分析下币安账户被操纵事件

quicksnake (45)in #cn • 7 years ago (edited)

一早上就惊闻币安发生盗号事件，首先庆幸自己没有在那上面交易过。然后开始看其他消息源的描述，据说是黑客通过钓鱼和生成交易API控制了大量的币安账户。然后去币安官网查证了相应的公告。然后开始自己思考，过程和内容如下：
币安部分账户异常事件始末.png

可以看到，币安的说法是因为钓鱼网站，用户泄露了自己的账户，黑客再用账户生成交易API，然后获得了被钓鱼账户的控制权。这应该是币安自己的说法，具体是不是在事件发生时，通过推导用户API生成时间从而推断出的大量用户2月22号被盗，不得而知。
币安回滚交易.png
目前币安已经回滚了所有异常交易，具体怎么回滚的我们不知道。交易所说回滚就回滚了，真的方便。

另外其实我觉得币安的这个登陆页面很没有用，如果用户真的能确认自己的网址没有被钓鱼网站替换（比如unicode的Binance域名），那也不是看你这个正在访问的提示。更何况我截这个图的时候上的是币安的美国节点，很难说登陆的过程是不是安全的。钓鱼网站直接复制过去，没有太大可侦测性。

（以上截图均截自币安网站）
另外我们知道，在币安的网页上登陆是要进行google2次验证的，如果按币安的说法，也就是说在钓鱼网站上黑客同时在客户登陆的时候同时进行了google2次验证，之后才能进入设置页面生成交易API。就是在这里，我闻到了蹊跷的味道！按这样的操作来说，币安也是要负有一定责任的，通过生成API密钥进行的交易完全不需要再进行任何的2次验证？这好像又不是币安一个交易所的问题，很多交易所提供的程式化交易API都没有相应的设定，只要获取了账户使用公私钥对，就可以用API进行所有交易，同时也包括资产充提现操作。

在回头往前看，我们知道在昨天3月7号火爆币圈的首先是一篇说庄家杜均如何操作币市获得巨额财富。而在这不久之后，一篇3月8号凌晨3：45（微信公众号修改文章只能修改一次）首发于公众号区块律动BlockBeats的“3月7号这一夜，黑客耍了所有人”，说黑客通过在币安一顿操作引起恐慌，从而成功其他中心化交易所获得巨额财富的文章，再次火爆了币圈。文章似乎非常笃定黑客最后通过某些方式，一定能获利，因此非常戏谑的表述了“庆祝的香槟”已经开启，总感觉很没有证据，也没有做更深的追查，只是片面的说期货做空可以获利，但并没有去确认“世界各大交易所”期货合约的增长数量。当然我也不是在为交易所说话，中心化交易所就是存在有交易不透明，无法查询全局的问题。

（截图自区块律动公众号）
文章还引来了币安一姐何一的留言，留言想表达的意思大概是想说币安很安全。然后我看了最早被放出来的留言时间，也大概是文章发出后的凌晨四点左右，有两个评论被发布者放了出来。作为一篇10W+的文章，大部分的留言是在事件发酵后的早上7，8，9点后发出的。而何一的留言则是在10点钟才出现。能够置顶何一的留言，至少证明发布者与何一认识，或者能自己确认被置顶留言的真实身份。那么，其实这个公众号发这篇文章是故意把节奏带向黑客？

（截图自区块律动公众号）
这篇文章被大量币圈账号转载，其中包括很多从来没有发过文章的个人公众号，比如我自己看到的：

（以上截图截自手机微信）
在这上面阅读量也超过了1W+。

慢慢的市场上也开始出现一些质疑声音，我自己也闻到了一些不寻常的味道，还是要慢慢进行分析：

首先是抛售发生时间，可以看到VIA的飙升发生在3月7日晚22：45-23：00，其最大波动在22：58出现，最高时冲到0.025BTC每个，振幅达到接近100倍。
通过对几种交易量比较大的币种进行比较，在币安上大部分代币的放量抛售也的确发生在这个时间之前，而且基本在22：00之后到22：30之间以放量形式拉出大阴线，然后开始放量下跌。有些货币甚至没有放量，仅出现少量下跌。但整个市场的下跌应该是从这里开始的。此时“拉高者”应当已经将手中的VIA出手，由于具体成交价格不明，具体得到多少的BTC还需估算。同时我们亦不知道卖到了什么时候才停止，这些数据只有币安自己知道，但是此时币安应当已经暂停了所有的提现。随后在3月8号0点行情开始出现分化，部分货币恐慌续跌，而有些开始恢复正常。有趣的是，有些货币在之后的恐慌中跌去了更多的价值。

（以上截图均截自币安网站行情页面）
当然在最早的文章中并没有指明具体的时间，只是告诉我们在“3月7日深夜”，应该并没有充分调查。而文章的截图可以告诉我们其是在3月8号1：30分之后才上币安截取的图片，同时转发了1：13分的某币圈媒体的报导，亦即文章是在快两点的时候才收集好素材，开始写作的。
具体有多少人真正的被“盗号者”操纵了账号并被执行了卖出的也是个迷，目前我没有见到任何一个声称被盗号的真人。社交媒体爆料也仅限于文章上的截图。同时在文章中可以看到这样的说法：

“目前，币安在 Reddit 确认此次账号被盗与 API 有关，但否认币安用户账户被盗。

关于 API，可能与用户随意下载的机器人程序内置病毒有关。但能用上量化交易机器人的投资者，绝对不是小散户，只有交易量巨大、需要随时面对市场变动的大户、庄家才有可能用到。”

前一句的确是币安在早期侦测中发布的消息，按最新公告的说法，币安已经承认自己客户的账户被盗。而后面一段的说法就有点来自于作者自己的臆测了，相比在机器人程序中埋入病毒，我更相信传统的网络钓鱼，且不说能用上程序化交易的大户自己对安全有多么重视，如果只是几个大户被盗，根本不可能造成大部分币种的抛售兑换。而传统的网络钓鱼似乎更有可能带来数量较多的异常账户。这里只能猜测，因为能看到可能存在的“异常账户”的只有交易所，以及可能存在的“黑客”。
用“期货空单”获利也很脑补，作为互相之间有所联系的几大交易所，对于某个账户突然下了很重的口头仓位，应该是能够有所察觉的，可以很快的锁定仓位持有账户以及背后的实名登记用户。同时，并不是所有交易所都有期货合约服务的，首先这些交易所自身要有很强的资产储备和实力，才能赢得客户的信任，存放大量用来做期货交易的保证金。另一点，数字资产期货交易往往由于大波动性变化，要求较高的保证金水平。如果“黑客”真的提前就做好了布局，也需要大量的资金入市，而在从2月末开始的这段时间里，币市本身就在大幅震荡，大量的空头头寸在交易中竟然没被平台暗中拉爆穿仓，我是不相信的。我始终感觉叙述“黑客”可以大量获利的动机，是在转移韭菜的仇恨。同时又让大家在潜意识中感觉在交易平台上还是有安全保障的，让人觉得是“黑客”厉害，可以“去中心化”赚钱。这就和币安公告里“黑客”发出过提币申请表述有轻微的逻辑矛盾，如果真的那么厉害可以从期货中获得合法的收益，为什么还要在意通过“盗号”获取的非法资产呢？
币安一直处在市场的风口浪尖，在整个受信息驱动的货币市场中，多次扮演重大利空信息的发出者。我自己经历过的就有3次：第一次，屏蔽大陆登陆IP，事后又爆出只有首页屏蔽了IP登陆；第二次，数据库迁移，无法登陆和交易，造成市场跑路恐慌；第三次，就是这次，直接爆出“黑客”攻击。每一次的负面新闻，其时都伴随着市场的负面调整。在这之前都有大量的政府监管袭来的推文作为铺垫，而我们都知道，币圈媒体圈子以及文章的最早出处，就是各位交易所的背后老板。通过信息影响市场，其实是很简单的事情，只要你有足够的影响力。而之所以影响会那么大，就是因为数字资产的迁移便利性，导致价值可以迅速的在个交易所之间传导。这是挺可怕的，但是就全球市场来说，在主流货币外汇市场上一直是这样的。那有没有可能是交易所自己在兴风作浪拉出交易波动？
在3月7日的时候就已经有一些利空信息在大肆散布，当天下午开始，其实主流货币就开始了下跌节奏。也有各种人说收到了消息提前下车的，但是问起来又说不清楚是什么消息，如果真的是“黑客”操作，应该是不会有提前预测的。为什么会这么巧，正好在疲软周期出事，不是应该在情绪高涨的时候收割最大利润的吗？

（以上截图截自新浪微博）
以上几点是针对这次事件我的分析，就和上面这张微博大V的说法一样，后面那段空单潜伏YY的暂且不看。我们应当注意到，现在的数字资产虽然发行和流通都是去中心化的，但是交易环节，还是在多个交易所中变成了中心化，利用这一点，传统的互联网攻击手段又可以用起来了。由于市场上充斥着太多的空气项目（空气项目也可以利用来作为黑客攻击载体，比如这次的VIA）各种交易者需要交易所进行套现，利用交易所这个平台，洗刷掉资产背后的所有者信息，达到真正匿名化的效果。交易所为了规避自身的法律风险，不得不对用户身份进行验证审查，这又使得交易者身份信息中心收集化，其实回到了传统证券交易所的运行模式。人们能够避免使用交易所吗？说实话，不能。只要有集合交易存在，就会有交易所存在。很多人就要问了，为什么我们现在用的股票交易所不会被盗呢？其实也是可以盗的，但是你得到了别人股票账户的密码以后，你怎么把里面的财产用出来呢？你盗了股票你销不了脏，同时你只能通过唯一挂牌的交易所出售这一单一产品。我只见过偷黄金珠宝和偷现金的，因为他们是能被去中心化接纳的。而数字资产也具有这样的特性，他们在区块链上，是随时可以被承认的。所以这次的风波，假设真的是“黑客”钓鱼盗号，也并不算什么新鲜范本，小偷还整天钓鱼盗刷你的支付宝二维码呢。这个世界就是这样，你选择了便利，你就要接受随时被人宰的风险！
解决的方法大概也就只有两种：
一是发展去中心化交易所，所谓的去中心化，就是利用区块链技术，将交易放到链上，同时各交易账户都保持透明可见，各账户的资产和控制权都是储存在用户自己手里，交易所平台无法控制用户账户中的资产。这种方法可以极大的增加交易透明性，但是，也无法完全避免账户私钥被黑客盗取，但可以将责任明确划分，交易平台也不再受到怀疑。