日和2018年3月6日，SYS/BTC和VIA/BTC的價格和成交量分別出現了異常。

這次有什么不同？

這一次，攻擊方式有所不同。根據Binance的官方聲明，黑客能夠獲得大量的用戶API密鑰、谷歌驗證2FA碼和一些其他敏感信息。

通過2FA碼，黑客完全可以啟用提取權限，同時禁用IP白名單。這一次，黑客不需要冒著被人懷疑的風險而提高數字貨幣價格，進行多次交易，然后將資金轉移，這次攻擊更容易。

聲音 | 中國智能交通產業聯盟理事長：交通需要與區塊鏈等新技術深度融合:金色財經報道，12月10日，在“智無界·共生長” 2019百度地圖生態大會上，中國智能交通產業聯盟理事長、國家智能交通系統研究中心首席科學家王笑京表示，交通是個完整的體系，既包括基礎設施建設，又包括運輸服務網發展，更需要與大數據、互聯網、人工智能、區塊鏈等新技術的深度融合。[2019/12/11]

為了證實這一推理，我從Binance的API中提取了上個月每小時的交易數據。

如果API密鑰被用來操縱交易，交易量和貨幣價格將會出現異常峰值。

交易數據比較

我計算了黑客攻擊前30天交易量和價格的每小時最大值，還計算了黑客攻擊當天的交易量和價格的每小時最大值。

目的是比較兩者，看看黑客攻擊當天的每小時價格和交易量是否有所上升。

成交量比較

下表按攻擊當天每小時最大值和攻擊前30天每小時最大值之間的百分比差排序。

交易量

可以看到，LINK/PAX在黑客攻擊當天的每小時交易量出現了大于3倍增長，但這個數字還沒有大到能引起懷疑，特別是考慮到事實上，鏈接/pax的價格沒有飆升以及。

價格比較

在黑客入侵的當天，在最極端的情況下，我們也只看到價格上漲了34%。

這進一步說明，此次攻擊中黑客沒有操縱價格。

交易價格

雖然攻擊者可能會在周圍進行交易而不會引起注意，但我認為這是不可能的。在不影響價格和交易量的前提下，要轉移7074.18枚比特幣，需要許多賬戶，或者說，需要很長時間。

動態 | 華宇軟件：目前已規劃十四項基于司法鏈的應用服務，其將法院業務與區塊鏈技術深度融合:據新浪財經報道，華宇軟件董秘回答投資者提問時表示，在最高人民法院信息中心的指導下，公司聯手螞蟻金服共同建設法院司法鏈平臺，將法院業務與區塊鏈技術深度融合，目前已規劃十四項基于司法鏈的應用服務，現已為法院或當事人提供辦案全流程規范化監管、網絡著作權存證云等五項鏈上服務。[2019/9/25]

如果是這樣的話，長時間的交易活動很可能會引起原始賬戶所有者的懷疑，用戶會覺察到自己的資金正慢慢耗盡。一旦有用戶向Binance投訴，這將會給黑客們帶來災難。

黑客仍在逍遙法外

比特幣的價值和可靠性在很大程度上歸功于賬本的不可變性。但這也意味著，一旦成功提款，基本上就不可能追回被盜資金。

Binance證實，黑客能夠在這一次交易中提取7074.18枚比特幣。我使用GoogleBigQuery查詢與黑客有關的交易，并繪制出被盜資金的動向圖如下。

圓圈代表錢包地址，線條代表被盜資金流向。圓圈和線寬與兩地址間發送的比特幣數成正比。

幣安被盜資金動向圖

TransactionDepth=1

幣安被盜資金動向圖

TransactionDepth=2

幣安被盜資金動向圖

TransactionDepth=3

幣安被盜資金動向圖

TransactionDepth=4

被盜比特幣能被追回嗎？

據我所知，還不存在Depth>4的交易。黑客們正“清洗”被盜的比特幣，并將其存在一些固定的地址中。

下面是一個更大的可視化圖像，標注了單個錢包地址。

幣安被盜資金動向圖

附帶地址

從某種程度上來說，追蹤這些比特幣的來源是非常不可行的，因為涉及這些被盜比特幣的交易數量將呈指數級增長。

目前，有3種常見追蹤受污染數字貨幣的方法。

Poison：用3枚被盜比特幣和7枚正常比特幣一起進行交易，取出10枚「被盜」比特幣；

Haircut：用3枚被盜比特幣和7枚正常比特幣一起進行交易，10個中有30%被標記為「被盜」；

FIFO：用3枚被盜比特幣和7枚正常比特幣一起進行交易，最先出來的三個被標記為「被盜」。

從長遠來看，我認為這些方法都不能奏效。給受污染的貨幣貼上標簽或者加入黑名單，從根本上削弱了比特幣的可替代性和抗審查性。我不支持那些試圖追回或將被盜比特幣列入黑名單的想法。

澄清陰謀論

交易所黑客是陰謀論的溫床。雖然我們沒有時間在文章中解決所有問題，但我們可以處理一些最尖銳的問題。

是Binance把7074.18枚比特幣搞砸了，因為他們把這些比特幣發到了Segwit地址，而這些地址無法將資金轉移到任何地方。

從根本上說，這是不正確的。盡管你在blockchain網站上看不到Segwit交易，但你可以很容易地在下面這個網站找到交易記錄。

這是一個為了推廣DEX的騙局

糟糕的商業行為。Binance為了什么而不惜損失大量品牌資產？在所有這一切中，他們甚至沒有推廣他們的DEX。

不止7074.18枚比特幣被盜

我們只有Binance的官方數據，目前還沒有這方面的證據，但權威人士正在密切關注Binance的熱錢包。

不存在API密鑰被破壞的安全漏洞

這個倒是有可能。有傳言說有700個賬戶的提取權限被泄露了。沒有人站出來說他們的賬戶被黑了。如果用戶的密碼和2FA被破解，Binance肯定會要求用戶重置他們的個人信息。但如果沒有API密鑰被破壞，為什么Binance要重置API密鑰？

攻擊者仍然控制著許多Binance不知道的帳戶

這是可能的。雖然Binance重置了API密鑰，但黑客仍然可以通過盜取個人信息訪問一系列賬戶。

這對中心化交易所意味著什么？

推動DEX的發展

顯然，黑客在提醒人們，中心化交易所是容易犯錯的，這是對DEX的推動。

2019年初，DEX的交易量處于歷史最低水平。

DEX交易量持續下滑

說到底，人們似乎更偏愛便利、速度和流動性，而非安全性。

為什么中心化交易很吸引人，主要有以下三點原因：

保留對資產的完全控制權

獲得優惠的交易價格和進入流動市場的機會

低交易費用

將你的資產分開存到多個交易所

鑒于中心化交易所仍然至關重要，減輕風險的一個方法是將資產分開存到不同的交易所。

這對Binance又意味著什么？

Binance可以在47天內賺回這4000萬美元

從宏觀角度來看，4000萬美元對Binance來說并不是一個毀滅性的數字，因為它是世界上最大、最賺錢的交易所之一。

這起價值4000萬美元的Binance黑客事件，其造成的損失在交易所被盜歷史上排名第六。

10大交易所被盜事件

交易機器人是不可避免的

API密鑰和網絡釣魚是過去3次Binance黑客攻擊的共同主題。警告用戶不要讓任何第三方服務提供商訪問您的個人API密鑰是完全不現實的。這種單方面聲明既懲罰疏忽的交易申請，也懲罰像我們這樣缺乏安全意識的人群。

與其譴責第三方交易應用程序、然后對它們視而不見的這種無濟于事的行為，Binance應該通過啟動自己的OAuth客戶端來提供支持。通過這樣做，Binance實際上可以通過加強控制和監督，提高交易安全性，并降低未來API事故的風險。

拓展閱讀：

https://www.binance.com/en/blog/333497959022997504/Binance-Security-Incident-Update

https://binance.zendesk.com/hc/en-us/articles/360006675312-Incident-Recap-on-Irregular-SYS-Trading

https://www.hodlbot.io/blog/a-thorough-investigation-of-the-binance-hack

https://www.blockchain.com/

https://chain.so/address/BTC/bc1qp6k6tux6g3gr3sxw94g9tx4l0cjtu2pt65r6xp

Tags：NCENANANCBINCocktails FinanceRootkit FinanceANCC價格BeatBind

USDC