从币安被盗的 7074.18 个比特币去哪了？

制作 |区块链营（blockchain_camp）

一周前，著名的加密货币交易所 Binance 被黑，7074.18 个比特币被盗。尽管其创始人赵长鹏在数次AMA中披露了黑客盗币的部分细节，并承诺使用“SAFU基金”全额承担用户损失，但此后一直存在“回滚交易”的争议，但这 7074.18 个比特币到底是怎么被偷的？现在搬到哪里去了？业内没有详细的研究和讨论。但是这个国外的小哥用Google BigQuery深入研究了一下，发现了很多花样。丢失的7074.18个比特币能找回来吗？一起往下看吧！

在过去的一年里，我们只选择在业务上支持币安。我们选择币安作为我们的第一个交易所合作伙伴，因为我们相信币安的业绩记录、安全协议和对用户的承诺。

因此，当发现 Binance 被 7074.18 个比特币入侵时，这对我们来说是毁灭性的打击。

事情进展如何？

如果您了解整个事件，您可以选择跳过此部分。

币安对“灾难”没有多说。虽然他们分享了有关盗窃的一些细节，但他们对更详细的细节保持沉默。

根据他们最近（5 月 10 日）对其博客的更新，他们正在努力保持最高级别的透明度，但担心分享太多安全细节会扰乱黑客并最终削弱他们自己的安全性。

尽管如此，我仍然认为社区真正了解正在发生的事情很重要，因此我将在本文中深入探讨这一点。

活动日程

这是我们所知道的事件发生时间。

7074.世界标准时间 5 月 7 日下午 5:15 从币安热钱包中提取了 18 个比特币。

世界标准时间 5 月 7 日晚上 7:00，币安因计划外维护关闭了存款和取款。 Cz 向用户保证资金为 SAFU，交易不会中断。

5 月 7 日 11:36 UTC，币安宣布安全漏洞，并确认黑客能够从币安热钱包中提取 7074.18 个比特币。

5 月 8 日下午 12:42 UTC，币安将所有现有 API 密钥限制为仅允许交易，并宣布将在 UTC 下午 1:30 删除所有现有 API 密钥。

5 月 8 日下午 1:30 UTC，币安将删除所有现有的 API 密钥。

这次盗窃与以前的盗窃有何相似之处？

近期和过去的攻击都涉及币安 API 和网络钓鱼。

黑客伪装成值得信赖的实体，诱骗用户泄露敏感信息。

用于“钓鱼”的伪造 Binance 登录屏幕

通常被盗信息是用户 API 密钥，它允许攻击者以编程方式与交易所进行交互，就好像他们是用户自己一样。

币安有 3 种不同级别的 API 权限：

当用户创建一组 API 密钥时，一般情况下，读取和交易权限默认开启，提取权限关闭。由于提取权限可能存在高风险，Binance 要求用户首先设置双因素身份验证和 IP 白名单。

在 SYS 和 VIA 攻击期间，攻击者大部分时间只获得仅事务访问 API 密钥。因为攻击者无法从只有交易权限的账户中提取资金，所以他们必须首先重新分配资金。

他们这样做了：

您可以在币安交易历史中找到上述方法的证据。在 2018 API hack 中，攻击者试图通过提高 SYS 和 VIA 的价格来转移上述资金。

如下图，2018年7月3日和2018年3月6日，SYS/BTC、VIA/BTC价格和成交量出现异常。

这次有什么不同？

这一次，攻击不同。根据币安官方声明，黑客能够获取大量用户 API 密钥、谷歌验证的 2FA 代码和其他一些敏感信息。

使用 2FA 代码，黑客完全有可能在禁用 IP 白名单的同时启用提取权限。这一次，黑客不必冒着被怀疑的风险，通过提高数字货币的价格，进行多次交易，然后转移资金，使攻击变得更容易。

为了证实这一推理，我从币安的 API 中提取了上个月的每小时交易数据。

如果使用 API 密钥来操纵交易，交易量和币价都会出现异常飙升。

交易数据对比

我计算了黑客入侵前 30 天的每小时最大交易量和价格，还计算了黑客入侵当天的每小时最大交易量和价格。

目的是比较两者，看看在黑客入侵当天每小时的价格和交易量是否有所上升。

音量对比

下表按攻击当天的每小时最大值 (1D_max) 与攻击前 30 天的每小时最大值 (30D_max) 之间的百分比差异排序。

音量

可以看出 LINK/PAX 在被黑当天每小时的交易量增加了 3 倍以上，但这个数字不足以引起怀疑，特别是考虑到 LINK/PAX 的价格没有也飙升。

价格比较

在黑客攻击当天，我们也只看到在最极端的情况下价格上涨了 34%。

这进一步表明黑客在这次攻击中并未操纵价格。

交易价格

虽然攻击者可以在不注意的情况下进行交易比特币交易所被盗，但我认为这是不可能的。为了在不影响价格和交易量的情况下转移 7074.18 个比特币，需要很多账户，或者说需要很长时间。

如果是这种情况，长时间的交易活动可能会引起原始账户所有者的怀疑，用户会感觉到他们的资金正在慢慢耗尽。一旦用户向币安投诉，对黑客来说就是灾难。

黑客仍然逍遥法外

比特币的价值和可靠性很大程度上归功于账本的不变性。但这也意味着一旦提现成功，被盗资金基本上是不可能追回的。

Binance 确认黑客能够在这一交易中提取 7074.18 个比特币。我使用 Google BigQuery 查询了与黑客攻击相关的交易，并绘制了被盗资金的动向，如下所示。

圆圈代表钱包地址，线条代表被盗资金的流向。圆圈和线宽与两个地址之间发送的比特币数量成正比。

Binance 被盗资金动向图（不包括小于 1 个比特币的交易）

交易深度=1

Binance 被盗资金动向图（不包括小于 1 个比特币的交易）

交易深度=2

Binance 被盗资金动向图（不包括小于 1 个比特币的交易）

交易深度=3

Binance 被盗资金动向图（不包括小于 1 个比特币的交易）

交易深度=4

被盗的比特币能找回来吗？

据我所知，目前还没有 Depth>4 的交易。黑客正在“清洗”被盗的比特币并将其存储在固定地址中。

下面是一个更大的可视化注释个人钱包地址。

Binance 被盗资金动向图（不包括小于 1 个比特币的交易）

地址

在某种程度上，追踪这些比特币的来源是非常不可行的，因为涉及这些被盗比特币的交易数量将呈指数级增长。

目前，追踪受污染数字货币的常用方法有 3 种。

我认为从长远来看，这两种方法都行不通。将受污染的货币标记或列入黑名单从根本上削弱了比特币的可替代性和审查阻力。我不支持试图追回或将被盗比特币列入黑名单的想法。

阴谋论的澄清

交易所黑客行为是阴谋论的温床。虽然我们没有时间解决本文中的所有问题，但我们可以处理一些最棘手的问题。

币安搞砸了 7074.18 个比特币，因为他们将它们发送到无法将资金转移到任何地方的隔离见证地址。

从根本上说，这是不正确的。虽然你不会在区块链网站上看到 Segwit 交易，但你可以在下面的网站上轻松找到交易记录。

这是一个推广DEX的骗局

不良的商业行为。为什么币安会因为什么而损失大量品牌资产？在所有这些中，他们甚至没有宣传他们的 DEX。

超过 7074.18 个比特币被盗

我们只有来自币安的官方数据，目前还没有证据，但专家们正在密切关注币安的热钱包。

API 密钥不存在安全漏洞

这是可能的。有传言称，有 700 个账户的提款权限被盗。没有人站出来说他们的账户被黑了。如果用户的密码和 2FA 被泄露比特币交易所被盗，币安肯定会要求用户重置他们的个人信息。但如果没有 API 密钥被泄露，币安为什么要重置 API 密钥？

攻击者仍然控制着币安不知道的许多账户

这是可能的。虽然币安重置 API 密钥，但黑客仍然能够通过窃取个人信息来访问一系列帐户。

这对中心化交易所意味着什么？

推动DEX（去中心化交易所）的发展

显然，黑客是在提醒人们中心化交易所容易出错，这是对 DEX 的推动。

2019 年初，DEX 交易量创历史新低。

DEX 交易量持续下降

归根结底，人们似乎更喜欢便利、速度和机动性，而不是安全性。

中心化交易所具有吸引力的三个主要原因：

将您的资产分离到多个交易所

鉴于中心化交易所仍然至关重要，降低风险的一种方法是将资产保存在不同的交易所。

这对币安意味着什么？

币安可以在 47 天内赚回这 4000 万美元

从宏观角度来看，4000 万美元对币安来说并不是一个毁灭性的数字，因为它是世界上最大、最赚钱的交易所之一。

4000 万美元的 Binance 黑客事件是交易所盗窃历史上第六高损失。

排名前 10 位的交易所被盗

交易机器人是不可避免的

API 密钥和网络钓鱼是过去 3 次 Binance 黑客攻击的共同主题。警告用户不要让任何第三方服务提供商访问您的个人 API 密钥是完全不现实的。这种单方面的声明既惩罚了无意的交易应用程序，也惩罚了像我们这样缺乏安全意识的人。

币安不应谴责第三方交易应用程序，然后对它们的无益行为视而不见，而应通过推出自己的 OAuth 客户端来提供支持。通过这样做，币安实际上可以通过加强控制和监督来提高交易安全性并降低未来 API 事件的风险。