如何抓住趁天黑“换币”的黑客

3月7日的夜晚，注定不平静。

有人抱怨睡早了，有人整夜无眠。早睡的人一觉起来发现币圈竟成了大瀑布，跌的凄惨；整夜没睡的人眼看着神来之手秀操作，怀疑人生；还不知道发生什么的人跟风转了一篇10万+爆文《3月7日这一夜，黑客耍了所有人》。

这个神秘之夜究竟发生了什么？

声东击西，黑客玩了一把去中心化

据公众号区块律动BlockBeats报道，深夜，世界第二大交易所，福布斯数字货币富豪榜第三名赵长鹏所控制的币安 Binance 交易所大量用户发现自己的账户被盗。不少用户发现自己币安账户中持有的各种各样的代币、数字货币被市价即时币币交易成了 BTC。

就在用户还一脸懵逼纷纷致电客服时，市场出现大量代币被市价抛售现象，绝大部分币种开始下跌，不明真相的散户也跟风加入了恐慌性抛售。

成功造成市场慌乱的黑客顺利将被盗账户所持比特币全部高价买入 VIA（维尔币），导致 VIA 突然被拉爆。

而此时，本可以仿照庄家恶意拉盘又砸盘过程的黑客并没有将手中持有的 VIA 高价卖出，换成 BTC 分散到安全的账号，然后谢幕退场，而是来了一波声东击西。

毕竟攻击币安后势必引起对方注意，而币安方面为了防止黑客提币，也暂停了币安平台上所有的提币行为。

那如何才能获利呢？

两个字：空单。

要知道不少交易所都上线了做空交易。币安作为全球交易量第二大的虚拟货币交易所，其丝毫波动都会影响其他大小交易所。所以此次币安交易所突然出现绝大多数币种的下跌必然会间接影响其他其他交易所投资者的投资行为，进而影响虚拟货币价值的涨跌。

按照区块律动的说法，黑客的真正目的是通过在开通做空交易的市场上挂空单，等到币值下降的时候，直接收割一波离场。这样操作，根本不需要冒着风险从币安提币，在市场下跌的那一刻，就直接完成了利益收割。

更妙的是，大量空单分散在成百上千家交易所，根本无从查起。而黑客本质上也并没有盗取任何人的数字货币，只是帮大家“换了换种类”而已。

官方后续

这篇10万+爆文出来后，围观群众简直膜拜，还有这种操作？

但也有不同声音认为所谓的黑客做空论就是瞎扯淡，并列出了假设黑客在最高点开仓，在最低点平仓。

图片来源：区块链论坛

收益率533.52%

图片来源：区块链论坛

而VIA涨了10872.81%，收益远不如想象。

图片来源：区块链论坛

面对众说纷纭的情况，币安 Binance 交易所也在3月8日迅速给出了官方声明，以下为声明原文：

《Binance部分用户账号异常事件始末》

亲爱的用户：

在香港时间2018年03月07日22:58-22:59两分钟内，VIA/BTC交易对异动，触发风控，自动停止了提币。这是一次大规模通过钓鱼获取用户账号并试图盗币事件。

目前：所有资金安全，无任何资金逃离。

黑客在长时间里，利用第三方钓鱼网站偷盗用户的账号登录信息。最早被钓鱼的账号可追逆到一月初，但大多数账号是在2月22日左右，用unicode的Binance域名（Binance底部有两个点）钓鱼。黑客获得账号后，自动创建交易API，之后便无动作，直至昨日。

昨日，在两分钟内，黑客通过盗取的API Key，在VIA/BTC交易市场，程序化下市价买单，和31个预先充值VIA币的账号高价卖VIA。目的为把BTC输入到31个预先准备的账号，然后迅速想将这31个账号里的BTC提走。但因异常交易触发了自动风控，导致提币暂停，这些币并未被提出。反而，这31个账号预先存入的VIA币也被冻结。黑客非但没有提走币，反而自己的币被扣留。

这次事件中的黑客有组织有纪律，在成功钓鱼用户的账号信息后，并不急于获利，而是耐心等到最佳时机，选择了流动性较低的VIA币，来最大化自己的获利。

Binance经过严格安全审核后，现已恢复提现。交易从未停过。仍有部分用户因自己的账号被钓鱼者偷盗，并已把BTC买成VIA或其它币，但由于这些交易对手方不是黑客账号，Binance无法回滚交易。在此再次提醒用户注意保护自己的账户安全。Binance永远以保护用户的利益为主。我们感谢您对我们的支持！

币安的回应是否值得相信？（毕竟目前出现了币安自导自演的外界声音。）为此雷锋网(公众号：雷锋网)编辑与慢雾科技联合创始人余弦聊了聊。

余弦表示昨晚群里的小伙伴全程跟进了这一事件，得出的调查结果也与币安公告基本一致。

余弦告诉雷锋网，首先，API的操作权限是高于账号的，为了自动化便利性。另外API自动化操作时API Key被钓鱼的可能性是存在的，但具体细节并不能确定，毕竟现在有不少人设置了自动炒币，搬砖等，而这些都会用程序调用API进行，当然如果这些程序来自第三方，也许就会存在后门。另外，第三方的API软件，会要求客户设置Key，这时Key就会暴露给API软件，黑客可攻击API软件得到Key。

从币安 API Key 的权限默认设置中也可以看出些细节。首先，在默认权限设置中并不限制任何 IP 的访问，但也提醒了用户安全等级较低的问题。另外，币安并未将开放提现设置为默认选项，但有些用户为了操作方便既没有限制IP，甚至打开了取款提现选项。

也就是说，这次币安事件的发生与不少用户安全意识薄弱也分不开。

对于公告最后“币安表示现已恢复提现，但无法回滚交易”这一说法，来自某区块链创业公司技术人员洛图告诉雷锋网，这是因为币安无法确认对手盘是不是黑客，除非对手盘就几个，但是一般都是自由交易，无法确认哪个是由黑客控制的。所以不仅要照顾被盗用户的利益，也要保护对手盘的利益，已经发生的交易回滚有可能损害对手的利益。

“交易所里你卖出BTC，是交易所其它真实用户实实在在买进去的，当然可以要求交易所将与受害用户相关的交易回滚，但是有可能对手盘已经再次对币进行交易，涉及到的交易很复杂，很难对指定交易进行回滚，回滚还得征求对手盘的同意。除非交易所指定某个时间段内的所有交易作废，可是交易所一般不会这样做。 ”

此处可参考2013年8月16日股票市场光大证券的乌龙指事件，由于个人失误要求回滚交易的可能为零。

关于防护

实际上过去也曾出现黑客大秀智商圈钱的案例，但是否能与此次币安事件匹敌？

不能。

比它圈钱多的没它动作大，毕竟因为这起安全事件直接导致全球数字货币价格正在持续下跌中……比他动作大的……似乎没有。

这只是开始，这波神操作会给黑客们带来新的启发，某位安全研究人员也在朋友圈提到，在勒索模式之后又有数字币起伏获利，让攻击获利的模式多样化了。攻击者的破坏性让目标和获利性目标交织，灰犀牛早晚都会来，不能视而不见。

那么数据货币公司应该如何防御接下来的黑客攻击？

余弦告诉雷锋网编辑，首先其要加强安全风控的能力，包括权限的控制，以及对API默认权限的设置。其次与整个安全生态有关，需加强用户安全意识教育。事实上，很多用户都面临着被钓鱼的风险，更可怕的是最近多数攻击手法并非高级攻击手法，而一旦用到高级手法将更难以防御。

洛图则表示，此次用户账号被盗关键的原因就是丢失了Key，这就相当于丢了钱包的私钥。对交易所而言，只认Key，类似于银行网银，拥有了密码与盾牌就决定了一个ID的身份。在这次币安事件中，API漏洞只是一个导火索，其他的操作都是正常的商业操作，而使用API的用户其实都是大户，一般来说散户基本不会使用API。所以最简单的防护方式即大户使用自己能相信的第三方软件来操作，不要从网上随意下载，避免这种群体性被盗事件。

“当然，其实整件事情更多是金融操作手法的问题，技术漏洞仅仅是一个撬动整个市场的一个杠杆，比特币市场的可操作性才是需要更进一步讨论的问题。”

那对于一脸懵逼醒来发现遭遇“滑铁卢”的用户来说应该如何防范安全隐患？两位安全研究员也给出了意见。

首先在账号安全方面，要打开Google的二次认证，更要警惕恶意钓鱼网址。

另外，根据币安公开资料显示，本次出问题的用户，主要是使用第三方软件调用币安API的，这种情况下用户选择的第三方软件的安全性就是重要的问题。建议类似用户不使用第三方的软件，自行开发或使用安全性有保证的软件进行交易。

最后，就是提高用户安全意识了。（至于怎么提高法，多看看雷锋网宅客频道的文章你就懂了。欢迎关注我们的微信公众号：letshome）

这件事情就这么算了吗？放任那群耍了众人的黑客们肆意狂欢？

余弦告诉雷锋网，大型交易所威胁情报共享可以更好定位出这波黑客。比如在这起事件中攻击者在币安上拉爆了VIA，然后在其他交易平台抛售。如果其他平台将相关的威胁情报与币安共享，并对此进行关联分析，以此进行溯源定位将会更加容易。

但是最终结果如何，还有待观望。

当然，若是黑客做空论成立，事件的策划者恐怕早已开香槟庆祝了。

参考来源：区块律动BlockBeats、区块链论坛

。