黑客大军来袭“撞库”攻击交易所，用户数据泄露源头在哪？

上周开始，一头部交易所开始频繁遭遇撞库攻击。“几十个数据包，都在凌晨开始撞库，尝试登录用户的账号。”该交易所安全负责人CC称。该交易所有十几位用户宣称自己丢了币，有趣的是，他们在这个平台上的用户名和密码，和币安的最为相似，“只是多了一个特殊字符”。CC所在团队拦截了其中一个撞库的数据包，发现其中有4000条交易所的用户名和密码数据。那么，到底是谁泄露了用户的数据？

7月20日8点半，用户珂贤按照平时的惯例，准备先打开交易所的页面，查看各种数字货币的价格。但他的手机上缺出现很多弹出的邮件。

“凌晨3点，居然有多次登录交易所的邮件提示。”珂贤突然警觉，马上登录交易所，却发现自己价值37万的数字货币，只剩下价值400元的。他马上查看交易记录，发现了一件有趣的事情：所有的币，都被兑换成ETH，然后购买了一个小币种——WICC。

有趣的是，黑客买入的价格都是固定的，即0.000853个ETH（2.63元），而卖出的价格，都是0.0007782个ETH（2.4元）。买入操作5秒后，必然开始卖出操作。每次的交易量也不高，一般都是500到1000个WICC。

“一看如此的规律操作，就知道是机器和程序化交易。如此精密，人做不到。”

那为何黑客都是高买低卖？这样操作的原因是什么？

“黑客在另外一边，操作了其他账号，低价买币之后，再高价抛出，相当于低买高卖。”CC称，在这个反复操作的过程中，用户的钱，就被转移到了黑客的账户上。而珂贤的37万，就在几秒一次的操作中，被一点点蚕食，最终只剩下400元。

“黑客的进化速度是惊人的，他们根本不需要提币。”CC称，一般的交易所，对提币操作的安全防护会比较多，比如给邮箱发验证链接，给手机发验证码等。但黑客绕开了这一步，开始利用交易所的流动性，选择一些流量较小的小币种，将钱“洗出来”。

和珂贤有同样遭遇的用户有十多人，他们被以同样方式洗走的钱，从几万到几十万不等。案发时间，几乎都是7月19日凌晨。除了WICC之外，黑客还购买了小币种SHOW。一共两个币种，操作手法完全相同。

“我们都在凌晨3点左右收到了登录邮件。但这时大家都在睡觉，没人会注意。”被盗用户Woody称。

而在追踪这些登录的IP地址时，发现来自日本、巴基斯坦、阿尔及利亚等国家，但有一个IP，在所有的账户都出现过，它来自墨西哥。在所有账户里出现同一个IP，证明这是同一批黑客团队所为。

多个安全团队对这次攻击进行了监测，并证实这是一次典型的“撞库攻击”。所谓的撞库攻击，核心的逻辑是，黑客用一个平台的用户名和密码，去尝试登录其他平台。

那么问题来了：这些撞库的用户数据，都是怎么来的？

被撞库的用户都表示，他们在这个交易所的用户名和密码，几乎是唯一的。“因为这个交易所的密码要求极为严格，需要数字、特殊字符，还要求字母大小写，所以被撞库攻击的可能性，几乎没有。”珂贤称。但他们的密码，和一个平台的账号密码最为相近，就是币安。

“因为币安的密码不需要特殊字符，所以我在这两个交易所的密码，只差一个特殊字符。”Woody称。“特殊字符只有那几个，被试出来的可能性非常大。”CC称。

根据这条线索，拦截了一个撞库的数据包。“里面共有4000条用户名和密码数据，显示的数据日期是6月25日，并留下了某个顶级交易所的名字，还附上了流水号。”用这些用户名和密码登录该交易所，发现都可以成功。这几乎证明，用于撞库的数据，就来自某个交易所的用户名和密码。

而出现这样的情况，一般有两个可能性：

第一，该交易所6月25日前的数据外泄，被黑客盗取；

第二，该交易所利用自己的用户数据库，对其他交易所进行撞库攻击。

如果是第一种，说明该交易所的安全，做得并不到位——数据量如此之大，应该是黑客“拖库”，把整个数据库盗走了。如果是第二种，这个交易所已基本视用户为“玩物”，直接去其他交易所，洗劫自己的用户。

其实，基本上所有的交易所，都经历过撞库攻击。这些用来撞库的数据，除了来自其他交易所外，也可能来自其他互联网平台。

“交易所就是一个金矿，所以任何可以淘金的可能性，黑客都不会放过。”

而最可怕的一点是，只要黑客能登录，根本不需要提币的操作，就能将账号里的数字货币洗劫一空。只需要找个小币种，进行“高买低卖”。

未来的攻防大战，都将集中在数字货币领域。黑客进化速度惊人，而交易所，正在成为黑客眼中最重要的淘金地……可以说，采用怎样的安全措施，都不为过。

来源：文  | 木一