最近,幣安KYC問題再次浮出水面。北京時間8月7日,有訊息稱有人在Telegram直播大量幣安KYC資料照片,雖然該交易所創始人趙長鵬隨後辯稱此事是個老新聞,但幣安交易所的安全問題又引發了人們的關注。
事實上,一名使用“Banatov Platon”ID的駭客透露,整件事情的複雜度超出人們想象。當“Banatov Platon”開始公開他聲稱的所謂“真正的幣安客戶照片和資訊”時,最先選擇的是一個公開網站,然後才選擇了在Telegram上公開資訊。
作為世界上最大的加密貨幣交易所,對客戶資訊保護竟然如此掉以輕心,足以引起業界關注。下面,就讓金色財經和大家把這個故事慢慢展開:
首先,整個事件有著深厚的根源,甚至可以回到今年五月份幣安被盜7000比特幣的那件事。當時,幣安一如既往地承認了自己的問題,並將其描述為一次“大規模安全漏洞”,聲稱駭客能夠獲取大量使用者的API金鑰、2FA程式碼和其他可能的資訊。
然而至始至終,幣安沒有提到識別使用者資訊可已經已被洩露了!
“Banatov Platon”聲稱,正是在這次事件過程中,幣安的客戶資訊已經被洩露了。雖然他表示自己並不是這次駭客事件的肇事者,但卻透露自己透過攻擊幣安交易所的一位“內部人士”獲取了相關資訊。
另一方面,幣安聲稱被獲取的客戶資料來自於一家未透露姓名的第三方公司,該公司已經於2018年2月和幣安簽約,並且負責執行KYC(瞭解你的客戶)相關工作。
有海外媒體已經確認目前被洩露的數百個配置檔案中,至少有兩個是向幣安提供身份識別資訊的真實客戶。有人分析其中一張照片似乎已經被篡改,但這位“受害者”已經證實就在資訊被洩露時她又建立了一個幣安賬戶。
“Banatov Platon”聲稱他們是“白帽駭客”,並且還聯絡了幣安,希望能夠透過披露漏洞資訊獲得賞金。然而雙方的談判最終破裂了,據報道,幣安公司代表透露該駭客要求支付300BTC,否則將進一步公開他持有的資料。
為了迴應市場上的“恐懼、不確定和懷疑”,幣安釋出了一份宣告,其中解釋說:
“我們想通知您,一位身份不明的人威脅並騷擾了我們,要求以300BTC的價格換取其持有的10,000張與幣安KYC資料相似的照片,我們仍在調查此案的合法性和相關性。”
“Banatov Platon”聲稱,他們手中擁有60,000份KYC資訊。
下面,就讓金色財經和大家一起看看整個事件的來龍去脈。
就在幣安今年五月份被駭客攻擊之後,他們表示惡意行為者獲得了客戶的API,雙因素程式碼以及“潛在的其他資訊”。但“Banatov Platon”對此事的看法不同,他表示幣安交易所的一個內部人員幫助公開了許多API(應用程式介面),允許駭客直接訪問客戶賬戶和資金。“Banatov Platon”表示,洩露的檔案還包含“非常嚴重的資訊”,包括客戶的電子郵件地址和賬戶密碼。據悉,這些受到影響的客戶是在2018年至2019年開立的幣安賬戶。
利用這些個人資訊,駭客編寫了一個惡意指令碼,允許他們可以實時提現0.002 BTC(大約23美元)。這段程式碼被嵌入到了買單之中去購買一個名為“BlockMason Credit Protocol”的代幣,並將其轉換成比特幣。此外,這個程式碼還能呼叫一些不再開放或公開的API來執行許多其他功能。不僅如此,有外媒測試了一個API呼叫,結果發現對伺服器時間的簡單請求仍然是開啟的(目前還不清楚關閉的 API 端點是被刪除了還是僅僅被隱藏了)。
“Banatov Platon”透露,被盜的加密貨幣被存放在比特幣軟體錢包提供商Blockchain託管的錢包中,Blockchain最近剛剛推出了PIT交易所。
透過追蹤這個錢包的路徑,“Banatov Platon”發現駭客已經透過BitMEX、YoBit、KuCoin和火幣等交易所洗了2,000個比特幣,而且每天都在嘗試兌換價值100萬美元的比特幣。
如何運作?
“Banatov Platon”從聲稱洩露的60,000個客戶賬戶中“共享”了636份檔案,並希望媒體關注能夠促使幣安披露駭客攻擊的真實情況,並將攻擊者繩之以法。
按照幣安之前的說法,被盜的比特幣僅來自於他們的公司賬戶並且不影響普通消費者,當時幣安還暫停了存款和取款服務以保護使用者。但是,幣安沒有公開使用者資訊的洩露程度。洩露的資料資訊包括護照招聘、駕照和持有身份證的使用者露臉照片,除此之外,“Banatov Platon”還提供了一些與照片相關的後設資料示例,如下所示:
"id": 1573211,
"userId": "25276308",
"front": "/IDS_IMG20180320/25276308_0_9416819.jpg",
"back": "/IDS_IMG20180320/25276308_1_7376587.jpg",
"hand": "/IDS_IMG20180320/25276308_2_4413070.jpg",
"auditor": "chenxiaozi",
"message": "",
"status": 1,
"createTime": "2018-03-20 08:12:33",
"updateTime": "2018-03-21 01:48:33",
"number": "s532557730580",
"firstName": "m[REDACTED]",
"lastName": "[REDACTED]",
"type": 2,
"sex": 1,
"country": "United States of America (USA)(美國)",
"email": "[REDACTED]@outlook.com",
"version": 1
在這個後設資料中,之所以會在國家程式碼後出現漢字“美國”,據稱是因為幣安的KYC稽覈工作是在中國進行的,目前還不清楚其他欄位代表什麼意思。
此外,“Banatov Platon”還披露了一些程式碼,其中可能看出駭客透過“內部人員”訪問了幣安伺服器中的後門。透過對程式碼進行分析,“Banatov Platon”的看法也許是對的。
區塊鏈開發公司VisibleMagic技術長Viktor Shpak說:
“這極有可能成為API金鑰攻擊,駭客從某個地方獲取了API金鑰。”
API金鑰用於驗證交易所和其他應用程式中的服務,如果駭客獲取API金鑰,他們幾乎可以做任何事情,比如代表受害者購買加密貨幣、把加密貨幣轉移到外部錢包。
public static String getApiKey(String uri, String userId) {
String time = "";
time = get("https://www.binance.com/api/v1/time");
Map param = new HashMap();
param.put("userIderId);
param.put("descpi" + JSON.parseObject(time).getString("serverTime"));
return post(uri + "/exchange/mgmt/account/getApiKey", param);
}
Viktor Shpak透露,透過分析程式碼可以瞭解到幣安內部存在後門,他解釋說:
“很可能是一個內部人員建立了一個處理程式,然後透過這個程式來訪問使用者API金鑰,然後他們就獲得了這些API金鑰,並獲取了使用者資料的訪問許可權,駭客甚至開發了一個工具包來完成這項任務。”
幣安公司代表此前透露:
“截至團隊最新訊息,目前沒有證據表明這些是KYC影象是來自幣安,而且根據我們的系統流程,並不給KYC影象加水印。”
“Banatov Platon”的動機
“Banatov Platon”透露他曾聯絡了幣安首席增長官(CGO)林義翔(Ted Lin),並解釋說:
“我個人很想讓幣安成為世界上第一個抓獲駭客的交易所,這對他們的聲譽非常有利。我告訴林義翔我有內幕訊息,比如內部人員的詳細資訊、內部人員與外人的溝通細節、甚至還有內部人員的照片。我還告訴他我有駭客的詳細資訊,比如伺服器資訊、他們的身份、他們的電話號碼等。”
林義翔也作出了迴應,聲稱願意接受為這些有可能抓到駭客和內部人員、以及可能追回被盜資金的資訊付費。然而,在同樣的對話中,林義翔也駁斥了“Banatov Platon”正運作的“FUD 活動”,並表示不會對敲詐勒索做出反應。但是“Banatov Platon”表示自己足夠富有,而且也是一家加密貨幣交易所的運營者,該交易所規模是幣安的三分之一。“Banatov Platon”還說自己對財務報酬不感興趣,他說道:
“當我需要錢的時候,可以破解駭客持有的一家交易所賬戶,我可以從駭客的錢包裡輕鬆找回600-700個代幣。雖然我看到越來越多幣安被竊的比特幣被清洗,但自己卻沒有碰哪怕一毛錢。”
談判破裂
不過,“Banatov Platon”卻向林義翔索要了300BTC,如果按照7月份的價格計算,這筆錢大約價值300萬美元,“Banatov Platon”要求分50期支付給他。
但是就在7月22日,“Banatov Platon”表示雙方談判破裂了,他已經停止與幣安談判,並說道:
“我們進行了大約一個月的談判,他們沒有支付一分錢,我與幣安的交易破裂了。”
之後,“Banatov Platon”威脅說要曝光他所獲得客戶資訊。“Banatov Platon”提供了他與林義翔的部分對話記錄:
林義翔(2019 年 7 月 20 日 19:54):我看到你已經將資訊提供給媒體了。
林義翔(2019 年 7 月 20 日 19:59):鑑於你的 FUD 活動已經完成,無論怎樣,你拿手中的資訊索要的賞金都會顯著減少。正如我先前所說,我們不會對敲詐勒索作出反應。但如果你手中的資訊有用,並且能讓我們將壞人繩之以法並追回資金,我們願意獲得更多有關肇事者的資訊。
“Banatov Platon”(2019 年 7 月 21 日 16:53):如同我先前所說,我不需要你的錢。
“Banatov Platon”(2019 年 7 月 21 日 16:53):我覺得已經沒有繼續交易的必要了。
“Banatov Platon”(2019 年 7 月 21 日 16:54):我也沒期望你們會作出迴應。
“Banatov Platon”(2019 年 7 月 21 日 16:59):但我很喜歡看到內部人員和駭客們看到新聞之後的反應。再次重申,我對你們的反應不感興趣。
林義翔(2019 年 7 月 21 日 19:04):我以為你想看到那些駭客們被逮捕?
“Banatov Platon”(2019 年 7 月 21 日 19:11):我想要,但不是現在。
“Banatov Platon”(2019 年 7 月 21 日 19:12):我寧願離開並繼續觀察。
林義翔(2019 年 7 月 21 日 19:19):我們仍然對那些可以逮捕駭客和內部人員、以及能夠追回資金的資訊感興趣,並願意為此付款。
林義翔(2019 年 7 月 21 日 19:19):如果你有更多可以實現上述目標的資訊,請讓我知道。
林義翔(2019 年 7 月 21 日 19:04):在你決定不再對話之前,我們會驗證你所有的資訊型別。
林義翔(2019 年 7 月 21 日 19:21):如果你改變心意並仍想繼續,請讓我知道。
林義翔(2019 年 7 月 21 日 19:21):感謝你的幫忙。
“Banatov Platon”(2019 年 7 月 21 日 19:11):那就給我錢。
“Banatov Platon”表示他不該與幣安談判,這個決定本身就是錯誤的,他說道:
“幣安不是對的人.....所以我只會把所有資料釋出給他們的客戶。”
8月5日,“Banatov Platon”的威脅終於變成了現實,他將一個包括116個人的KYC資訊(總計500張照片)檔案轉儲上傳到一個開放檔案共享網站,名稱為“Guardian M.”。8月6日早上,他進行了第二次轉儲,其中包含數百張持有身份證的個人照片。
“Banatov Platon”的解釋很簡單:他們認為他們做的事是正確的。
“Banatov Platon”最後表示:
“人們一直在問,你為什麼要釋出這些KYC照片?你是怎麼得到它的?我釋出這些KYC照片的原因很簡單:就是給那些在幣安交易所上進行交易的人一個警告。如果我需要錢,我會把這些KYC資訊賣到地下,而不是釋出出來。”