区块链开拓公司VisibleMagic的首席技能官Viktor Shpak说:“这极有大概成为API密钥进攻。” “他们从某个处所收获了API密钥。”
“正如我所说,我们不会对敲诈打单做出回响,”林说。在与CoinDesk的早期对话中,Platon声称本身是独立富有的,他所说的加密互换的运营商是Binance的三分之一。
普拉顿称,被盗的硬币存放在由比特币软件钱包提供商Blockchain托管的钱包中,后者是最近推出的PIT生意业务所的制造商。
Shpak暗示,出格是代码体现了Binance内部的后门,尽量CoinDesk无法通过此成果和相关的API密钥独立验证会见权限。
柏拉图的念头在与CoinDesk攀谈时,Platon还接洽了Binance的首席增主座(CGO)Ted Lin,作为将黑客绳之以法的多方面尽力的一部门(可能他声称)。
在与CoinDesk的对话中,Platon声称他们是一名“白帽黑客”,而且在一些评论中,他们发起他们向Binance请求揭破信息的裂痕赏金。然而,会谈割裂,Platon和Binance的代表陈诉说他要求300比特币以进一步扩展他所持有的数据。
操作这些小我私家书息,黑客编写了一个恶意剧本,答允他们当即取消.002 BTC(约莫23美元)。该代码为一个名为BlockMason Credit Protocol的恍惚令牌下了一个买单,并将其转换为比特币。我们查抄过的代码也可以利用不再开放或果真的API挪用来执行很多成果。可是,当我们测试一个API挪用时,对处事器时间的简朴请求仍然是打开的。今朝还不清楚封锁的API端点是被删除照旧被埋没。
“人们一直在问,'你为什么要刊行那些KYC照片?','你是怎么获得它们的?' 我宣布这些KYC的原因很简朴:告诫那些正在处理惩罚Binance的人,“他们写道。“假如我需要钱,我会把它卖到地下,而不是颁发它。”
“我们想通知您,一名身份不明的人威胁并骚扰我们,要求300 BTC以调换监禁10,000张与Binance KYC数据相似的照片。我们仍在观测此案的正当性和相关性。“
Binance其时回应了黑客行为,称恶意行为者得到了客户的API,双因素代码以及“潜在的其他信息”。
然而,在某个处所,会谈割裂了。7月22日,就在他们最初接洽CoinDesk的五天后,Platon说他已遏制与Binance会谈。
“可是我看到越来越多的硬币被洗掉而且四处移动以移除轨道时我没有触摸单一便士,”他说,声称他不想向黑客提示他正在追踪他们。
搬迁钱
柏拉图对事件的观点差异。他们声称,该组织内部的一位内部人员辅佐果真了很多API,答允黑客直接会见客户帐户。黑客在Platon声称可以或许获取的文本文件中存储了客户端API密钥列表 - 用于长途会见其帐户的代码。这使得黑客可以长途会见资金。
我们已接洽Binance进一步颁发评论。
在会谈中,柏拉图透露了他是如安在早先的黑客进攻中进攻小我私家的,个中7,000比特币是从这个世界上最大的生意业务所偷走的。
就其自己而言,Binance公布被盗的比特币仅来自他们的公司账户而且不影响消费者。其时,生意业务所还暂停存款和取款以掩护用户。可是,泄露的用户信息的水平是保密的。
在周三宣布有关真正Binance客户的具体信息之前,一名以“ Bnatov Platon ” 为笔名的黑客与CoinDesk记者举办了长达一个月的对话。
“我小我私家想让Binance成为世界上第一个捕捉黑客的生意业务所。这对Binance的声誉很是有利,“Planton说,他增补道:
CoinDesk与Platon的互动最初是在7月开始的,其时我们开始报道在5月违反Binance时被盗的比特币的活动。
Platon声称他们的藏品中有60,000件KYC信息。
Binance在一份声明中回应了这一动静所激发的“惊骇,不确定和猜疑”:
譬喻,此代码表白用户在03/20/2018通过了KYC:
这个世界上最大的生意业务所的客户信息大概不安详,这足以当即引起业界的存眷,主要新闻网站和推特影响者迅速广播新闻。
正是在这一事件中,普拉顿声称他们得到的关于宾夕法尼亚客户的信息已经发生了,尽量他说他并不是黑客的闯祸者,可是他照旧进攻了涉及抢劫的互换“黑幕人士”。
就在当时,Platon与Binance的谈话沦为人质会谈,Platon威胁要丢弃他所得到的任何客户信息。
Platon和Binance将进行多次交涉,并据报道告竣协议后被中止。CoinDesk已得到这些对话的完整后果单。
首先,它有深厚的来源,可以追溯到5月份的事件,其时一个外部集体冲入Binance用户账户并窃取了7,000比特币。其时,Binance一如既往地果真其问题,将其描写为“大局限安详裂痕”的一部门,个中“黑客可以或许获取大量用户API密钥,2FA代码和其他大概的信息“。
然而,在同样的动静中,林拒绝了柏拉图为他正在运行的“FUD举动”。
固然其时碰着这些信息,Binance代表说:“停止团队最新动静,今朝没有证据表白这些是来自Binance的KYC图像,而且按照我们的系统流程它们没有加水印。”
随后是周三早上第二次转储,个中包括数百张持怀孕份证的小我私家照片。
Platon没有回覆进一步评论的请求,也没有表白他们是否会宣布更多评论。我们已接洽Binance颁发评论。John Biggs为VisibleMagic的Viktor Shpak提供营销和业务辅佐,VisicMagic是阐明Binance代码的开拓人员。
在Platon声称违反的60,000个客户账户中,他与CoinDesk共享了636个文件。他但愿媒体的存眷可以或许促使宾思公布黑客的真实水平,并将袭击者绳之以法。
API密钥用于验证互换机和其他应用措施中的处事,而且可以答允黑客做任何工作,从代表受害者购置加密钱币到实际将加密钱币移动到外部钱包。
“约莫一个月的会谈,他们没有付出一分钱,”柏拉图说。“我与Binance的生意业务割裂了。”
在看似黑客进攻黑客的具体游戏中,以“Bnatov Platon”为笔名的小我私家向CoinDesk提供了有关他们试图得到数百万美元的遍及信息,以调换拒绝宣布个中一个客户的信息。世界上最大的加密钱币生意业务所,Binance。
本日,当Platon开始宣布他所声称的关于真正Binance客户的图像和信息时,首先是在开放式网站上,然后是Telegram上,有关黑客的信息,与黑客举办了长达一个月的互动。
通过沿着这个钱包引领的路径,Platon发明黑客已经通过Bitmex,Yobit,KuCoin和Huobi清洗了2000个比特币,而且但愿天天转换多达100万美元的比特币。
以下是我们对会谈及其效果的相识。
在一封来自Lin的动静中,Platon与CoinDesk分享了这一动静,CGO愿意接管大概导致逮捕黑客,内部人员和追回资金的信息。
“id”:1573211, “userId”:“25276308”, “front”:“/IDS_IMG20180320 / 25276308_0_9416819.jpg”, “返回”:“/IDS_IMG20180320 / 25276308_1_7376587.jpg”, “hand”:“/IDS_IMG20180320 / 25276308_2_4413070.jpg”, “审计员”:“陈小子”, “信息”: ””, “状态”:1, “createTime”:“2018-03-20 08:12:33”, “updateTime”:“2018-03-21 01:48:33”, “号码”:“s532557730580”, “firstName”:“m [删除]”, “lastName”:“[删除]”, “范例”:2, “性”:1, “country”:“United States of America(USA)(美国)”, “email”:“[删除] @ <span>outlook.com</span> ”, “版本”:1按照审计员的姓名以及国度代码末端增加的“美国”,KYC在中国进行。今朝还不清楚其他规模代表什么。
会话割裂了尽量Platon涉嫌利他主义的方针,,CoinDesk厥后从Platon和Binance官员哪里相识到,假设的白帽黑客要求300比特币,7月份汇率约为300万美元,分50期付出他的信息。
另外,Platon发送了CoinDesk代码,他将其描写为通过“内部人员”会见位于Binance处事器中的后门。对代码的阐明表白Platon是正确的。
图片来自Twitter。通过CoinDesk标题图像和内部图像。
然而,未提及的是,识别用户信息大概已被泄露。
郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
