產業觀察丨花無涯：全球第四大密币交易所被黑客攻击

來源：花無涯簡書

Bithumb的韩国用户在当地的一个社交网络上投诉称对存储在Bithumb账户中的大量资金失去控制。一天之后，Bithumb公司在一篇博文中证实确实遭到攻击，但并未透露任何详情。

攻击者黑掉Bithumb员工电脑

举个例子，A站你用一些方法折腾，发现报错信息是ASPX的

但是如果你按照.Net+MSSQL微软全家桶的思路去折腾，那你就掉坑里了

人家服务器都是Linux的，报错就是坑半吊子黑客小白用的……

再举个例子，某人前一段爬某网站数据，给人家爬烦了

过两天爬不下来了，有验证码

这货Review了一下JS代码，一拍大腿：“找到了，这傻逼，居然把API换了！”

然后他辛辛苦苦爬来的数据库就被全清了，对方返回的信息里隔几百条就有SQL注入

那根本不是线上给用户的API，那是为他留得的独享的

或者，即使带SQL注入的数据被加载到页面里，也顶多就报个错，让用户F5一下就行了

本周一，Bithumb在当地媒体的压力下披露称一名未具名黑客黑掉了一名员工的个人电脑，窃取了超过3.18万Bithumb用户的详情，占该公司整个用户总数的3%。当地媒体表示，入侵发生在当地时间6月29日即上周四晚上10点左右，文档显示黑客设法访问的数据包括消费者姓名、邮件地址和手机号码。不久之后，用户开始在网上投诉称有人清空了自己的账户。目前尚不清楚黑客是如何控制目标账户的。

中国黑客协会创始人花无涯带领的团队覆盖国内外多家信息安全组织，黑协首席执行官隐痛担任过国内多家影响力较大的信息安全组织的负责人，黑协对小白以及想了解黑客的，创作了第一本书 网络黑白，作为小白入门黑客的精品读物，将亲身经历和自身所学以及网络实际相结合，写就的书籍网络黑白腾空出世，以浅入深出的方式，将网络江湖向我们娓娓道来。

一些用户报告称丢失了价值1000万韩元（8700美元）的密币。当地媒体估计攻击者攫取了价值数十亿韩元的密币，但Bithumb公司并未证实具体被盗数额。不过该公司表示有些用户在多个电子平台上复用了密码，从而导致账户被盗。Bithumb公司承诺补偿用户从本周一Bithumb公司发布的博客文章来看，该公司似乎并不知道攻击者盗取的具体密币数额。尽管如此，该公司表示将在7月5日之间赔偿给每名受影响用户最多10万韩元（897美元）。Bithumb发表官方声明称，“证实损失数额后，我们会马上补偿全部损失”。

无趣和乏味的工作是犯罪

黑客们（以及具有创造力的人们）从来不会被愚蠢的重复性工作所困扰，因为当这种事情发生的时候就意味着他们没有在做只有他们能做的事情 – 解决新问题。这样的浪费对每一个人都是伤害。因此，无趣和乏味的工作不仅仅是不舒服而已，而是极大的犯罪

作为黑客，你必须完全相信这一点并尽可能把乏味的工作自动化，不仅仅是为了自己，也为了其他人（特别是其他黑客们）。

(对此有个明显的例外，就是黑客们有时会重复性的枯燥工作来进行脑力休息，或者是为了获的一些技巧以及除此之外无法获得的经验。但是这是他/她自己的选择 – 有脑子的人不应该被迫做无聊的活儿。)

从用户投诉来看，这名黑客从用户账户中窃取了比特币和以太币。除了是全球第四大密币交易所外，它还是互联网上交易量最多的以太币交易平台。Bithumb对韩国媒体表示称已于上周与执法部门取得联系。两个月之前，一名为具名黑客曾入侵韩国比特币交易所Yapizon并窃取了3816.2028比特币（超过550万美元）。这并非上周发生的首个以太币相关入侵事件。上周四一名攻击者获取对经典以太币钱包（以太坊经典ETC密币客户端钱包系统）域名的控制权限。这名黑客设立了一个虚假网站并通过该网站钓取了用户凭证且拦截并重定向了ETC交易。

---

Everything just begins.