敲诈勒索：Binance与其“KYC黑客”的谈判

外卖

• 在周三发布有关真正Binance客户的详细信息之前，一名以“Bnatov Platon”为笔名的黑客与CoinDesk记者进行了长达一个月的对话。
• 在谈判中，柏拉图透露了他是如何在早先的黑客攻击中攻击个人的，其中7,000比特币是从这个世界上最大的交易所偷走的。
• 普拉顿声称他的目标是无私的，他只是想把黑客的身份绳之以法。然而，似乎他还有效地要求金钱换取承诺，他不会发布Binance的客户数据。
• Platon和Binance将举行多次会谈，并据报道达成协议后被中止。 CoinDesk已获得这些对话的完整成绩单。

在看似黑客攻击黑客的详细游戏中，以“Bnatov Platon”为笔名的个人向CoinDesk提供了有关他们试图获得数百万美元的广泛信息，以换取拒绝发布其中一个客户的信息。世界上最大的加密货币交易所，Binance。

今天，当Platon开始发布他所声称的关于真正Binance客户的图片和信息时，首先是在一个开放的网站上，然后是Telegram上，有关黑客的信息，与黑客进行了长达一个月的互动。

这个世界上最大的交易所的客户信息可能不安全，这足以立即引起业界的关注，主要新闻网站和Twitter影响者迅速广播新闻。

然而，完整的故事 – 并且仍然 – 比最初出现的更复杂。

首先，它有深厚的根源，延伸回到5月份的事件，当时一个外部团体闯入Binance用户帐户并窃取了7,000比特币。当时，Binance一如既往地公开其问题，将其描述为“大规模安全漏洞”的一部分，其中“黑客能够获取大量用户API密钥，2FA代码和其他可能的信息” “。

然而，未提及的是，识别用户信息可能已被泄露。

正是在这次活动期间，Platon声称他们获得的有关Binance客户的信息已经产生，尽管他说他不是黑客行为的肇事者，但是他还在黑客中攻击了一个交易所“内部人”。

另一方面，Binance声称客户数据是从一家未经命名的第三方公司获得的，该公司已经签约自2018年2月起开展其知情客户（KYC）。

此外，CoinDesk已经确认泄漏的数百个配置文件中至少有两个属于向交易所提供识别信息的真实客户。我们分析的其中一张图片似乎已被篡改，但身份出现在图片中的人证实她在泄密时创建了一个宾夕法帐户。

在与CoinDesk的对话中，Platon声称他们是一名“白帽黑客”，并且在一些评测中，他们建议他们向Binance请求揭露信息的漏洞赏金。然而，谈判破裂，Platon和Binance的代表报告说他要求300比特币以进一步扩展他所持有的数据。

Binance在一份声明中回应了这一消息所引发的“恐惧，不确定和怀疑”：

“我们想通知您，一名身份不明的人威胁并骚扰我们，要求300 BTC以换取扣留10,000张与币安KYC数据相似的照片。我们仍在调查此案的合法性和相关性。“

我们已联系Binance进一步发表评论。

Platon声称他们的藏品中有60,000件KYC信息。

以下是我们对谈判及其后果的了解。

搬家钱

CoinDesk与Platon的互动最初是在7月开​​始的，当时我们开始报道在5月违反Binance时被盗的比特币的流动。

Binance当时回应了黑客行为，称恶意行为者获得了客户的API，双因素代码以及“潜在的其他信息”。

柏拉图对事件的看法不同。他们声称，该组织内部的一位内部人员帮助公开了许多API，允许黑客直接访问客户帐户。黑客在Platon声称能够获取的文本文件中存储了客户端API密钥列表 – 用于远程访问其帐户的代码。这使得黑客可以远程访问资金。

Platon说，这些文件还“包含非常严重的信息”，包括客户的电子邮件地址和帐户密码。有风险的客户在2018年至2019年期间开立了Binance账户。

利用这些个人信息，黑客编写了一个恶意脚本，允许他们立即撤销.002 BTC（大约23美元）。该代码为一个名为BlockMason Credit Protocol的模糊令牌下了一个买单，并将其转换为比特币。我们检查过的代码也可以使用不再开放或公开的API调用来执行许多功能。但是，当我们测试一个API调用时，对服务器时间的简单请求仍然是打开的。目前还不清楚关闭的API端点是被删除还是被隐藏。

普拉顿称，被盗的硬币存放在由比特币软件钱包提供商Blockchain托管的钱包中，后者是最近推出的PIT交易所的制造商。

通过沿着这个钱包引领的路径，Platon发现黑客已经通过Bitmex，Yobit，KuCoin和Huobi清洗了2,000个比特币，并且希望每天能够转换多达100万美元的比特币。

工作原理

在Platon声称违反的60,000个客户账户中，他与CoinDesk共享了636个文件。他希望媒体的关注能够促使币安宣布黑客的真实程度，并将袭击者绳之以法。

就其本身而言，Binance宣布被盗的比特币仅来自他们的公司账户并且不影响消费者。当时，交易所还暂停存款和取款以保护用户。但是，泄露的用户信息的程度是保密的。

除了护照，驾驶执照和持有身份证的用户的实际爆头图像之外，Platon还提供了一些与图像相关的元数据示例。

例如，此代码表明用户在03/20/2018通过了KYC：

“id”：1573211，
“userId”：“25276308”，
“front”：“/IDS_IMG20180320 / 25276308_0_9416819.jpg”，
“返回”：“/IDS_IMG20180320 / 25276308_1_7376587.jpg”，
“hand”：“/IDS_IMG20180320 / 25276308_2_4413070.jpg”，
“审计员”：“陈小子”，
“信息”： ””，
“状态”：1，
“createTime”：“2018-03-20 08:12:33”，
“updateTime”：“2018-03-21 01:48:33”，
“号码”：“s532557730580”，
“firstName”：“m（删除）”，
“lastName”：“（删除）”，
“类型”：2，
“性”：1，
“country”：“United States of America（USA）（美国）”，
“email”：“（删除）@ outlook.com”，
“版本”：1

根据审计员的姓名以及国家代码末尾增加的“美国”，KYC在中国举行。目前还不清楚其他领域代表什么。

此外，Platon发送了CoinDesk代码，他将其描述为通过“内部人员”访问位于Binance服务器中的后门。对代码的分析表明Platon是正确的。

区块链开发公司VisibleMagic的首席技术官Viktor Shpak说：“这极有可能成为API密钥攻击。” “他们从某个地方收获了API密钥。”

API密钥用于验证交易所和其他应用程序中的服务，并且可以允许黑客做任何事情，从代表受害者购买加密货币到实际将加密货币移动到外部钱包。

Shpak表示，特别是代码暗示了Binance内部的后门，尽管CoinDesk无法通过此功能和相关的API密钥独立验证访问权限。

public static String getApiKey（String uri，String userId）{
 字符串时间=“”;
 time = get（“https://www.binance.com/api/v1/time”）;
 地图 param =新的HashMap（）;
 param.put（“userId”，userId）;
 param.put（“desc”，“api”+ JSON.parseObject（time）.getString（“serverTime”））;
 return post（uri +“/ exchange / mgmt / account / getApiKey”，param）;
 }

“很可能是一个内部人员创建了一个处理程序来访问用户API密钥，然后他们就获得了这些API密钥，并获得了用户数据的访问权限，并构建了一个很好的工具包来完成这项任务，”他说。

虽然当时遇到这些信息，Binance代表说：“截至团队最新消息，目前没有证据表明这些是来自Binance的KYC图像，并且根据我们的系统流程它们没有加水印。”

柏拉图的动机

在与CoinDesk交谈时，Platon还联系了Binance的首席技术官Ted Lin，作为将黑客绳之以法的多方面努力的一部分（或者他声称）。

“我个人想让Binance成为世界上第一个捕获黑客的交易所。这对Binance的声誉非常有利，“Planton说，他补充道：

“我告诉林（林）我有内幕信息，如内幕人员的详细信息，内幕人士与外人的沟通细节，甚至是内幕人士的照片。我告诉他我有黑客的详细信息 – 服务器信息，他们的身份，他们的电话号码等。“

在Platon与CoinDesk分享的一封消息中，CTO愿意支付可能导致逮捕黑客，内部人员和追回资金的信息。

然而，在同样的消息中，林拒绝了柏拉图为他正在运行的“FUD运动”。

“正如我所说，我们不会对敲诈勒索做出反应，”林说。在与CoinDesk的早期对话中，Platon声称自己是独立富有的，他所说的加密货币交易所的运营商是Binance的三分之一。

他还说他对财务报酬不感兴趣。 “当我需要钱时，我可以破解一个交易所账户余额（黑客的）。我可以通过黑客黑客的钱包轻松找回超过600或700个硬币，“Platon说。

“但是我看到越来越多的硬币被洗掉并且四处移动以移除轨道时我没有触摸单一便士，”他说，声称他不想向黑客提示他正在追踪他们。

会话破裂了

尽管Platon涉嫌利他主义的目标，CoinDesk后来从Platon和Binance官员那里了解到，假设的白帽黑客要求300比特币，7月份汇率约为300万美元，分50期支付他的信息。

然而，在某个地方，谈判破裂了。 7月22日，就在他们最初联系CoinDesk的五天后，Platon说他已停止与Binance谈判。

“大约一个月的谈判，他们没有支付一分钱，”柏拉图说。 “我与Binance的交易破裂了。”

就在那时，Platon与Binance的谈话沦为人质谈判，Platon威胁要抛弃他所获得的任何客户信息。

Platon提供了与Ted Lin的以下指控交易所：谈判破裂：

泰德林，（20.07.19 19:54）
我看到你已经把你的信息提供给了媒体

泰德林，（20.07.19 19:59）
鉴于你的FUD活动造成的损害已经完成，无论你要求获得哪些信息都会少得多。正如我所说，我们不会对敲诈勒索做出反应。但是，如果您有有用的信息可以让我们将坏人置于监狱并追回资金，我们愿意获得更多有关犯罪者的信息。

柏拉图，（21.07.19 16:53）
正如我所说，我不需要你的钱

柏拉图，（21.07.19 16:53）
我已经没有交易了

柏拉图，（21.07.19 16:54）
我也没想到你会做出任何反应。

柏拉图，（21.07.19 16:59）
但我喜欢看到内幕和那些黑客在新闻发布时的反应。我再一次对你的反应不感兴趣。

泰德林，（21.07.19 19:04）
我以为你想看到那些黑客被抓住了？

柏拉图，（21.07.19 19:11）
我想了。但是不是现在。

柏拉图，（21.07.19 19:12）
我宁愿离开并继续观看。

泰德林，（21.07.19 19:19）
我们仍然有兴趣支付可能导致逮捕黑客，内部人员和资金回收的信息。

泰德林，（21.07.19 19:19）
如果您有更多可以实现这些目标的信息，请告诉我们。

泰德林，（21.07.19 19:20）
在您决定不谈话之前，我们正在验证您所拥有的信息类型。

泰德林，（21.07.19 19:21）
如果你改变主意并希望继续，请告诉我。

泰德林，（21.07.19 19:21）
谢谢你的帮助。

柏拉图，（21.07.19 19:28）
然后付钱给我

“我与Binance谈判的决定是错误的，”他说，“他们不是合适的人……所以我只会将所有数据发布给客户。”

事实上，普拉顿在7月22日与币安代表谈话时表示，“我当前的兴趣是你们公司的黑客和内幕人士。在新闻发布时，我们很乐意看到他们的反应。“

8月5日，Platon的威胁成为现实，他将一个包含166张KYC的500张照片的文件暴跌上传到一个开放文件共享网站，名称为“Guardian M.”。

随后是周三早上第二次暴跌，其中包含数百张持有身份证的个人照片。

普拉顿的解释很简单：他们认为他们做的是正确的。

“人们一直在问，'你为什么要发布这些KYC照片？'，'你是怎么得到它们的？'我发布这些KYC的原因很简单：警告你们正在处理Binance的人，”他们写道。 “如果我需要钱，我会把它卖到地下，而不是发表它。”

图片来自Twitter。通过CoinDesk标题图像和内部图像。

Platon没有回复进一步评测的请求，也没有表明他们是否会发布更多评测。我们已联系Binance发表评论。 John Biggs为VisibleMagic的Viktor Shpak提供营销和业务帮助，VisicMagic是分析Binance代码的开发人员。