零时科技丨库币交易所被盗事件分析

事件

北京时间9月26日凌晨，库币交易所遭到黑客攻击，检测到多个热钱包中出现比特币、ERC-20等代币大额提现，已暂停充值和提现服务。

对此，库币交易所也第一时间发布公告：

资产转移

根据KuCoin交易所发布的公告：

2020年9月26日02:51，库币团队第一时间收到风控系统报警，发现ETH转账记录异常：

0x4b738df5d7f12e3fa1cbe83b8165c542da461ef0c9255fc1a3f275259a92623b

异常收款地址为：

0xeb31973e0febf3e3d7058234a5ebbae1ab4b8c23，该地址已被etherscan浏览器标记为Fake_Phishing4378

此后，库币陆续检测到多个ETH和ERC-20代币转账异常告警：

eth被盗

eth-usdt被盗

erc20 token Alchemy 被盗

Erc20 代币 AMPL 被盗

据监测统计，该异常地址目前拥有价值约1.52亿美元的ERC20代币和11480个ETH。

根据转账交易记录，涉及的代币种类较多，包括11486枚Ethereum、19788586枚USDT、458866枚Gladius（GLA）、28443枚Hawala（HAT）、21660273枚oceanToken（oCEAN）、29999枚Chroma（CHR）、30452178枚Ampleforth（AMPL） ), 198,678,919 AnkrNetwork ( ANKR ) 等

除EHT和ERC20代币外，Kucoin被盗的其他可疑地址如下（持续更新中）：

作案时间是今天早上4：30-5：30。 直到早上9:00后，库币才重新获得对这个账户的控制权，将最后的95个eth存起来，发送到库币的另一个冷库地址：

另外，根据Cryptoquant的监测数据，UTC时间9月25日20:00，大量比特币从KuCoin钱包流出，随后停止，随后一段时间流出量为零。

检测分析

随后，根据零时科技安全团队的监控，发现今天从库币交易所被盗的ETH-USDT已经部分转账，异常地址

0xeb31973e0febf3e3d7058234a5ebbae1ab4b8c23发送1个USDT到转账地址0xc6f928cf9431b82c8c9a10fe954df44e66cbed1c进行测试，然后转入50,000 USDT到这个地址：

之后该地址的USDT将部分进入0xdf092101010766234f7d261a75de94235270138e和0x710da7a06b0c66a18fed27dfa53d937c69ed3b2c地址。

钱包地址0xdf092101010766234f7d261a75de94235270138e开始进一步分发和转出相关USDT。 目前，已有11,000 USDT流入抹茶交易所。

对此，抹茶交易所也表示，已对相关USDT转账进行监控怎么盗usdt币怎么盗usdt币，并立即冻结了USDT流入账户。 继续关注事发动态，加强监测，跟踪确认可疑资产流向，全力协助友商，严厉打击违法违规行为。”

此外，Bitfinex还冻结了库币交易所异常流出的EOS链上1300万美元，Tether在攻击地址冻结了以太坊链上超过2000万美元。

零时技术安全团队将继续监控有关事情进展情况和转移代币最新状态的报告。

安全建议：

回顾以往各交易所的安全事件，零时科技安全团队认为，加密资产交易所的风险存在于多处、多维度。 从安全攻防的角度来看，每一点都非常重要。 交易所的安全性就像一个木桶。 它不能有任何缺点，因为任何缺点都可以作为黑客的入口。

对此，零时科技安全团队也给出了如下安全建议：

扫描关注零时技术服务号

实时掌握区块链安全威胁情报

出品 | 零时技术安全团队

·结尾·