最近,币安 KYC 问题再次浮出水面。北京时间 8 月 7 日,有消息称有人在 Telegram 直播大量币安 KYC 资料照片,虽然该交易所创始人赵长鹏随后辩称此事是个老新闻,但币安交易所的安全问题又引发了人们的关注。

事实上,一名使用「Banatov Platon」ID 的黑客透露,整件事情的复杂度超出人们想象。当「Banatov Platon」开始公开他声称的所谓「真正的币安客户照片和信息」时,最先选择的是一个公开网站,然后才选择了在 Telegram 上公开信息。

作为世界上最大的加密货币交易所,对客户信息保护竟然如此掉以轻心,足以引起业界关注。下面,就让我们和大家把这个故事慢慢展开:

原文标题:《是内鬼还是监守自盗?币安 KYC 泄露事件最详解》(An Extortion Gone Bad: Inside Binance’s Negotiations With Its ‘KYC Leaker’)
作者:John Biggs、Daniel Kuhn,CoinDesk
译者:Jason,金色财经

首先,整个事件有着深厚的根源,甚至可以回到今年五月份币安被盗 7000 比特币的那件事。当时,币安一如既往地承认了自己的问题,并将其描述为一次「大规模安全漏洞」,声称黑客能够获取大量用户的 API 密钥、2FA 代码和其他可能的信息。

然而至始至终,币安没有提到识别用户信息可已经已被泄露了!

「Banatov Platon」声称,正是在这次事件过程中,币安的客户信息已经被泄露了。虽然他表示自己并不是这次黑客事件的肇事者,但却透露自己通过攻击币安交易所的一位「内部人士」获取了相关信息。

另一方面,币安声称被获取的客户数据来自于一家未透露姓名的第三方公司,该公司已经于 2018 年 2 月和币安签约,并且负责执行 KYC (了解你的客户)相关工作。

有海外媒体已经确认目前被泄露的数百个配置文件中,至少有两个是向币安提供身份识别信息的真实客户。有人分析其中一张照片似乎已经被篡改,但这位「受害者」已经证实就在信息被泄露时她又创建了一个币安账户。

「Banatov Platon」声称他们是「白帽黑客」,并且还联系了币安,希望能够通过披露漏洞信息获得赏金。然而双方的谈判最终破裂了,据报道,币安公司代表透露该黑客要求支付 300BTC,否则将进一步公开他持有的数据。

为了回应市场上的「恐惧、不确定和怀疑」,币安发布了一份声明,其中解释说:

我们想通知您,一位身份不明的人威胁并骚扰了我们,要求以 300BTC 的价格换取其持有的 10,000 张与币安 KYC 数据相似的照片,我们仍在调查此案的合法性和相关性。

「Banatov Platon」声称,他们手中拥有 60,000 份 KYC 信息。

下面一起看看整个事件的来龙去脉。

就在币安今年五月份被黑客攻击之后,他们表示恶意行为者获得了客户的 API,双因素代码以及「潜在的其他信息」。但「Banatov Platon」对此事的看法不同,他表示币安交易所的一个内部人员帮助公开了许多 API (应用程序接口),允许黑客直接访问客户账户和资金。「Banatov Platon」表示,泄露的文件还包含「非常严重的信息」,包括客户的电子邮件地址和账户密码。据悉,这些受到影响的客户是在 2018 年至 2019 年开立的币安账户。

利用这些个人信息,黑客编写了一个恶意脚本,允许他们可以实时提现 0.002 BTC (大约 23 美元)。这段代码被嵌入到了买单之中去购买一个名为「BlockMason Credit Protocol」的代币,并将其转换成比特币。此外,这个代码还能调用一些不再开放或公开的 API 来执行许多其他功能。不仅如此,有外媒测试了一个 API 调用,结果发现对服务器时间的简单请求仍然是打开的(目前还不清楚关闭的 API 端点是被删除了还是仅仅被隐藏了)。

「Banatov Platon」透露,被盗的加密货币被存放在比特币软件钱包提供商 Blockchain 托管的钱包中,Blockchain 最近刚刚推出了 PIT 交易所。

通过追踪这个钱包的路径,「Banatov Platon」发现黑客已经通过 Bitmex、Yobit、KuCoin 和火币等交易所洗了 2,000 个比特币,而且每天都在尝试兑换价值 100 万美元的比特币。

如何运作?

「Banatov Platon」从声称泄露的 60,000 个客户账户中「共享」了 636 份文件,并希望媒体关注能够促使币安披露黑客攻击的真实情况,并将攻击者绳之以法。

按照币安之前的说法,被盗的比特币仅来自于他们的公司账户并且不影响普通消费者,当时币安还暂停了存款和取款服务以保护用户。但是,币安没有公开用户信息的泄露程度。泄露的数据信息包括护照招聘、驾照和持有身份证的用户露脸照片,除此之外,「Banatov Platon」还提供了一些与照片相关的元数据示例,如下所示:

"id": 1573211,

"userId": "25276308",

"front": "/IDS_IMG20180320/25276308_0_9416819.jpg",

"back": "/IDS_IMG20180320/25276308_1_7376587.jpg",

"hand": "/IDS_IMG20180320/25276308_2_4413070.jpg",

"auditor": "chenxiaozi",

"message": "",

"status": 1,

"createTime": "2018-03-20 08:12:33",

"updateTime": "2018-03-21 01:48:33",

"number": "s532557730580",

"firstName": "m[REDACTED]",

"lastName": "[REDACTED]",

"type": 2,

"sex": 1,

"country": "United States of America (USA)(美国)",

"email": "[REDACTED]@outlook.com",

"version": 1

在这个元数据中,之所以会在国家代码后出现汉字「美国」,据称是因为币安的 KYC 审核工作是在中国进行的,目前还不清楚其他字段代表什么意思。

此外,「Banatov Platon」还披露了一些代码,其中可能看出黑客通过「内部人员」访问了币安服务器中的后门。通过对代码进行分析,「Banatov Platon」的看法也许是对的。

区块链开发公司 VisibleMagic 首席技术官 Viktor Shpak 说:

这极有可能成为 API 密钥攻击,黑客从某个地方获取了 API 密钥。

API 密钥用于验证交易所和其他应用程序中的服务,如果黑客获取 API 密钥,他们几乎可以做任何事情,比如代表受害者购买加密货币、把加密货币转移到外部钱包。Viktor Shpak 透露,通过分析代码可以了解到币安内部存在后门,他解释说:

很可能是一个内部人员创建了一个处理程序,然后通过这个程序来访问用户 API 密钥,然后他们就获得了这些 API 密钥,并获取了用户数据的访问权限,黑客甚至开发了一个工具包来完成这项任务。

币安公司代表此前透露:

截至团队最新消息,目前没有证据表明这些是 KYC 图像是来自币安,而且根据我们的系统流程,并不给 KYC 图像加水印。

「Banatov Platon」的动机

「Banatov Platon」透露他曾联系了币安首席增长官(CGO)林义翔(Ted Lin),并解释说:

我个人很想让币安成为世界上第一个抓获黑客的交易所,这对他们的声誉非常有利。我告诉林义翔我有内幕消息,比如内部人员的详细信息、内部人员与外人的沟通细节、甚至还有内部人员的照片。我还告诉他我有黑客的详细信息,比如服务器信息、他们的身份、他们的电话号码等。

林义翔也作出了回应,声称愿意接受为这些有可能抓到黑客和内部人员、以及可能追回被盗资金的信息付费。然而,在同样的对话中,林义翔也驳斥了「Banatov Platon」正运作的「FUD 活动」,并表示不会对敲诈勒索做出反应。但是「Banatov Platon」表示自己足够富有,而且也是一家加密货币交易所的运营者,该交易所规模是币安的三分之一。「Banatov Platon」还说自己对财务报酬不感兴趣,他说道:

当我需要钱的时候,可以破解黑客持有的一家交易所账户,我可以从黑客的钱包里轻松找回 600-700 个代币。虽然我看到越来越多币安被窃的比特币被清洗,但自己却没有碰哪怕一毛钱。

谈判破裂

不过,「Banatov Platon」却向林义翔索要了 300BTC,如果按照 7 月份的价格计算,这笔钱大约价值 300 万美元,「Banatov Platon」要求分 50 期支付给他。

但是就在 7 月 22 日,「Banatov Platon」表示双方谈判破裂了,他已经停止与币安谈判,并说道:

我们进行了大约一个月的谈判,他们没有支付一分钱,我与币安的交易破裂了。

之后,「Banatov Platon」威胁说要曝光他所获得客户信息。「Banatov Platon」提供了他与林义翔的部分对话记录:

林义翔(2019 年 7 月 20 日 19:54):我看到你已经将信息提供给媒体了。

林义翔(2019 年 7 月 20 日 19:59):鉴于你的 FUD 活动已经完成,无论怎样,你拿手中的信息索要的赏金都会显著减少。正如我先前所说,我们不会对敲诈勒索作出反应。但如果你手中的信息有用,并且能让我们将坏人绳之以法并追回资金,我们愿意获得更多有关肇事者的信息。

「Banatov Platon」(2019 年 7 月 21 日 16:53):如同我先前所说,我不需要你的钱。

「Banatov Platon」(2019 年 7 月 21 日 16:53):我觉得已经没有继续交易的必要了。

「Banatov Platon」(2019 年 7 月 21 日 16:54):我也没期望你们会作出回应。

「Banatov Platon」(2019 年 7 月 21 日 16:59):但我很喜欢看到内部人员和黑客们看到新闻之后的反应。再次重申,我对你们的反应不感兴趣。

林义翔(2019 年 7 月 21 日 19:04):我以为你想看到那些黑客们被逮捕?

「Banatov Platon」(2019 年 7 月 21 日 19:11):我想要,但不是现在。

「Banatov Platon」(2019 年 7 月 21 日 19:12):我宁愿离开并继续观察。

林义翔(2019 年 7 月 21 日 19:19):我们仍然对那些可以逮捕黑客和内部人员、以及能够追回资金的信息感兴趣,并愿意为此付款。

林义翔(2019 年 7 月 21 日 19:19):如果你有更多可以实现上述目标的信息,请让我知道。

林义翔(2019 年 7 月 21 日 19:04):在你决定不再对话之前,我们会验证你所有的信息类型。

林义翔(2019 年 7 月 21 日 19:21):如果你改变心意并仍想继续,请让我知道。

林义翔(2019 年 7 月 21 日 19:21):感谢你的帮忙。

「Banatov Platon」(2019 年 7 月 21 日 19:11):那就给我钱。

「Banatov Platon」表示他不该与币安谈判,这个决定本身就是错误的,他说道:

币安不是对的人 ..... 所以我只会把所有数据发布给他们的客户。

8 月 5 日,「Banatov Platon」的威胁终于变成了现实,他将一个包括 116 个人的 KYC 信息(总计 500 张照片)文件转储上传到一个开放文件共享网站,名称为「Guardian M.」。8 月 6 日早上,他进行了第二次转储,其中包含数百张持有身份证的个人照片。

「Banatov Platon」的解释很简单:他们认为他们做的事是正确的。

「Banatov Platon」最后表示:

人们一直在问,你为什么要发布这些 KYC 照片?你是怎么得到它的?我发布这些 KYC 照片的原因很简单:就是给那些在币安交易所上进行交易的人一个警告。如果我需要钱,我会把这些 KYC 信息卖到地下,而不是发布出来。

来源链接:www.coindesk.com