新聞來源連結:動區動趨
https://lihi1.com/vvVJ9
新聞本文:
幣安(Binance) KYC 勒索事件追蹤: 駭客親自現身說法,幣安冷處理
幣安 KYC 資料遭駭,雖然官方聲明指出還在調查中,然而卻有外媒專訪勒索幣安的駭客
,其宣稱他並不是勒索,而是賣給幣安有用的資料,讓幣安能把駭客繩之以法,幣安對此
則不發表評論。
昨日(8 月 7 日),世界最大交易所之一的幣安(Binance),傳出洩漏大量用戶的
KYC 資料。暱稱 Guardian M 的不知名人士在電報群發送幣安用戶的 KYC 資料。事情發
生之後,幣安官方很快在臉書專頁闢謠。
幣安先是在臉書專頁上澄清確實有遭到勒索,但目前資料與後台不符合,且沒有浮水印。
而幣安創辦人趙長鵬更是在推特發問,諷刺這個是舊新聞,在今(2019)年年初就已經報
導過,當時就已經澄清是假新聞。然而這則事件卻持續延燒。
據外媒 CoinDesk 取得這名「勒索」幣安的駭客回應,該名駭客化名為帕蘭頓(Bnatov
Platon)。帕蘭頓表示,他不是直接從幣安取得這些資料,而是在追查幣安遭駭比特幣的
時候,駭進「幣安內鬼」的電腦發現的。
他強調,他不認為是在敲詐、勒索幣安,還宣稱自己反而是在幫助幣安找出內鬼、是「白
帽駭客」。
幣安對動區表示,調查正在進行中,針對該篇報導則不發表任何評論;且已經提供 25 顆
比特幣作為賞金,希望各界可以協助提供資訊抓到駭客,搜集證據以追究法律責任。
然而,幣安執行長趙長鵬在推特轉推了一則網友的貼文,暗示了他的立場;貼文中指出,
此報導誤導了許多細節,包括帕蘭頓宣稱自己是「無私的白帽駭客」,卻不敢透露身份,
甚至索取 300 顆比特幣,後續製造了許多混亂與恐慌。
據帕蘭頓說法,此事追溯到五月份幣安交易所遭駭客攻擊。
當時,駭客攻擊幣安,從「系統漏洞中」竊取大量的用戶 API 私鑰,二次驗證碼等等。
而幣安也一如往常,對外公開這些資料,然而帕蘭頓卻表示,當時幣安沒有說道,還有大
量的用戶 KYC 資料也一起流出。
帕蘭頓對這起駭客攻擊的看法不同,他們聲稱幣安有內部人士洩漏 API 私鑰給駭客,所
以駭客就可以遠端獲得權限進入用戶帳號,獲取用戶資金。除了 API 私鑰之外,內部人
士洩漏的文件中還包括大量的用戶資訊,包括用戶的 Email、帳戶密碼,而這些用戶都是
在 2018 年至 2019 年在幣安開戶的。
而幣安對此的說法則是:
「在對網上傳播的圖片進行初步審核之後,我們發現所有圖片的日期都是2018年2月。在
此期間,由於工作量巨大,幣安曾有一週將部分 KYC 審核外包給第三方服務公司。」
而帕蘭頓在發現真相之後,希望能夠以 300 顆比特幣的代價,向幣安近一步透露更多消
息,包括內鬼、駭客的手法以及他掌握的 60,000 筆 KYC 資料。而幣安在昨天的公告則
是表示,受到身分不明人士威脅,要求以 300 顆比特幣換取他聲稱掌握關於幣安的 1 萬
筆 KYC 資料。
分 50 期支付,談判破裂
帕蘭頓表示,有和幣安首席成長官 Ted Lin 聯繫,希望能提供資料讓幣安成為第一個將
駭客繩之以法的交易所,他認為這對幣安的聲譽絕對是正向的。
帕蘭頓說道:
「我告訴他,我有內幕消息,包括內鬼的詳細資料,和駭客溝通的資訊,甚至是內鬼的照
片。我還告訴他我有駭客的資訊,包括在哪個伺服器、他們是誰、電話號碼等等。」
帕蘭頓甚至與幣安有協議,以當時比特幣的價格計算,金額大約為 300 萬美元,分 50
期支付。然而柏拉圖表示,為期一個月的斡旋,幣安沒有付他任何一分錢,所以談判就破
裂了。
帕蘭頓表示:「我跟幣安談判這個決定是錯的,他們不適合(做第一個將駭客繩之以法的
交易所),所以我只會把資料公開給大眾知道。」
在 7 月 22 日,在和幣安代表談判的時候,帕蘭頓就表示,他現在有興趣的事情是幣安
內鬼和駭客的反應,他想知道,這件事情爆出來的時候,內鬼跟駭客是什麼反應。
而在 8 月 5 日的時候,帕蘭頓將 166 份 KYC 資料和 500 張照片的檔案放在開放文件
共享網站,檔案名稱就叫「Guardian M.」,隨後在週三,他又將數百張用戶手拿身份證
的照片放在文件上。
帕蘭頓宣稱,他這麼做是對的,並表示自己並不缺錢:
大家一直在問,「你為什麼要散播那些KYC照片?」、「你是怎麼得到這些資料的?」我
發布這些 KYC 的原因很簡單:警告幣安正在處理這件事的人。如果我需要錢,我會把資
料賣到地下組織,而不是公布這些資料。
目前,數百位疑似 KYC 的資料已經在流出,儘管不能確定全部的來源,但據 Coindesk
報導,已經有兩位確認是來自幣安註冊用戶,皆在2018年年初註冊,其他則不能確定。
評論:事件越來越精采 坐等鍵盤神探