火星财经APP(微信:hxcj24h)一线报道,北京时间5月8日凌晨,黑客在区块高度575013处从币安热钱包中盗取约7000枚比特币。针对此事件,Beosin成都链安科技安全团队对交易详情、提币地址、潜在原因等进行了深度分析(详见火星一线 | 成都链安:一文起底币安7000枚比特币被盗事件)。
为方便普通投资者理解此次盗币事件中的知识点,火星财经APP(微信:hxcj24h)独家专访了成都链安团队,对方直言本次事件暴露出的核心问题是币安的提币API,目前币安已宣布所有的API key作废。
至于被盗BTC的情况,成都链安团队表示,昨晚攻击者已开始将BTC从实施攻击时的账户分散转移,目前资金已基本从最初的攻击账户转出,最新的存储地址主要是bc1q2*****(1060个BTC)等。
以下为专访内容,由火星财经APP(微信:hxcj24h)编辑整理:
火星财经:根据币安公告,在此次攻击事件中,黑客能够获得大量用户API密钥,谷歌验证2FA码以及其他相关信息,2FA到底是什么?
成都链安:2FA(2 Factor Authentication)即双因子验证。
先来说一下传统的验证方式,传统的验证方式一般是一组静态的信息组成如:字符、图像、手势等,很容易被绕过,相对不安全。
2FA是基于时间、历史长度、实物(信用卡、SMS手机、令牌、指纹)等自然变量结合一定的加密算法组合出一组动态密码,一般每60秒刷新一次。不容易被获取和破解,相对安全。
币安采用的双因子验证方式是Google Authenticator,即它的双因子验证码(2FA码)就是谷歌验证。申请谷歌验证,第一次会生成一个种子秘钥,
种子秘钥会存储在服务端及客户端,客户端基于时间因子算出谷歌验证码,并且实时变化,一般每60秒刷新一次。当用户需要验证时,需要验证时客户端验证码提交至服务端进行验证。
火星财经:在此类攻击事件中,如何区分被盗的是交易所还是用户呢?
成都链安:如果黑客通过钓鱼等方式从用户手上窃取了APIkey,BTC确实是直接从币安交易所热钱包被转出,但遭受直接损失的是用户。所有的用户在充币时都是先充到交易所分配的个人小地址,之后交易所会把资金转移到统一的大钱包地址并做好记录,当用户提币时,资金直接从大钱包转出,但是会扣除用户账户上的余额。
另一种情况是币安服务器上存储的key被盗并被利用,这种情况下,被攻击的是交易所而不是用户。
无论如何,币安交易所已经宣布承担此次攻击的损失。
火星财经:此次盗币事件中提币地址既有1开头的,也有3、bc1开头的,这些比特币地址有何区别?
成都链安:在此引用简书上的一篇科普文章https://www.jianshu.com/p/87ff0295f447,具体介绍下这些地址的区别:
以1 开头的,是 p2pkh 地址;以3开头的,是p2sh地址(内部也需是segwit);以bc1开头的,是bech32编码的地址,是专为segwit开发的地址格式。
bc1开头的原生SW地址又可以分两种:P2WPKH和P2WSH。P2WPKH比P2WSH要短一些。
P2WPKH的功能和1开头的P2PKH地址类似,由单个私钥控制。
P2WSH的功能和3开头的P2SH地址类似,可以实现多重签名和一些较复杂的合约,最常见的用途就是闪电网络通道的开关。
3开头的P2SH嵌套SW地址,其实也分为P2SH-P2WPKH和P2SH-P2WSH两种,就是把原生的P2WPKH和P2WSH给“封装”了一下,以达到兼容老版本钱包的目的
SegWit最主要的目的是修正延展性、sighash二次增长等问题。不过开发者借此机会干了更多的事情,包括轻度扩容(相当于只给SW用户扩容,所以SW手续费才便宜)、脚本版本控制(可以用来启用新脚本操作码)等等。
目前三种地址都能够正常交易,相同开头的地址只是支持的协议相同,不能证明其账号关联性。
火星财经:被盗BTC目前的最新情况是怎样的?
成都链安:昨晚攻击者已开始将BTC从实施攻击时的账户分散转移,目前资金已基本从最初的攻击账户转出,目前最新的存储地址主要是bc1q2*****(1060个BTC)等。
火星财经:本次事件暴露出的最核心问题是什么?
成都链安:是币安的提币API,根据币安公告,所有的API key都将作废:
我们在昨天的文章中曾介绍过币安提币API的机制。
本次遭到攻击的API提币机制主要用于充提币流量较大的用户快速交易,普通用户使用的较少,但广大用户还是要提高安全意识,注意保护好自己的信息,避免信息泄露造成不必要的损失。
截至本文发出,币安BNB价格为20.9美元,24小时下跌0.5%;BTC价格为6083美元,24小时上涨3.1%。
追踪 “币安被盗7000枚比特币”事件最新进展,请点击“币安被盗7000枚比特币”事件追踪(持续更新)
看更多相关文章,进入专题报道:币安被盗7000枚比特币事件追踪
微信扫一扫 
