7月4日凌晨五時許，幣安交易所出現(xiàn)超大額提現(xiàn)，2小時內(nèi)，超過7000枚比特幣轉(zhuǎn)入同一地址，何一對此表示，這只是一個看上去比較異常的正常轉(zhuǎn)賬，并非網(wǎng)傳被盜。然而，同日上午八時，幣安暫停交易與提現(xiàn)，進行臨時維護。

既然是“正常轉(zhuǎn)賬”，何來停機維護呢？

在巨額比特幣流轉(zhuǎn)的背后，一個名為Syscoin的小幣種，在4日四時許價格迅速拉升了320萬倍，一枚SYS價格達到了96BTC——SYS的日常均價一直是0.00003BTC左右。隨著SYS價格被拉爆，黑客再通過其他交易所出貨，至少能獲利8000萬。

幣安官方公告指出，這是一次“部分API用戶的釣魚事件”，何為API釣魚事件？又是如何獲利的呢？

金色財經(jīng)邀請KEX交易所的CTO劉宏斐對事件進行技術(shù)解讀。API釣魚事件，可理解為通過常規(guī)的釣魚手段，包括并不限于假冒網(wǎng)上銀行、垃圾郵件、虛假電商廣告等不法手段，來獲取收集用戶的賬號信息，并由此獲得API接口權(quán)限，并通過大量的API接口操作來影響交易市場。劉宏斐表示，由于API權(quán)限位于用戶權(quán)限下，因此只要得到了平臺的用戶權(quán)限即可控制其API權(quán)限。如果黑客能夠從一個或者幾個平臺獲取大量的API控制權(quán)，即大量的用戶賬號登錄信息，就可以左右市場行情。

發(fā)動攻擊的人掌控足夠的API之后，足以操控某個幣種的市場漲跌，只要涉及的資金量和某項目的資金盤達到一定比例，就能引發(fā)巨額漲跌，因此交易量小和單價低的小幣種容易成為攻擊對象。當瞬間拉高小幣種的價格之后，再通過賣出提前低價埋伏在其他交易平臺的該幣種即可獲利。

這樣的事件過后往往跟隨比特幣的下跌，3月7日，幣安也發(fā)生了性質(zhì)極為相似的黑客攻擊時間，那一次買入的小幣種是VIA，攻擊發(fā)生后兩天，比特幣暴跌近1000美元。這一次，攻擊發(fā)生后30分鐘，比特幣跌去130美元。黑客通過提前做好的空單，可二次獲利。

針對這次異常事件，幣安提出了四點處理方案，包括刪除全部API記錄、回滾異常交易賬戶記錄、返還手續(xù)費、以及成立幣安投資者保護基金等。

那么刪除API記錄的做法能夠在多大程度上彌補損失呢？劉宏斐指出，從技術(shù)角度看，“如果是單純刪除API記錄，其實作用不大，只能防止攻擊者在短時間內(nèi)不能進行再次攻擊。真正有效的方式是，修復生成API過程可以繞過二次驗證（GOOGLE驗證等）的漏洞，防止在用戶未知的情況下生成API”。

交易所阻止黑客控制API有若干種辦法，首先就是要盡可能保障用戶賬號的安全，通過短信驗證碼、GOOGLE驗證碼等安全手段(此次攻擊中，生成API流程的2FA被繞開)增加賬號的安全機制；另外，在生成API的過程中加入人工審核的互動過程，確認此操作為用戶的本意操作。據(jù)劉宏斐介紹，KEX交易所目前采用的也是這種安全措施。

對于回滾交易的操作，劉宏斐認為，這僅能恢復事故之前的賬戶情況，對用戶的利益做到一定程度的彌補，但對于“追回”黑客已經(jīng)獲取的利潤則沒有意義。因為此種攻擊黑客并沒有直接通過被盜賬號來直接獲取利益，而是通過大量被盜賬號的買賣行為影響市場，并且在其他平臺上已經(jīng)交易提現(xiàn)。

對于普通交易所用戶來說，雖然賬戶記錄已經(jīng)回滾，但潛在地，會有相當一部分加密貨幣交易者對幣安甚至所有的交易所安全性產(chǎn)生質(zhì)疑與恐慌，甚至引發(fā)踩踏性跟風拋盤，這對于整個加密貨幣行業(yè)和區(qū)塊鏈產(chǎn)業(yè)都會產(chǎn)生沖擊。

劉宏斐建議，普通用戶為了保護自己在這樣的事件內(nèi)免受損失，需要做到兩點。首先最好將平臺內(nèi)提供的安全防護手段，例如，短信驗證、郵箱驗證、谷歌驗證碼等安全機制盡可能的打開，這樣雖然增加了登陸的復雜度，但其實這也是保證平臺數(shù)字資產(chǎn)的最基本手段；其次就是安全保密數(shù)據(jù)的保存方式。例如，密碼采用專業(yè)的密碼管理工具，存放數(shù)字資產(chǎn)的移動設(shè)備不隨意安裝未知APP，不隨意掃描二維碼等，不在未知陌生的站點泄露用戶信息。

隨著信息化不斷深入到我們生活中的每個角落，我們的資產(chǎn)由傳統(tǒng)的有形資產(chǎn)在不斷轉(zhuǎn)化為數(shù)字資產(chǎn)。金色財經(jīng)認為，數(shù)字資產(chǎn)不同于有形資產(chǎn)，在保存方式上需要我們重新樹立新的信息化安全防范意識，交易所等金融敏感的平臺不應(yīng)單純的只強調(diào)“用戶體驗”、“易用性”，而忘記了信息安全的重要性。

本文來源： 金色財經(jīng) 文章作者： 許珂