加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > XMR > Info

成都鏈安:幣安 7000 枚比特幣是如何被盜的?_BTC:keyTango

Author:

Time:1900/1/1 0:00:00

關于此次幣安交易所遭到黑客攻擊,Beosin成都鏈安科技安全團隊對本次事件進行了深度分析,為大家揭開真相。

文章來源:成都鏈安科技安全團隊

知名加密貨幣交易所幣安受到黑客攻擊,目前已經有7074.18個比特幣被竊。根據幣安首席執行官趙長鵬對外披露的信息,該交易所在5月7日發現了「大規模的安全漏洞」,該漏洞導致黑客能夠訪問用戶應用程序接口密鑰、雙因素身份驗證碼、以及其他信息。按照安全通知中公布的一筆交易,黑客從幣安交易所中取走了價值大約4100萬美元的比特幣。

對此次攻擊,Beosin成都鏈安科技安全團隊進行了深度分析:

交易詳情如下:

發生在575013塊,總損失最高可達7074個BTC

成都鏈安:bDollar項目遭受價格操控攻擊,目前攻擊者獲利2381BNB存放于攻擊合約中:據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,bDollar項目遭受價格操控攻擊。攻擊者地址:0x9dadbd8c507c6acbf1c555ff270d8d6ea855178e

攻擊交易eth:0x9b16b1b3bf587db1257c06bebd810b4ae364aab42510d0d2eb560c2565bbe7b4

攻擊合約:0x6877f0d7815b0389396454c58b2118acd0abb79a

目前攻擊者獲利2381BNB,存放于攻擊合約中。[2022/5/21 3:32:53]

詳細提幣地址

截至目前,幣安熱錢包被盜約7074枚BTC。現在幣安的熱錢包余額3,612.69114593個BTC,說明幣安熱錢包的私鑰安全,經過團隊分析,在05月08日01:17:18,通過API接口在同一時間發起提幣操作。

成都鏈安:WienerDogeToken遭遇閃電貸攻擊事件分析:據成都鏈安“鏈必應-區塊鏈安全態勢感知平臺”安全輿情監控數據顯示,WienerDogeToken遭受閃電貸攻擊。成都鏈安安全團隊對此事件進行了簡要分析,分析結果如下:攻擊者通過閃電貸借貸了2900個BNB,從WDOGE和BNB的交易對交換了5,974,259,851,654個WDOGE代幣,然后將4,979,446,261,701個代幣重新轉入了交易對。這時攻擊者再調用skim函數,將交易對中多余的WDOGE代幣重新提取出來,由于代幣的通縮性質,在交易對向攻擊地址轉賬的過程中同時burn掉了199,177,850,468個代幣。這時交易對的k值已經被破壞,攻擊者利用剩下WDOGE代幣將交易對內的2,978個BNB成功swap出來,并且將獲利的78個BNB轉到了獲利地址。

這次攻擊事件中,攻擊者利用了代幣的通縮性質,讓交易對在skim的過程中burn掉了一部分交易對代幣,破壞了k值的計算。成都鏈安安全團隊建議項目上線前最好進行安全審計,通縮代幣在與交易對的交互時盡量將交易對加入手續費例外。[2022/4/26 5:11:33]

幣安交易所的API申請后會生成APIkey和Secretkey,如下圖:

動態 | 成都鏈安獲得前海母基金新一輪融資:金色財經報道,2020年2月,成都鏈安科技有限公司正式宣布,獲得前海母基金新一輪融資,以推動區塊鏈安全事業健康有序發展。此前,成都鏈安已在2019年12月獲得由聯想創投、復星高科領投,成創投、任子行戰略投資的數千萬元融資,以及在2018年3月獲得分布式資本的種子輪投資,在2018年9月獲得界石資本、盤古創富的天使輪投資。據了解,前海母基金是目前國內商業化募集母基金,截至目前已完成募集規模285億元。[2020/2/25]

API接口有限定用戶開放IP限制和開放提現功能。開放提現就是直接利用APIkey和Secretkey直接提現,不需要收集驗證碼、短信、谷歌驗證碼。

如下圖:

API部分官方調用代碼demo如下:

動態 | 成都鏈安:10月發生較典型安全事件共5起:據成都鏈安態勢感知平臺——Beosin?Eagle-Eye統計數據顯示,在過去一個月(10月)中,共發生5起較為典型的安全事件。其中包括:1.EOS鏈上本月內總共發生兩起攻擊事件:一是假EOS攻擊;二是游戲服務器解析參數問題。2.亞馬遜云服務平臺AWS被爆遭到了DDoS攻擊,并因此被迫中斷了服務。3.網頁加密貨幣錢包Safuwallet被黑客通過注入惡意代碼竊取了大量資金,并且殃及幣安。4.Cryptopia被盜資產開始轉移:一部分ETH流入知名DeFi借貸平臺Compound;另有數個ETH流入一個叫做DeFi 2.0的DApp項目。鑒于當前區塊鏈安全新形勢,Beosin成都鏈安在此提醒各鏈平臺需要增強安全意識,重視各類型安全風險,必要時可尋求安全公司合作,通過第三方技術支持,排查安全漏洞,加固安全防線;各錢包項目應進一步做好安全方面的審查,有意識地增強項目系統架構的安全性,并建立完善的應急處理機制。如發生資產損失,可借助安全公司的幫助,進行資產溯源追蹤;用戶在進行投資行為時需謹慎,遠離資金盤,切勿刀口舔血。[2019/10/31]

我們初步分析,推測是用戶的APIkey和Secretkey信息泄露導致的此次攻擊。

如果用戶沒有限制ip并配置了開放提現功能,任意攻擊者在獲取了APIkey和Secretkey信息后便可以實現攻擊。

用戶的信息泄露途徑可能有:1、普通用戶一般不會使用apikey,一般是高級用戶用于代碼中實現自動化交易,可能是用戶源碼泄露導致apiSecretkey泄露;2、用戶被釣魚攻擊,輸入了APIkey和Secretkey被黑客截取;3、用戶的APIkey和Secretkey保存的電腦被攻擊竊取;4、幣安交易所系統原因導致用戶APIkey和Secretkey泄露,其中只有71個用戶開放了提現功能,被盜幣。

被黑客盜取的7074枚BTC的主要20個地址如下:

bc1qp6k6tux6g3gr3sxw94g9tx4l0cjtu2pt65r6xp555.997BTCbc1qqp8pwq277d30cy7fjpvhcvhgztvs7v0nudgul5463.9975BTCbc1qld27dqu6wrl4tmjdr8tl55qavmghwrr4ldh7qn473.9975BTCbc1q8m9h3atn4cqeqhu3ekswdqxchp3g7d4v3qv3wm567.997BTCbc1q7p6edvd4zvtya8uj366c23dan8pvlp503spucu468.9975BTCbc1ql0wlnu80l8kctjzkzlzd72sdjqwuvruvgepceq383.998BTCbc1q3ldtrr6xtpx8jam5gw68aaexz2wtluj0qullvr189.999BTCbc1qyv4zv0wjn299kx4yz6g7v6g6400wqgzcqgw9vx383.998BTCbc1q6fejm4r866tmt8ptf42juedv5gevlv2qt72agq371.998BTCbc1qvstwzsrfml43jrclsp68220l4lx5lw3kwf7dp0193.999BTCbc1qecs672j9dpvwr56zeldgf3swtlv3dad52wzuta463.9975BTCbc1qshkncv7tkpye7z0z4a3k9yw2e73whha9gjs88z97.9995BTCbc1qhlhx6lrnr0jf4zpvm788j7yeezau6s8q557p2z279.9985BTCbc1qesy52g7ndy652qudr2awuk57mcaxgmn9qsmpzk469.9975BTCbc1q9svj9wp68zftgejjgk6f96ukuyx8c5urkqsv69193.999BTCbc1qanrl8n3flz4jftkscljx2hwuc3h50f9ynp2nyn89.9995BTCbc1qtpdptcf4ngfkwq6dr36kqaeh2n5h00rx5unkgc670.9965BTCbc1qvr2jxlmvckap7cg2l6mdgh5fa8glkhe4s88sax377.998BTCbc1qhqap39mpkldjzvqdf3204p732krtnf56mm9aj3370.998BTC3KBsR6Ld255Tw5hNR4S6KaX5SXxvRF6jv31.29968018BTC

本文來源于非小號媒體平臺:

鏈聞研究院

現已在非小號資訊平臺發布1篇作品,

非小號開放平臺歡迎幣圈作者入駐

入駐指南:

/apply_guide/

本文網址:

/news/3626566.html

比特幣幣安

免責聲明:

1.資訊內容不構成投資建議,投資者應獨立決策并自行承擔風險

2.本文版權歸屬原作所有,僅代表作者本人觀點,不代表非小號的觀點或立場

上一篇:

再次敲響警鐘!幣安被盜7000比特幣,我們該如何保護自己的幣?

Tags:BTCBTCBCBCKEYBTC是啥縮寫btcb幣最新價格CBC幣keyTango

XMR
探索通證經濟新模式:一條公鏈如何玩轉兩個代幣_HAI:Haicoin

上世紀90年代,有這樣一個團體,成員有加密學愛好者,有計算機科學家,有黑客,還有一些自由主義愛好者,他們希望能夠通過互聯網加密運動,去實現中心化的點對點加密通信以及互聯網點對點的貨幣.

1900/1/1 0:00:00
幣換天下繁星計劃商城APP將于5月22日正式開啟_ALC:Themis Chain

幣換天下繁星計劃正式啟動,并將于2019年5月22上線新版端口APP,千種產品,物美價廉。根據電商的起源發展來看當前種類多,價格低,不一定就會造成人人需要,人人買單的結果.

1900/1/1 0:00:00
芝商所比特幣期貨交易在5月創下多項新記錄,市場釋放買入信號_比特幣:BLOCK

據TheBlock消息,比特幣期貨市場背后的交易所巨頭芝加哥商品交易所集團繼續刷新與比特幣掛鉤的合約記錄.

1900/1/1 0:00:00
ABE項目更新公告_BIT:HTT

尊敬的BITKER用戶:BITKER將重新正式開放ABE/ETH,ABE/BTC交易對。由于項目方重新更換合約地址,并對所有BITKER用戶承諾,原ABEtoken持有用戶將按照1:1數量重新獲.

1900/1/1 0:00:00
每一個加密貨幣背后,都是一場權力的游戲_比特幣:POWERZILLA

如果要用一句話給小白介紹加密貨幣最重要的“共識機制”,我的答案會是:這就是一場權力的游戲。 ?? 這個世界的任何組織,都希望自己能以最小的博弈消耗達到納什平衡.

1900/1/1 0:00:00
知道創宇 CEO 趙偉:以極客之名論未來安全之道_區塊鏈:加密貨幣

8月27-28日,由騰訊主辦的第四屆互聯網安全領袖峰會在北京召開。本屆CSS峰會以“安全強驅動數字新生態”為主題,在8月27日全天舉行的主論壇上,眾多泛安全領域國際范圍內具有先進研究成果的行業嘉.

1900/1/1 0:00:00
ads