全球最大加密货币交易所币安(Binance),昨日惊传大规模用户信息泄露事件。北京时间周四截至中午时间,黑客持续于电报群大规模公布第二波币安被盗用户信息。目前为止,据黑客声称,恐有多达 60000 笔用户 KYC(Know Your Customer) 信息泄漏。根据 CoinDesk 独家取得黑客与币安对话纪录,此次事件疑为币安今年 5 月黑客攻击后衍生的“黑吃黑”事件,且其中可能涉及内部人士泄密。
据了解,在周三币安用户 KYC 信息曝光之前,一名代号“Bnatov Platon”(以下简称“普拉登”)的黑客已与 CoinDesk 记者进行了长达一个月的对话。内容显示,此次用户信息泄露事件的完整故事似乎更为复杂,可以追溯到 5 月份币安被盗 7000 枚比特币一案,且还有愈来愈多内幕细节正在浮现,而整起事件规模可能多达 60000 用户 KYC 信息泄漏。KYC 信息一般是指用户与平台注册时所提供的身份认证信息。
(来源:Pixabay)
60000 用户 KYC 遭泄露,与 5 月币安被盗有关?
据 CoinDesk 周三报道,币安交易所正在调查一起泄露客户验证信息的事件。此次泄露可能会影响到 2018 年和 2019 年向该公司发送 KYC 信息的 6 万名个人用户。据称,此次泄露与今年 5 月的黑客攻击直接相关。
8 月 7 日,一名网名为瓜尔迪安(Guardian M)的电报(Telegram)用户了在一个电报群内发布了数百张个人持有身份证的照片和写有“Binance, 02/24/19”字样的纸条,声称提交的数据由黑客盗自币安交易所。瓜尔迪安向 CoinDesk 独家提供了数百张照片,CoinDesk 已确认了一些用户的身份,用户已识别出了自己上传到币安的人脸照片和个人 ID。
瓜尔迪安告诉 CoinDesk,他(或她)至少还有 6 万封邮件,他会随时间的推移释放这些邮件。
对此,币安官方第一时间发布声明,表示电报群中传播的信息与币安内部系统中的数据不相符,因此目前还没有证据表明这些信息直接来自币安交易所本身。
详细声明如下: 
图|关于谣传“KYC 事件”的声明(来源:币安官网)
从上述声明可以看出,币安官方认为这些图像不包含币安系统所印的数字水印,目前还不清楚这些图像是从哪里获得,其安全团队正在努力寻找所有可能的线索,试图确定这些图像的来源。
此外,币安还补充道,这名身份不明的人此前要求通过 300 枚比特币换取声称掌握的 10000 个用户 KYC 信息。在币安拒绝继续对话后,这名男子才开始在网上和媒体上发布这些照片。
币安认为,这些数据和今年 1 月份的 KYC 钓鱼事件中涉及的数据为同一批,并表示如果有人能提供与黑客身份相关的信息,并协助币安用法律手段追踪黑客,币安将为其提供 25 枚比特币作为酬赏。
用户信息泄露为真
事实上,自本周一以来,CoinDesk 已经联系到三位受害者,他们的 ID 图像和其他数百张图片被上传到一个公开可用的云驱动器上后,今天才在电报群中传播。其中两个人向 CoinDesk 证实了这些照片的真实性,他们在 2018 年 2 月 24 日向币安提交了这些照片。
一名不愿透露姓名的受害者向 CoinDesk 展示了他自 2018 年 1 月首次注册该账户以来的币安登录记录,每次登录该网站都会收到电子邮件提醒。据邮件提醒记录显示,他确实在 2018 年 2 月 24 日下午 5 点左右登录了币安网。
此外,这名男子还向 CoinDesk 展示了一张他保存在手机上的 ID 图像,这张照片在 UTC 时间 2 月 24 日 6 点左右拍摄,与电报群内部流传的那张似乎一模一样。 CoinDesk 联系的另一位用户可能是本次 KYC 泄露事件的受害者,在分析的照片中确实包含一张与受害者相似的脸,但地址信息不正确。 
图|被泄露的照片(来源:CoinDesk)
对此,CoinDesk 第一时间对这张照片进行了错误级别分析(Error Level Analysis)。事实表明,其中一些图像已经被修改,特别是照片中较亮的边缘。照片取证网站 FotoForensics 写道:“在分析结果中,相似的边缘应该具有相似的亮度,所有高对比度的边缘应该看起来彼此相似,所有低对比度的边缘也应该看起来相似。对于原始照片,低对比度的边缘应该和高对比度的边缘一样明亮。” 
图|用户照片错误级别分析(来源:fotoforensics.com)
在周三的回应中,币安表示,在 2018 年 2 月左右,由于工作量巨大,币安曾有一周将部分 KYC 审核外包给第三方服务公司。目前正在和第三方服务公司核对所有信息。 但币安没有详细说明这家第三方供应商在多大程度上可以访问客户 KYC 数据,也没有说明这个第三方是否可以预先获得实际的图像文件。
“目前,我们正在与第三方供应商调查更多信息。我们正在继续调查,并将随时通知你。”
或许事实并非如此
但今天早些时候,据 CoinDesk 独家报道,一个推特名为“Bnatov Platon(布纳托·普拉登)”的白帽黑客再向 CoinDesk 独家爆料。据其表示,此次事件真相与币安的陈述并不完全相符。
报道指出,在本次币安用户 KYC 信息泄漏之前,普拉登早已在 7 月份就与 CoinDesk 记者取得联系,交流已长达一月之久,在此期间,普拉登向 CoinDesk 透露了他与币安谈判的详细内容。
据其表示,普拉登与币安举行了多次会谈,他们达成了一项协议、但后来却被取消了。CoinDesk 独家获得了这些对话的完整文本。
尽管此前币安创始人赵长鹏对外披露了“大规模的安全漏洞”,认为该漏洞导致了黑客能够访问用户应用程序接口密钥(API keys)、双因素身份验证码、以及其他信息。但未提及的是,用户的个人隐私信息也可能已被泄露。
但据普拉登所称,他们没有参与 5 月份的黑客攻击,其所攻击的是涉案其中的币安内部人员(exchange「insider」)。他声称,币安交易所的一位内部人员帮助公开了许多 API,使得黑客可以直接访问用户帐户。黑客将客户端 API 密钥(用于远程访问账户的代码)列表存储在普拉登声称可以获取的文本文件中,这使得黑客可以远程访问资金。
此外,普拉登还透露,文件中还包括用户的电子邮件地址和帐户密码等隐私信息。利用被盗的用户隐私信息,黑客编写了一个恶意脚本,允许他们立即提取 0.002 BTC(大约 23 美元)。 CoinDesk 对此进行了研究,发现代码仍可以使用不再开放或公开的 API 调用执行许多函数。此外,当测试一个 API 调用时,服务器时间的一个简单请求仍然是打开的。目前还不清楚关闭的 API 端点是被删除了还是仅仅被隐藏了。 普拉登还表示,被盗的比特币被存放在由比特币软件钱包提供商 Blockchain 托管的钱包中,黑客已经通过 Bitmex、Yobit、KuCoin 和 Huobi 清洗了 2000 多枚比特币,并且希望每天转换多达 100 万美元的比特币。 普拉登已经向 CoinDesk 共享了 636 个被盗文件,他希望借媒体的关注促使币安宣布黑客事件的真实程度,并将袭击者绳之以法。
图|被公布的受害者照片(来源:CoinDesk)
此外,普拉登还向 CoinDesk 公布了“币安后门”代码,他将其描述为一段通过“内部人员”访问币安服务器的代码。区块链开发公司 VisibleMagic 的首席技术官维克多·什帕克(Viktor Shpak)表示:“这极有可能成为 API 密钥攻击,他们从某个地方获取了 API 密钥。”
API 密钥用于验证交易所和其他应用程序中的服务,并且可以允许黑客做任何事情,比如代表受害者购买加密货币、将加密货币移动到外部钱包等。
“很可能是一个内部人员创建了一个处理程序来访问用户 API 密钥,然后他们就获得了这些 API 密钥,并获得了用户数据的访问权限,并构建了一个工具包来完成这项任务,”什帕克说。
相关代码如下:
public static String getApiKey(String uri, String userId) { String time = ""; time = get(""); Map<String, String> param = new HashMap<String, String>(); param.put("userId", userId); param.put("desc", "api" + JSON.parseObject(time).getString("serverTime")); return post(uri + "/exchange/mgmt/account/getApiKey", param); }
谈判破裂,意欲何为?
在与 CoinDesk 对话的同时,普拉登也联系了币安。
“我个人想要让币安成为世界上第一个逮捕黑客的交易所。这对币安的声誉是非常有利的,”普拉登说,并补充道:“我告诉他我有内部信息,像是内部人士的信息、内部人士与外界的沟通细节或甚至是内部人士的照片。我告诉他我有多位黑客的细节─服务器信息、身份、电话号码等信息。”
由其提供的信息来看,币安是由担任首席成长官(CGO)的 Ted Lin(林义翔),主要负责与黑客的谈判。
根据普拉登向 CoinDesk 分享的和林义翔的对话显示,后者曾有意愿支付,以交换那些可能可以逮捕多位黑客、内部人士与追回资金的信息。然而,在同样的对话中,林义翔也驳斥了普拉登正运作的“FUD 活动”。
林义翔並对普拉登表示,“如同我先前说的,我们不会回应敲诈勒索。”
但普拉登强调,自己对财务报酬不感兴趣。“当我需要钱,我只要破解一个交易所的帐户(黑客的),就能通过骇入黑客的钱包收到 600 或 700 枚币,”他说道。他并在早些时候与 CoinDesk 的对话中表示自己是富有的。 尽管普拉登看似是利他的,CoinDesk 后来从普拉登和币安官方得知,这位白帽黑客曾向币安要求 300 枚比特币,如以七月的比特币价格换算,大约为 300 万美元,将分 50 期支付。 最终,双方的协商破裂了。7 月 22 日,在他们开始联系 CoinDesk 的 5 天后,普拉登表示自己已经不再和币安协商。
“经过将近一个月的协商,他们并未支付一分钱,”普拉登表示。“我与币安的交易破裂了。”
普拉登提供了以下与林义翔谈判破裂的涉及交换的信息:
Ted Lin(林义翔)(2019 年 7 月 20 日 19:54):我看到你已经将信息提供给媒体了。
Ted Lin(2019 年 7 月 20 日 19:59):鉴于你的 FUD 活动已经完成,无论你以信息要求的赏金都会显著减少。正如同我先前说的,我们不会对敲诈勒索作出反应。但如果你手中有有用的信息能让我们将坏人绳之以法并追回资金,我们愿意获得更多有关肇事者的信息。
Platon(普拉登)(2019 年 7 月 21 日 16:53):如同我先前所说的,我不需要你的钱。
Platon(2019 年 7 月 21 日 16:53):已经没有交易的余地了。 Platon(2019 年 7 月 21 日 16:54):我也没期望你们会作出回应。 Platon(2019 年 7 月 21 日 16:59):但我很喜欢看到内部人士和黑客们看到新闻出版的反应。再次重申,我对你们的反应不感兴趣。 Ted Lin(2019 年 7 月 21 日 19:04):我以为你想看到那些黑客们被逮捕? Platon(2019 年 7 月 21 日 19:11):我想要,但不是现在。 Platon(2019 年 7 月 21 日 19:12):我情愿离开并继续观察。 Ted Lin(2019 年 7 月 21 日 19:19):我们仍对那些能逮捕黑客们、内部人士与追回资金的信息感兴趣,并愿意支付。 Ted Lin(2019 年 7 月 21 日 19:19):如果你有更多可以实现上述目标的信息请让我知道。 Ted Lin(2019 年 7 月 21 日 19:04):在你不再回复我们之前,我们正验证你所具有的信息类型。 Ted Lin(2019 年 7 月 21 日 19:21):如果你改变心意并仍想继续,请让我知道。 Ted Lin(2019 年 7 月 21 日 19:21):感谢你的帮忙。 Platon(2019 年 7 月 21 日 19:11):付钱给我。 最后普拉登表示,“与币安协商是错误的事情,”“他们不是合适的人…所以我只有将所有的数据发布给它们的客户了。”
事实上,普拉登在 7 月 22 日与币安代表的沟通中,他表示,“我当前的兴趣那些黑客们和公司的内部人士。在新闻发布时,我很乐意看到他们的反应。”
Ted Lin 是谁?
在此次事件中代表币安与黑客对话的 Ted Lin,是币安 CGO(Chief growth officer)林义翔。
(来源:推特)
根据《CoinDesk 中文网》了解,林义翔来自台湾,是币安创始人赵长鹏的高中同学,两人已有 20 多年交情。他过去在科技行业任职,拥有丰富的国际市场开拓经验,2017 年中,在赵长鹏一通电话下,决定加入一同创业。起初他肩负为币安打开国际市场的责任。
众所皆知,币安在 2017 年底快速崛起为全球第一大加密货币交易所,并持续称霸行业至今,最大的优势,就是其迅速在全球开疆辟土的能力,让同行瞠乎其后。而林义翔在其中扮演关键角色。去年 6 月、8 月,以及今年年初,币安先后在乌干达、列支敦士登以及英属泽西岛成功开设法币交易平台,最近一个地点是今年 4 月亦落地新加坡。
后来随着币安快速扩张,林义翔角色也逐渐转变,成为币安的 CGO,在内部带领专门的成长团队(growth team)。 币安成长团队是整个公司为了应对组织出现意料外的超速扩张,而成立的专门部门。其在 2018 下半年至 2019 年初的熊市期间,仍密集推出包含 Binance DEX、Binance Launchpad、Binance Chain(币安链),以及币安的新加坡法币交易所等多项新产品,不仅成功带动出一波市场行情,更重要的是展现出十分强大的行业发展主导能力。这些成长动能亦与林义翔所领导的成长团队有着密切相关。
用户信息仍在泄漏
但回到此次用户信息泄露事件,普拉登的威胁在 8 月 5 日,成为现实,他将一个夹带 166 位人们 KYC 的 500 张照片的档案上传至开放文件共享网站中,命名为“Guardian M”。
随后是周三早上上传至 Telegram group 的第二次泄漏资讯,内容包含上百张手持身份证的个人照片。 普拉登的解释很简单:他们认为他们做的是正确的事情。
普拉登并发布一系列推特说明自己的动机。 
(来源:推特)
“总有人问我,“为什么你要公开这些用户的 KYC 信息?”,“你如何得到了这些信息?”“原因很简单,就是给仍在币安交易数字货币的人一个警告(你们的隐私很不安全),如果我想借此获取收益,我可以在地下市场卖掉这些数据,而不是选择这样公开它。”
他(们)还说道,“我是如何拿到这些数据的?不要问我,去问币安吧。从第三方那里?不要开玩笑了。网络钓鱼?如果是那样,我确实(需要)拥有顶级的网络钓鱼技术。”
“币安本可以阻止这件事情的发生,但是他们并没有那样做。10,000 张照片换 300 BTC?币安应该继续关注还有多少张照片被公开。我曾以多种不同的方式向他们提供帮助,我只是为每一步索要 50 比特币作为奖励。”
图|第二波被公布的受害者照片(来源:Binance KYC 电报群)
北京时间周四上午 8 点起,普拉登在电报群再次大规模公布第二波据称是币安用户被盗信息,截至撰稿时间仍在持续。《CoinDesk 中文网》稍早亦联系币安官方,但截稿为止尚未取得回应。
后续是否还有多少受害者 KYC 数据被公开?币安又将如何回应?用户信息泄漏谁来负责?事实真相究竟为何?《CoinDesk中文网》将持续跟进报道。
本文来自,仅作分享,存在异议请联系平台删除。本文观点不代表刺猬财经 - 刺猬区块链资讯站立场。