多家交易所遭邮件钓鱼攻击，价值超40万美元的BTC或失窃

据慢雾科技消息，近日，多家数字货币交易所向慢雾安全团队反映，其收到了敲诈勒索信息。敲诈者向交易所发送邮件或Telegram消息称，交易所存在漏洞，一旦被攻击，将导致平台无法被打开。若要获取漏洞报告，需向指定的地址支付BTC。然而，多家交易所表示其支付BTC后，对方只发送了初步的漏洞报告或没有回应。

慢雾合伙人兼安全负责人海贼王向巴比特表示，“目前已有5家交易所向我们反映了这种情况，敲诈者使用不同的邮箱或Telegram ID，向交易所的相关负责人发送敲诈邮件，敲诈金额为0.1BTC至2BTC不等，并且使用的是不同的BTC地址。”

截至发稿，据不完全统计，敲诈者的Telegram ID有@zed1331、@bbz12、@samzzcyber，邮箱有mikemich@protonmail.com，BTC地址有3GQQt2zJnPAWvirym7pbwvNTeM5igGuKxy，该地址入账约43.45个BTC(约40.41万美元)，如下图。

截图自Blockchain.com

海贼王向巴比特提供了诈骗邮件原文(如文末附录所示)，邮件称，“交易所存在‘Web服务整型溢出’漏洞，一旦被攻击，将导致Web服务器崩溃，最终无法访问.....我们能解决此类漏洞问题......若要获取漏洞报告，需支付2个BTC至指定地址。”

值得注意的是，该邮件还指出，“截至2019年3月1日，已获得了约10万美元的赏金，打赏机构包括KuCoin、CoinSwitch、Phantasma、PlatonFinance、Vulnerability Analysis、 STEX Exchange、XCOYNZ Project等。”

海贼王向巴比特透露，在与KuCoin交易所的相关负责人取得联系后，负责人表示确实有Telegram用户反映漏洞问题(如下图)，但KuCoin并未支付2BTC赏金，提醒大家不要相信骗子。

截图由KuCoin相关负责人提供

还有一类与Linkedin相关的钓鱼邮件，大致内容如下：

Hey, We have found a nefty integer overflow vulnerability on => https://www.xxx.com

Attacker could alter webserver. I have experience working to upgrade security for large exchanges,like xxx, and would like to propose about this.

May we go on to demonstrate this vuln?

You can verify me as an security researcher on LinkedIn as follows: => https://www.linkedin.com/in/xxxxx/

海贼王分析称，“邮件包含一个 Linkedin链接，因为在Linkedin 平台上需要登录个人账号才能查看个人信息，所以当交易所工作人员登录自己的 Linkedin 账号，去查看提交漏洞人员(可能是钓鱼攻击者)的 Linkedin 账号信息时，攻击者也能查看到交易所工作人员的信息，从而获取其社交平台的其他信息。”

近几年，数字货币市场的资金量呈现井喷式爆发，以交易市场操纵风险、交易平台风险、诈骗风险、钱包风险为主的安全风险屡见不鲜。

除了上述的邮件钓鱼攻击外，其他类型的钓鱼攻击包括域名钓鱼(使用与官网相似的网址)、Twitter 1 for 10(支付0.5-10ETH返利5-100ETH)、假APP和假工作人员等。

所谓“钓鱼攻击”，指的是攻击者伪装成可以信任的人或机构，通过电子邮件、通讯软件、社交媒体等方式，以获取收件人的用户名、密码、私钥等私密信息。

海贼王认为，此次邮件钓鱼攻击事件中，部分交易所之所以上当受骗，主要由于交易所缺少专业的安全漏洞判断能力，信息孤立导致其无法对当前漏洞的整体情况作出准确判断。他说，

“对于交易所来说，不管对方是不是真的发现了漏洞，只要价格合适，都愿意花钱赌一把。如果赌对了，那么交易所就能少一次被曝光漏洞的公关危机，或少一次平台被攻击的可能;如果赌亏了，亏的也不多，可以承受。骗子就是利用了交易所的这种心理。”

对于初次遭遇钓鱼攻击的交易所，他建议，

“首先，不要一激动就打开攻击者发送的内容里面的任何链接或者文件，可能有木马病毒;其次，在攻击者没有确切告知漏洞细节之前，不要转给攻击者BTC;最后，如果有交易所无法准确判断和独自处理，可以联系安全公司协助处理。 ”

附(钓鱼邮件原文)：

It's more like an vulnerability which allows an attacker to crash the webserver of the following website. "Integer -overflow" related. The attack vector itself holds a huge security risk, when exploited, the webserver could crash due to it, and eventually be unreachable. The flaw has been done through exploitable web elements on your website.

Our proposal is based on information-security (infosec) regarding cybersecurity.

Confidentiality: assist infosec wisely to implement firewalls, intrusion detectors and prevention technologies to ensure reliable provided service. (not actual server access required.)

Availability: In order to ensure that I would have infosecurity on redundancy and backups, when/if one of the servers is down, the second server would replace it and ensure that the services are up and running without any downtime.

General knowledge => This type of attack as demonstraded are based on exploiting website elements: these can include forms, direct webserver exploit, or DNS leaking for the actual backend server, which gives an malicious attacker multiple chances to work with.

We'd address the required knowledge needed to counter this type of threats.

These following items listed below are our main focuses what we will send reports to regarding, next to every "to be addressed" phase;

We have added in a short meaning on what does it include as can be seen.

• The audit process 1.1 Audit planning & preparation 1.2 Establishing audit objectives 1.3 Performing the review 1.4 Issuing the review report

• The audit System 2.1 Networking Security 2.2 Backend Installation / Security 2.3 API Audition 2.4 CDN + Anti malicious attacks protection 2.5 Code Audit: checking vulnerability in any PHP / ASP / JS code

Vouches by companies:

[Make sure to check the provided link for vouch.]

1. KuCoin => { https://i.imgur.com/y0AXMCn.jpg ]

2. CoinSwitch => https://i.imgur.com/l8D8g9p.jpg ]

CoinSwitch Contract example => https://i.imgur.com/P2hMNxD.jpg

3. Phantasma => https://i.imgur.com/y1QCOuL.jpg ]

4. PlatonFinance => https://i.imgur.com/189Ejdz.jpg ]

5. Vulnerability Analysis (just an example)

=>https://i.imgur.com/V0C19KZ.jpg

and many more.

6. STEX Exchange paid 3 BTC for our infosec and analysis: => https://m.imgur.com/18tAXah

7. Proof of Kucoin Payment to us:https://i.imgur.com/trBbVKP.jpg

8. XCOYNZ Project:https://i.imgur.com/UbUliaI.jpg

Proof of compensations: Different companies which some included be seen in multiple vouches above, have rewarded me almost total of [$ 102,783.91 USD on 01/03/2019 rate for security related bounties, cybersecurity, demonstrations, and different VA reports.

Blockchain URL: =>https://www.blockchain.com/btc/address/3GQQt2zJnPAWvirym7pbwvNTeM5igGuKxy

Pricing for the Infosec/Audit offered: => 2 BTC

To make it clear the price will be one-time payment and afterwards there won't be any charge. You can consult us further at anytime.

为什么币安合约下架前都爆涨

23日，比特币再度领跌，加密货币市场大幅波动。当晚，在市值领先的币种中，除比特币外，大部分的24小时跌幅超过20%。比特币一度跌至45000美元左右，较22日零点创下的新高58000美元，跌超22%。回调金额超过1.3万美元，超过比特币一年前的单价。以太坊则一度回吐过去七日涨幅。第三方平台比特币家园数据显扮毕示，截至23日晚，最近24小时已有超过50万人爆仓，爆仓总数额达48亿美元，最大单笔爆仓发生在Huobi-BTC，价值为2066万美元，约合人民币过亿。相较24小时数据，在过去1小时内，其统计的爆仓金额约为1亿美元。值得注意的是，昨日晚间，比特币经历暴跌后回升。在两个小时内，其单价从54000美元左右暴跌至48000美元，再迅速回调至54000美元附近。极端涨跌行情互现，导致多单和空单用户均被爆仓。与此同时，当晚，多家交易所用户反映平台APP出现卡顿。在比特币价格暴跌之际，陆续有火币用户打开应用后，不显示币价，短时无法进行操作。上述第三方数据提到，最大单笔爆仓厅此芹发生在Huobi-BTC。此外，有币安应用短时显示网络已中断。Gate.io官网一度无法登陆，提示“错误的网关”，数日前，火币合约业务曾宕机近10个小时，不断有空单用户爆仓。19日晚，当比特币首次触达万亿美元之际，币价持续上涨，抹茶、币安和火币等一众交易所陆续出现系统异常或宕机问题。据多家交易所公告，问题是因亚马逊云服务器故障导致。当晚，火币合约用户无法操作补仓，持续收到爆仓短信，资产受损。多仓用户账户信息显示错误，也曾被提示爆仓。直至次日早8点恢复扒咐。目前，有火币客服对受损用户表示，会有专员核实信息，在约定时间内处理。火币方面未公告，是否有赔付方案。

Coinbase上市「向左」 Binance上链「向右」

Coinbase的上市计划从3月底推迟到了4月，但这并不影响IPO正在成为加密资产交易类企业选择的资本运作方式。仅在3月，又有两家平台透露了拟上市纳斯达克的心愿。 比特币价格上涨带来「出圈」效应，对于加密资产交易平台来说，上市获得主流金融市场的青睐似乎是个不错的选择。 而被Coinbase视作劲敌的Binance币安，并未对上市表现出心动。这家信奉去中心化金融的平台，依然将战略重点放在发圆模谈展公链、拓展DeFi市场上，将「开放」视作未来金融市场的彼岸。 Coinbase清教徒式地谨守着美国的金融监管规则，赢来了IPO的机会。Binance币安应对加密资产市场选择了分而治之——CEX业务全球布点，在有规则的地方争取牌照；DEX业务链上开展，币安智能链BSC对标以太坊， 探索 开放式金融。码巧 Coinbase作为合规的代表性平台，成了加密资产交易平台的上市风向标。Binance币安则更加区块链原生态，向加密资产交易所行业示范另一种发展路径。 三月即将结束，两大超级玩家将加密资产交易所业态带向了不同的方向，也变革着全球交易所市场的格局。 Coinbase估值千亿美元 视币安为劲敌 3月21日，彭博社消息称，美国加密货币交易所Coinbase的直接上市计划将推迟至4月,原计划是3月底在纳斯达克上市。 上市计划的推迟并未影响市场对Coinbase估值的看好。 此前的3月17日，Coinbase披露，根据橘碰A类股在一季度的非公开交易加权交易价格343.58美元计算，最近的私募市场对其的估值约为680亿美元，较去年第三季度的估值增长近12倍。 而如果按照其向美国证券交易委员会（SEC）提交的S-1表格上的股票发行数量合计，即将Coinbase已发行的A类普通股、B类普通股及计划公开IPO的A类普通股加在一起，300836880股已经让其在私募市场上的市值达1157多亿美元。 高估值下的Coinbase有其营收支撑。根据S-1表格披露，其2020年营收约为13亿美金，2019年为5.3亿；2020年利润约为3.2亿美金，2019年则产生了3040万美金的亏损。 这样的营收和估值，不免让人拿来对比另外三家知名加密资产交易平台币安、火币和OKEx。而令Coinbase最为警惕的莫过于币安，它在S-1表格中提到：我们还与许多只专注于加密货币市场并具有不同程度的法规遵从性的公司竞争，「例如币安。」 单从营收看，Coinbase的紧张不难理解。根据币安创始人赵长鹏此前对彭博社的披露，币安2020年的利润在8到10亿美元；币安2019年利润为5.77亿美元。 自媒体吴说区块链发文评价，Coinbase的赚钱能力不仅远远不如币安，甚至可能还不及火币与OKEx，「当然三大交易所的数据都是他们自身披露的，而非经过审计后的数据，有夸大的可能性。」 如果从营收构成看，币安的赚钱能力超越Coinbase的可能性非常大。 交易所营收的最主要来源是用户支付的交易手续费，用户数量、可交易的资产、各个资产的交易量都决定着交易手续费的多寡。 以Coinbase和币安均提供的BTC交易来看，币安的交易量远在Coinbase之上。第三方数据平台Coingecko显示，在3月30日 BTC的 24小时交易量指标上，币安创造了48.49亿美元的总交易量；Coinbase为13.05亿美元。前者是后者的3.7倍。 币安&Coinbase的现货市场表现对比 更多的交易对意味着更丰富的交易手续费来源。币安上的295种可交易资产组成了1000个交易对，在3月30日时，为币安贡献了247.25多亿的日交易额；Coinbase目前仅支持50种加密资产交易，提供了152个交易对，创造了33.22亿多美元的日交易额。同期，币安页端访问量超1.54亿次，Coinbase的访问量为2105多万次。 Coinbase在加密资产现货市场赚取的手续费有限。更麻烦的是，它受美国监管严控，无法扩展期货、期权这类更赚钱的衍生品交易产品。而币安则在最近一两年中，将全球化的中心化交易业务从现货市场扩张到了衍生品交易，并在其中拿下了大量的市场份额。 Coingecko数据显示，3月30日，币安的衍生品交易24小时持仓量为84.34亿美元，交易量超414.55亿美元，两个指标均在衍生品交易平台榜上排名第一。 在加密资产交易平台这个赛道上，Coinbase将币安视为劲敌无不道理。 应对合规 两超级大所目的各异 Coinbase并非不想上架更多的加密资产及资产组合，正如它所言，「由于我们在多个司法管辖区的受监管地位以及我们对法律和监管合规的承诺，我们未能提供许多受欢迎的产品和服务。」 但需要注意的是，严守美国的金融监管规则是它能够在美股上市的前提。也就是说，它想要谋求在传统金融市场的资本运作，就必然要遵守那个市场的准入规则。 Coinbase如清教徒般遵守着美国金融监管的底线，反洗钱要求之外，它不发平台币，不上有违美国监管要求的代币，不开展门槛颇多的衍生品交易。这个规规矩矩的交易平台，最终获得了传统金融市场的青睐，为它发出了IPO的门票。一旦直接上市，它将成为真正的「加密资产第一股」。 Coinbase并未偏离它出发时的目标，从美国本土起家，在美股上市。 目标不同，方向便不同。Coinbase的劲敌币安在过去3年的发展中，选了另一条路，对「合规」采取了更为灵活的策略。对应中心化的交易业务上，它有选择地在市场主流国家和地区内争取合规和准入，在加密资产监管政策不明确的地方开荒扩土。 在金融监管政策严格的美国境内，币安并没有退避三舍，在那建立了Binance US站。 不久前的3月11日，有消息称，美国商品期货交易委员会（CFTC）正在调查币安是否未经许可而向美国用户提供衍生品交易。对此传闻，币安回应称，Binance.com交易所不服务美国用户，而服务美国用户的Binance US并没有衍生品业务。 在应对美国监管的「合规」要求上，币安是谨慎的，最近的动作更是释放出了积极态度。本月，币安聘请了两名前FATF高管作为其监管和合规顾问。 早在3月12日，彭博社消息称，币安聘请了前美国参议员马克斯·鲍克斯（Max Baucus）作为顾问。这位79岁的政治人物其曾担任美国前总统奥巴马政府的驻华大使，他是美国蒙大拿州的民主党人，担任参议员超过30年，其中有7年担任过参议院财政委员会主席。 赵长鹏也Twitter上简述了马克斯·鲍克斯议员将为币安提供的帮助，包括战略与政策、政府关系以及合规。 赵长鹏对马克斯·鲍克斯的简介 看来，引入政策资源是币安在应对强监管国家的策略之一。而在新加坡、韩国、香港这些逐渐对加密资产市场开放监管的国家和地区，币安对应地选择了争取相应的准入牌照。 至少在1年以前，市场都会认为币安的目标是称霸交易所行业，它以超强的效率扩张加密资产的现货和衍生品市场。但从2020年开始，币安将触角伸向了不受国界所限的区块链链上世界，推出了顺应DeFi市场潮流的币安智能链BSC，近期，链上节点将陆续开放。 币安的目标范围变得更宏大了，赵长鹏也一改此前对去中心化交易的判断认为，「如果我们可以使安全备份更容易并且易于使用，DEX将是未来。」 大举造链是币安与Coinbase最大的不同，这个差异也意味着两个超级交易所将走上彻底不一样的道路。 「原生军」对垒「正规军」 行业格局生变 Coinbase的路径几乎是传统互联网企业的复制——创业、融资、上市。上市之后，Coinbase也将遵守更严格的监管审查要求。 尽管如此，仍有一批加密资产交易平台和公司对上市前赴后继。向传统金融「正规军」靠拢的队伍中，多资产交易平台eToro在今年3月释放了与另一家公司合并上市的计划；而另一个加密资产交易所Kraken也有合并上市的想法，而由于估值较低，该交易所计划将IPO放到2022年。 Coinbase上市的最大收益者是股东，由于是直接IPO，它的股东们可以在开始交易后立刻出售股票，无需像传统IPO那样等待6个月的锁定期。上周，其股东登记了1.149亿股股票，计划在上市后交易。SEC的监管文件显示，登记了待售股票的股东包括Andreessen Horowitz和Union Square Ventures在内的投资公司，以及该公司CEO BrianArmstrong和联合创始人Fred Ehrsam。 按照私募市场上Coinbase平均美股343.58美元计算，1.149亿登记待售的股票已经价值400亿美元。 而被Coinbase视为劲敌的币安，对上市没有展现出任何兴趣。赵长鹏对媒体表示，「我们并不缺乏资金。我们的行情还不错，而且我们也非常 健康 并有机地增长，因此我们没有任何IPO计划。」 赵长鹏「我们的行情」被外界猜测是指BNB。如果股票是传统金融市场评估Coinbase价值的依据，那么BNB便是币安在加密资产市场上被估值的指标之一。 加密资产市场上，币安3年前推出的BNB通证，总市值已达380亿美元，排在市场的第四位，仅次于BTC、ETH和USDT这三大加密硬通货。 按照现在BNB在币安上273美元的市价，这个生态通证已经为早期投资者创造了1820倍的回报。事实上，从去年10月DeFi的市场规模激增后，币安计划让凝聚的其价值的BNB从交易所平台币的身份中脱离出来，成为链上的价值流转工具。 BNB今年第一季度的价格走势 BNB上链BSC后，价格也随着链上增长而增长。今年1月，BNB从几十美元不断高企，到2月19日站上339.9美元的 历史 新高。BSC链上锁仓的加密资产总值（TVL）目前达180亿美元，成为继以太坊之后的第二大公链（以太坊链上TVL为627亿美元），BSC的TVL已经超过以太坊的1/4。 作为公链落地最早的交易所，币安也产生了示范效应，火币生态链Heco、OKExChain均紧随其后地推出了代表各自生态的公链，多家二线交易所也在筹措公链开发。 全球的加密资产交易所们似乎正在形成两支队伍，一支是拥抱传统金融市场的Coinbase类「正规军」，一派是突破传统向去中心化价值世界发展的区块链「原生军」，造链的币安显然是后者。Coinbase上市后，原生军领域将出现以币安为代表的「一超多强」格局。 赵长鹏算的上是比特币的信徒，他信奉比特币带来的去中心化价值网络共识，也极具突破精神，即便市场上已经有了以太坊这样的第二代区块链，依然鼓励币安支持造链，认为这是「让普通人无门槛地参与到金融中来」的创举。 由加密资产构建出的价值世界中，Coinbase选择从传统金融市场中置换价值，币安像个冒险者一样，进入了区块链丛林，试图为林中之人创造价值。 两种道路，两个目标，一近一远，两大超级玩家的对垒，也将引领交易所行业进入新的变局中。 互动时间： 你认为交易所行业是否形成「一超多强」格局？