바이낸스 API 해킹 사건
7.4일 세계 최대의 가상화폐 거래소 바이낸스에서 API 비정상거래로, 시스코인이 평소 대비 약 380만배 폭등하는 사건이 벌어졌다. 이로 인해 일시적으로 모든 거래가 중단됐지만, 현재는 모든 API 키를 재설정하고 정상화됐다.
이번 API 비정상거래가 해킹인지 시스템 오류인지 아직 밝혀지진 않았지만, 지난 3월에 비슷한 해킹 사건이 있었다.
바이낸스는 제3자 앱을 통해 조회나 거래를 할 수 있도록 API를 제공한다. 각 사용자는 개별적으로 API 키를 생성하여 이 기능을 활성화한다. 이 과정에는 OTP를 이용한 2단계 인증이 필요하다. 일단 API가 활성화되면 추후 거래시에는 OPT가 필요없다.
3월의 해킹 사건에서는 피싱 사이트를 이용했다. 가짜 바이낸스 사이트에서 사용자 자격증명을 훔쳐 API코드를 생성했다. 1월부터 시작해서 2달 간 시세 조작에 충분한 계정을 탈취했다.
참고한 기사에선 OTP 2단계 인증을 어떻게 돌파했는지 설명하지 않았다. 아마도 2단계 인증까지 완료한 자격증명 자체를 가로채지 않았나 생각한다. EvilGinx 같은 해킹 툴이 이런 일을 한다.
관련 자료
참고 자료
이번 API 비정상거래가 해킹인지 시스템 오류인지 아직 밝혀지진 않았지만, 지난 3월에 비슷한 해킹 사건이 있었다.
바이낸스는 제3자 앱을 통해 조회나 거래를 할 수 있도록 API를 제공한다. 각 사용자는 개별적으로 API 키를 생성하여 이 기능을 활성화한다. 이 과정에는 OTP를 이용한 2단계 인증이 필요하다. 일단 API가 활성화되면 추후 거래시에는 OPT가 필요없다.
3월의 해킹 사건에서는 피싱 사이트를 이용했다. 가짜 바이낸스 사이트에서 사용자 자격증명을 훔쳐 API코드를 생성했다. 1월부터 시작해서 2달 간 시세 조작에 충분한 계정을 탈취했다.
참고한 기사에선 OTP 2단계 인증을 어떻게 돌파했는지 설명하지 않았다. 아마도 2단계 인증까지 완료한 자격증명 자체를 가로채지 않았나 생각한다. EvilGinx 같은 해킹 툴이 이런 일을 한다.
관련 자료
참고 자료
댓글
댓글 쓰기