20万瑞波币被盗!Gatehub6月1日,交易中心瑞波币被盗事件进展,XRP Forensics 发现 201,000 瑞波币(通过交易)F6E9E1385E11649A6C2F88723A821AF209B54030886539DCEF9DDD00E6446948)被盗并立即进行调查。事实证明,被抢的账户是 Gatehub.com 管理,非法账户(r9do2Ar8k64NxgLD6oJoywaxQhUS57Ck8k)从其他几个瑞波币账户中偷走了大量资金,这些账户也可能是由Gatehub.com管理的。
同一天,XRP Forensics 与 Gatehub 联系提醒他们系统潜在的安全BUG,同时,继续对盗窃事件进行独立调查,并联系了一些加密货币交易中心,因为黑客可能会试图通过这些交易中心洗钱。
经过进一步调查,一些与盗窃有关的账户浮出水面,发现 12 主要可疑账户:
rU6EsDCiHHYbTtA4uGGo8zaaiRz2sbDBST
rN5Gm1FijbTVeYFfpTRfGKfNZQY7hc9TbN
rprMix9uYyQng5vgga1Vg8HTeBMCzaeM2i
rUvPCdYJMzzGu9AFKrNeKgCTpxrpFc3RHt
rJpKe5rbjgzzGJc1wm1xqKj6j4UjBQ6s48
rGSWKo2oiJnJiPEoHvDZTK2XG7RtE62Cbh
rpBDxqWArAQTEfPeWwkUvBh1cbc885nirX
r9do2Ar8k64NxgLD6oJoywaxQhUS57Ck8k
rKZ14F9KT65chQ382M33U41a4eniGMAyfG
rpfcbzdZZSWdB5EWDGcQvD5ycFhM6jdhpZ
rHvWywQiexNeCLWTa9dBjHTMAtt6tPN7Z1
rMcqiWXMJEAEMXaFFgnjeuASwAMmef8B8c
实际上,XRP Forensics 早在 UTC 时间 2019-05-30 12:25:40 通过分析数据发现了第一个受害者,黑客通过交易 30FBBD47F6791A00BF0C1DCFF6CBD8AECBF9EF71141544C031B8FAF3EACB4C41 窃取了受害者 1万 瑞波币。
截至 UTC 时间 2019-06-05 16:00左右有 80-90 个受害者受到黑客攻击,被窃总量大约为 23,200,000 瑞波币,其中大约有 13,100,000 瑞波币已经通过加密货币交易中心和混合服务“洗白”了。之后,XRP Forensics 与一些受害者取得联系Gatehub 还联系了一些涉及黑客洗钱的加密货币交易中心。
本次攻击的潜在场景分析
虽然 XRP Forensics 没有确凿的证据表明攻击中心来自哪里,但在调查中分析了以下潜在的攻击场景:
1.Gatehub 账户被黑客攻击
通过分析受害者的访问日志和瑞波货币分类账上的交易,似乎没有账户直接在 Gatehub.net 使用客户登录凭证受到攻击。
2.网络钓鱼
通过与受害者交流,他们似乎没有任何人成为网络钓鱼手段的受害者,比如没有人收到过电子邮件,让他们打开冒充 Gatehub.net 的链接。
3.重放攻击
大多数受害者的账户在 2017年 12月(或更早)注册。起初,有些人认为旧账户更容易受到交易签名软件部署的弱加密影响,但情况似乎并非如此。根据现实,只有少数账户容易受到攻击,没有人是攻击的受害者。
4.增量 nonce
虽然重放攻击不是本案的核心,但仍有可能是一个执行不善的签名库使用增量 nonce,新手看几分钟炒币k这使得暴力破解成为可能。但现阶段无法证实或否认。
5. RippleTrade 迁移
因为大部分受害者的账户注册时间都在 2017年 12 月(或更早),而且很多账户都有 RippleTrade 用户名,所以处理用户账户迁移的不可靠做法可能是黑客访问这些账户的原因之一。然而,并非所有黑客攻击的账户都是旧的 RippleTrade 账户。因此,从这个角度来看,这种攻击的原因是不可能的。
6.浏览器客户端黑客攻击
虽然可以使用 Gatehub.net 应用程序接口(API)中的BUG检索用户信息,但我们发现这种方法不太可能成为攻击的原因。因此,这次攻击的受害者遍布世界各地,任何此类攻击都可以通过嗅探共享 WiFi 上访发生。
7.旧数据库泄漏
由于 Gatehub.com 是托管钱包提供商,因此,他们自己存储加密货币的私钥。黑客很可能会利用未知数据库泄漏,然后通过暴力破解私钥,直到罪犯发现他们可以获得足够的资金。
黑客已经开始套现了
目前,XRP Forensics 确定了一些收到被盗瑞波货币的加密货币交易中心,但只能了解一些金额估计,而不是准确的数字:
changelly.com: 6,000,000 XRP
changenow.io: 3,250,000 XRP
kucoin.com: 1,500,000 XRP
huobi.com: 930,000 XRP新手怎么炒币不亏升值空间
exmo.me: 135,000 XRP
hitbtc.com: 115,000 XRP
binance.com: 110,000 XRP
alfacashier.com: 50,000 XRP
总结
如上图所示,黄色代表被盗瑞波货币的加密货币交易中心和账户;蓝色代表受害者;红色代表九个可疑账户。(星球君 o-daily 注:部分受害者可能直接将资金发送到交易中心,而不是通过可疑账户转账)
由于受害者遍布世界各地,需要由各国执法机关处理,XRP Forensics 强烈建议受害者向辖区内的相关执法机构投诉。
