差点盗走十多亿,做空比特币又获利几十亿?黑客这一波到底干了什么?
2018/3/12 10:54:19 浅黑科技

     3月7日那晚的黑客事件,或许能载入史册:涉案资产价值高达十几亿元,精心策划数月,还运用了金融领域的知识。

     事情发生后媒体争相报道,然而大部分充斥着“拉盘”、“做空”、“场外”等金融领域专有名词,不少人看完之后表示不明觉厉,实则一脸懵逼。

     作为一个网络安全科普媒体,我决定用简单的语言把这个故事再讲一遍。

     在这一篇文章里,我不关心币圈那些事和币价涨跌,只想让大家讲明白,黑客在这个过程中到底做了哪些事。

     3月7日晚11点左右,老王伸着脖子,直勾勾盯着电脑屏幕,垂涎三尺。

     他不是在看小电影,而是盯着虚拟币行情。半分钟前,他发现了一个异样。

     名不见经传的小币种 VIA 忽然“诈尸”,价格走势从原本近乎水平线变成了垂直线,短短2分钟价格翻了100倍。

     老王账户里恰好有价值一万多元的 VIA,随着这轮暴涨,一万元价值瞬间变成一百万,单车变宝马,幸福来得太突然,没有一点点的防备。

    

     正当老王打算卖出这些币,犹豫之间,半分钟不到,价格又像跳水一样掉回原来的价格。宝马又变回单车。

    

     老王懵逼了,谁能想到,这场激动人心的高潮来得快去得快,从开始到结束就两分钟,脱裤子都不太够。

     除了老王,不少网友还发现更诡异的现象:他们的账户就像闹鬼,里面所有币种统统变成了VIA,而他们压根没动过。

     有人还以为是币安交易所网络出故障了,他们根本没有想到是黑客在暗中作祟。

     第二天媒体炸开锅,真相浮出水面。

     原来,早在一两个月前黑客就盗走了许多币安用户的账号密码,他们蛰伏几十天,为的就是3月7日那晚的爆发。

     那晚,黑客交易了总量超过10000个比特币。按当时的币价,相当于10亿人民币。

     有币圈资深人士大胆猜测,在这场精心策划的大案中,黑客可能获利数几十亿!

     黑客做了什么?

     我们一步步分析。

     第一步:Unicode 钓鱼攻击

    

     时间往前拉一个多月。

     有网友反映他们发现了币安网的钓鱼网站,这些网站和真实的网站几乎一模一样。如果不是网络安全意识很强,几乎看不出任何异样。

     来,我们把上面那张图放大看看,细心的观众都会发现,两个 字母 n 下面多了一个小黑点,就一个像素那么大。

    

     。。。。。。

    

     。。。。。。

    

     。。。。。。

    

     这个看起来像英文字母 n 的图形,并不是真正的 n,而是一个小语种文字里的字符。

     类似的还有:α - a (阿尔法和A)、β - B (贝塔和B)。

     翻开输入法的符号大全,你会看到一堆这样类似字母的玩意儿:

    

     就连中文也一种“花漾字”,深受游戏boy和girl 的喜爱,用起来感觉自己萌萌哒:

    

     总之,虽然这些字符看起来相似,但其实和原本字符木有半毛钱关系。

     如果你非要说有什么关系,大概就像卡巴斯基和巴基斯坦的关系 —— 基巴关系。

     利用这种类似字符构建钓鱼网站域名的方法,我们称之为“ unicode 编码攻击”。(我以前在宅客频道时曾写过一篇关于这个话题的文章,有兴趣的同学可以点开看看:《我想给你介绍一个假的苹果网站》

     假币安网站里也有账号登录框,一旦用户把账号密码输进去,就会直接传送到黑客邮箱里。做个钓鱼网站,这是第一步。

     但是,黑客即便拿到账号密码也没用。

     因为用户通常会给账号加个二次验证。就像是手机短信验证码、Google 二次验证那么,每次登录都需要输入六位数动态码。

     第二步:绕过二次验证

     黑客利用币安交易所的一个API接口,绕过了二次验证。

     怎么做到的呢?先说说这个API是什么东东。

     2017年7月,币安发出公告,为了方便用户,开放自动交易 API 接口,用于对接自动交易机器人(程序)。

     这个接口为每个用户提供了一个API Key 和 Secret ,有点像普通用户登录认证用的账号密码。

    

     不同的是,API 接口就像是一个电插头,一旦交易机器人填上 API Key 和 Secret 完成对接,成功验证一次,之后交易就都不再需要账号密码和二次验证,一直连着。

    

     原本,用户设置了二次验证,每次登录以及进行重要操作都需要输入这么个动态验证码,即便账号密码不慎泄露,也不用不担心账号被黑客盗用。因为黑客不可能每次都拿到那串6位数字。

     这个接口的出现,让黑客有机可乘。

     然而,登录和设置 API 接口都需要使用动态验证码,黑客需要连续两次拿到,才能拿到接口设置。

     黑客可以这样做:

     当用户在钓鱼网站输入账号密码,钓鱼页面弹出一个六位数验证码让他输入框。此处用户并未察觉异常,继续输入自己的动态验证码。

     窗口提示:验证码错误,请重新获取验证码并输入!

     请注意,这一步操作很关键。因为第一次获取用于对接自动交易机器人的 API Key 和 Secret ,也需要二次验证。

     虽然钓鱼网站提示用户验证码错误,但实际这串验证码是对的!黑客已经用这串验证码和密码登录账号,进入 API 对接界面!

     此时用户很可能误以为自己真的输错,于是重新获取并输入了一次。

     这样,黑客就能拿到两次动态验证码,顺利把自己的交易机器人对接上去。

     整个过程,在用户那里毫无征兆,除非他发现字母 n下面多出来的小黑点。

     第三步:广撒网屯账号,集中爆发

     黑客盗了账号后没有立马提币,也提不出来,因为提币还需要额外的一道“交易密码”和一次动态验证码。

     于是,黑客开始想办法囤积大量账号,攒一次大爆发

     12月以后,网友反馈遭遇钓鱼网站的情况越来越多。

     甚至,这些钓鱼网站还在 google 等搜索引擎买了广告位,只要人们搜索相关关键词,这些钓鱼网站就会出现,勾引他们入坑。

     由于黑客钓鱼网站的撒网行动太过密集和嚣张,2月初币安CEO赵长鹏忍不住,在社交媒体推特上向谷歌喊话,指责它允许钓鱼网站购买顶部广告,并警告投资者要对搜索结果多多留意。

     然而这似乎没起到什么作用,依然有不少币安网用户被网络钓鱼。

     这里插一个有意思的事,钓鱼网站嚣张到什么程度呢?——直到3月7日,币安用户账号遭受黑客攻击事件后,不少钓鱼网站依然存在,有的甚至把币安关于这件事的公告也同步了上去:

    

     (图源:一本区块链)

     就这样,黑客利用广撒网的钓鱼网站,囤积了不少账号。

     里头的虚拟币总价值,竟然高达十多亿元!

     第四步:交易,提币,离场

    

     3月7日,宜交易。

     黑客蛰伏了几十个日夜,终于在那天晚上接近11点时行动了!

     虽然偷来的账户里十多亿价值的虚拟币不能直接提走,但是能交易呀!

     于是黑客自己准备了31个账号,花自己的钱大量买入单价很低的小币种 “ VIA ”,再以100倍的价格挂单出售。

     不能直接拿走你的钱,那就卖一个天价的商品给你,把钱“赚”到自己账户上。

     22点58分,黑客盗来的大量账号在自动交易机器人的控制下同时行动,先按照市场价把他们账户的小币种全部兑成比特币,再用这些比特币以很高的价格从那31个账号里买入原本不怎么值钱的 VIA 。

    

     注:在这个过程中,BTC 是中间币,因为 VIA 不能直接跟别的小币种兑换。

     这就出现了文章开头的那一幕……短时间内大量买入,供不应求,VIA 的价格蹭蹭往上涨。

    

     按照正常剧情,VIA达到最高点时,黑客将手里的 VIA 全部卖出,拿到比特币,提币离场就行,因为卖 VIA 的这31个账号是他自己控制的。

     然而,这一系列炫酷操作引起的价格波动触发了币安的风控系统,提币操作被拦截。

     比较币安网CEO赵长鹏是技术大牛出身,安全风控也不是盖的。

    

    币安CEO 赵长鹏 ,曾任彭博社技术总监。

     或许是为了防止黑客再把这笔钱交易到其他账户上,没过多久,币安交易所停止了所有币种的提币操作。至此,无论是黑客盗取来的账号里的钱,还是黑客自己那 31 个账号里的钱,全部被币安控制起来。

     深夜2点半左右,赵长鹏在 Twitter上发言称,“资金一切安全,黑客未劫走资金。”

     他还说,“黑客在此次攻击中损失了货币。充值、交易和提现均已恢复。我们将把这些币捐给币安慈善。”

     黑客的行动宣告失败,偷鸡不成蚀把米?或许是,或许不是。

     番外篇:黑客的局外局

     有人很快指出,黑客很可能用这一失败操作做幌子,真实目的是场外操作获利!场外操作什么意思?这里用刘德华主演的一部香港电影来解释一下。

     片中,刘德华对战上一届赌神,大获全胜之后扭头而去,深藏功与名。正当所有人以为赌神输了,一个配角凑到赌神耳边曝出真相:

     原来赌神早在赌局之外下了重注赌自己输。虽然那场赌局他输了,却在外面赢了一场更大的赌局。这就是所谓的“场外操作”。

     黑客的交易操作都在币安,获利却在别处。

     除了币安,还有9个交易所也上线了VIA。币安上面的币价涨跌会影响到其他交易所的价格,所以,当黑客大量买入 VIA 时,实则拉高了所有交易所中 VIA 的价格。

     有人猜测,黑客很可能提前在其他交易所也大量买入了 VIA ,等到 VIA 价格被拉高 100 倍时大量卖出,这样他们的资产就能变成原来的100倍。

     甚至,

     他们很可能用了更复杂的“做空”手法。

     所谓“做空”,最简单的解释就是,如果你能预测一个东西要降价,就提前借来这个东西,卖掉它,等价格降了再买回来,从而赚取价差。

     简而言之,能准确预测某种币价要下跌,就有办法从中获利。

     而黑客在那天晚上人为制造出了下跌行情。

     一开始,黑客先把盗来账号里的大量小币种抛售,兑换成比特币,短时间内大量抛售引起其他用户恐慌,不少人也跟着抛售那些小币种,大家争先恐后卖出,引发币价下跌行情。

    

     然后,黑客把大量 BTC 兑换成 VIA,同样引起 BTC 对 VIA 的价格下跌,这是第二次做空机会。

     最后,黑客再把自己的31个账号里买入以及借来的 VIA (注:交易所提供的“杠杆”交易可以简单理解为借)大量卖出,让 VIA 的价格从100倍跌回之前的水准。

     总之,在这整个过程中,黑客多次人为影响了各种虚拟币价格的涨跌,然后从中获利,把“黑客技术 + 庄家割韭菜” 的玩法被发挥到淋漓尽致。

     而这种局外操作,很难被风控系统发现异常。黑客影响币价的所有行为是在币安进行,真正赚钱的操作在其他交易所那边看来,都是正常交易行为!

     ----

     但是!!!

     目前这种“黑客+做空”的手法只是吃瓜群众们的猜测,并没有实锤表明黑客真的这么干了。

     即便如此,潘多拉魔盒都已经被打开,即便这次“黑客割韭菜”只是吃瓜群众意淫出来的,未来也一定会被别的黑客变成现实!

     有没有办法能防止这种攻击?

     其实也有,比如大型交易所之间共享威胁情报,当某个交易所发现特大型安全威胁,直接通知到其他几个交易所,同时暂停提币并调查可疑账号,能大幅降低这类威胁。

     或者,其他交易所配合调查,也有可能顺藤摸瓜找到黑客。比如当币安的 VIA 价格涨到最高点时,挂大单卖出 VIA 的账户里,黑客一定就在其中。

     不过从实际情况看来,各大交易所之间是相互竞争关系,共享威胁情报很难做到,配合调查也是不太可能。

     所以作为普通用户,我们能做的,也最有效的,大概也就是多关注些网络安全知识(比如关注浅黑科技),提高自己的安全意识吧!

     起码,看完这篇,以后你从搜索引擎进入网站时,要更加留意URL网址了。

     实在不行凑近点,没关系的。

     。。。。。

     。。。。。

     。。。。。

    

    


    

     本文作者谢幺,微信号:dexter0,知乎ID@谢幺,微博@谢谢谢幺。

     你可能还想看看

     黑客故事

     黑客李均歪传

     痴人赵武:我还没打算和命运握手言和

     草根黑客K0:梦想很贵,但值得一试

     “95后”黑客单好奇:再推一把自己

     小灰灰:没空顾旁人眼光,时间证明一切

     妖妖灵吗?我是个黑客,我被黑客给黑了

     这俩世界顶级黑客,太猥琐了!我喜欢……

     风云观点

     双面黑客

     美国大断网全纪实

     黑客的潘多拉魔盒——美国大断网·续

     周鸿祎:未来的世界属于怪咖

     王博:认真做人脸识别

     肖力:时间会把一切还给我们

     谭晓生:野蛮生长到今天

     26岁的狮子瑞星过得可好,还有机会吗?

     探索好奇

     大数据“读心术”|二维码破解 |破解ofo

     科幻巨制《天猫双11》

     “摸屁股盗刷术”

     神龙云服务器

     膨胀的iPhone 8

     揭秘:两张A4纸破解人脸识别

     上海 CA 王天华:如何把“钥匙”装进手机

     浅黑科技,让技术被读懂

    

    

    http://weixin.100md.com
返回 浅黑科技 返回首页 返回百拇医药