请选择 进入手机版 | 继续访问电脑版
开启辅助访问
链路首页链路财经目前收录 币种 : 4908 交易所 : 310钱包 : 17 24H 交易量 : $43,403,137,051 总市值 : $245,388,183,835
2019
05/09
13:55
分享
评论

  • 转自火星财经


    火星财经APP一线报道,北京时间5月8日凌晨,黑客在区块高度575013处从币安热钱包中盗取约7000枚比特币。针对此事件,Beosin成都链安科技安全团队对交易详情、提币地址、潜在原因等进行了深度分析(详见分析 | 7000比特币的损失,币安热钱包被盗事件分析)。


    为方便普通投资者理解此次盗币事件中的知识点,火星财经APP独家专访了成都链安团队,对方直言本次事件暴露出的核心问题是币安的提币API,目前币安已宣布所有的API key作废。


    至于被盗BTC的情况,成都链安团队表示,昨晚攻击者已开始将BTC从实施攻击时的账户分散转移,目前资金已基本从最初的攻击账户转出,最新的存储地址主要是bc1q2*****(1060个BTC)等。


    以下为专访内容,由火星财经APP编辑整理:


    火星财经:根据币安公告,在此次攻击事件中,黑客能够获得大量用户API密钥,谷歌验证2FA码以及其他相关信息,2FA到底是什么?


    成都链安:2FA(2 Factor Authentication)即双因子验证。


    先来说一下传统的验证方式,传统的验证方式一般是一组静态的信息组成如:字符、图像、手势等,很容易被绕过,相对不安全。


    2FA是基于时间、历史长度、实物(信用卡、SMS手机、令牌、指纹)等自然变量结合一定的加密算法组合出一组动态密码,一般每60秒刷新一次。不容易被获取和破解,相对安全。



    币安采用的双因子验证方式是Google Authenticator,即它的双因子验证码(2FA码)就是谷歌验证。申请谷歌验证,第一次会生成一个种子秘钥。


    种子秘钥会存储在服务端及客户端,客户端基于时间因子算出谷歌验证码,并且实时变化,一般每60秒刷新一次。当用户需要验证时,需要验证时客户端验证码提交至服务端进行验证。


    火星财经:在此类攻击事件中,如何区分被盗的是交易所还是用户呢?


    成都链安:如果黑客通过钓鱼等方式从用户手上窃取了APIkey,BTC确实是直接从币安交易所热钱包被转出,但遭受直接损失的是用户。所有的用户在充币时都是先充到交易所分配的个人小地址,之后交易所会把资金转移到统一的大钱包地址并做好记录,当用户提币时,资金直接从大钱包转出,但是会扣除用户账户上的余额。


    另一种情况是币安服务器上存储的key被盗并被利用,这种情况下,被攻击的是交易所而不是用户。


    无论如何,币安交易所已经宣布承担此次攻击的损失。


    火星财经:此次盗币事件中提币地址既有1开头的,也有3、bc1开头的,这些比特币地址有何区别?


    成都链安:在此引用简书上的一篇科普文章https://www.jianshu.com/p/87ff0295f447,具体介绍下这些地址的区别:


    以1 开头的,是 p2pkh 地址;以3开头的,是p2sh地址(内部也需是segwit);以bc1开头的,是bech32编码的地址,是专为segwit开发的地址格式。


    bc1开头的原生SW地址又可以分两种:P2WPKH和P2WSH。P2WPKH比P2WSH要短一些。


    P2WPKH的功能和1开头的P2PKH地址类似,由单个私钥控制。


    P2WSH的功能和3开头的P2SH地址类似,可以实现多重签名和一些较复杂的合约,最常见的用途就是闪电网络通道的开关。


    3开头的P2SH嵌套SW地址,其实也分为P2SH-P2WPKH和P2SH-P2WSH两种,就是把原生的P2WPKH和P2WSH给“封装”了一下,以达到兼容老版本钱包的目的


    SegWit最主要的目的是修正延展性、sighash二次增长等问题。不过开发者借此机会干了更多的事情,包括轻度扩容(相当于只给SW用户扩容,所以SW手续费才便宜)、脚本版本控制(可以用来启用新脚本操作码)等等。


    目前三种地址都能够正常交易,相同开头的地址只是支持的协议相同,不能证明其账号关联性。


    火星财经:被盗BTC目前的最新情况是怎样的?


    成都链安:昨晚攻击者已开始将BTC从实施攻击时的账户分散转移,目前资金已基本从最初的攻击账户转出,目前最新的存储地址主要是bc1q2*****(1060个BTC)等。


    火星财经:本次事件暴露出的最核心问题是什么?


    成都链安:是币安的提币API,根据币安公告,所有的API key都将作废:



    我们在昨天的文章中曾介绍过币安提币API的机制。


    本次遭到攻击的API提币机制主要用于充提币流量较大的用户快速交易,普通用户使用的较少,但广大用户还是要提高安全意识,注意保护好自己的信息,避免信息泄露造成不必要的损失。


    (完)


    欢迎大家体验:


    一、智能合约自动形式化验证平台VaaS精简版,准确率达到95%以上


    Beosin(成都链安科技)已向全球发布VaaS平台,全球首个同时支持ETH、EOS、Fabric、ONT、TRON等多个区块链平台的智能合约形式化验证平台,准确率达到95%以上。


    VaaS(精简版)系统为所有区块链从业者提供方便而免费的智能合约安全审计服务,对智能合约安全漏洞进行形式化验证,从容应对常规合约安全问题。欢迎大家登陆官方网址体验:


    官方网址:

    https://beosin.com/vaas/index.html#/audit/ptsj


    ▲VaaS 精简版平台


    二、在线 Beosin-IDE 免费版本


    Beosin-IDE 是一款免费的面向BOS、EOS区块链平台的智能合约在线集成开发环境,可同时支持合约开发、部署、测试和源码调试等功能的在线区块链应用开发集成环境。


    欢迎大家免费体验:通过浏览器访问

    https://beosin.com/BEOSIN-IDE/index.html#/

    (如下图,推荐Chrome浏览器)。


    ▲Beosin EOS-IDE


    Beosin官方发表正式声明:


    为了全球化市场战略需要,公司发布全新英文品牌 “Beosin”。作为深耕区块链安全领域的公司,“Beosin”力求为行业保驾护航,以打造区块链全生态安全为宗旨,竭诚为客户提供包括智能合约安全审计、智能合约开发审计一条龙、钱包安全加固与审计、DApp安全加固与审计、区块链平台安全检测、交易所安全检测、企业级安全服务等。但公司英文名称更名并不涉及业务架构或公司所有权变化。新品牌的Logo如下图:



    近期,有XX链安科技与成都链安科技重名,且Logo及宣传语相似。成都链安科技是一家由分布式资本、界石资本、盘古创富投资的专门从事区块链安全的公司,与其他XX链安科技无任何关联。请大家认准成都链安科技唯一指定商标品牌,谨防上当受骗,一切消息以官网及官方公众号为准。


    成都链安科技官方公众号名称:Beosin成都链安

    成都链安科技官方网址:

    www.lianantech.com

    ——Beosin




    关于Beosin:


    Beosin(成都链安)成立于2018年,公司位于四川省成都市,专注于区块链生态安全。公司由杨霞和郭文生两位教授共同创建,团队核心成员由来自海内外知名高校和实验室留学经历的教授、博士后、博士及阿里、华为等知名企业精英组成。已获得分布式资本、界石资本、盘古创富等著名投资机构的两轮股权投资。其核心技术为形式化验证,是全球最早一批将此技术应用到区块链安全领域的公司。


    公司首批入选Etherscan智能合约审计推荐名单及普华永道创新加速器,荣获全国首届中小微企业SaaS应用创新创业大赛冠军,获得OKEx最佳安全审计合作伙伴奖等荣誉,参加工信部多项区块链安全标准的撰写,入选工信部“2018区块链白皮书”,作为唯一安全公司入选“2018中国区块链企业百强榜”,荣膺金色财经“2018年度最专业安全服务机构”、“2019中国区块链安全领军企业”称号,荣获火星财经“最佳区块链数据安全团队”奖项,成为2019年区块链技术与数据安全工业和信息化部重点实验室成员单位。已与Huobi、OKEx、KuCoin、LBank、ONT、Qtum、比原链、Wanchain、BOS、Scry、布比区块链云象区块链、QuarkChain、麦子钱包、EOSPark等共计超过50家区块链公司建立战略合作关系,审计报告被国内外各大知名交易所认可,为助力本体智能合约安全发布形式化验证平台VaaS-ONT。公司审计智能合约超500份,独立发现区块链安全漏洞几十种,获得行业及客户的一致好评和认可。让区块链生态更安全,是我们的美好愿景!






    Beosin

    作为Huobi、OKEx、KuCoin、LBank等

    著名交易所指定的合约审计公司。 

    入选Etherscan智能合约安全审计名单。


    欢迎联系Beosin,了解智能合约安全审计

    智能合约开发审计一条龙

    钱包安全加固与审计

    DApp安全加固与审计

    区块链平台安全检测

    交易所安全检测

    企业级安全服务

     ·

    电话:028-83262585

    网站:www.lianantech.com

    邮箱:vaas@lianantech.com

    地址成都市世纪城南路599号

    天府软件园D7座504室


    官网:

    https://www.lianantech.com


    GitHub网址:

    https://github.com/Lianantech/VCA


    Facebook网址

    https://www.facebook.com/BeosinChengdu/


    twitter网址:

    https://twitter.com/Beosin_com


    Telegram中文群:

    https://t.me/LiananTech_cn


    Telegram英文群:

    https://t.me/LiananTech_en


    微博:

    https://weibo.com/u/6566884467


    CSDN博客:

    https://blog.csdn.net/CDLianan


    知乎专栏:




      点击了解更多



主题帖 77 关注 0 粉丝 0
情感指数

链路大数据分析置信度 46.64 %

TA的主题帖
主题相关
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表