Bitfinex是業界頂級的加密貨幣及衍生品交易所之一(也被稱為大B網),從昨天開始有消息稱該交易所遭到脫庫,超過40萬名幣圈投資者的敏感信息遭到泄露。泄露的敏感信息包括但不限於賬號、明文存儲的密碼、KYC信息(身份證件、護照和地址證明等),尤其是KYC信息泄露可能會造成嚴重的安全隱患。
今天 USDT 發行商 Tether 首席執行官兼 Bitfinex 首席技術官 Paolo Ardoino 發文回應此事,Bitfinex 初步調查認為此次所謂的數據泄露可能隻是黑客宣傳的手段之一。
經過調查泄露的樣本數據庫包含 22500 條電子郵件地址 (即賬號) 和密碼,問題在於 Bitfinex 不使用明文存儲密碼並且更不會以明文形式存儲 2FA 信息。
數據比對則發現這 22500 條電子郵件中有 5000 條與 Bitfinex 用戶記錄匹配,如果數據真是從 Bitfinex 泄露的則匹配率應該為 100%。
另外黑客在 4 月 25 日通過地下黑客論壇發佈數據庫相關消息並給出關聯方 7 天時間處理,然而 Bitfinex 任何社交媒體或官方渠道都沒有收到勒索信息。
Paolo Ardoino 還透露 Bitfinex 平臺的 KYC 認證信息具有嚴格的速率限制,不允許批量下載,因此黑客即便入侵 Bitfinex 也不可能獲得超過 40 萬名用戶的 KYC。
最值得註意的一點是黑客在其訂閱頻道中通過 Bitfinex 事件進行宣傳,推廣他們的黑客工具,購買這樣一份工具隻需要 299 美元,所以從目前已知信息來看,有很大概率是黑客通過批量收集的一些電子郵件地址拼湊的數據庫用來宣傳,最終目的是為出售工具。
但有 5000 條地址匹配也可以說明幣圈的數據泄露問題比較嚴重,如果隻是批量從互聯網上收集電子郵件,碰到 Bitfinex 用戶的概率極低,因此這些數據有可能是其他交易所泄露或黑客通過其他工具專門收集的。
建議幣圈用戶在註冊各類賬號時最好使用不同的電子郵件地址並使用隨機生成的高強度密碼再配合 2FA 驗證措施,這樣有助於提高賬戶安全性。