數字貨幣交易平臺幣安遭黑客攻擊，這個是什么鬼？

（趙長鵬，幣安網創始人）

文/司馬子羽

3月7日，知名數字貨幣交易平臺幣安遭遇黑客攻擊。 這次攻擊導致全球數字貨幣價格大幅下跌。

據幣安交易所公告，已有31個賬戶被黑客釣魚。 黑客在控制用戶賬戶權限后，利用機器下單、進行程序化高頻交易，給用戶造成巨大損失。

這幾天關于此事的新聞很多，但大多是從事件本身、對數字貨幣的影響、對交易平臺的影響等開始。

最關鍵的一點無人提及：釣魚事件是如何發生的？ 作為幣安的普通用戶，我們該如何防御此類攻擊呢？

一年前，中國學生報告網絡釣魚漏洞

幣安交易所發布的公告中指出，在此次攻擊中，黑客使用了“網絡釣魚技術”。 這到底是什么？ 估計99%的記者都聽不懂。

2017年4月14日，約翰·霍普金斯大學數學系學生鄭某發表了一篇題為“with”的論文，中文大意是“用網址釣魚”。 文章給出了一種混合多種語言字符來欺騙用戶的釣魚方法。

安全專家告訴，我們使用的瀏覽器是基于英文的，URL開頭只能解析英文，即所謂的編碼。

為了讓瀏覽器支持多種語言，有人開發了編碼。 這套編碼可以讓世界上其他語言被瀏覽器“理解”，比如中文、俄語、韓語。

例如，如果您要訪問Apple網站，則必須首先輸入英文； 后來釣魚事件，CNNIC、3721等中國公司相繼開發了自己的插件，讓瀏覽器支持“新浪網”、“百度網”等。 域名。 它相當于一個語言插件（編碼標準），內置于主流瀏覽器中。

但使用編碼的 URL 存在一個問題。 例如，漢語拼音中的ü看起來與英語中的u非常相似（一個頭上有兩個點，一個頭上沒有），但是這套編碼會將其識別為兩個字母。

這就帶來了一種攻擊：有人將各種語言的相似字母組合起來冒充知名網站。

在這次幣安網絡釣魚攻擊中，有人將西里爾字母與英文字母結合起來冒充幣安的 URL。

接受采訪的資深白帽M表示，即使是專業的安全專業人員，如果不熟悉網絡安全，也有可能被這種網絡釣魚所愚弄。

（你看到n下面的兩個點了嗎？它們不是英文字母）

趙長鵬半個月前就收到了報警，但沒有處理。

所謂網絡釣魚攻擊本質上是指用戶在“假網站”上輸入自己的賬戶密碼。

為了將這個假冒網站瞄準幣安用戶群，黑客將使用一些精確的投放技術，例如搜索引擎廣告、向幣安用戶發送釣魚電子郵件以及在 群組中點對點發送 URL 鏈接。 等待。

這些舉措短期內無法見效。 如果交易所在安全監控方面進行投入，就有可能及早發現并處理類似事件。

不幸的是，幣安交易所并沒有這樣做。

微信截圖顯示，早在2月20日，就有人向幣安交易所創始人趙某發出釣魚警告。 他表示，問題已經得到解決。 從幣安的后續措施來看，他似乎并沒有認真對待這一警告，至少他沒有向有風險的用戶發出警告，試圖挽回損失。

白帽M先生表示，主流瀏覽器已經能夠防御此類釣魚行為。 在PC端，只需將瀏覽器升級到最新版本即可解決大部分威脅； 在手機上，安裝殺毒軟件也可以解決很多問題。 如果是蘋果手機，安裝騰訊手機管家，iOS系統會調用其SDK并攔截釣魚網址。

查看了幣安網站。 截至發稿，網站首頁未出現安全提示。

普通用戶應該如何防范此類釣魚攻擊？

提醒普通用戶，可以采取以下措施降低數字貨幣交易的安全風險：

1、無論是手機還是PC，都必須安裝殺毒軟件，并且必須安裝軟件包。 單純的“防病毒”無法解決網絡釣魚等問題。 推薦卡巴斯基的防病毒套件（付費版）。 如果您在中國，可以嘗試騰訊安全管理器或 防病毒軟件（均為免費軟件）。

2.瀏覽器必須實時更新。 事實上，網絡釣魚事件已經發生一年了，所有主流瀏覽器都應該打補丁，以不同的方式顯示相似的字符。 但國內一些重新打包的瀏覽器的核心升級不如原版瀏覽器，可能存在安全問題。 例如360瀏覽器、搜狗瀏覽器、獵豹瀏覽器都可能存在此類問題。

建議安裝在線瀏覽器。 從國內網站下載的完整版瀏覽器升級功能有限，可能會導致安全性能下降。

3.對于普通新手用戶，建議使用密碼管理器。 軟件會自動識別網址，不會自動在假網址上填寫密碼。 但需要指出的是，此類密碼管理器一旦被黑客入侵，所有密碼都將被盜。 如何權衡風險和便利，需要用戶自己把握尺度。

4、手機下載兌換軟件時，不要怕麻煩。 一定要從官網下載，不要從國內手機軟件商店下載。 這些軟件可能存在假冒、換皮等問題。

幾大交易所仍存在漏洞

3月10日，一位安全研究員在知乎上表示，除了用戶賬戶被盜之外，交易所風控邏輯存在漏洞，也是本次攻擊成功的關鍵。

知乎網友“二子承洲”在文章中猜測，幣安交易所并沒有采用真正的OTP（一次性）邏輯。

一些幣安受害者在國外網站上表示，他們已經開啟了幣安最高級別的2FA認證。 所謂2FA是指當您登錄賬戶時，除了正確的賬戶名和密碼外，網站還會向您發送手機驗證短信。 驗證成功后才允許登錄，業內稱為兩步驗證。

幣安的邏輯缺陷在于，手機驗證短信在30秒有效期內可以使用兩次：用戶首先在幣安上使用，然后黑客使用這條短信再次登錄，驗證碼仍然有效。

事實上，真正的OTP只允許一次登錄。 即使在有效期內，只要有人使用過一次，就會及時失效，防止黑客和用戶同時登錄。

據“二子城洲”檢查，包括火幣等交易所在內的知名交易所仍存在OTP驗證漏洞，可能遭到黑客攻擊。

Tags：軟件 幣安