上周開始，一頭部交易所開始頻繁遭遇撞庫(kù)攻擊。

“幾十個(gè)數(shù)據(jù)包，都在凌晨開始撞庫(kù)，嘗試登錄用戶的賬號(hào)。”該交易所安全負(fù)責(zé)人CC稱。

該交易所有十幾位用戶宣稱自己丟了幣，有趣的是，他們?cè)谶@個(gè)平臺(tái)上的用戶名和密碼，和幣安的最為相似，“只是多了一個(gè)特殊字符”。

CC所在團(tuán)隊(duì)攔截了其中一個(gè)撞庫(kù)的數(shù)據(jù)包，發(fā)現(xiàn)其中有4000條交易所的用戶名和密碼數(shù)據(jù)。

到底是誰(shuí)泄露了用戶的數(shù)據(jù)？

01 不翼而飛

7月20日8點(diǎn)半，用戶珂賢醒來(lái)了。按照平時(shí)的慣例，他準(zhǔn)備先打開交易所的頁(yè)面，查看各種數(shù)字貨幣的價(jià)格。

但他突然看到，手機(jī)上有很多彈出的郵件。

“凌晨3點(diǎn)，居然有多次登錄交易所的郵件提示。”珂賢突然警覺，馬上登錄交易所，卻發(fā)現(xiàn)自己價(jià)值37萬(wàn)的數(shù)字貨幣，只剩下價(jià)值400元的。

他馬上查看交易記錄，發(fā)現(xiàn)了一件有趣的事情：

所有的幣，都被兌換成ETH，然后購(gòu)買了一個(gè)小幣種——WICC。

有趣的是，黑客買入的價(jià)格都是固定的，即0.000853個(gè)ETH（2.63元），而賣出的價(jià)格，都是0.0007782個(gè)ETH（2.4元）。

而買入操作5秒后，必然開始賣出操作。

每次的交易量也不高，一般都是500到1000個(gè)WICC。

“一看如此的規(guī)律操作，就知道是機(jī)器和程序化交易。如此精密，人做不到。”資深黑客CC稱。

那為何黑客都是高買低賣？這樣操作的原因是什么？

“黑客在另外一邊，操作了其他賬號(hào)，低價(jià)買幣之后，再高價(jià)拋出，相當(dāng)于低買高賣。”CC稱，在這個(gè)反復(fù)操作的過(guò)程中，用戶的錢，就被轉(zhuǎn)移到了黑客的賬戶上。

而珂賢的37萬(wàn)，就在幾秒一次的操作中，被一點(diǎn)點(diǎn)蠶食，最終只剩下400元。

“黑客的進(jìn)化速度是驚人的，他們根本不需要提幣。”CC稱，一般的交易所，對(duì)提幣操作的安全防護(hù)會(huì)比較多，比如給郵箱發(fā)驗(yàn)證鏈接，給手機(jī)發(fā)驗(yàn)證碼等。

但黑客繞開了這一步，開始利用交易所的流動(dòng)性，選擇一些流量較小的小幣種，將錢“洗出來(lái)”。

和珂賢有同樣遭遇的用戶，有十多人，他們被以同樣方式洗走的錢，從幾萬(wàn)到幾十萬(wàn)不等。

案發(fā)時(shí)間，幾乎都是7月19日凌晨。

除了WICC之外，黑客還購(gòu)買了小幣種SHOW。一共兩個(gè)幣種，操作手法完全相同。

“我們都在凌晨3點(diǎn)左右收到了登錄郵件。但這時(shí)大家都在睡覺，沒人會(huì)注意。”被盜用戶Woody稱。

而CC追蹤這些登錄的IP地址，發(fā)現(xiàn)來(lái)自日本、巴基斯坦、阿爾及利亞等國(guó)家，但有一個(gè)IP，在所有的賬戶都出現(xiàn)過(guò)，它來(lái)自墨西哥。

在所有賬戶里出現(xiàn)同一個(gè)IP，證明這是同一批黑客團(tuán)隊(duì)所為。

02 撞庫(kù)攻擊

多個(gè)安全團(tuán)隊(duì)對(duì)這次攻擊進(jìn)行了監(jiān)測(cè)，并證實(shí)這是一次典型的“撞庫(kù)攻擊”。

所謂的撞庫(kù)攻擊，核心的邏輯是，黑客用一個(gè)平臺(tái)的用戶名和密碼，去嘗試登錄其他平臺(tái)。

那么問題來(lái)了：這些撞庫(kù)的用戶數(shù)據(jù)，都是怎么來(lái)的？

被撞庫(kù)的用戶都表示，他們?cè)谶@個(gè)交易所的用戶名和密碼，幾乎是唯一的。

“因?yàn)檫@個(gè)交易所的密碼要求極為嚴(yán)格，需要數(shù)字、特殊字符，還要求字母大小寫，所以被撞庫(kù)攻擊的可能性，幾乎沒有。”珂賢稱。

但他們的密碼，和一個(gè)平臺(tái)的賬號(hào)密碼最為相近，就是幣安。

“因?yàn)閹虐驳拿艽a不需要特殊字符，所以我在這兩個(gè)交易所的密碼，只差一個(gè)特殊字符。”Woody稱。

“特殊字符只有那幾個(gè)，被試出來(lái)的可能性非常大。”CC稱。

CC根據(jù)這條線索，和其他安全團(tuán)隊(duì)追查此事，并攔截了一個(gè)撞庫(kù)的數(shù)據(jù)包。

“里面共有4000條用戶名和密碼數(shù)據(jù)，顯示的數(shù)據(jù)日期是6月25日，并留下了某個(gè)頂級(jí)交易所的名字，還附上了流水號(hào)。”CC嘗試用這些用戶名和密碼登錄該交易所，發(fā)現(xiàn)都可以成功。

CC稱，這幾乎證明，用于撞庫(kù)的數(shù)據(jù)，就來(lái)自某個(gè)交易所的用戶名和密碼。

而出現(xiàn)這樣的情況，一般有兩個(gè)可能性：

第一，該交易所6月25日前的數(shù)據(jù)外泄，被黑客盜取；

第二，該交易所利用自己的用戶數(shù)據(jù)庫(kù)，對(duì)其他交易所進(jìn)行撞庫(kù)攻擊。

如果是第一種，說(shuō)明該交易所的安全，做得并不到位——數(shù)據(jù)量如此之大，應(yīng)該是黑客“拖庫(kù)”，把整個(gè)數(shù)據(jù)庫(kù)盜走了。

如果是第二種，這個(gè)交易所已基本視用戶為“玩物”，直接去其他交易所，洗劫自己的用戶。

03 交易所安全

CC稱，其實(shí)，基本上所有的交易所，都經(jīng)歷過(guò)撞庫(kù)攻擊。

這些用來(lái)撞庫(kù)的數(shù)據(jù)，除了來(lái)自其他交易所外，也可能來(lái)自其他互聯(lián)網(wǎng)平臺(tái)。

“交易所就是一個(gè)金礦，所以任何可以淘金的可能性，黑客都不會(huì)放過(guò)。”CC稱。

而最可怕的一點(diǎn)是，只要黑客能登錄，根本不需要提幣的操作，就能將賬號(hào)里的數(shù)字貨幣洗劫一空。

只需要找個(gè)小幣種，進(jìn)行“高買低賣”。

如何防住虎視眈眈的黑客大軍？

CC表示，交易所是資金安全重地，用戶應(yīng)該設(shè)置獨(dú)立的賬號(hào)和密碼，它們不和其他任何地方的賬號(hào)密碼相同或相似。

此外，可以啟用“谷歌驗(yàn)證”的安全手段。

CC稱，目前，幾乎所有交易所的用戶名和密碼，都在黑市出現(xiàn)過(guò)，但暫時(shí)無(wú)法核實(shí)數(shù)據(jù)真假。

對(duì)于用戶來(lái)說(shuō)，這是一顆定時(shí)炸彈，必須將以上兩點(diǎn)做好。

“千萬(wàn)不能嫌麻煩。”CC稱，現(xiàn)在黑客的進(jìn)化速度特別快，針對(duì)數(shù)字貨幣領(lǐng)域的進(jìn)攻，已被他們上升到戰(zhàn)略高度，“每天都在研究進(jìn)攻策略。”

當(dāng)然，交易所也應(yīng)該設(shè)置更為復(fù)雜的登錄策略，對(duì)于撞庫(kù)等異常操作進(jìn)行監(jiān)控。

未來(lái)的攻防大戰(zhàn)，都將集中在數(shù)字貨幣領(lǐng)域。

而交易所，正在成為黑客眼中最重要的淘金地……

可以說(shuō)，采用怎樣的安全措施，都不為過(guò)。