什么是API 密钥? 各大交易平台都有开放自己的 API(Application Programming Interface,应用程序编程接口),以便让第三方网站或应用访问交易平台的交易市场,进行实时交易,或者进行提币等操作。 而用户可以创建 API 密钥。在第三方网站或应用绑定 API 密钥,通过API密钥,对交易所服务器的请求进行签名验证,从而让交易所确定用户的身份。 API密钥属于敏感信息,一定要妥善保管,不要泄露,如果怀疑信息泄露,请立刻重设密钥。 如何设置API 密钥?以币安交易所为例: 登陆您的币安账户后,点击【API管理】。 点击启用后,请设置一个备注名(即API名称),点击【创建新API】。 输入谷歌验证码或手机验证码 二次验证通过后,系统会发送一封邮件到您的注册邮箱,请登录邮箱,点击【确认创建】。 创建成功后,请您务必保管好您的Secret Key,该Secret Key仅此一次出现,同时为了您的账户安全,请不要分享该页面。(如在之后使用过程中忘记Secret Key,为了保证账户安全,只能通过删除API后重新开启。) API 泄露事件API 泄露是指黑客通过常用的钓鱼手段,比如假冒网上银行链接、假冒交易所链接、垃圾邮件、虚假电商广告等等不法手段,窃取用户的交易所账号信息,由此获得用户交易所API的接口权限。然后,黑客操纵手中控制的大量API接口,影响交易市场,从而获取暴利,但对交易所、用户造成重大损失。 API权限棣属于用户权限,只要黑客得到了平台的用户权限,即可控制用户的API权限。如果黑客从一个或者几个交易平台,获取大量的API控制权,就可以操控某个币种的涨跌,从而左右市场行情。 而单价低、交易量小的小币种,易于操纵,常常成为攻击对象。黑客提前购买囤积这些小币种。攻击时,瞬间爆拉小币种价格之后,再在同个交易所的其它账户,或者其他交易平台,卖出提前准备的大量小币种,从而牟取暴利。 近两年来,交易所频频爆出 “ API 泄露事件 ” ,损失惨重,让加密货币投资者内心惶恐。仅仅头部交易所币安,就被爆出三次。 黑客通过API,将VIA爆拉110倍2018年3月7日,不少用户发现币安账户中持有的各种数字货币被卖出,换成了比特币。涉及超过20个币种。而 VIA 代币价格被爆拉110倍。 币安公告称,黑客利用第三方钓鱼网站(通过unicode的Binance域名钓鱼)盗得用户的账号登录信息,然后自动创建了交易API,潜伏下来伺机以动。到3月7日,黑客预先充值VIA币到31个账号,然后通过盗取的API Key,在VIA/BTC交易对,下市价买单,频繁抬高价格,企图高卖出VIA,然后再试图从这31个账号提走BTC。 虽然,两分钟后,异常交易触发了币安的自动风控,提币暂停,被黑客控制的31个预存 VIA 币的账户也被冻结。 币安声称:所有资金安全,无任何资金逃离。但是 “仍有部分用户因自己的账号被钓鱼者偷盗,并已把BTC买成VIA或其它币,但由于这些交易对手方不是黑客账号,Binance无法回滚交易。在此再次提醒用户注意保护自己的账户安全。” 简单说:这些被黑客控制设置API进行交易的用户,BTC换VIA,损失惨重,只能自认倒霉。 API 钓鱼事件,损失7000多个比特币2018年7月4日凌晨4点,小币种 SYS(Syscoin)的价格被爆拉 320万倍,暴涨到 96 BTC。同一时间,黑客通过其他交易所出货提前埋伏的 VIA,至少获利8000万。凌晨5点,币安交易所出现超大额提现。2小时内,7000多个比特币转入同一地址。 上午8点,币安紧急暂停交易与提现,停机维护。 攻击发生后30分钟,比特币跌去130美元。通常黑客还会提前做好空单,二次获利。 针对这次异常事件,币安后续提出了四点处理方案:包括删除全部API记录、回滚异常交易账户记录、返还手续费、以及成立币安投资者保护基金等等。 然而,单纯删除API记录,只能防止攻击者在短时间内不能进行再次攻击,作用不大。安全专家称:真正有效的方式是:修复生成API过程可绕过2FA验证的漏洞,防止在用户未知的情况下生成API。 再盗7074个BTC2019年5月7日下午5点15分,黑客从币安的热钱包中提取了 7074 个比特币。下午7点左右,币安暂停所有充值和提现服务,进行紧急维护。 币安CEO赵长鹏向用户保证资金安全。 晚11点36分,币安宣布发生了黑客入侵,并确认黑客最终从币安热钱包中裹挟7000多个比特币逃逸。 5月8日下午约12点42分,币安将所有现有的API密钥,限制为“仅交易”。并宣布下午1:30分删除所有现有的 API 密钥。 5月8日下午约1点30分,币安删除了所有现有的 API 密钥。 5月10日,币安公布黑客事件最新进展:将对API、2FA(谷歌二次验证)和提币验证流程,进行重大调整。强化风险管理、用户行为分析以及KYC验证程序等;研究更加创新的防钓鱼措施。 这次入侵,仍然和币安的API密钥泄露、以及网络钓鱼相关。 API 密钥泄露事件分析API 密钥泄露和网络钓鱼是币安这三次黑客攻击的共同主题。 用户的API密钥,是最常被盗的信息,它使黑客能伪装成用户,与交易所进行交互。 通常,交易所平台的API有三个不同级别的权限: 读取:获取有关持仓,交易历史和市场数据的权限 交易?:执行交易的权限 提款?:提取资金的权限 默认情况下,当用户创建一组API密钥时,只会开启读取和交易权限,而提款权限是关闭的。这是因为提款操作有更高的风险,币安会要求用户首先设置双重身份验证和 IP 地址白名单。 SYS 和 VIA 攻击,黑客主要通过“仅限交易”的方式获得 API 密钥,然后通过 API 密钥,黑客操控被盗账户,发起大量买单,爆拉币价,再用提前埋伏好的账户卖币,从而将财富从仅具有交易访问权限的帐户,转移到了具有提款权限的自己的帐户,最后提币。 而7074个 BTC 被盗事件,据币安的官方声明,黑客不仅获取了大量用户 API 密钥,还获取了这些用户的 2FA 码和其他敏感信息。通过窃取的2FA码,黑客可以开启提款权限和禁用IP白名单功能,从而直接提币。 据称,这次直接提币,是因为第三方交易应用程序泄露了用户信息。 API 密钥使用注意事项API 密钥泄露,不仅对交易所,也可能对个人用户造成重大损失。因此,我们要保护好自己的 API 密钥。 建议采取如下措施: 首先,使用好交易所提供的安全防护手段。短信验证、邮箱验证、2FA谷歌验证码等全部开启。能开的安全机制,统统都打开。这是保证交易所数字资产安全的最基本手段。 第二,预防网站钓鱼:存放数字资产的能够上网的设备(电脑、手机),不乱装APP。不点陌生链接。不随意扫描二维码等等。不在陌生站点泄露自己的用户信息。 第三,最好在 API 密钥设置里,绑定 IP 为你常用的IP(比如家里的 IP )。 第四,最好关闭“允许提现”。 最后,勤换 API 密钥。定期更换,比如一个月,或者二个月,就删除现有的 API 密钥,重新绑定。 火币网站的 API 90天就强制过期,而OKEX和币安,没有这样的限定,需要手动删除让旧的 API 密钥失效,然后生成新的 API 密钥使用。 希望大家保护好自己交易所网站的 API 密钥,避免酿成大错。 参考文章:黑客何以一夜撬走近亿美元?技术大拿详解币安API钓鱼事件始末 | 金色独家 《深度分析:币安被黑四千万!》 《黑客攻击币安API完全调查》 《如何创建API》 《钓鱼攻击案例》 《Binance部分用户账号异常事件始末》 「注意」 我是金马,别人离开币圈的时候,正是我深耕的时候。你的熊市,让我陪你度过可好?币圈金马奖,和你一起走币圈这条光明大道。 —- 编译者/作者:币圈金马奖 玩币族申明:玩币族作为开放的资讯翻译/分享平台,所提供的所有资讯仅代表作者个人观点,与玩币族平台立场无关,且不构成任何投资理财建议。文章版权归原作者所有。 |
交易所 API 密钥使用必备手册 | 黑客操纵交易所 API 历史
2019-11-11 币圈金马奖 来源:区块链网络
LOADING...
相关阅读:
- 第632篇:面对暴涨暴跌该怎么办?2020-08-04
- 币圈三国;BTC是曹操,ETH是孙权,谁是刘备?2020-08-04
- 报告:RippleNet预计2020年上半年ODL交易将增长11倍2020-08-04
- DeFi YFI令牌叉Asuka的首席执行官在启动2天后退出骗局; 币安调查2020-08-04
- 8月3日行情分析:进入调整、空仓耐心等待2020-08-03