数字货币交易平台币安遭黑客攻击，这个是什么鬼？

（赵长鹏，币安网创始人）

文/司马子羽

3月7日，知名数字货币交易平台币安遭遇黑客攻击。 这次攻击导致全球数字货币价格大幅下跌。

据币安交易所公告，已有31个账户被黑客钓鱼。 黑客在控制用户账户权限后，利用机器下单、进行程序化高频交易，给用户造成巨大损失。

这几天关于此事的新闻很多，但大多是从事件本身、对数字货币的影响、对交易平台的影响等开始。

最关键的一点无人提及：钓鱼事件是如何发生的？ 作为币安的普通用户，我们该如何防御此类攻击呢？

一年前，中国学生报告网络钓鱼漏洞

币安交易所发布的公告中指出，在此次攻击中，黑客使用了“网络钓鱼技术”。 这到底是什么？ 估计99%的记者都听不懂。

2017年4月14日，约翰·霍普金斯大学数学系学生郑某发表了一篇题为“with”的论文，中文大意是“用网址钓鱼”。 文章给出了一种混合多种语言字符来欺骗用户的钓鱼方法。

安全专家告诉，我们使用的浏览器是基于英文的，URL开头只能解析英文，即所谓的编码。

为了让浏览器支持多种语言，有人开发了编码。 这套编码可以让世界上其他语言被浏览器“理解”，比如中文、俄语、韩语。

例如，如果您要访问Apple网站，则必须首先输入英文； 后来钓鱼事件，CNNIC、3721等中国公司相继开发了自己的插件，让浏览器支持“新浪网”、“百度网”等。 域名。 它相当于一个语言插件（编码标准），内置于主流浏览器中。

但使用编码的 URL 存在一个问题。 例如，汉语拼音中的ü看起来与英语中的u非常相似（一个头上有两个点，一个头上没有），但是这套编码会将其识别为两个字母。

这就带来了一种攻击：有人将各种语言的相似字母组合起来冒充知名网站。

在这次币安网络钓鱼攻击中，有人将西里尔字母与英文字母结合起来冒充币安的 URL。

接受采访的资深白帽M表示，即使是专业的安全专业人员，如果不熟悉网络安全，也有可能被这种网络钓鱼所愚弄。

（你看到n下面的两个点了吗？它们不是英文字母）

赵长鹏半个月前就收到了报警，但没有处理。

所谓网络钓鱼攻击本质上是指用户在“假网站”上输入自己的账户密码。

为了将这个假冒网站瞄准币安用户群，黑客将使用一些精确的投放技术，例如搜索引擎广告、向币安用户发送钓鱼电子邮件以及在 群组中点对点发送 URL 链接。 等待。

这些举措短期内无法见效。 如果交易所在安全监控方面进行投入，就有可能及早发现并处理类似事件。

不幸的是，币安交易所并没有这样做。

微信截图显示，早在2月20日，就有人向币安交易所创始人赵某发出钓鱼警告。 他表示，问题已经得到解决。 从币安的后续措施来看，他似乎并没有认真对待这一警告，至少他没有向有风险的用户发出警告，试图挽回损失。

白帽M先生表示，主流浏览器已经能够防御此类钓鱼行为。 在PC端，只需将浏览器升级到最新版本即可解决大部分威胁； 在手机上，安装杀毒软件也可以解决很多问题。 如果是苹果手机，安装腾讯手机管家，iOS系统会调用其SDK并拦截钓鱼网址。

查看了币安网站。 截至发稿，网站首页未出现安全提示。

普通用户应该如何防范此类钓鱼攻击？

提醒普通用户，可以采取以下措施降低数字货币交易的安全风险：

1、无论是手机还是PC，都必须安装杀毒软件，并且必须安装软件包。 单纯的“防病毒”无法解决网络钓鱼等问题。 推荐卡巴斯基的防病毒套件（付费版）。 如果您在中国，可以尝试腾讯安全管理器或 防病毒软件（均为免费软件）。

2.浏览器必须实时更新。 事实上，网络钓鱼事件已经发生一年了，所有主流浏览器都应该打补丁，以不同的方式显示相似的字符。 但国内一些重新打包的浏览器的核心升级不如原版浏览器，可能存在安全问题。 例如360浏览器、搜狗浏览器、猎豹浏览器都可能存在此类问题。

建议安装在线浏览器。 从国内网站下载的完整版浏览器升级功能有限，可能会导致安全性能下降。

3.对于普通新手用户，建议使用密码管理器。 软件会自动识别网址，不会自动在假网址上填写密码。 但需要指出的是，此类密码管理器一旦被黑客入侵，所有密码都将被盗。 如何权衡风险和便利，需要用户自己把握尺度。

4、手机下载兑换软件时，不要怕麻烦。 一定要从官网下载，不要从国内手机软件商店下载。 这些软件可能存在假冒、换皮等问题。

几大交易所仍存在漏洞

3月10日，一位安全研究员在知乎上表示，除了用户账户被盗之外，交易所风控逻辑存在漏洞，也是本次攻击成功的关键。

知乎网友“二子承洲”在文章中猜测，币安交易所并没有采用真正的OTP（一次性）逻辑。

一些币安受害者在国外网站上表示，他们已经开启了币安最高级别的2FA认证。 所谓2FA是指当您登录账户时，除了正确的账户名和密码外，网站还会向您发送手机验证短信。 验证成功后才允许登录，业内称为两步验证。

币安的逻辑缺陷在于，手机验证短信在30秒有效期内可以使用两次：用户首先在币安上使用，然后黑客使用这条短信再次登录，验证码仍然有效。

事实上，真正的OTP只允许一次登录。 即使在有效期内，只要有人使用过一次，就会及时失效，防止黑客和用户同时登录。

据“二子城洲”检查，包括火币等交易所在内的知名交易所仍存在OTP验证漏洞，可能遭到黑客攻击。

Tags：软件 币安