• 币安网安全事件分析


    事件时间

    北京时间3月7日凌晨1:40,数字货币交易所币安(Binance)被爆出现故障。

    事件发生的原因

    币安的说法

    账号被钓鱼 → 创建交易API  → 自动交易

    钓鱼使用的手法是使用类似币安的网址 binance,历经几个月的时间,欺骗到大量的用户名和密码(注:这样的欺骗是可以骗到双因素验证码的),并开启账号内的API交易功能(这不是重点,该方法主要是攻击的时候可以利用开启双因素验证码的用户,跳过双因素认证登陆)。

    事件发生的过程

    黑客事先买好大量的 VIA 币,在攻击时,通过币安网大量账号买入 VIA 币,拉升币价,再从 Bitfinex、Upbit 等平台卖出 VIA 币,如下图:

    拉台后的 VIA 币价比之前暴价了 110 倍,也就是黑客至少获利 80 至 90 倍。

    而币安网没有一分钱的币被盗,只是大量账号内的货币被换成了其它代币。

    该攻击第一次出现,也被称为“去中心化的攻击”。

    经验教训

    1、账号安全问题(钓鱼、爆破、撞库等)

    2、google otp 在原有的 30 秒失效的基础上,加上成功使用一次后失效的逻辑

    3、交易API (普通用户是否需要开启)

    防范建议

    此攻击会绕过所以的安全防护手段和技术,如 WAF、IDS 、Rasp、DLP 等,要从业务层面下手,简单的技术方法包括:

    1、用户异地登陆、异设备登陆提醒;

    2、显示上次用户登陆的时间和IP;

    3、大量交易可考虑二次验证;

    4、普通用户无需添加API功能;

    如果考虑更高的安全防护要求,安全方案可采用 UEBA ,可处理:

    • 账号失陷检测
    • 主机失陷检测
    • 数据泄漏检测
    • 内部用户滥用
    • 提供事件调查的上下文

    违规交易的话需要定制。

    目前国内没有 UEBA 的成熟技术,目前掌握 Exabeam、Gurucul、Interset、Niara、Securonix、Splunk(2015年收购Caspida)等国外公司手中,核心技术包括 数据驱动+机器学习+专家驱动。

  • 相关阅读:
    javascript内部原理篇[__proto__和prototype]
    javascript内部原理篇[进入上下文之前javascript所做的工作]
    jQuery Wookmark-2 jQuery动态表格插件的效果展示
    jQuery Wookmark
    jQuery Handsontable【jQuery插件-一个非常酷的可编辑表格】
    C#实现union以及lock的使用
    VC++编程中常用的字符串转换函数
    浅谈__declspec(dllexport)和__declspec(dllimport)
    C++宏定义中"#"与"##"的妙用
    Log4Cplus的介绍
  • 原文地址:https://www.cnblogs.com/zping/p/11981318.html
Copyright © 2020-2023  润新知