幣安 KYC 資料遭駭,雖然官方聲明指出還在調查中,然而卻有外媒專訪勒索幣安的駭客,其宣稱他並不是勒索,而是賣給幣安有用的資料,讓幣安能把駭客繩之以法,幣安對此則不發表評論。
昨日(8 月 7 日),世界最大交易所之一的幣安(Binance),傳出洩漏大量用戶的 KYC 資料。暱稱 Guardian M 的不知名人士在電報群發送幣安用戶的 KYC 資料。事情發生之後,幣安官方很快在臉書專頁闢謠。
幣安先是在臉書專頁上澄清確實有遭到勒索,但目前資料與後台不符合,且沒有浮水印。而幣安創辦人趙長鵬更是在推特發問,諷刺這個是舊新聞,在今(2019)年年初就已經報導過,當時就已經澄清是假新聞。然而這則事件卻持續延燒。
據外媒 CoinDesk 取得這名「勒索」幣安的駭客回應,該名駭客化名為帕蘭頓(Bnatov Platon)。帕蘭頓表示,他不是直接從幣安取得這些資料,而是在追查幣安遭駭比特幣的時候,駭進「幣安內鬼」的電腦發現的。
他強調,他不認為是在敲詐、勒索幣安,還宣稱自己反而是在幫助幣安找出內鬼、是「白帽駭客」。
幣安對動區表示,調查正在進行中,針對該篇報導則不發表任何評論;且已經提供 25 顆比特幣作為賞金,希望各界可以協助提供資訊抓到駭客,搜集證據以追究法律責任。
然而,幣安執行長趙長鵬在推特轉推了一則網友的貼文,暗示了他的立場;貼文中指出,此報導誤導了許多細節,包括帕蘭頓宣稱自己是「無私的白帽駭客」,卻不敢透露身份,甚至索取 300 顆比特幣,後續製造了許多混亂與恐慌。
Disappointed with Coindesk. Misreports many “details”; Takes word verbatim from a fake “altruistic white hat” hacker, who hides behind an avatar, and demands 300BTC upfront, claims he can hack the hackers (but doesn’t), and turns that into “news”. Bad reporters make FUD Desk.
— truthseeker (@truthurtm) August 8, 2019
據帕蘭頓說法,此事追溯到五月份幣安交易所遭駭客攻擊。
當時,駭客攻擊幣安,從「系統漏洞中」竊取大量的用戶 API 私鑰,二次驗證碼等等。而幣安也一如往常,對外公開這些資料,然而帕蘭頓卻表示,當時幣安沒有說道,還有大量的用戶 KYC 資料也一起流出。
– 來源:CoinDesk –
帕蘭頓對這起駭客攻擊的看法不同,他們聲稱幣安有內部人士洩漏 API 私鑰給駭客,所以駭客就可以遠端獲得權限進入用戶帳號,獲取用戶資金。除了 API 私鑰之外,內部人士洩漏的文件中還包括大量的用戶資訊,包括用戶的 Email、帳戶密碼,而這些用戶都是在 2018 年至 2019 年在幣安開戶的。
而幣安對此的說法則是:
「在對網上傳播的圖片進行初步審核之後,我們發現所有圖片的日期都是2018年2月。在此期間,由於工作量巨大,幣安曾有一週將部分 KYC 審核外包給第三方服務公司。」
而帕蘭頓在發現真相之後,希望能夠以 300 顆比特幣的代價,向幣安近一步透露更多消息,包括內鬼、駭客的手法以及他掌握的 60,000 筆 KYC 資料。而幣安在昨天的公告則是表示,受到身分不明人士威脅,要求以 300 顆比特幣換取他聲稱掌握關於幣安的 1 萬筆 KYC 資料。
分 50 期支付,談判破裂
帕蘭頓表示,有和幣安首席成長官 Ted Lin 聯繫,希望能提供資料讓幣安成為第一個將駭客繩之以法的交易所,他認為這對幣安的聲譽絕對是正向的。
帕蘭頓說道:
「我告訴他,我有內幕消息,包括內鬼的詳細資料,和駭客溝通的資訊,甚至是內鬼的照片。我還告訴他我有駭客的資訊,包括在哪個伺服器、他們是誰、電話號碼等等。」
帕蘭頓甚至與幣安有協議,以當時比特幣的價格計算,金額大約為 300 萬美元,分 50 期支付。然而柏拉圖表示,為期一個月的斡旋,幣安沒有付他任何一分錢,所以談判就破裂了。
– 來源:CoinDesk,動區翻譯 –
帕蘭頓表示:「我跟幣安談判這個決定是錯的,他們不適合(做第一個將駭客繩之以法的交易所),所以我只會把資料公開給大眾知道。」
在 7 月 22 日,在和幣安代表談判的時候,帕蘭頓就表示,他現在有興趣的事情是幣安內鬼和駭客的反應,他想知道,這件事情爆出來的時候,內鬼跟駭客是什麼反應。
而在 8 月 5 日的時候,帕蘭頓將 166 份 KYC 資料和 500 張照片的檔案放在開放文件共享網站,檔案名稱就叫「Guardian M.」,隨後在週三,他又將數百張用戶手拿身份證的照片放在文件上。
帕蘭頓宣稱,他這麼做是對的,並表示自己並不缺錢:
大家一直在問,「你為什麼要散播那些KYC照片?」、「你是怎麼得到這些資料的?」我發布這些 KYC 的原因很簡單:警告幣安正在處理這件事的人。如果我需要錢,我會把資料賣到地下組織,而不是公布這些資料。
目前,數百位疑似 KYC 的資料已經在流出,儘管不能確定全部的來源,但據 Coindesk 報導,已經有兩位確認是來自幣安註冊用戶,皆在2018年年初註冊,其他則不能確定。
?相關報導?
【追蹤報導】「交易所、帳號託管系統、個人用戶」——幣安遭駭可能的安全漏洞
(8/7 17:30 更新)幣安(Binance)交易所驚傳 KYC 資料遭洩漏,執行長趙長鵬:子虛烏有的假消息
《BlockTempo動區動趨》LINE官方號開通囉~立即加入獲得第一手區塊鏈、加密貨幣新聞報導!
