7月4日凌晨五時(shí)許，幣安交易所出現(xiàn)超大額提現(xiàn)，2小時(shí)內(nèi)，超過(guò)7000枚比特幣轉(zhuǎn)入同一地址，何一對(duì)此表示，這只是一個(gè)看上去比較異常的正常轉(zhuǎn)賬，并非網(wǎng)傳被盜。然而，同日上午八時(shí)，幣安暫停交易與提現(xiàn)，進(jìn)行臨時(shí)維護(hù)。

既然是“正常轉(zhuǎn)賬”，何來(lái)停機(jī)維護(hù)呢？

在巨額比特幣流轉(zhuǎn)的背后，一個(gè)名為Syscoin的小幣種，在4日四時(shí)許價(jià)格迅速拉升了320萬(wàn)倍，一枚SYS價(jià)格達(dá)到了96BTC——SYS的日常均價(jià)一直是0.00003BTC左右。隨著SYS價(jià)格被拉爆，黑客再通過(guò)其他交易所出貨，至少能獲利8000萬(wàn)。

幣安官方公告指出，這是一次“部分API用戶的釣魚(yú)事件”，何為API釣魚(yú)事件？又是如何獲利的呢？

金色財(cái)經(jīng)邀請(qǐng)KEX交易所的CTO劉宏斐對(duì)事件進(jìn)行技術(shù)解讀。API釣魚(yú)事件，可理解為通過(guò)常規(guī)的釣魚(yú)手段，包括并不限于假冒網(wǎng)上銀行、垃圾郵件、虛假電商廣告等不法手段，來(lái)獲取收集用戶的賬號(hào)信息，并由此獲得API接口權(quán)限，并通過(guò)大量的API接口操作來(lái)影響交易市場(chǎng)。劉宏斐表示，由于API權(quán)限位于用戶權(quán)限下，因此只要得到了平臺(tái)的用戶權(quán)限即可控制其API權(quán)限。如果黑客能夠從一個(gè)或者幾個(gè)平臺(tái)獲取大量的API控制權(quán)，即大量的用戶賬號(hào)登錄信息，就可以左右市場(chǎng)行情。

發(fā)動(dòng)攻擊的人掌控足夠的API之后，足以操控某個(gè)幣種的市場(chǎng)漲跌，只要涉及的資金量和某項(xiàng)目的資金盤(pán)達(dá)到一定比例，就能引發(fā)巨額漲跌，因此交易量小和單價(jià)低的小幣種容易成為攻擊對(duì)象。當(dāng)瞬間拉高小幣種的價(jià)格之后，再通過(guò)賣(mài)出提前低價(jià)埋伏在其他交易平臺(tái)的該幣種即可獲利。

這樣的事件過(guò)后往往跟隨比特幣的下跌，3月7日，幣安也發(fā)生了性質(zhì)極為相似的黑客攻擊時(shí)間，那一次買(mǎi)入的小幣種是VIA，攻擊發(fā)生后兩天，比特幣暴跌近1000美元。這一次，攻擊發(fā)生后30分鐘，比特幣跌去130美元。黑客通過(guò)提前做好的空單，可二次獲利。

針對(duì)這次異常事件，幣安提出了四點(diǎn)處理方案，包括刪除全部API記錄、回滾異常交易賬戶記錄、返還手續(xù)費(fèi)、以及成立幣安投資者保護(hù)基金等。

那么刪除API記錄的做法能夠在多大程度上彌補(bǔ)損失呢？劉宏斐指出，從技術(shù)角度看，“如果是單純刪除API記錄，其實(shí)作用不大，只能防止攻擊者在短時(shí)間內(nèi)不能進(jìn)行再次攻擊。真正有效的方式是，修復(fù)生成API過(guò)程可以繞過(guò)二次驗(yàn)證（GOOGLE驗(yàn)證等）的漏洞，防止在用戶未知的情況下生成API”。

交易所阻止黑客控制API有若干種辦法，首先就是要盡可能保障用戶賬號(hào)的安全，通過(guò)短信驗(yàn)證碼、GOOGLE驗(yàn)證碼等安全手段(此次攻擊中，生成API流程的2FA被繞開(kāi))增加賬號(hào)的安全機(jī)制；另外，在生成API的過(guò)程中加入人工審核的互動(dòng)過(guò)程，確認(rèn)此操作為用戶的本意操作。據(jù)劉宏斐介紹，KEX交易所目前采用的也是這種安全措施。

對(duì)于回滾交易的操作，劉宏斐認(rèn)為，這僅能恢復(fù)事故之前的賬戶情況，對(duì)用戶的利益做到一定程度的彌補(bǔ)，但對(duì)于“追回”黑客已經(jīng)獲取的利潤(rùn)則沒(méi)有意義。因?yàn)榇朔N攻擊黑客并沒(méi)有直接通過(guò)被盜賬號(hào)來(lái)直接獲取利益，而是通過(guò)大量被盜賬號(hào)的買(mǎi)賣(mài)行為影響市場(chǎng)，并且在其他平臺(tái)上已經(jīng)交易提現(xiàn)。

對(duì)于普通交易所用戶來(lái)說(shuō)，雖然賬戶記錄已經(jīng)回滾，但潛在地，會(huì)有相當(dāng)一部分加密貨幣交易者對(duì)幣安甚至所有的交易所安全性產(chǎn)生質(zhì)疑與恐慌，甚至引發(fā)踩踏性跟風(fēng)拋盤(pán)，這對(duì)于整個(gè)加密貨幣行業(yè)和區(qū)塊鏈產(chǎn)業(yè)都會(huì)產(chǎn)生沖擊。

劉宏斐建議，普通用戶為了保護(hù)自己在這樣的事件內(nèi)免受損失，需要做到兩點(diǎn)。首先最好將平臺(tái)內(nèi)提供的安全防護(hù)手段，例如，短信驗(yàn)證、郵箱驗(yàn)證、谷歌驗(yàn)證碼等安全機(jī)制盡可能的打開(kāi)，這樣雖然增加了登陸的復(fù)雜度，但其實(shí)這也是保證平臺(tái)數(shù)字資產(chǎn)的最基本手段；其次就是安全保密數(shù)據(jù)的保存方式。例如，密碼采用專(zhuān)業(yè)的密碼管理工具，存放數(shù)字資產(chǎn)的移動(dòng)設(shè)備不隨意安裝未知APP，不隨意掃描二維碼等，不在未知陌生的站點(diǎn)泄露用戶信息。

隨著信息化不斷深入到我們生活中的每個(gè)角落，我們的資產(chǎn)由傳統(tǒng)的有形資產(chǎn)在不斷轉(zhuǎn)化為數(shù)字資產(chǎn)。金色財(cái)經(jīng)認(rèn)為，數(shù)字資產(chǎn)不同于有形資產(chǎn)，在保存方式上需要我們重新樹(shù)立新的信息化安全防范意識(shí)，交易所等金融敏感的平臺(tái)不應(yīng)單純的只強(qiáng)調(diào)“用戶體驗(yàn)”、“易用性”，而忘記了信息安全的重要性。

本文來(lái)源： 金色財(cái)經(jīng) 文章作者： 許珂