技術深度丨幣安被盜的7074.18枚比特幣去哪了?_NCE

一周前，知名加密貨幣交易所Binance遭受黑客攻擊，被盜7074.18枚比特幣。盡管其創始人趙長鵬在多次AMA中披露了一些黑客盜幣的細節，并承諾使用“SAFU基金”全額承擔本次用戶的損失，此后也出現了“回滾交易”的爭議討論，但這7074.18枚比特幣究竟如何被盜？如今又被轉移到哪里？業界并沒有詳細的深究與討論。但國外的這位小哥用GoogleBigQuery好好深扒了一下，發現了不少貓膩。丟掉的7074.18枚比特幣還能不能找回來？一起往下看！最近一年的時間里，在業務上，我們只選擇支持Binance。我們選擇Binance作為第一個交易所合作伙伴，因為我們相信Binance的追蹤記錄、安全協議以及對用戶的承諾。

因此，當發現Binance被黑了7074.18枚比特幣時，對我們來說，這真是一個毀滅性的打擊。

事情是怎樣的？

如果你了解整個事件，可選擇跳過這部分。

對于這次“災難”，Binance沒有對外發表太多言論。雖然他們已經分享了關于盜竊的一些細節，但對于更細微的細節，他們卻仍在保持沉默。

根據他們最近更新的博客，他們正在努力保持最高程度的透明度，但擔心分享太多的安全細節會讓黑客感到不安，并最終削弱他們自己的安全。

盡管如此，我仍舊認為讓社區真正了解到底發生了什么是十分有必要的，因此我將在本文中深入探討。

活動時間表

以下是我們對事件發生時間的了解。

5月7日下午5:15，7074.18枚比特幣從Binance熱錢包中抽出。

發改委等九部門：推動可再生能源與區塊鏈等新興技術深度融合:6月1日消息，國家發改委等九部門印發《“十四五”可再生能源發展規劃》。其中提出，培育可再生能源發展新模式新業態。推動可再生能源智慧化發展。推動可再生能源與人工智能、物聯網、區塊鏈等新興技術深度融合，發展智能化、聯網化、共享化的可再生能源生產和消費新模式。推廣新能源云平臺應用，匯聚能源全產業鏈信息，推動能源領域數字經濟發展。

推動可再生能源與電動汽車融合發展。利用大數據和智能控制等新技術，將波動性可再生能源與電動汽車充放電互動匹配，實現車電互聯。采用現代信息技術與智能管理技術，整合分散的電動汽車充電設施，通過電力市場交易等促進可再生能源與電動汽車互動發展。（國家發改委）[2022/6/1 3:55:18]

5月7日下午7:00，Binance關閉了非預定維護的存款和取款。Cz向用戶保證，基金是SAFU，交易不會中斷。

5月7日11時36分，Binance宣布了一個安全漏洞，并證實黑客能夠從Binance熱錢包中提取7074.18枚比特幣。

5月8日下午12時42分，Binance限制所有現有API密鑰只允許交易，并宣布所有現有API密鑰將在UTC時間下午1:30刪除。

5月8日下午1:30，Binance刪除所有現有API密鑰。

這次盜竊和之前有何相似之處？

無論是最近、還是過去的攻擊都涉及到Binance的API和網絡釣魚。

黑客通過將自己偽裝成值得信賴的實體，然后欺騙用戶泄露敏感信息。

觀點：圍繞區塊鏈等核心技術深化改革 盡快落實央行數字貨幣:6月16日消息，中國人民大學國發院金融科技研究中心、未來法治研究院研究員楊東刊文《以民法典為契機構建數字經濟競爭規則》。文章中表示，以區塊鏈、大數據、人工智能等為代表的科技正在深刻變革著傳統經濟業態，塑造著數字經濟。對于新技術特別是區塊鏈技術，要從經濟治理層面充分理解其對生產關系的變革作用，其最大的意義在于調整各生產要素間的利益分配關系。

而基于區塊鏈的共票能夠改變過去由股東壟斷利潤的局面，讓更多的消費者、普通的勞動者等提供數據、參與數據價值創造的有關主體能夠獲得合理的利益分配。因此，應當充分注意到區塊鏈帶來的制度革新前景。應圍繞區塊鏈等自主創新核心技術不斷深化改革，真正釋放區塊鏈的巨大潛能，贏得數字時代的領先契機。

文章中還建議，要盡快落實央行數字貨幣DCEP，推動人民幣跨境支付。以區塊鏈技術為代表的金融科技的交易系統采取了更多的技術協議代替人工監督和執行，如以智能合約為代表的區塊鏈“協議”能夠便捷地實現清算、資金交割的程序而無須人工干預。此外，文章中還提到，應該認識到區塊鏈和金融的融合創新發展是大勢所趨，應盡快改變當前互聯網平臺的數據和發展紅利被美國等國所壟斷所獨享的局面，進行全面突圍。（經濟參考報）[2020/6/16]

一個用來“釣魚”的假Binance登錄界面

通常被盜取的信息是用戶API密鑰，這使得攻擊者能夠以編程的方式與交易所進行交互，就好像他們自己就是用戶一樣。

在Binance上有3個不同級別的API權限：

讀取ー獲得有關持幣、交易歷史和市場數據的能力。

動態 | 北京市2020年將推動區塊鏈等前沿信息技術深度融合:1月12日，北京市十五屆人大三次會議開幕。審查北京市人民政府關于北京市2019年國民經濟和社會發展計劃執行情況與2020年國民經濟和社會發展計劃草案的報告。報告提到，2020年將大力發展數字經濟，推動區塊鏈和人工智能、大數據、物聯網、工業互聯網等前沿信息技術深度融合，建好國家網絡安全產業園區。（新京報）[2020/1/12]

交易-執行交易的能力

提取ー取出資金的能力

當用戶創建一組API密鑰時，一般情況下，讀取和交易權限默認開啟，提取權限則被禁用。由于提取權限可能會帶來高風險，Binance要求用戶首先設置雙重身份驗證和IP白名單。

在SYS和VIA攻擊期間，攻擊者大部分時間都只得到了純交易訪問API密鑰。因為攻擊者不能從只有交易訪問權限的賬戶中提取資金，所以他們必須首先重新分配資金。

他們是這樣做的：

首先，在攻擊之前，攻擊者將目標對準一個易于操縱的交易所。通常情況下，被攻擊目標有著交易量小、訂單量也少的特點。黑客會提前購買一些這樣的數字貨幣。

然后，攻擊者發出限價訂單，以荒謬的價格出售他們的數字貨幣。

隨后，攻擊者利用盜取賬戶的API發送大量購買訂單，并以萬倍以上的價格在市場的另一邊購買自己的數字貨幣。完成這一步后，他們就有效地將財富從僅具有交易訪問權限的帳戶轉移到了具有提取權限的帳戶。

最后，攻擊者試圖從Binance取出“戰利品”。一旦取出并存入其他地方，就幾乎沒有人可以扭轉交易了。

聲音 | 山東省委常委：推動區塊鏈和人工智能等前沿信息技術深度融合:金色財經報道，11月27日，第十期山東干部講堂在濟南開講。山東省委常委、秘書長孫立成主持干部講堂。他表示，要著力推進創新發展，充分發揮我省科技資源優勢，推動區塊鏈和人工智能、大數據、物聯網等前沿信息技術深度融合，為加快新舊動能轉換提供新的技術支撐。要著力做好融合文章，把提高區塊鏈應用管理能力作為推進治理體系和治理能力現代化的重要手段，將流程再造與區塊鏈技術有機結合起來，以區塊鏈技術應用的實際成效助推山東高質量發展。[2019/11/28]

你可以在Binance交易歷史中找到證明上述方法的證據。在2018年的API黑客攻擊中，攻擊者通過以提高SYS和VIA的價格的方式，試圖轉移前面提到的資金。

如下圖，在2018年7月3日和2018年3月6日，SYS/BTC和VIA/BTC的價格和成交量分別出現了異常。

這次有什么不同？

這一次，攻擊方式有所不同。根據Binance的官方聲明，黑客能夠獲得大量的用戶API密鑰、谷歌驗證2FA碼和一些其他敏感信息。

通過2FA碼，黑客完全可以啟用提取權限，同時禁用IP白名單。這一次，黑客不需要冒著被人懷疑的風險而提高數字貨幣價格，進行多次交易，然后將資金轉移，這次攻擊更容易。

為了證實這一推理，我從Binance的API中提取了上個月每小時的交易數據。

如果API密鑰被用來操縱交易，交易量和貨幣價格將會出現異常峰值。

交易數據比較

我計算了黑客攻擊前30天交易量和價格的每小時最大值，還計算了黑客攻擊當天的交易量和價格的每小時最大值。

聲音 | 長沙市委常委會：推動區塊鏈和人工智能等前沿信息技術深度融合:11月27日，湖南省委常委、長沙市委書記胡衡華主持召開市委常委會會議。會議強調，要進一步增強責任感緊迫感，主動加強對區塊鏈技術的學習研究，緊扣區塊鏈技術和產業創新發展重點，從長沙實際出發，突出學用結合，促進全市區塊鏈產業健康有序發展。要以開放包容心態迎接新技術新挑戰，加強重點攻關，加快構建區塊鏈產業發展生態圈，充分發揮長沙科教資源優勢，結合22條產業鏈和制造業高質量發展等工作，推動區塊鏈和人工智能、大數據、物聯網等前沿信息技術的深度融合，為區塊鏈技術及產業發展提供優質環境、營造良好氛圍。（長沙晚報）[2019/11/27]

目的是比較兩者，看看黑客攻擊當天的每小時價格和交易量是否有所上升。

成交量比較

下表按攻擊當天每小時最大值和攻擊前30天每小時最大值之間的百分比差排序。

交易量

可以看到，LINK/PAX在黑客攻擊當天的每小時交易量出現了大于3倍增長，但這個數字還沒有大到能引起懷疑，特別是考慮到事實上，鏈接/pax的價格沒有飆升以及。

價格比較

在黑客入侵的當天，在最極端的情況下，我們也只看到價格上漲了34%。

這進一步說明，此次攻擊中黑客沒有操縱價格。

交易價格

雖然攻擊者可能會在周圍進行交易而不會引起注意，但我認為這是不可能的。在不影響價格和交易量的前提下，要轉移7074.18枚比特幣，需要許多賬戶，或者說，需要很長時間。

如果是這樣的話，長時間的交易活動很可能會引起原始賬戶所有者的懷疑，用戶會覺察到自己的資金正慢慢耗盡。一旦有用戶向Binance投訴，這將會給黑客們帶來災難。

黑客仍在逍遙法外

比特幣的價值和可靠性在很大程度上歸功于賬本的不可變性。但這也意味著，一旦成功提款，基本上就不可能追回被盜資金。

Binance證實，黑客能夠在這一次交易中提取7074.18枚比特幣。我使用GoogleBigQuery查詢與黑客有關的交易，并繪制出被盜資金的動向圖如下。

圓圈代表錢包地址，線條代表被盜資金流向。圓圈和線寬與兩地址間發送的比特幣數成正比。

幣安被盜資金動向圖

TransactionDepth=1

幣安被盜資金動向圖

TransactionDepth=2

幣安被盜資金動向圖

TransactionDepth=3

幣安被盜資金動向圖

TransactionDepth=4

被盜比特幣能被追回嗎？

據我所知，還不存在Depth>4的交易。黑客們正“清洗”被盜的比特幣，并將其存在一些固定的地址中。

下面是一個更大的可視化圖像，標注了單個錢包地址。

幣安被盜資金動向圖

附帶地址

從某種程度上來說，追蹤這些比特幣的來源是非常不可行的，因為涉及這些被盜比特幣的交易數量將呈指數級增長。

目前，有3種常見追蹤受污染數字貨幣的方法。

Poison：用3枚被盜比特幣和7枚正常比特幣一起進行交易，取出10枚「被盜」比特幣；

Haircut：用3枚被盜比特幣和7枚正常比特幣一起進行交易，10個中有30%被標記為「被盜」；

FIFO：用3枚被盜比特幣和7枚正常比特幣一起進行交易，最先出來的三個被標記為「被盜」。

從長遠來看，我認為這些方法都不能奏效。給受污染的貨幣貼上標簽或者加入黑名單，從根本上削弱了比特幣的可替代性和抗審查性。我不支持那些試圖追回或將被盜比特幣列入黑名單的想法。

澄清陰謀論

交易所黑客是陰謀論的溫床。雖然我們沒有時間在文章中解決所有問題，但我們可以處理一些最尖銳的問題。

是Binance把7074.18枚比特幣搞砸了，因為他們把這些比特幣發到了Segwit地址，而這些地址無法將資金轉移到任何地方。

從根本上說，這是不正確的。盡管你在blockchain網站上看不到Segwit交易，但你可以很容易地在下面這個網站找到交易記錄。

這是一個為了推廣DEX的騙局

糟糕的商業行為。Binance為了什么而不惜損失大量品牌資產？在所有這一切中，他們甚至沒有推廣他們的DEX。

不止7074.18枚比特幣被盜

我們只有Binance的官方數據，目前還沒有這方面的證據，但權威人士正在密切關注Binance的熱錢包。

不存在API密鑰被破壞的安全漏洞

這個倒是有可能。有傳言說有700個賬戶的提取權限被泄露了。沒有人站出來說他們的賬戶被黑了。如果用戶的密碼和2FA被破解，Binance肯定會要求用戶重置他們的個人信息。但如果沒有API密鑰被破壞，為什么Binance要重置API密鑰？

攻擊者仍然控制著許多Binance不知道的帳戶

這是可能的。雖然Binance重置了API密鑰，但黑客仍然可以通過盜取個人信息訪問一系列賬戶。

這對中心化交易所意味著什么？

推動DEX的發展

顯然，黑客在提醒人們，中心化交易所是容易犯錯的，這是對DEX的推動。

2019年初，DEX的交易量處于歷史最低水平。

DEX交易量持續下滑

說到底，人們似乎更偏愛便利、速度和流動性，而非安全性。

為什么中心化交易很吸引人，主要有以下三點原因：

保留對資產的完全控制權

獲得優惠的交易價格和進入流動市場的機會

低交易費用

將你的資產分開存到多個交易所

鑒于中心化交易所仍然至關重要，減輕風險的一個方法是將資產分開存到不同的交易所。

這對Binance又意味著什么？

Binance可以在47天內賺回這4000萬美元

從宏觀角度來看，4000萬美元對Binance來說并不是一個毀滅性的數字，因為它是世界上最大、最賺錢的交易所之一。

這起價值4000萬美元的Binance黑客事件，其造成的損失在交易所被盜歷史上排名第六。

10大交易所被盜事件

交易機器人是不可避免的

API密鑰和網絡釣魚是過去3次Binance黑客攻擊的共同主題。警告用戶不要讓任何第三方服務提供商訪問您的個人API密鑰是完全不現實的。這種單方面聲明既懲罰疏忽的交易申請，也懲罰像我們這樣缺乏安全意識的人群。

與其譴責第三方交易應用程序、然后對它們視而不見的這種無濟于事的行為，Binance應該通過啟動自己的OAuth客戶端來提供支持。通過這樣做，Binance實際上可以通過加強控制和監督，提高交易安全性，并降低未來API事故的風險。

拓展閱讀：

https://www.binance.com/en/blog/333497959022997504/Binance-Security-Incident-Update

https://binance.zendesk.com/hc/en-us/articles/360006675312-Incident-Recap-on-Irregular-SYS-Trading

https://www.hodlbot.io/blog/a-thorough-investigation-of-the-binance-hack

https://www.blockchain.com/

https://chain.so/address/BTC/bc1qp6k6tux6g3gr3sxw94g9tx4l0cjtu2pt65r6xp

Tags：NANANCNCEbinanceLever FinanceSecretSky.financeWombex Financecoinbase和binance

Polygon