请选择 进入手机版 | 继续访问电脑版
开启辅助访问
链路首页链路财经目前收录 币种 : 4908 交易所 : 310钱包 : 17 24H 交易量 : $43,403,137,051 总市值 : $245,388,183,835
2019
05/08
15:45
分享
评论

  • 5月8日早晨,币安官方发出公告称于20195717:15:24UTC)在系统中发现“大规模安全漏洞”。

     

    币安表示该安全漏洞是黑客使用了复合型技术,包括网络钓鱼、病毒等其他攻击手段,从而黑客能够访问大量用户应用程序接口密钥(API keys)、双因素身份验证码(2FA码)、以及其他信息,在区块高度575012处从币安热钱包中盗取7000枚比特币。致使交易所损失4100万美金。

     

     

    针对此次盗币事件,Beosin成都链安秉持打造区块链全生态安全的宗旨,我们的技术团队第一时间采取行动,作出深度分析。

     

    攻击现场:

     

    黑客攻击交易详情如下,

     


    攻击最后发生在575013块,总损失最高可达7074BTC

     

    下图为黑客详细提币地址:(黄色标记部分为主要提币地址)

     


    截至目前,币安热钱包(地址:1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s)被盗约7000BTC

     

    现在币安的热钱包余额3,612.69114593BTC,有余额留存,被盗部分仅占很小比例,说明币安热钱包的私钥目前是安全的。

     

    事件分析:

     

    经过我们分析,在58011718 (北京时间)通过API接口在同一时间发起提币操作。

     

    币安交易所的API申请后会生成API keySecret key,如下图:

     

     

    API接口有限定用户开放IP限制开放提现的功能

     

    开放提现是指直接利用 API keySecret key直接提现,不需要手机验证码、短信、谷歌验证码。

     

    如下图:

     

     

    API部分官方调用代码demo如下:

    (来自https://github.com/binance-exchange/python-binance

     


    我们初步分析认为是用户的API keySecret key信息泄露导致的此次攻击。

     

    如果用户没有限制ip并配置了开放提现功能,任意攻击者在获取了API keySecret key信息后便可以实现攻击。

     

    用户的信息泄露途径可能有四:

    1.普通用户一般不会使用API key,一般是高级用户用于代码中实现自动化交易,可能是用户源码泄露导致 Secret key泄露 

    2.用户被钓鱼攻击,输入了API keySecret key被黑客截取。

    3.用户的API keySecret key保存的电脑被攻击窃取。

    4.币安交易所系统原因导致用户API keySecret key泄露,其中只有71个用户开放了提现功能,被盗币。

     

    安全提示:

     

    Beosin 成都链安建议各交易所和用户都应该注意信息的保护,用户在使用开放提现等高级功能时,应提高对安全性的重视,避免信息泄露导致的各种危害,不让攻击者有可乘之机。


    欢迎大家体验:


    一、智能合约自动形式化验证平台VaaS精简版,准确率达到95%以上


    Beosin(成都链安科技)已向全球发布VaaS平台,全球首个同时支持ETH、EOS、Fabric、ONT、TRON等多个区块链平台的智能合约形式化验证平台,准确率达到95%以上。


    VaaS(精简版)系统为所有区块链从业者提供方便而免费的智能合约安全审计服务,对智能合约安全漏洞进行形式化验证,从容应对常规合约安全问题。欢迎大家登陆官方网址体验:


    官方网址:

    https://beosin.com/vaas/index.html#/audit/ptsj


    ▲VaaS 精简版平台


    二、在线 Beosin-IDE 免费版本


    Beosin-IDE 是一款免费的面向BOS、EOS区块链平台的智能合约在线集成开发环境,可同时支持合约开发、部署、测试和源码调试等功能的在线区块链应用开发集成环境。


    欢迎大家免费体验:通过浏览器访问

    https://beosin.com/BEOSIN-IDE/index.html#/

    (如下图,推荐Chrome浏览器)。


    ▲Beosin EOS-IDE


    Beosin官方发表正式声明:


    为了全球化市场战略需要,公司发布全新英文品牌 “Beosin”。作为深耕区块链安全领域的公司,“Beosin”力求为行业保驾护航,以打造区块链全生态安全为宗旨,竭诚为客户提供包括智能合约安全审计、智能合约开发审计一条龙、钱包安全加固与审计、DApp安全加固与审计、区块链平台安全检测、交易所安全检测、企业级安全服务等。但公司英文名称更名并不涉及业务架构或公司所有权变化。新品牌的Logo如下图:



    近期,有XX链安科技与成都链安科技重名,且Logo及宣传语相似。成都链安科技是一家由分布式资本、界石资本、盘古创富投资的专门从事区块链安全的公司,与其他XX链安科技无任何关联。请大家认准成都链安科技唯一指定商标品牌,谨防上当受骗,一切消息以官网及官方公众号为准。


    成都链安科技官方公众号名称:Beosin成都链安

    成都链安科技官方网址:

    www.lianantech.com

    ——Beosin




    关于Beosin:


    Beosin(成都链安)成立于2018年,公司位于四川省成都市,专注于区块链生态安全。公司由杨霞和郭文生两位教授共同创建,团队核心成员由来自海内外知名高校和实验室留学经历的教授、博士后、博士及阿里、华为等知名企业精英组成。已获得分布式资本、界石资本、盘古创富等著名投资机构的两轮股权投资。其核心技术为形式化验证,是全球最早一批将此技术应用到区块链安全领域的公司。


    公司首批入选Etherscan智能合约审计推荐名单及普华永道创新加速器,荣获全国首届中小微企业SaaS应用创新创业大赛冠军,获得OKEx最佳安全审计合作伙伴奖等荣誉,参加工信部多项区块链安全标准的撰写,入选工信部“2018区块链白皮书”,作为唯一安全公司入选“2018中国区块链企业百强榜”,荣膺金色财经“2018年度最专业安全服务机构”、“2019中国区块链安全领军企业”称号,荣获火星财经“最佳区块链数据安全团队”奖项,成为2019年区块链技术与数据安全工业和信息化部重点实验室成员单位。已与Huobi、OKEx、KuCoin、LBank、ONT、Qtum、比原链、Wanchain、BOS、Scry、布比区块链云象区块链、QuarkChain、麦子钱包、EOSPark等共计超过50家区块链公司建立战略合作关系,审计报告被国内外各大知名交易所认可,为助力本体智能合约安全发布形式化验证平台VaaS-ONT。公司审计智能合约超500份,独立发现区块链安全漏洞几十种,获得行业及客户的一致好评和认可。让区块链生态更安全,是我们的美好愿景!






    Beosin

    作为Huobi、OKEx、KuCoin、LBank等

    著名交易所指定的合约审计公司。 

    入选Etherscan智能合约安全审计名单。


    欢迎联系Beosin,了解智能合约安全审计

    智能合约开发审计一条龙

    钱包安全加固与审计

    DApp安全加固与审计

    区块链平台安全检测

    交易所安全检测

    企业级安全服务

     ·

    电话:028-83262585

    网站:www.lianantech.com

    邮箱:vaas@lianantech.com

    地址成都市世纪城南路599号

    天府软件园D7座504室


    官网:

    https://www.lianantech.com


    GitHub网址:

    https://github.com/Lianantech/VCA


    Facebook网址

    https://www.facebook.com/BeosinChengdu/


    twitter网址:

    https://twitter.com/Beosin_com


    Telegram中文群:

    https://t.me/LiananTech_cn


    Telegram英文群:

    https://t.me/LiananTech_en


    微博:

    https://weibo.com/u/6566884467


    CSDN博客:

    https://blog.csdn.net/CDLianan


    知乎专栏:




      点击了解更多



主题帖 40 关注 0 粉丝 0
情感指数

链路大数据分析置信度 62.76 %

TA的主题帖
主题相关
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表