上周头部交易所频繁撞库，谁泄露了用户数据？

上周头部交易所频繁撞库，谁泄露了用户数据？

上周开始，一头部交易所开始频繁遭遇撞库攻击。

几十个数据包，都是在凌晨的时候开始撞库，试图登录用户的账号 ，该交易所安全负责人CC这样说道 。

该交易所有十几位用户宣称自己丢了币，有意思的是，他们在这个平台上的用户名与密码，和币安的极为相似，仅仅是多了一个特殊字符。

CC所在团队拦截了一个撞库的数据包，从这个数据包中，发现了4000条交易所的用户名数据，还发现了4000条交易所的密码数据。

到底是谁泄露了用户的数据？

01 不翼而飞

7月20日8点半，用户珂贤睡醒了。依照平常的习惯，他打算先开启交易所的页面，查看各类数字货币的价格。

但他突然看到，手机上有很多弹出的邮件。

凌晨3点时，居然出现了多次登录交易所的邮件提示，珂贤突然警觉起来，他马上登录交易所，却发现自己价值37万的数字货币，此时只剩下价值400元的了。

他马上查看交易记录，发现了一件有趣的事情：

所有的币都被进行了兑换，兑换成了ETH，之后用ETH购买了一个小币种，这个小币种是WICC。

有趣的是，黑客买入的价格是固定的，这个价格为0.个ETH，也就是2.63元，而卖出的价格同样是0.个ETH，即2.4元。

而买入操作5秒后，必然开始卖出操作。

每次的交易量也不高，一般都是500到1000个WICC。

资深黑客CC称，一看是这般规律的操作，就晓得是机器以及程序化交易，这般精密，人是做不到的。

那为何黑客都是高买低卖？这样操作的原因是什么？

CC称，黑客在另外一边，操作了其他账号，先低价买币，之后再高价抛出，这相当于低买高卖，在这个反复操作的过程中，用户的钱就被转移到了黑客的账户上 。

珂贤的37万，在几秒一次的操作过程中，被一点一点地蚕食，最后只剩下400元。

CC表示，黑客进化速度惊人，他们根本无需提币，一般的交易所对提币操作安全防护较多，比如给邮箱发送验证链接，给手机发送验证码等。

但黑客避开了这一步骤，转而利用交易所的流动性，挑选一些流量较小的小币种，把钱“洗出来” 。

有十多个用户和珂贤有着同样的遭遇，他们被以同样的方式洗走了钱，这些被洗走的钱数目不等，少则几万，多则几十万 。

案发时间，几乎都是7月19日凌晨。

黑客除了购买了WICC之外，还购买了小币种SHOW，总共购买了两个币种，且操作手法完全相同。

被盗用户Woody称 ，我们都在凌晨3点左右收到了登录邮件 ，但这时大家都在睡觉 ，没人会注意 。

CC对这些登录的IP地址展开追踪，发现它们来自日本、巴基斯坦、阿尔及利亚等国家，不过有一个IP在所有账户都出现过，这个IP来自墨西哥 。

在所有账户里出现同一个IP，证明这是同一批黑客团队所为。

02 撞库攻击

多个安全团队监测了这次攻击，并且证实这是一次典型的“撞库攻击”。

所谓撞库攻击，其核心逻辑是，黑客会获取一个平台的用户名与密码，然后利用这些信息去尝试登录其他平台 。

那么问题来了：这些撞库的用户数据，都是怎么来的？

那些被撞库的用户全都表示，他们在该交易所的用户名，是几乎唯一的，他们在该交易所的密码，也是几乎唯一的。

珂贤称，这个交易所的密码要求极为严格，需要包含数字，需要包含特殊字符，还要求字母有大小写之分，所以被撞库攻击的可能性几乎没有。

但他们的密码，和一个平台的账号密码最为相近，就是币安。

Woody称，币安的密码不需要特殊字符，他在这两个交易所的密码，只差一个特殊字符 。

“特殊字符只有那几个，被试出来的可能性非常大。”CC称。

CC依据这条线索，与其他安全团队一同追查此事，并且拦截了一个撞库的数据包。

里面一共有4000条用户名和密码数据，数据显示的日期是6月25日，数据中留下了某个顶级交易所的名字，还附上了流水号，CC尝试用这些用户名和密码登录该交易所，结果发现都能成功登录 。

CC声称，这差不多能够证明，被用于撞库的数据，是源自某个交易所的用户名以及密码 。

而出现这样的情况，一般有两个可能性：

第一，该交易所6月25日前的数据外泄，被黑客盗取；

第二，该交易所运用自身的用户数据库，针对其他交易所展开撞库攻击。

如果是第一种情况，那就表明该交易所的安全工作存在欠缺，数据量达到如此规模，极有可能是黑客实施了“拖库”行为，将整个数据库盗走了 。

如果是第二种情况，这个交易所已基本上将用户当作“玩物”，那就直接前往其他交易所，去掠夺自己的用户 。

03 交易所安全

CC称，其实，基本上所有的交易所，都经历过撞库攻击。