导语：

3月7日那晚的黑客事件，或许能载入史册：涉案资产价值高达十几亿元，精心策划数月，还运用了金融领域的知识。

事情发生后媒体争相报道，然而大部分充斥着“拉盘”、“做空”、“场外”等金融领域专有名词，不少人看完之后表示不明觉厉，实则一脸懵逼。

作为一个网络安全科普媒体，我决定用简单的语言把这个故事再讲一遍。

在这一篇文章里，我不关心币圈那些事和币价涨跌，只想让大家讲明白，黑客在这个过程中到底做了哪些事。

3月7日晚11点左右，老王伸着脖子，直勾勾盯着电脑屏幕，垂涎三尺。

他不是在看小电影，而是盯着虚拟币行情。半分钟前，他发现了一个异样。

名不见经传的小币种 VIA 忽然“诈尸”，价格走势从原本近乎水平线变成了垂直线，短短2分钟价格翻了100倍。

老王账户里恰好有价值一万多元的 VIA，随着这轮暴涨，一万元价值瞬间变成一百万，单车变宝马，幸福来得太突然，没有一点点的防备。

正当老王打算卖出这些币，犹豫之间，半分钟不到，价格又像跳水一样掉回原来的价格。宝马又变回单车。

老王懵逼了，谁能想到，这场激动人心的高潮来得快去得快，从开始到结束就两分钟，脱裤子都不太够。

除了老王，不少网友还发现更诡异的现象：他们的账户就像闹鬼，里面所有币种统统变成了VIA，而他们压根没动过。

有人还以为是币安交易所网络出故障了，他们根本没有想到是黑客在暗中作祟。

第二天媒体炸开锅，真相浮出水面。

原来，早在一两个月前黑客就盗走了许多币安用户的账号密码，他们蛰伏几十天，为的就是3月7日那晚的爆发。

那晚，黑客交易了总量超过10000个比特币。按当时的币价，相当于10亿人民币。

有币圈资深人士大胆猜测，在这场精心策划的大案中，黑客可能获利数几十亿！

黑客做了什么？

我们一步步分析。

第一步：Unicode 钓鱼攻击

时间往前拉一个多月。

有网友反映他们发现了币安网的钓鱼网站，这些网站和真实的网站几乎一模一样。如果不是网络安全意识很强，几乎看不出任何异样。

来，我们把上面那张图放大看看，细心的观众都会发现，两个 字母 n 下面多了一个小黑点，就一个像素那么大。

。。。。。。

。。。。。。

。。。。。。

这个看起来像英文字母 n 的图形，并不是真正的 n，而是一个小语种文字里的字符。

类似的还有：α - a （阿尔法和A）、β - B （贝塔和B）。

翻开输入法的符号大全，你会看到一堆这样类似字母的玩意儿：

就连中文也一种“花漾字”，深受游戏boy和girl 的喜爱，用起来感觉自己萌萌哒：

总之，虽然这些字符看起来相似，但其实和原本字符木有半毛钱关系。

如果你非要说有什么关系，大概就像卡巴斯基和巴基斯坦的关系 —— 基巴关系。

利用这种类似字符构建钓鱼网站域名的方法，我们称之为“ unicode 编码攻击”。（我以前在宅客频道时曾写过一篇关于这个话题的文章，有兴趣的同学可以点开看看：《我想给你介绍一个假的苹果网站》

假币安网站里也有账号登录框，一旦用户把账号密码输进去，就会直接传送到黑客邮箱里。做个钓鱼网站，这是第一步。

但是，黑客即便拿到账号密码也没用。

因为用户通常会给账号加个二次验证。就像是手机短信验证码、Google 二次验证那么，每次登录都需要输入六位数动态码。

第二步：绕过二次验证

黑客利用币安交易所的一个API接口，绕过了二次验证。

怎么做到的呢？先说说这个API是什么东东。

2017年7月，币安发出公告，为了方便用户，开放自动交易 API 接口，用于对接自动交易机器人（程序）。

这个接口为每个用户提供了一个API Key 和 Secret ，有点像普通用户登录认证用的账号密码。

不同的是，API 接口就像是一个电插头，一旦交易机器人填上 API Key 和 Secret 完成对接，成功验证一次，之后交易就都不再需要账号密码和二次验证，一直连着。

原本，用户设置了二次验证，每次登录以及进行重要操作都需要输入这么个动态验证码，即便账号密码不慎泄露，也不用不担心账号被黑客盗用。因为黑客不可能每次都拿到那串6位数字。

这个接口的出现，让黑客有机可乘。

然而，登录和设置 API 接口都需要使用动态验证码，黑客需要连续两次拿到，才能拿到接口设置。

黑客可以这样做：

当用户在钓鱼网站输入账号密码，钓鱼页面弹出一个六位数验证码让他输入框。此处用户并未察觉异常，继续输入自己的动态验证码。

窗口提示：验证码错误，请重新获取验证码并输入！

请注意，这一步操作很关键。因为第一次获取用于对接自动交易机器人的 API Key 和 Secret ，也需要二次验证。

虽然钓鱼网站提示用户验证码错误，但实际这串验证码是对的！黑客已经用这串验证码和密码登录账号，进入 API 对接界面！

此时用户很可能误以为自己真的输错，于是重新获取并输入了一次。

这样，黑客就能拿到两次动态验证码，顺利把自己的交易机器人对接上去。

整个过程，在用户那里毫无征兆，除非他发现字母 n下面多出来的小黑点。

第三步：广撒网屯账号，集中爆发

黑客盗了账号后没有立马提币，也提不出来，因为提币还需要额外的一道“交易密码”和一次动态验证码。

于是，黑客开始想办法囤积大量账号，攒一次大爆发。

12月以后，网友反馈遭遇钓鱼网站的情况越来越多。

甚至，这些钓鱼网站还在 google 等搜索引擎买了广告位，只要人们搜索相关关键词，这些钓鱼网站就会出现，勾引他们入坑。

由于黑客钓鱼网站的撒网行动太过密集和嚣张，2月初币安CEO赵长鹏忍不住，在社交媒体推特上向谷歌喊话，指责它允许钓鱼网站购买顶部广告，并警告投资者要对搜索结果多多留意。

然而这似乎没起到什么作用，依然有不少币安网用户被网络钓鱼。

这里插一个有意思的事，钓鱼网站嚣张到什么程度呢？——直到3月7日，币安用户账号遭受黑客攻击事件后，不少钓鱼网站依然存在，有的甚至把币安关于这件事的公告也同步了上去：

（图源：一本区块链）

就这样，黑客利用广撒网的钓鱼网站，囤积了不少账号。

里头的虚拟币总价值，竟然高达十多亿元！

第四步：交易，提币，离场

3月7日，宜交易。

黑客蛰伏了几十个日夜，终于在那天晚上接近11点时行动了！

虽然偷来的账户里十多亿价值的虚拟币不能直接提走，但是能交易呀！

于是黑客自己准备了31个账号，花自己的钱大量买入单价很低的小币种 “ VIA ”，再以100倍的价格挂单出售。

不能直接拿走你的钱，那就卖一个天价的商品给你，把钱“赚”到自己账户上。

22点58分，黑客盗来的大量账号在自动交易机器人的控制下同时行动，先按照市场价把他们账户的小币种全部兑成比特币，再用这些比特币以很高的价格从那31个账号里买入原本不怎么值钱的 VIA 。

注：在这个过程中，BTC 是中间币，因为 VIA 不能直接跟别的小币种兑换。

这就出现了文章开头的那一幕……短时间内大量买入，供不应求，VIA 的价格蹭蹭往上涨。

按照正常剧情，VIA达到最高点时，黑客将手里的 VIA 全部卖出，拿到比特币，提币离场就行，因为卖 VIA 的这31个账号是他自己控制的。

然而，这一系列炫酷操作引起的价格波动触发了币安的风控系统，提币操作被拦截。

比较币安网CEO赵长鹏是技术大牛出身，安全风控也不是盖的。

币安CEO 赵长鹏 ，曾任彭博社技术总监。

或许是为了防止黑客再把这笔钱交易到其他账户上，没过多久，币安交易所停止了所有币种的提币操作。至此，无论是黑客盗取来的账号里的钱，还是黑客自己那 31 个账号里的钱，全部被币安控制起来。

深夜2点半左右，赵长鹏在 Twitter上发言称，“资金一切安全，黑客未劫走资金。”

他还说，“黑客在此次攻击中损失了货币。充值、交易和提现均已恢复。我们将把这些币捐给币安慈善。”

黑客的行动宣告失败，偷鸡不成蚀把米？或许是，或许不是。

番外篇：黑客的局外局

有人很快指出，黑客很可能用这一失败操作做幌子，真实目的是场外操作获利！场外操作什么意思？这里用刘德华主演的一部香港电影来解释一下。

片中，刘德华对战上一届赌神，大获全胜之后扭头而去，深藏功与名。正当所有人以为赌神输了，一个配角凑到赌神耳边曝出真相：

原来赌神早在赌局之外下了重注赌自己输。虽然那场赌局他输了，却在外面赢了一场更大的赌局。这就是所谓的“场外操作”。

黑客的交易操作都在币安，获利却在别处。

除了币安，还有9个交易所也上线了VIA。币安上面的币价涨跌会影响到其他交易所的价格，所以，当黑客大量买入 VIA 时，实则拉高了所有交易所中 VIA 的价格。

有人猜测，黑客很可能提前在其他交易所也大量买入了 VIA ，等到 VIA 价格被拉高 100 倍时大量卖出，这样他们的资产就能变成原来的100倍。

甚至，

他们很可能用了更复杂的“做空”手法。

所谓“做空”，最简单的解释就是，如果你能预测一个东西要降价，就提前借来这个东西，卖掉它，等价格降了再买回来，从而赚取价差。

简而言之，能准确预测某种币价要下跌，就有办法从中获利。

而黑客在那天晚上人为制造出了下跌行情。

一开始，黑客先把盗来账号里的大量小币种抛售，兑换成比特币，短时间内大量抛售引起其他用户恐慌，不少人也跟着抛售那些小币种，大家争先恐后卖出，引发币价下跌行情。

然后，黑客把大量 BTC 兑换成 VIA，同样引起 BTC 对 VIA 的价格下跌，这是第二次做空机会。

最后，黑客再把自己的31个账号里买入以及借来的 VIA （注：交易所提供的“杠杆”交易可以简单理解为借）大量卖出，让 VIA 的价格从100倍跌回之前的水准。

总之，在这整个过程中，黑客多次人为影响了各种虚拟币价格的涨跌，然后从中获利，把“黑客技术 + 庄家割韭菜” 的玩法被发挥到淋漓尽致。

而这种局外操作，很难被风控系统发现异常。黑客影响币价的所有行为是在币安进行，真正赚钱的操作在其他交易所那边看来，都是正常交易行为！

但是！！！

目前这种“黑客+做空”的手法只是吃瓜群众们的猜测，并没有实锤表明黑客真的这么干了。

即便如此，潘多拉魔盒都已经被打开，即便这次“黑客割韭菜”只是吃瓜群众意淫出来的，未来也一定会被别的黑客变成现实！

有没有办法能防止这种攻击?

其实也有，比如大型交易所之间共享威胁情报，当某个交易所发现特大型安全威胁，直接通知到其他几个交易所，同时暂停提币并调查可疑账号，能大幅降低这类威胁。

或者，其他交易所配合调查，也有可能顺藤摸瓜找到黑客。比如当币安的 VIA 价格涨到最高点时，挂大单卖出 VIA 的账户里，黑客一定就在其中。

不过从实际情况看来，各大交易所之间是相互竞争关系，共享威胁情报很难做到，配合调查也是不太可能。

所以作为普通用户，我们能做的，也最有效的，大概也就是多关注些网络安全知识（比如关注浅黑科技），提高自己的安全意识吧！

起码，看完这篇，以后你从搜索引擎进入网站时，要更加留意URL网址了。

实在不行凑近点，没关系的。

。。。。。

。。。。。

。。。。。