最近,币安KYC问题再次浮出水面。北京时间8月7日,有消息称有人在Telegram直播大量币安KYC资料照片,虽然该交易所创始人赵长鹏随后辩称此事是个老新闻,但币安交易所的安全问题又引发了人们的关注。
事实上,一名使用「BanatovPlaton」ID的黑客透露,整件事情的复杂度超出人们想象。当「BanatovPlaton」开始公开他声称的所谓「真正的币安客户照片和信息」时,最先选择的是一个公开网站,然后才选择了在Telegram上公开信息。
作为世界上最大的加密货币交易所,对客户信息保护竟然如此掉以轻心,足以引起业界关注。下面,就让我们和大家把这个故事慢慢展开:
原文标题:《是内鬼还是监守自盗?币安KYC泄露事件最详解》作者:JohnBiggs、DanielKuhn,CoinDesk译者:Jason,金色财经
首先,整个事件有着深厚的根源,甚至可以回到今年五月份币安被盗7000比特币的那件事。当时,币安一如既往地承认了自己的问题,并将其描述为一次「大规模安全漏洞」,声称黑客能够获取大量用户的API密钥、2FA代码和其他可能的信息。
然而至始至终,币安没有提到识别用户信息可已经已被泄露了!
「BanatovPlaton」声称,正是在这次事件过程中,币安的客户信息已经被泄露了。虽然他表示自己并不是这次黑客事件的肇事者,但却透露自己通过攻击币安交易所的一位「内部人士」获取了相关信息。
另一方面,币安声称被获取的客户数据来自于一家未透露姓名的第三方公司,该公司已经于2018年2月和币安签约,并且负责执行KYC相关工作。
有海外媒体已经确认目前被泄露的数百个配置文件中,至少有两个是向币安提供身份识别信息的真实客户。有人分析其中一张照片似乎已经被篡改,但这位「受害者」已经证实就在信息被泄露时她又创建了一个币安账户。
「BanatovPlaton」声称他们是「白帽黑客」,并且还联系了币安,希望能够通过披露漏洞信息获得赏金。然而双方的谈判最终破裂了,据报道,币安公司代表透露该黑客要求支付300BTC,否则将进一步公开他持有的数据。
为了回应市场上的「恐惧、不确定和怀疑」,币安发布了一份声明,其中解释说:
我们想通知您,一位身份不明的人威胁并骚扰了我们,要求以300BTC的价格换取其持有的10,000张与币安KYC数据相似的照片,我们仍在调查此案的合法性和相关性。
「BanatovPlaton」声称,他们手中拥有60,000份KYC信息。
下面一起看看整个事件的来龙去脉。
就在币安今年五月份被黑客攻击之后,他们表示恶意行为者获得了客户的API,双因素代码以及「潜在的其他信息」。但「BanatovPlaton」对此事的看法不同,他表示币安交易所的一个内部人员帮助公开了许多API,允许黑客直接访问客户账户和资金。「BanatovPlaton」表示,泄露的文件还包含「非常严重的信息」,包括客户的电子邮件地址和账户密码。据悉,这些受到影响的客户是在2018年至2019年开立的币安账户。
利用这些个人信息,黑客编写了一个恶意脚本,允许他们可以实时提现0.002BTC。这段代码被嵌入到了买单之中去购买一个名为「BlockMasonCreditProtocol」的代币,并将其转换成比特币。此外,这个代码还能调用一些不再开放或公开的API来执行许多其他功能。不仅如此,有外媒测试了一个API调用,结果发现对服务器时间的简单请求仍然是打开的。
「BanatovPlaton」透露,被盗的加密货币被存放在比特币软件钱包提供商Blockchain托管的钱包中,Blockchain最近刚刚推出了PIT交易所。
通过追踪这个钱包的路径,「BanatovPlaton」发现黑客已经通过Bitmex、Yobit、KuCoin和火币等交易所洗了2,000个比特币,而且每天都在尝试兑换价值100万美元的比特币。
如何运作?
「BanatovPlaton」从声称泄露的60,000个客户账户中「共享」了636份文件,并希望媒体关注能够促使币安披露黑客攻击的真实情况,并将攻击者绳之以法。
按照币安之前的说法,被盗的比特币仅来自于他们的公司账户并且不影响普通消费者,当时币安还暂停了存款和取款服务以保护用户。但是,币安没有公开用户信息的泄露程度。泄露的数据信息包括护照招聘、驾照和持有身份证的用户露脸照片,除此之外,「BanatovPlaton」还提供了一些与照片相关的元数据示例,如下所示:
"id":1573211,
"userId":"25276308",
"front":"/IDS_IMG20180320/25276308_0_9416819.jpg "/>",
"back":"/IDS_IMG20180320/25276308_1_7376587.jpg "/>",
"hand":"/IDS_IMG20180320/25276308_2_4413070.jpg "/>",
"auditor":"chenxiaozi",
"message":"",
"status":1,
"createTime":"2018-03-2008:12:33",
"updateTime":"2018-03-2101:48:33",
"number":"s532557730580",
"firstName":"m",
"lastName":"",
"type":2,
"sex":1,
"country":"UnitedStatesofAmerica(USA)",
"email":"@outlook.com",
"version":1
在这个元数据中,之所以会在国家代码后出现汉字「美国」,据称是因为币安的KYC审核工作是在中国进行的,目前还不清楚其他字段代表什么意思。
此外,「BanatovPlaton」还披露了一些代码,其中可能看出黑客通过「内部人员」访问了币安服务器中的后门。通过对代码进行分析,「BanatovPlaton」的看法也许是对的。
区块链开发公司VisibleMagic首席技术官ViktorShpak说:
这极有可能成为API密钥攻击,黑客从某个地方获取了API密钥。
API密钥用于验证交易所和其他应用程序中的服务,如果黑客获取API密钥,他们几乎可以做任何事情,比如代表受害者购买加密货币、把加密货币转移到外部钱包。ViktorShpak透露,通过分析代码可以了解到币安内部存在后门,他解释说:
很可能是一个内部人员创建了一个处理程序,然后通过这个程序来访问用户API密钥,然后他们就获得了这些API密钥,并获取了用户数据的访问权限,黑客甚至开发了一个工具包来完成这项任务。
币安公司代表此前透露:
截至团队最新消息,目前没有证据表明这些是KYC图像是来自币安,而且根据我们的系统流程,并不给KYC图像加水印。
「BanatovPlaton」的动机
「BanatovPlaton」透露他曾联系了币安首席增长官林义翔,并解释说:
我个人很想让币安成为世界上第一个抓获黑客的交易所,这对他们的声誉非常有利。我告诉林义翔我有内幕消息,比如内部人员的详细信息、内部人员与外人的沟通细节、甚至还有内部人员的照片。我还告诉他我有黑客的详细信息,比如服务器信息、他们的身份、他们的电话号码等。
林义翔也作出了回应,声称愿意接受为这些有可能抓到黑客和内部人员、以及可能追回被盗资金的信息付费。然而,在同样的对话中,林义翔也驳斥了「BanatovPlaton」正运作的「FUD活动」,并表示不会对敲诈勒索做出反应。但是「BanatovPlaton」表示自己足够富有,而且也是一家加密货币交易所的运营者,该交易所规模是币安的三分之一。「BanatovPlaton」还说自己对财务报酬不感兴趣,他说道:
当我需要钱的时候,可以破解黑客持有的一家交易所账户,我可以从黑客的钱包里轻松找回600-700个代币。虽然我看到越来越多币安被窃的比特币被清洗,但自己却没有碰哪怕一毛钱。
谈判破裂
不过,「BanatovPlaton」却向林义翔索要了300BTC,如果按照7月份的价格计算,这笔钱大约价值300万美元,「BanatovPlaton」要求分50期支付给他。
但是就在7月22日,「BanatovPlaton」表示双方谈判破裂了,他已经停止与币安谈判,并说道:
我们进行了大约一个月的谈判,他们没有支付一分钱,我与币安的交易破裂了。
之后,「BanatovPlaton」威胁说要曝光他所获得客户信息。「BanatovPlaton」提供了他与林义翔的部分对话记录:
林义翔:我看到你已经将信息提供给媒体了。
林义翔:鉴于你的FUD活动已经完成,无论怎样,你拿手中的信息索要的赏金都会显著减少。正如我先前所说,我们不会对敲诈勒索作出反应。但如果你手中的信息有用,并且能让我们将坏人绳之以法并追回资金,我们愿意获得更多有关肇事者的信息。
「BanatovPlaton」:如同我先前所说,我不需要你的钱。
「BanatovPlaton」:我觉得已经没有继续交易的必要了。
「BanatovPlaton」:我也没期望你们会作出回应。
「BanatovPlaton」:但我很喜欢看到内部人员和黑客们看到新闻之后的反应。再次重申,我对你们的反应不感兴趣。
林义翔:我以为你想看到那些黑客们被逮捕?
「BanatovPlaton」:我想要,但不是现在。
「BanatovPlaton」:我宁愿离开并继续观察。
林义翔:我们仍然对那些可以逮捕黑客和内部人员、以及能够追回资金的信息感兴趣,并愿意为此付款。
林义翔:如果你有更多可以实现上述目标的信息,请让我知道。
林义翔:在你决定不再对话之前,我们会验证你所有的信息类型。
林义翔:如果你改变心意并仍想继续,请让我知道。
林义翔:感谢你的帮忙。
「BanatovPlaton」:那就给我钱。
「BanatovPlaton」表示他不该与币安谈判,这个决定本身就是错误的,他说道:
币安不是对的人.....所以我只会把所有数据发布给他们的客户。
8月5日,「BanatovPlaton」的威胁终于变成了现实,他将一个包括116个人的KYC信息文件转储上传到一个开放文件共享网站,名称为「GuardianM.」。8月6日早上,他进行了第二次转储,其中包含数百张持有身份证的个人照片。
「BanatovPlaton」的解释很简单:他们认为他们做的事是正确的。
「BanatovPlaton」最后表示:
人们一直在问,你为什么要发布这些KYC照片?你是怎么得到它的?我发布这些KYC照片的原因很简单:就是给那些在币安交易所上进行交易的人一个警告。如果我需要钱,我会把这些KYC信息卖到地下,而不是发布出来。
来源链接:www.coindesk.com
本文来源于非小号媒体平台:
Chinanews
现已在非小号资讯平台发布1篇作品,
非小号开放平台欢迎币圈作者入驻
入驻指南:
/apply_guide/
本文网址:
/news/4052643.html
币安
免责声明:
1.资讯内容不构成投资建议,投资者应独立决策并自行承担风险
2.本文版权归属原作所有,仅代表作者本人观点,不代表非小号的观点或立场
上一篇:
慢雾:门罗币锁定转账攻击可锁定交易所XMR流动性,但不会导致资金损失
下一篇:
卷走千万TRX的黑客wojak重现江湖,技术详解操作手法
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。