币安API钓鱼事件?又是如何获利的呢的?(图)

资讯 9个月前 manoon
0

7月4日凌晨5点,币安交易所发生大额提现。在 2 小时内,超过 7,000 个比特币被转移到同一个地址。何毅说api币安,这只是一个正常的表面异常。转账不会通过互联网被盗。不过,当天早上8点,币安暂停交易和提现以进行临时维护。

既然是“正常转移”,如何停止维护?

在巨大的比特币流通背后,一种名为Syscoin的小​​货币在4日4点迅速涨价320万倍,一个SYS的价格达到了96BTC——SYS的日均价一直是关于0.00003BTC。随着 SYS 的价格暴涨,黑客通过其他交易所运送它们至少可以赚取 8000 万美元利润

币安官方公告指出,这是“部分API用户的钓鱼事件”。什么是 API 网络钓鱼事件?它是如何盈利的?

黄金财经特邀KEX交易所CTO刘鸿飞对本次活动进行技术解读。 API钓鱼事件可以理解为利用常规钓鱼方式,包括但不限于虚假网银、垃圾邮件、虚假电商广告非法手段,获取和收集用户账户信息,从而获取API接口权限,并通过大量API接口操作影响交易市场。刘鸿飞表示,因为API权限在用户权限之下,所以只要获取平台的用户权限,就可以控制API权限。如果黑客能够从一个或多个平台获得大量的 API 控制权,即大量的用户账号登录信息,就可以影响市场行情

攻击者控制足够多的API后,就足以控制某种货币的市场波动。只要涉及的资金数额与某个项目的资金达到一定的比例,就会引发巨大的波动api币安,所以交易量很小。而且单价低的小币种容易受到攻击。当小币种价格瞬间上涨时,可以提前低价卖出在其他交易平台埋伏的币种获利。

此类事件通常伴随着比特币的衰落。 3 月 7 日,币安也有一次性质非常相似的黑客攻击时间。当时买的小币种是VIA。袭击发生两天后,比特币币价暴跌近 1000 美元。这一次,在攻击发生 30 分钟后,比特币跌至 130 美元。黑客可以通过提前下空订单获得第二次利润。

针对此次异常事件,币安提出了四点解决方案,包括删除所有API记录、回滚异常交易账户记录、返还手续费、设立币安投资者保护基金

那么删除API记录的做法能在多大程度上弥补损失呢?刘鸿飞指出,从技术角度来说,“如果单纯的删除API记录,其实用处不大,只能防止攻击者在短时间内再次发起攻击。真正有效的方法是修复API生成过程绕过第二次验证中的漏洞(谷歌验证等),防止在用户不知情的情况下生成API。”

交易所有多种方法可以防止黑客控制 API。一是尽可能保证用户账户的安全,通过短信验证码、GOOGLE验证码等安全手段(在本次攻击中绕过了生成API流程的2FA)增加了账户的安全机制;另外,在API生成过程中加入人工审核的交互流程,以确认本次操作为用户原创操作。据刘鸿飞介绍,目前KEX交易所采用了这种安全措施。

对于回滚交易的操作,刘鸿飞认为,这只能恢复事故发生前的账户状况,在一定程度上补偿用户的利益,但“挽回”已经获得的利润并无意义。黑客。

因为这次攻击,黑客并没有通过被盗账户直接获取利益,而是通过大量被盗账户的买卖影响市场,并且已经在其他平台进行了现金交易。

对于普通交易所用户来说,虽然账户记录已经回滚,但潜在相当多的加密货币交易者会质疑和恐慌币安乃至所有交易所的安全性,甚至引发踩踏事件。抛售将对整个加密货币行业和区块链行业产生影响。

刘鸿飞建议,普通用户需要做两件事,才能在此类事件中保护自己免受损失。首先,最好开启平台提供的安全保护方式,如短信验证、邮箱验证、谷歌验证码等安全机制。虽然这增加了登录的复杂性,但实际上是保证平台数字资产的最重要方式。基本方法;二是安全保密数据的存储方式。例如,密码使用专业的密码管理工具,存储数字资产的移动设备不得随意安装未知应用程序、不得随意扫描二维码等,不得在未知陌生网站泄露用户信息。

随着信息化不断渗透到我们生活的每一个角落,我们的资产也在不断地从传统的有形资产转变为数字资产。 Golden Finance 认为,数字资产不同于有形资产。我们需要在保存的方式上重新树立信息安全的新意识。交易所等金融敏感平台不应简单地强调“用户体验”和“易于使用”。 , 忘记了信息安全的重要性。

版权声明:manoon 发表于 2021-08-24 12:03:02。
转载请注明:币安API钓鱼事件?又是如何获利的呢的?(图) | 198区块链导航

暂无评论

暂无评论...