CoinDesk的報道中,公佈了幣安和KYC駭客的談判資訊。
在週三釋出幣安KYC客戶的詳細資訊之前,一名以“Bnatov Platon”為筆名的駭客與CoinDesk記者進行了長達一個月的對話。然而完整的故事可能更復雜。這可以追溯到5月份幣安熱錢包被盜7000枚比特幣的事情。當時幣安公開被盜事情並將其描述為系統安全漏洞的一部分,宣告駭客可能能夠獲取大量使用者API金鑰,2FA程式碼和其他資訊。
然而,未提及的是,使用者的資訊可能已被洩露。之後,Platon聲稱他們已經獲得了幣安部分客戶的資訊,儘管其稱他並不是幣安被盜事件的駭客。此外,Platon聲稱很可能是交易所內部人士幫助駭客公開了很多API資訊,允許駭客直接訪問客戶帳戶。
另一方面,幣安曾有一週將部分KYC稽覈外包給第三方服務公司,目前,正在和第三方服務公司核對所有資訊。此外,CoinDesk已經確認洩漏的數百個配置檔案中至少有兩個屬於向交易所提供KYC資訊的真實客戶,其中一張圖片似乎已被篡改。
在與CoinDesk的對話中,Platon聲稱他們是白帽駭客,他的目標是無私的,他只是想把真正的駭客繩之以法。然而,似乎他以不公開資訊為動機要求幣安提供揭露資訊的漏洞賞金。然而,談判最後失敗。Platon於昨日公開了部分KYC照片。Platon在7月22日與幣安代表談話時表示,“我當前的興趣是你們公司的駭客和內部人士。在新聞釋出時,我們很樂意看到他們的反應。”此外,Platon聲稱他們有60,000件KYC資訊。
以下是我們對談判及其後果的瞭解。
流動資金
CoinDesk與Platon的互動最初是從7月開始的,當時報道還在關注5月Binance比特幣被盜後的資產流動。
Binance當時迴應了駭客行為,稱惡意行為獲得了客戶的API,2FA程式碼以及“潛在的其他資訊”。
Platon對此有著不同的看法,他們聲稱,幣安內部的一位員工幫助公開了許多API,允許駭客直接訪問客戶帳戶。駭客能夠獲取的文字檔案中儲存了客戶端API金鑰列表,用於遠端訪問其帳戶的程式碼。這使得駭客可以遠端訪問資金。
Platon說,這些檔案還“包含非常重要的資訊”,包括客戶的電子郵件地址和帳戶密碼。這些風險客戶在2018年至2019年期間註冊了Binance。
利用這些個人資訊,駭客編寫了一個惡意指令碼,允許他們立即撤銷.002 BTC(大約23美元)。該程式碼為一個名為BlockMason Credit Protocol的指令碼下了一個買單,並將其轉換為比特幣。我們檢查過的程式碼也可以使用不再開放或公開的API呼叫來執行許多功能。但是,當我們測試一個API呼叫時,對伺服器時間的簡單請求仍然是開啟的。目前還不清楚關閉的API端點是被刪除還是被隱藏。
Platon稱,被盜的貨幣存放在由比特幣軟體錢包提供商Blockchain託管的錢包中,後者是最近推出的PIT交易所的製造商。
透過沿著這個錢包引領的路徑,Platon發現駭客已經透過Bitmex,Yobit,KuCoin和Huobi清洗了2000個比特幣,並且每天轉換套現多達100萬美元的比特幣。
工作原理
在Platon聲稱危險的60,000個客戶賬戶中,他與CoinDesk共享了636個檔案。他希望媒體的關注能夠促使幣安宣佈駭客的真實程度,並將他們繩之以法。
就其本身而言,幣安宣佈被盜的比特幣僅來自他們的公司賬戶並且不影響消費者。當時,交易所還暫停提現和充值以保護使用者。但是,被保護的使用者資訊還是洩露了。
除了護照,駕駛執照和持有身份證的使用者的實際漏出頭部影象之外,Platon還提供了一些與影象相關的後設資料示例。
例如,此程式碼表明使用者在03/20/2018透過了KYC:
"id": 1573211,
"userId": "25276308",
"front": "/IDS_IMG20180320/25276308_0_9416819.jpg",
"back": "/IDS_IMG20180320/25276308_1_7376587.jpg",
"hand": "/IDS_IMG20180320/25276308_2_4413070.jpg",
"auditor": "chenxiaozi",
"message": "",
"status": 1,
"createTime": "2018-03-20 08:12:33",
"updateTime": "2018-03-21 01:48:33",
"number": "s532557730580",
"firstName": "m[REDACTED]",
"lastName": "[REDACTED]",
"type": 2,
"sex": 1,
"country": "United States of America (USA)(美國)",
"email": "[REDACTED]@outlook.com",
"version": 1
根據稽覈員的姓名以及國家程式碼末尾增加的“美國”,KYC在中國完成。目前還不清楚其他領域代表什麼。
此外,Platon發給了CoinDesk資料,他將其描述為透過“內部人員”訪問位於幣安伺服器中的捷徑。對程式碼的分析表明Platon說法是正確的。
區塊鏈開發公司VisibleMagic的技術長Viktor Shpak說:“這極有可能成為API金鑰攻擊。” “他們從某個地方收穫了API金鑰。”
API金鑰用於驗證交換機和其他應用程式中的服務,並且可以允許駭客做任何事情,從受害者購買加密貨幣到實際將加密貨幣移動到外部錢包。
Shpak表示,特殊程式碼暗示了幣安內部的漏洞,儘管CoinDesk無法透過此功能和相關的API金鑰獨立驗證訪問許可權。
public static String getApiKey(String uri, String userId) {
String time = "";
time = get("https://www.binance.com/api/v1/time");
Map<String, String> param = new HashMap<String, String>();
param.put("userIderId);
param.put("descpi" + JSON.parseObject(time).getString("serverTime"));
return post(uri + "/exchange/mgmt/account/getApiKey", param);
“很可能是一個內部人員建立了一個處理程式來訪問使用者API金鑰,然後他們收集了這些API金鑰,並獲得了使用者資料的訪問許可權,並構建了一個很好的工具包來解決這個問題,”他說。
雖然當時遇到這些資訊,幣安公關表示,“截至團隊最新訊息,目前沒有證據表明這些是來自幣安的KYC影象,並且根據我們的系統流程它們沒有加水印。”
Platon的動機
在與CoinDesk交談時,Platon還聯絡了幣安的CGO Ted Lin,作為將駭客繩之以法的多方面努力的一部分(或者他聲稱)。
“我個人想讓幣安成為世界上第一個抓住駭客的交易所。這對幣安的聲譽非常有利,“Planton補充道:
我告訴[林],我有內幕資訊,如內幕人員的詳細資訊,內幕人士與外人的溝通細節,甚至是內幕人士的照片,伺服器資訊,真實身份,電話號碼等。
在一則來自Lin的訊息中,Platon與CoinDesk分享了這一訊息,CGO願意接受逮捕駭客,曝光內部人員和追回資金的協助。
然而,在同樣的訊息中,林拒絕了Platon為他發起的“FUD運動”。
“正如我所說,我們不會對敲詐勒索做出妥協,”林說。在與CoinDesk的早期對話中,Platon聲稱自己是財務自由的,他所說的加密交換的運營商是幣安的三分之一。
他還說他對財務報酬不感興趣。“當我需要錢時,我可以破解一個交換賬戶餘額(駭客的)。我可以透過駭客的錢包輕鬆找回超過600或700個比特幣“, Platon說。
“但我看到越來越多的比特幣被洗掉並且快速流動時我沒有接觸到一分錢,”他說,他表示不想向駭客提示他正在追蹤他們。
談判破裂
Platon涉嫌利用這場危機達到他獲利的目的,CoinDesk後來從Platon和幣安高層那裡瞭解到:白帽駭客要求幣安付出300比特幣作為報酬,按照7月份匯率約為300萬美元,分50期支付。
然而,這個談判破裂了。
7月22日,就在他們最初聯絡CoinDesk的五天後,Platon說他已停止與幣安的談判。
“大約一個月的談判,他們沒有支付一分錢,”Platon說。“我與幣安的談判破裂了。”
就在那時,Platon與幣安的談話淪為人質談判,Platon威脅要拋售他所獲得的全部的客戶資訊。
Platon提供了與Ted Lin的以下談判資訊:
Ted Lin,[20.07.19 19:54]
我看到你已經把你的資訊提供給了媒體
Ted Lin,[20.07.19 19:59]
鑑於你的FUD活動造成的損害,無論你要求獲得哪些資訊都不會如預期。正如我所說,我們不會對敲詐勒索做出妥協。但是,如果您有用的資訊可以讓我們將壞人繩之以法並追回資金,我們願意從你那裡獲得更多有關犯罪者的資訊。
Platon,[21.07.19 16:53]
正如我所說,我不需要你的錢
Platon,[21.07.19 16:53]
我已經沒有交易意願了
Platon,[21.07.19 16:54]
我也沒想到你會做出這樣的反應
Platon,[21.07.19 16:59]
但我喜歡看到內幕和那些駭客資訊在新聞釋出時的反應。我再一次對你的迴應不感興趣。
Ted Lin,[21.07.19 19:04]
我以為你想看到那些駭客被抓住?
Platon,[21.07.19 19:11]
我想。但是不是現在。
Platon,[21.07.19 19:12]
現在,我寧願袖手旁觀。
Ted Lin,[21.07.19 19:19]
我們仍然有興趣支付那些能夠逮捕駭客,內部人員和資金回收的資訊費用。
Ted Lin,[21.07.19 19:19]
如果您有更多可以實現這些目標的資訊,請告訴我們。
Ted Lin,[21.07.19 19:20]
在您決定不回覆之前,我們正在驗證您所擁有的資訊型別。
Ted Lin,[21.07.19 19:21]
如果你改變主意並希望繼續談判,請告訴我。
Ted Lin,[21.07.19 19:21]
謝謝你的幫助。
Platon,[21.07.19 19:28]
然後付錢給我
“我與幣安談判決定是錯誤的,”他說,“他們不是合適的人......所以我只會將所有資料釋出給客戶。”
事實上,Platon在7月22日與賓夕法尼亞代表談話時表示,“我當前的利益是掌握你公司的駭客資訊和內部洩密人員。在新聞釋出時,我們很樂意看到他們的反應。“
8月5日,Platon的威脅成為現實,他將一個包含166張KYC照片的檔案轉存上傳到一個開放檔案共享網站,名稱為“Guardian M.”。
隨後是週三早上再次轉存,其中包含數百張持有身份證的個人照片。
Platon的解釋很簡單:他們認為他們做的是正確的。
“人們一直在問,'你為什麼要釋出這些KYC照片?','你是怎麼得到它們的?'
我釋出這些KYC資訊的原因很簡單:警告正在處理此事的幣安負責人,”他們寫道。“如果我需要錢,我會把它賣到暗網,而不是公開。”
Platon沒有回覆進一步評論的請求,也沒有表明他們是否會發布更多評論。我們已聯絡幣安發表對此事的看法。