8 mai 08h28, bien connu sécurité de change de change de cryptage avouent piraté à nouveau. Jusqu'à présent, l'auteur du temps, a 7074.18 Bitcoins volés.
Ce qui suit est la sécurité monnaie officielle microblogging publié des informations de mise à jour du bulletin de sécurité.
À cet égard, le fondateur Zhao Zhangpeng argent en toute sécurité en AMA pour la première fois révélé les détails de piratage des pièces de monnaie. Il a déclaré que les pirates avaient été les failles de sécurité découvertes existent dans le système, mais a été très patient jusqu'à ce que le système semble grandes transactions a été tourné.
En direct Adresse: https: //www.pscp.tv/w/b6I-lTFQWEVkQlBQQlBsS2V8MW1yR212anBicUJKea09rHwXRK_mMqOZXufBTFd6iCrb7SjGYhQ4_QOvoDet
En outre, Zhao Zhangpeng a également révélé, la sécurité monétaire en début de matinée du 7 mai, a trouvé une « faille de sécurité massive » qui pourrait conduire à un accès pirate aux touches d'interface de programme d'application de l'utilisateur (touches API), le code d'authentification à deux facteurs et d'autres informations. Selon un avis de sécurité publié dans une valeur de choses sur les pirates ont emporté 41 millions $ de la monnaie Bitcoin échange de la sécurité.
À l'attaque, le camp de base de la chaîne de bloc (blockchain_camp) première fois en contact avec les équipes de sécurité des technologies de sécurité de la chaîne Beosin Chengdu, cet événement mené une analyse en profondeur. vieux fer sont, premier regard sur les détails de la transaction:
L'incident est survenu à 575013, la perte totale de jusqu'à 7074 BTC, impliquant un total de 44 à moins adresse mentionnée ci-monnaie:
pièces mention détaillée Adresse
Jusqu'à présent, Ange porte-monnaie (1NDyJtNTjmwk5xPNhjgAMu4HDHigtobu1s) a volé au sujet 7074,18 BTC.
Maintenant, le bilan thermique du portefeuille de devises Ann 3,612.69114593 un BTC, illustrent la bourse de Ange monnaie de la sécurité privée, par l'équipe d'analyse, en mai 0801:17:18 via l'interface API en même argent augmentation de temps pour lancer des opérations.
Une application API après l'échange de devises génère clé API et clé secrète, comme indiqué ci-dessous:
interface API avec une IP limite définie par l'utilisateur et la fonction d'ouverture de retrait ouvert. Ouvert retrait en espèces est l'utilisation directe de clé API et les retraits directs clés secrètes ne doivent pas nécessairement code de vérification Collect, SMS, code de vérification Google. suit la figure:
une partie de l'API du code d'appel officiel démo comme suit:
analyse de la sécurité de la chaîne Chengdu Il est la clé API de l'utilisateur et clé secrète de fuite d'information provoquée par l'attaque.
Si l'utilisateur ne limite pas la configuration IP et la fonction de retrait ouvert, tout attaquant d'obtenir la clé API et secret des informations clés peuvent être obtenues après l'attaque.
voie de fuite d'information de l'utilisateur peut inclure:
1, les utilisateurs ordinaires ne pas utiliser la touche api, généralement pour les utilisateurs avancés pour automatiser le code de transaction, l'utilisateur peut être dû à des fuites api secret fuite de code source
2, l'utilisateur des attaques de phishing, entrez la clé API et clé secrète être interceptées par des pirates informatiques.
3, la clé API et clé secrète de l'utilisateur est stocké dans les attaques informatiques pour voler.
4, parce que le système de change a conduit à la clé API de sécurité de l'utilisateur et les fuites de clé secrète, dont seulement 71 utilisateurs ouvrent la fonction de retrait, des pièces volées.
Volé par des pirates 7074 BTC adresse principale 20 sont comme suit:
En outre, la chaîne de bloc aussi le camp de base à interroger le vice-président de la recherche et le développement PeckShield Wu Chi. Wu estime que le vol de la sécurité des pièces peut être grossièrement divisé en trois niveaux d'analyse: compte Exchange systèmes gérés, les utilisateurs individuels.
1, le niveau d'échange est faible probabilité d'un tel événement avant longtemps réseau, le service à la clientèle est l'installation de logiciels malveillants, la pénétration du réseau dans la cause;
2, comptes d'hébergement, ce type de logiciel est des investisseurs de détail, les interfaces de programmation d'applications disponibles aux courtiers, intermédiaires, une fois infiltrée peut obtenir beaucoup d'interfaces uniques secrète, entraînant ces problèmes, ce logiciel peut être téléchargé au moment Vous pouvez également le package d'installation, ou le serveur intermédiaire est compromise, il est possible;
3, la troisième catégorie est les dispositifs d'utilisateur personnels, tels que les ordinateurs portables est d'installer un cheval de Troie, et obtenu secret API et la certification 2FA de l'équipement utilisateur.
En outre, M. Wu a également dit que voyant cela dans un trading de devises en toute sécurité emballés à l'intérieur d'or 7074 BTC, la principale adresse de destination 20 est la nouvelle adresse, en fait, une telle situation peut déclencher des mécanismes de contrôle des risques, tels que l'unité d'or du temps le montant et la taille de la nouvelle adresse peuvent être reçus.
Après l'incident, le fondateur du champ d'ondes Sun Yuchen première fois publié un document dit: « Pas de panique, tout va bien, je suis prêt à venir avec 7000BTC $ équivalent de monnaie dans le coffre-fort. » Bien sûr, la prémisse est Zhaozhang Peng avec lui a accepté de le faire.
En fait, Zhaozhang Peng a dit qu'il n'a pas besoin de « très reconnaissant, mais il est maintenant pas nécessaire. Monnaie Ann compensera la perte par le fonds SAFU, mais assez. Nous venons de blessés, et non la faillite. »
Et certaines personnes ne sont pas si amical.
FCoin fondateur Zhang Jian ne pense pas, pour l'événement du vol Bitcoin monnaie de sécurité 7000, il espère que nous n'utiliserons ce vol à d'autres d'attaques, il est le chien dans la chose crèche, la crédibilité de tous les aspects d'une plate-forme, etc. l'accumulation prend du temps.
Cependant, la monnaie Ann expression « vol BTC » quantité sûre payé par l'argent, mais aussi très dominateur!
Croire que la sécurité de plus de 7000 pièces BTC vol, conduira à la participation des organismes de réglementation, l'importance de la vie privée et d'améliorer le mécanisme de contrôle des risques de change et ainsi de suite, le camp de base de la chaîne de blocs gardera une trace des événements ainsi que d'autres rapports approfondis, vieux fer qui a subi une attention à yo!