比特币交易平台被盗事件全解析

安全 应用安全
就在2014年8月15日晚,国内著名的山寨币交易所比特儿遭到攻击,被盗5000万个NXT(未来币)。本事件一波三折,目前还在发酵中,但一场完全透明却匿名的网络犯罪却呈现在我们面前,这是历史上的首次。

就在2014年8月15日晚,国内著名的山寨币交易所比特儿遭到攻击,被盗5000万个NXT(未来币)。本事件一波三折,目前还在发酵中,但一场完全透明却匿名的网络犯罪却呈现在我们面前,这是历史上的首次。我们继续关注事件的进展。

[[118309]]

在事件处置过程中,交易所暴露出安全性严重缺失,POS币钱包在线安全隐患严重等问题。帐号被盗后,交易所进退失据,在回滚区块和私了间来回摇摆,丧失了主动权,最终被黑客骗取了110个比特币,只要回了500万个NXT币。目前,交易所正试图重置区块数据,回滚所有被盗NXT币,但这又会造成NXT的信用危机。而如不能收回损失,交易所将亏损1000万元,这远超过交易所的承受能力,可能成为第一家因黑客攻击而倒闭的中国交易所。

被盗

比特儿是一家中国的山寨币交易所。NXT等山寨币都在上面交易。

15日16点34分左右,比特儿先在其官方Twitter账户上发出被盗信息,两分钟后在新浪微博发布消息称:“重要通知:刚刚我们的NXT中心账号被黑,黑客盗走5000万NXT,我们正与开发团队合作解决,我们将持续为您更新,感激您的支持,我们联系方式 400 007 0955!”

根据NXT区块浏览查询器查询可知,黑客盗取NXT时间为下午13:11-13:14左右。(交易链接)事发三小时后比特儿官方宣布了被盗消息。

比特儿(Bter.com) 比特币交易平台被盗事件全解析

根据交易记录可知,NXT地址 NXT-LSC3-VB9T-2W3V-BH7FB 向NXT-8WJ7-8A2H-MBYN-3W9K4 输出了5000多万的NXT交易。

比特儿(Bter.com) 比特币交易平台被盗事件全解析

根据比特儿自己公布的钱包公开地址,其NXT钱包地址为 10715382765594435905 (链接),经查询,正是XT-LSC3-VB9T-2W3V-BH7FB。

按照目前每一枚NXT 0.2073元的价格计算,这些被盗的NXT总价值在1000万元人民币以上。有网友在比特儿官方网站上查询到其经营公司为:“济南曼维信息科技有限公司”,而通过在济南市市场主体信用信息公示平台上查询可知,该公司的注册资本为200万元人民币。

这也就意味着比特儿此次被盗,将面临破产危机。一场门头沟危机将在中国上演。

“出手”

非常具有讽刺意味的是,之前有一次一个外国人被盗百万NXT,黑客将被盗NXT输入比特儿平台试图销赃。而被害人在NXT论坛上寻求帮助后,比特儿决定干预此事,冻结了被盗资金。作为交易所,比特儿”路间不平一声吼,该不该出手也出手“,擅自将这些币还给了被害人。此事引起了行业的争议,交易平台是否该介入用户纠纷? 然而在这件事情发生后不久,比特儿自己也成了猎物。

谈判

被盗后,比特儿立即暂停了NXT的交易,并声称”寻求援助”,称要联系“开发组” 重置交易。众所周知,区块一旦重置,所有期间的交易都会取消,虽然比特儿表示愿意承担这些损失,但随意回滚区块交易,还是引起了很大争议。

而此时黑客利用NXT的交易留言功能,试图与比特儿进行谈判。黑客的地址为:NXT-8WJ7-8A2H-MBYN-3W9K4 比特儿的地址为NXT-LSC3-VB9T-2W3V-BH7FB

比特儿(Bter.com) 比特币交易平台被盗事件全解析

在被盗后,比特儿没有任何反应,没有利用交易留言跟黑客进行任何沟通。而是黑客主动发送了一个“hi",在比特儿没有答复后,黑客主动提出了要求,要求交易所用比特币赎回NXT。

黑客:

“We can trade these NXT for some bitcoins to make life easier for you, and me”

由于NXT的交易所有限,而且区块能被回滚,黑客也担心自己的赃款不能销赃,或者交易被取消。因此主动提出要求赎金。由于区块重置会损伤NXT的信心,比特儿没有决心要重置区块,而开始对黑客的要求进行回应。

比特儿(Bter.com) 比特币交易平台被盗事件全解析

比特儿开始口气还比较硬,先是要求黑客用邮件联系,在黑客7分钟没有回答后,可能才想明白邮件能被追踪,黑客不可能使用邮件,只能使用交易留言。此时比特儿还认为自己能够用“回滚”恐吓黑客,在58分22秒要求黑客返还NXT,不然采取行动,还要求黑客“放聪明点”(be smart)

黑客在33秒立即回应,声称如果得到比特币,可以返还。并提供了比特币地址13UZjKkhHWyTmQ4mx28WT5Wj1zw4pEByZw ,但此时黑客并未开价。注意黑客在44秒发送比特币地址后,59秒立即补充了一句“btc purse”(应该是wallet才对),说明此时黑客还没有思想准备,说话还比较随意,主动权尚在比特儿手中。

当然这里没有电影里的谈判专家,但此时如果比特儿能进行紧急会议,群策群力商讨对策,尚有挽回败局的机会。

赎金

比特儿收到要求后,大概考虑了5分钟,回应了黑客的要求。比特儿要求黑客返还全部的NXT到一个指定地址NXT-R3V3-2S79-F3ZM-BVXKZ 或者被盗地址。并答应给黑客10个比特币,威胁黑客如果不从,将在很快时间重置区块,并要收拾黑客,最后说了一句“我保证”。

至此,比特儿开始进入被动。一句“退还被盗地址”已经反映出比特儿方寸大乱。既然币被从地址盗走,地址早已被黑客控制,如何能安全呢?然后想有10个币赎回1000万的NXT,哪个黑客也不会答应的。

黑客感觉被侮辱了,说10个币你也想打发我?我把你的密码(MD5)爆出来吗?——此时已经暴露出交易所的严重问题,无论MD5是否加盐,用户数据库已经被拖,比特儿的用户将处于裸奔危险中,还有可能危及客户在其他交易所的帐号。

接下来比特儿给了黑客1个比特币,并要求黑客把NXT退回,完了以后给他剩余的9个币。此时导致黑客感到被侮辱了,回复道: left what? I don't need your lousy 10BTC

一分钟以后,黑客开价要求100BTC赎金:100 btc, than we're talking. otherwise, let it do the rollback.

底牌

比特儿(Bter.com) 比特币交易平台被盗事件全解析

接下来比特儿犯了大错,在21分47秒将价格抬至50BTC,并要求黑客返还NXT到被盗帐户。这一失去理智的语言立即提醒了黑客。

此时黑客已经明白比特儿的处境,态度立即大变,要求100个比特币,先付10个,分批交易。并表示牛逼你就回滚,回滚会导致NXT社区因为你们受损,你们看着办吧。

45分比特儿答应黑客的条件,并冠冕堂皇的说为了NXT社区和用户的利益什么的,我们公司准备承担损失… 这里用了we这个词,并给了黑客9个比特币,此时黑客得到了10个比特币。

这个声明让黑客看到了比特儿的虚弱本质,并且知道他们认为这是公司行为,已经考虑计入公司成本,不在乎这100个币,但是很在乎用户流失和NXT大跌,比特儿的底牌此时已经暴露。

逼宫

当黑客发现比特儿回滚区块的决心不足,之前的恐吓都是玩笑,而还在纠缠NXT的利益和用户流失(密码泄漏)的时候,比特儿已经处于完全劣势 。此时黑客立即掌握了主动,在54分黑客返还了500万NXT(10%)后,在59分立即开始逼宫:

This is taking too long. I dont have all night.

黑客假装已经不耐烦,并要结束谈判。

此时比特儿的回答让人哭笑不得:

send the left first and we will send you the left BTC. We are an exchange, we do it publicly and we keep our promise. Otherwise, we can do 20 by 20 to speed it up.

先0退还剩下的部分,接下来我会给你剩下的BTC。我们是一个交易所,我们公开说的并保持我们的承诺,另外你可以20%一次交易来提高速度。

黑客立即发现了比特儿根本没有回滚区块的决心,而是关心起自己作为交易所的声誉,而且被吓住了,要求加速交易。此时黑客不再回应比特儿的留言,选择了沉默。

撕票

10分钟后,黑客回应:

So, what taking so long? Send me the next batch already. I'm going to leave soon. It's already 2 hours of negotiation, it took me 1 hour to clean your whole exchanger. BTC 500+ I'm not going to sit here, and wait 2 more hours for you to decide to send the lousy 10 BTC.

此时黑客要求立即支付下一批的比特币,并要结束对话,表示不耐心了。比特儿的老总在这10分钟的时间内受到的煎熬不得而知,但他完全丧失了理智,被黑客牵着鼻子走了。

见比特儿没有回应,黑客声称结束谈话。 Deal is off. Good night.

比特儿立即慌乱了,给了黑客20个币,并要求黑客不要等比特币确认就交易,再次留言了邮箱。

比特儿(Bter.com) 比特币交易平台被盗事件全解析

此时留邮箱,已经不是无知的表现,而是反映出交易所不想让讨价还价的这一幕丑剧继续暴露在公众面前。加上他要求黑客不要等确认,此时说明交易所已经完全慌乱,陷入了绝望中。黑客当然没有给出任何回复,他已经牢牢把握了主动权。

接下来黑客没有任何回复,而是出现了一些其他人,声称要和黑客交易,以更高的价格买下这些NXT。不知道这些人是真的,还是黑客自导自演的戏。反正这局面继续给比特儿制造着压力。

​ 

比特儿(Bter.com) 比特币交易平台被盗事件全解析

 ​​ 

比特儿终于在最后屈服了,把100个比特币付给了黑客。而且交易是从交易所公布的用户资金冷钱包里出帐的。前后一共有30个比特币是从用户冷钱包 1GRFNTyLwoyQnk7S3MFFAz5qPkdWp7YSoY 里直接支出的。

然后,就没有然后了。比特儿在半小时后如梦方醒,发出了最后一声哀鸣:

We have already done our part. Send the rest NXT back for the community and it will be over. Make life easier for both you and others.

回滚

然后比特儿开始联系所谓社区,要回滚交易区块,目前是否回滚成功不得而知。而黑客却至少得到了110个比特币(比特儿事实上给了黑客110个比特币,第二次一共给了100个,第一次给了1+9个,已经慌乱到数都数不清了) 。如果区块不能回滚,比特儿将面临着倒闭的命运。

总结

本次比特儿被黑是历史上第一次完全公开展现的网络犯罪,剧情跌宕起伏,扣人心弦,比特儿开始从掌握主动,到处置不当,最后惊慌失措,丢了夫人又折兵,暴露出交易所和虚拟币行业的一些严重问题,可以说是极好的教材。总结一下可以有几条:

1,POS币的钱包必须上线运行才能获取利息。因此NXT钱包必须在线运行,给了入侵的机会。POS币不能冷钱包保存,暴露出POS的重大安全隐患。

2,网站安全性严重缺陷,不仅钱包被洗劫,用户数据库也被盗了,给用户的邮箱等密码带来严重威胁。更可怕的是在黑客表示要爆库后,比特儿惊慌失措,立即答应赎金增加,已经暴露了底牌——非常害怕被脱裤。为何非常害怕被脱裤?——恐怕MD5密码未加盐,是最可能的原因。 没加盐的MD5,可能稍微比明文好那么一点吧……

3,发生危机后,负责人在巨大压力下精神崩溃。开始从掌握主动,逐渐在语言和发信频率上暴露出心虚,也没有给黑客施加强大压力,被黑客掌握了底牌,立即处于完全被控制的状态。不仅乖乖交出赎金,还浪费了宝贵的重铸时间。

4,交易所在紧急情况下竟然挪用用户资金支付赎金,如果黑客有心,一定已经知道了(因为是公开钱包)。这反映出交易所一个是精神上毫无准备(至少先从客户钱包转出来到另一个钱包,再转给黑客),另外也反映交易所的资金不足。这就给了黑客充分的思考余地,最终完胜比特儿。而且这种行为在用户中造成极为恶劣的影响,已经引起了一场危机。

5,POS币竟然可以由社区决定回滚,这又沉重打击了POS币的信心。

等等等等,这些事件在同一起黑客攻击事件中出现,充分反映了中国比特币行业的混乱无序,完全有理由怀疑其他交易所的安全性和偿付能力。

最后,如果能存活下来,希望比特儿能认真吸取教训。其他交易所也要加强安全措施,吸取前车之鉴。至于POS的弱点这次暴露无遗,恐怕就不是交易所能解决的了。

原文地址:http://www.yibite.com/blog-10148-1015.html

责任编辑:蓝雨泪 来源: FreeBuf
相关推荐

2015-01-09 16:54:00

2015-06-26 10:07:41

2020-09-03 16:55:06

CertiK黑客网络安全

2013-10-22 10:45:01

2014-03-06 15:45:54

2021-10-11 11:33:53

Coinbase漏洞加密货币被盗

2014-02-28 14:13:54

2021-04-29 15:01:51

比特币区块链矿工

2021-02-10 15:58:09

比特币加密货币区块链

2014-02-13 15:19:49

2022-07-07 11:51:15

比特币区块链加密货币

2013-08-12 14:04:52

AndroidAndroid漏洞比特币

2010-04-29 16:22:39

Juniper交易平台

2018-11-15 16:15:14

2021-06-23 08:20:14

比特币加密货币区块链

2021-06-02 05:43:36

比特币虚拟货币区块链

2022-07-05 14:44:57

比特币加密货币区块链

2014-03-12 09:19:49

2012-10-23 14:08:49

白忙活的体验

2014-11-17 11:19:37

点赞
收藏

51CTO技术栈公众号