事件时间
北京时间3月7日凌晨1:40,数字货币交易所币安(Binance)被爆出现故障。
事件发生的原因
币安的说法
账号被钓鱼 → 创建交易API → 自动交易
钓鱼使用的手法是使用类似币安的网址 binance,历经几个月的时间,欺骗到大量的用户名和密码(注:这样的欺骗是可以骗到双因素验证码的),并开启账号内的API交易功能(这不是重点,该方法主要是攻击的时候可以利用开启双因素验证码的用户,跳过双因素认证登陆)。
事件发生的过程
黑客事先买好大量的 VIA 币,在攻击时,通过币安网大量账号买入 VIA 币,拉升币价,再从 Bitfinex、Upbit 等平台卖出 VIA 币,如下图:
拉台后的 VIA 币价比之前暴价了 110 倍,也就是黑客至少获利 80 至 90 倍。
而币安网没有一分钱的币被盗,只是大量账号内的货币被换成了其它代币。
该攻击第一次出现,也被称为“去中心化的攻击”。
经验教训
1、账号安全问题(钓鱼、爆破、撞库等)
2、google otp 在原有的 30 秒失效的基础上,加上成功使用一次后失效的逻辑
3、交易API (普通用户是否需要开启)
防范建议
此攻击会绕过所以的安全防护手段和技术,如 WAF、IDS 、Rasp、DLP 等,要从业务层面下手,简单的技术方法包括:
1、用户异地登陆、异设备登陆提醒;
2、显示上次用户登陆的时间和IP;
3、大量交易可考虑二次验证;
4、普通用户无需添加API功能;
如果考虑更高的安全防护要求,安全方案可采用 UEBA ,可处理:
- 账号失陷检测
- 主机失陷检测
- 数据泄漏检测
- 内部用户滥用
- 提供事件调查的上下文
违规交易的话需要定制。
目前国内没有 UEBA 的成熟技术,目前掌握 Exabeam、Gurucul、Interset、Niara、Securonix、Splunk(2015年收购Caspida)等国外公司手中,核心技术包括 数据驱动+机器学习+专家驱动。