黑客大军「撞库」攻击交易所，是谁泄露了用户数据？

上周开始，一头部交易所开始频繁遭遇撞库攻击。

「几十个数据包，都在凌晨开始撞库，尝试登录用户的账号。」该交易所安全负责人CC称。

该交易所有十几位用户宣称自己丢了币，有趣的是，他们在这个平台上的用户名和密码，和币安的最为相似，只是多了一个特殊字符。

CC所在团队拦截了其中一个撞库的数据包，发现其中有4000条交易所的用户名和密码数据。

到底是谁泄露了用户的数据？

01不翼而飞

7月20日8点半，用户珂贤醒来了。按照平时的惯例，他准备先打开交易所的页面，查看各种数字货币的价格。

但他突然看到，手机上有很多弹出的邮件。

凌晨3点，居然有多次登录交易所的邮件提示。珂贤突然警觉，马上登录交易所，却发现自己价值37万的数字货币，只剩下价值400元的。

PayPal遭黑客攻击，近3.5万用户资料或泄露:1月28日消息，PayPal通报美国缅因州（Maine）检察长办公室，表示他们于去年12月20日发现遭受黑客攻击，并在调查后认为事件发生于12月6日到8日期间。PayPal指黑客发动凭证填充攻击，受影响用户总数为34942人。

PayPal指出，攻击或导致客户资料泄露，包括：姓名、地址、安全码、个人税籍资料、电话及生日。但PayPal强调，暂未有发现任何用户个人信息遭盗用。PayPal又提及，目前已为受影响用户提供24个月的信用盗用监控服务。

PayPal补充，本次事件并非PayPal系统漏洞，主要是用户重覆在不同服务或网站使用同一组帐号、密码组合，令黑客可从其他地方窃取、购得或取得用户帐号、密码等，再以大量帐号及密码组合，破解PayPal帐号。[2023/1/29 11:34:25]

他马上查看交易记录，发现了一件有趣的事情：

Aurora向白帽黑客奖励100万美元:9月29日消息，Aurora向一名通过Immunefi报告错误的白帽黑客奖励100万美元，以Aurora代币的形式支付。

据悉，白帽黑客在6月10日通过Immunefi向Aurora提交了一个严重漏洞，目前该漏洞已修复。[2022/9/29 6:02:07]

所有的币，都被兑换成ETH，然后购买了一个小币种——WICC。

有趣的是，黑客买入的价格都是固定的，即0.000853个ETH，而卖出的价格，都是0.0007782个ETH。

而买入操作5秒后，必然开始卖出操作。

每次的交易量也不高，一般都是500到1000个WICC。

一看如此的规律操作，就知道是机器和程序化交易。如此精密，人做不到。资深黑客CC称。

那为何黑客都是高买低卖？这样操作的原因是什么？

黑客事件发生前几周 推特曾加紧寻求新任首席信息安全官:消息人士透露，在周三的黑客事件发生的前几周，推特曾试图加快新任首席信息安全官的招募工作。据悉，自2018年5月Michael Coates离职后，摩根大通前高管Joe Camilleri临时接替了信息安全领导工作，但直至今日，该公司一直没有一名常任的首席信息安全官。（纽约邮报）[2020/7/17]

黑客在另外一边，操作了其他账号，低价买币之后，再高价抛出，相当于低买高卖。CC称，在这个反复操作的过程中，用户的钱，就被转移到了黑客的账户上。

而珂贤的37万，就在几秒一次的操作中，被一点点蚕食，最终只剩下400元。

黑客的进化速度是惊人的，他们根本不需要提币。CC称，一般的交易所，对提币操作的安全防护会比较多，比如给邮箱发验证链接，给手机发验证码等。

但黑客绕开了这一步，开始利用交易所的流动性，选择一些流量较小的小币种，将钱洗出来。

动态 | ETC硬分叉Aztlan未应用 EIP-1884，有可能遭黑客攻击:Parity的Rust 开发者 Wei Tang称，一些社区成员正在进行一项名为 Aztlan 的太坊经典 ETC 硬分叉，认为这不是一个很好的硬分叉，并且会引起争议，因为未应用 EIP-1884 实际上使攻击向量处于一种敞开的状态。而真正让人担心的是，描述该攻击的论文实际上也是公开的。攻击者找到它只是时间问题，攻击者只要花几千美元就可能破坏网络的吞吐量。[2019/11/30]

和珂贤有同样遭遇的用户，有十多人，他们被以同样方式洗走的钱，从几万到几十万不等。

案发时间，几乎都是7月19日凌晨。

除了WICC之外，黑客还购买了小币种SHOW。一共两个币种，操作手法完全相同。

我们都在凌晨3点左右收到了登录邮件。但这时大家都在睡觉，没人会注意。被盗用户Woody称。

动态 | 朝鲜黑客正在开发新软件窃取交易所和用户的信息:据Cryptonews报道，朝鲜黑客正在开发的新的加密软件窃取交易所和用户的信息。首尔网络安全顾问Kim Yo-Seb说：“这类事情对于他们太常见,多年来朝鲜黑客一直使用电子邮件链接和附件中发送加密劫持恶意软件和勒索软件，主要对象就是韩国用户。”苹果安全专家、JAMF首席安全研究员帕特里克·沃德尔(Patrick Wardle)最近发表的一篇博客文章称，臭名昭著的平壤Lazarus黑客组织创建了一家名为JMT Trading的冒牌公司，这家冒牌公司为Mac电脑创建了一款开源的加密货币交易应用，并在Github上分享。但Wardle声称，代码实际上包含恶意软件，黑客可以不受限制地访问Mac设备。同时这家冒牌公司可以进一步联系加密货币交易所的管理人员和用户，要求测试和审查他们的新应用。沃德尔说如果他们成功，他们可以赢得“官方加密货币供应商”的信任，并开始感染用户设备。最后沃德尔总结：“大多数较小的加密交易所都具有非常低的安全级别。对于像这样的专业黑客来说，它们非常容易下手。”与此同时，最近有消息称，朝鲜正在开发自己的代币，以及交易所和钱包服务，朝鲜对其快速发展的加密货币计划毫不掩饰。[2019/10/15]

而CC追踪这些登录的IP地址，发现来自日本、巴基斯坦、阿尔及利亚等国家，但有一个IP，在所有的账户都出现过，它来自墨西哥。

在所有账户里出现同一个IP，证明这是同一批黑客团队所为。

02撞库攻击

多个安全团队对这次攻击进行了监测，并证实这是一次典型的“撞库攻击”。

所谓的撞库攻击，核心的逻辑是，黑客用一个平台的用户名和密码，去尝试登录其他平台。

那么问题来了：这些撞库的用户数据，都是怎么来的？

被撞库的用户都表示，他们在这个交易所的用户名和密码，几乎是唯一的。

因为这个交易所的密码要求极为严格，需要数字、特殊字符，还要求字母大小写，所以被撞库攻击的可能性，几乎没有。珂贤称。

但他们的密码，和一个平台的账号密码最为相近，就是币安。

因为币安的密码不需要特殊字符，所以我在这两个交易所的密码，只差一个特殊字符。Woody称。

特殊字符只有那几个，被试出来的可能性非常大。CC称。

CC根据这条线索，和其他安全团队追查此事，并拦截了一个撞库的数据包。

里面共有4000条用户名和密码数据，显示的数据日期是6月25日，并留下了某个顶级交易所的名字，还附上了流水号。CC尝试用这些用户名和密码登录该交易所，发现都可以成功。

CC称，这几乎证明，用于撞库的数据，就来自某个交易所的用户名和密码。

而出现这样的情况，一般有两个可能性：

第一，该交易所6月25日前的数据外泄，被黑客盗取；

第二，该交易所利用自己的用户数据库，对其他交易所进行撞库攻击。

如果是第一种，说明该交易所的安全，做得并不到位——数据量如此之大，应该是黑客拖库，把整个数据库盗走了。

如果是第二种，这个交易所已基本视用户为玩物，直接去其他交易所，洗劫自己的用户。

03交易所安全

CC称，其实，基本上所有的交易所，都经历过撞库攻击。

这些用来撞库的数据，除了来自其他交易所外，也可能来自其他互联网平台。

交易所就是一个金矿，所以任何可以淘金的可能性，黑客都不会放过。CC称。

而最可怕的一点是，只要黑客能登录，根本不需要提币的操作，就能将账号里的数字货币洗劫一空。

只需要找个小币种，进行高买低卖。

如何防住虎视眈眈的黑客大军？

CC表示，交易所是资金安全重地，用户应该设置独立的账号和密码，它们不和其他任何地方的账号密码相同或相似。

此外，可以启用「谷歌验证」的安全手段。

CC称，目前，几乎所有交易所的用户名和密码，都在黑市出现过，但暂时无法核实数据真假。

对于用户来说，这是一颗定时炸弹，必须将以上两点做好。

千万不能嫌麻烦。CC称，现在黑客的进化速度特别快，针对数字货币领域的进攻，已被他们上升到战略高度，每天都在研究进攻策略。

当然，交易所也应该设置更为复杂的登录策略，对于撞库等异常操作进行监控。

未来的攻防大战，都将集中在数字货币领域。

而交易所，正在成为黑客眼中最重要的淘金地……

可以说，采用怎样的安全措施，都不为过。

来源链接：mp.weixin.qq.com

本文来源于非小号媒体平台：

一本区块链

现已在非小号资讯平台发布1篇作品，

非小号开放平台欢迎币圈作者入驻

入驻指南：

/apply_guide/

本文网址：

/news/3626967.html

免责声明：

1.资讯内容不构成投资建议，投资者应独立决策并自行承担风险

2.本文版权归属原作所有，仅代表作者本人观点，不代表非小号的观点或立场

上一篇：

小心你的数字钱包！不了解黑客的7种手段你可能是下一个受害者

下一篇：

知道创宇安全顾问张亮：交易所安全大起底

标签：PAYPAL数字货币ORALeisurePayPALGdds币数字货币局fedoragold

聚币热门资讯