CNY Markets
BTC Markets
ETH Markets
QTUM/CNY41.77 &+17.40 %ETH/CNY1432.35 &-10.48 %SNT/CNY0.1830 &-6.15 %EOS/CNY11.00 &-5.90 %ETC/CNY102.51 &-3.75 %ICO/CNY2.14 &-5.65 %LTC/CNY284.73 &-4.39 %BTS/CNY0.7820 &-7.42 %BTC/CNY16079.03 &-0.38 %ETP/CNY16.52 &-11.04 %ZEC/CNY1290.00 &-11.64 %NXT/CNY0.6310 &+3.10 %DOGE/CNY0.0119 &-6.80 %XEM/CNY0.8800 &-5.40 %XPM/CNY2.72 &-2.89 %BAT/CNY0.5900 &-8.81 %IFC/CNY0.000669 &+1.38 %XRP/CNY1.16 &-8.91 %FTC/CNY0.3100 &+0.00 %DASH/CNY1263.91 &+8.03 %XMR/CNY241.00 &-0.41 %CNC/CNY0.0551 &-8.17 %TIX/CNY0.000127 &-11.37 %TIPS/CNY0.000107 &-4.31 %SHELL/CNY0.1080 &-12.90 %PPC/CNY12.50 &-2.95 %NMC/CNY12.85 &-10.14 %XCP/CNY103.01 &+0.01 %XTC/CNY0.0531 &-15.71 %BTRX/CNY0.9190 &+0.88 %REP/CNY125.00 &-6.72 %
0.002500 &+11.21 %ETH/BTC0.0883 &-12.23 %MG/BTC0.0000056 &+1.82 %NXT/BTC0.0000415 &+5.06 %LTC/BTC0.0185 &-0.65 %XEM/BTC0.0000500 &-16.48 %EOS/BTC0.000646 &-11.48 %DOGE/BTC0. &-3.75 %ZEC/BTC0.0801 &-8.87 %NMC/BTC0.000820 &-3.53 %ETC/BTC0.006746 &+2.38 %DASH/BTC0.0770 &+0.01 %XMR/BTC0.0148 &+0.09 %XRP/BTC0.0000750 &-16.30 %PPC/BTC0.000840 &+6.33 %XCN/BTC0.0000069 &+3.00 %SNT/BTC0.0000129 &+0.78 %BAT/BTC0.0000330 &-17.50 %CNC/BTC0.0000037 &-3.42 %BTRX/BTC0.0000530 &+0.00 %BTS/BTC0.0000434 &+0.00 %ETP/BTC0.001549 &+0.00 %FTC/BTC0.0000225 &+0.00 %HKG/BTC0.0000230 &+0.00 %ICO/BTC0.000135 &+0.00 %REP/BTC0.005550 &+0.00 %XCP/BTC0.005500 &+0.00 %XPM/BTC0.000245 &+0.00 %XTC/BTC0.0000036 &+0.00 %
比特币比想象中还要稀少，很多人没有考虑到比特币丢失的情况
<font color='#16-10-26 21:36:28 && Author: BTEREDITOR &&
Category: && Tags: &&
比特币比人们想象中还要稀少，当前分布于世的比特币其总量接近1600w。然而，这些比特币中实际上只有少数是可以使用的。很多人都没有考虑到数以千计比特币丢失的情况，有些比特币密钥记录在纸上遗失了，还有些是放进钱包就没有在动过。
硬盘驱动丢失，故障升级，丢失纸质密码
世界上只有2100w比特币，如今超过三分之二都被开采出来分布在了公众手里。然而大部分人都没有考虑到这些比特币当中很多都被遗失了或者是故意不再使用。
例如，在2013年11月，媒体报道说一个人在垃圾填埋场丢失了7500个比特币。James Howells就是众多意外丢失数千比特币的人之一。在2016年5月，报道一个人因为升级电脑而丢失了价值67000美元的比特币。事实上很多人因为事故和用户的错误造成了比特币丢失。而这样错误造成的结果就是大量的加密货币永远找不到了。无论是计算机错误，丢失纸质钱包或者是忘记脑钱包，一笔不菲数量的比特币永久消失了。
持有的货币
这里也有大量的货币现在没有被消费&&但是在将来就不一定了。例如，中本聪账户的比特币已经好几年没有动过了，他是持有比特币最多的一个人。人们认为中本聪永远不会花这些比特币，但是实际上，中本聪随时都有可能使用这些比特币。
有很多位列比特币富豪榜的地址已经有相当一段时间没有花费过它们了。随着囤积了大量的比特币，这就致使在几年后比特币的投机价格成倍增长。这些比特币没有丢失，造成的稀缺性也只是暂时的，没有人知道他们什么时候会花费这些比特币。
此外，造成Mt Gox和Bitfinex事件的具有敌意的黑客也在囤积比特币。有些人已经跟踪到了这些交易。但是除非黑客花费这些比特币，否则我们不会在市场中见到它们。
这些个人或者团体（黑客）肯定会小心谨慎地使用这些比特币，否则每一个人都可以在公共区块链上看到交易。从交易所中盗窃的比特币暂时也是不可用的，但是在将来它肯定会再次出现。
只有2100w比特币，或者更少
全世界只有2100w的比特币，很多人认为它是稀缺的在通货缩紧方面是有前途的。
这里没有一个详尽的报告去说明，有多少比特币丢失了或者不会被找到了。这点可以接受，也是令人高兴的，因为这在稀缺性上增加了比特币的投机价值。
自从今年奖励减半以来，从挖矿中获得比特币的难度就更加大了。而所有的这些因素确恰恰增加了比特币生态系统和其整体的价值。如今只有500w个比特币可以挖了，剩下的都在目前的市场供应当中。事实上我们不知道有多少比特币在市场中流通&& 但可以肯定的是加密货币绝对是稀缺的。
翻译：輕雨
转自：/portal.php?mod=view&aid=288
网址：/news/12242.html免责声明：本文转自互联网，已注明出处。对于文字内容或者图片如有异议请联系我们核实后删除。转载文章仅用于分享币圈资讯，不代表比特儿观点。市场有风险，投资需谨慎。
Submit a request
&&Copyright (C) 2017&&Address: British Virgin Islands &&Phone : + 86 400-007-0955&&比特儿() 比特币交易平台被盗事件全解析-阿里云资讯网
比特儿() 比特币交易平台被盗事件全解析
发布时间：
更新时间：
来源：网络
作者：棕榈树林
就在日晚，国内著名的山寨币交易所比特儿遭到攻击，被盗5000万个NXT(未来币)。本事件一波三折，目前还在发酵中，但
完全透明却匿名的网络犯罪却呈现在我们面前，这是历史上的首次。我们继续关注事件的进展。498)this.width=498;' onmousewheel = 'javascript:return big(this)' style=&width: 513 height: 215px& border=&0& alt=&比特儿() 比特币交易平台被盗事件全解析& src=&/wyfs02/M00/46/80/wKioL1PyroegesWDAAGjF5JlMUI267.jpg& width=&700& height=&320& /&在事件处置过程中，交易所暴露出安全性严重缺失，POS币钱包在线安全隐患严重等问题。帐号被盗后，交易所进退失据，在回滚区块和私了间来回摇摆，丧失了主动权，最终被黑客骗取了110个比特币，只要回了500万个NXT币。目前，交易所正试图重置区块数据，回滚所有被盗NXT币，但这又会造成NXT的信用危机。而如不能收回损失，交易所将亏损1000万元，这远超过交易所的承受能力，可能成为第一家因黑客攻击而倒闭的中国交易所。被盗比特儿是一家中国的山寨币交易所。NXT等山寨币都在上面交易。15日16点34分左右，比特儿先在其官方Twitter账户上发出被盗信息，两分钟后在新浪微博发布消息称：“重要通知：
我们的NXT中心账号被黑，黑客盗走5000万NXT，我们正与开发团队合作解决，我们将持续为您更新，感激您的支持，我们联系方式 400 007 0955!”根据NXT区块浏览查询器查询可知，黑客盗取NXT时间为下午13:11-13:14左右。(交易链接)事发三小时后比特儿官方宣布了被盗消息。498)this.width=498;' onmousewheel = 'javascript:return big(this)' style=&width: 476 height: 171px& border=&0& alt=&比特儿() 比特币交易平台被盗事件全解析& src=&/wyfs02/M02/46/7F/wKiom1Pyq_aiZq2ZAAFmJZamzFE494.jpg& width=&690& height=&253& /&根据交易记录可知，NXT地址 NXT-LSC3-VB9T-2W3V-BH7FB 向NXT-8WJ7-8A2H-MBYN-3W9K4 输出了5000多万的NXT交易。498)this.width=498;' onmousewheel = 'javascript:return big(this)' style=&width: 485 height: 315px& border=&0& alt=&比特儿() 比特币交易平台被盗事件全解析& src=&/wyfs02/M00/46/7F/wKiom1PyrAmj2_x0AAGEn_MJxjg692.jpg& width=&690& height=&454& /&根据比特儿自己公布的钱包公开地址，其NXT钱包地址为
(链接)，经查询，正是XT-LSC3-VB9T-2W3V-BH7FB。按照目前每一枚NXT 0.2073元的价格计算，这些被盗的NXT总价值在1000万元人民币以上。有
在比特儿官方网站上查询到其经营公司为：“济南曼维信息科技有限公司”，而通过在济南市市场主体信用信息公示平台上查询可知，该公司的注册资本为200万元人民币。这也就意味着比特儿此次被盗，将面临破产危机。一场门头沟危机将在中国上演。“出手”非常具有讽刺意味的是，之前有一次一个外国人被盗百万NXT，黑客将被盗NXT输入比特儿平台试图销赃。而被害人在NXT论坛上寻求帮助后，比特儿决定干预此事，冻结了被盗资金。作为交易所，比特儿”路间不平一声吼，该不该出手也出手“，擅自将这些币还给了被害人。此事引起了行业的争议，交易平台是否该介入用户纠纷? 然而在这件事情发生后不久，比特儿自己也成了猎物。谈判被盗后，比特儿立即暂停了NXT的交易，并声称”寻求援助”，称要联系“开发组” 重置交易。众所周知，区块一旦重置，所有期间的交易都会取消，虽然比特儿表示愿意承担这些损失，但随意回滚区块交易，还是引起了很大争议。而此时黑客利用NXT的交易留言功能，试图与比特儿进行谈判。黑客的地址为：NXT-8WJ7-8A2H-MBYN-3W9K4 比特儿的地址为NXT-LSC3-VB9T-2W3V-BH7FB498)this.width=498;' onmousewheel = 'javascript:return big(this)' style=&width: 443 height: 108px& border=&0& alt=&比特儿() 比特币交易平台被盗事件全解析& src=&/wyfs02/M02/46/80/wKioL1PyrT3iClE3AADpzVj76nA379.jpg& width=&690& height=&179& /&在被盗后，比特儿没有任何反应，没有利用交易留言跟黑客进行任何沟通。而是黑客主动发送了一个“hi&，在比特儿没有答复后，黑客主动提出了要求，要求交易所用比特币赎回NXT。黑客：“We can trade these NXT for some bitcoins to make life easier for you, and me”由于NXT的交易所有限，而且区块能被回滚，黑客也担心自己的赃款不能销赃，或者交易被取消。因此主动提出要求赎金。由于区块重置会损伤NXT的信心，比特儿没有决心要重置区块，而开始对黑客的要求进行回应。498)this.width=498;' onmousewheel = 'javascript:return big(this)' style=&width: 489 height: 175px& border=&0& alt=&比特儿() 比特币交易平台被盗事件全解析& src=&/wyfs02/M01/46/7F/wKiom1PyrEGgieBDAAGYvz_0vFE867.jpg& width=&690& height=&258& /&比特儿开始口气还比较硬，先是要求黑客用邮件联系，在黑客7分钟没有回答后，可能才想
邮件能被追踪，黑客不可能使用邮件，只能使用交易留言。此时比特儿还认为自己能够用“回滚”恐吓黑客，在58分22秒要求黑客返还NXT，不然采取行动，还要求黑客“放聪明点”(be smart)黑客在33秒立即回应，声称如果得到比特币，可以返还。并提供了比特币地址13UZjKkhHWyTmQ4mx28WT5Wj1zw4pEByZw ，但此时黑客并未开价。注意黑客在44秒发送比特币地址后，59秒立即补充了一句“btc purse”(应该是wallet才对)，说明此时黑客还没有思想准备，说话还比较随意，主动权尚在比特儿手中。当然这里没有电影里的谈判专家，但此时如果比特儿能进行紧急会议，群策群力商讨对策，尚有挽回败局的机会。赎金比特儿收到要求后，大概考虑了5分钟，回应了黑客的要求。比特儿要求黑客返还全部的NXT到一个指定地址NXT-R3V3-2S79-F3ZM-BVXKZ 或者被盗地址。并答应给黑客10个比特币，威胁黑客如果不从，将在很快时间重置区块，并要收拾黑客，最后说了一句“我保证”。至此，比特儿开始进入被动。一句“退还被盗地址”已经反映出比特儿方寸大乱。既然币被从地址盗走，地址早已被黑客控制，如何能安全呢?然后想有10个币赎回1000万的NXT，哪个黑客也不会答应的。黑客感觉被侮辱了，说10个币你也想打发我?我把你的密码(MD5)爆出来吗?——此时已经暴露出交易所的严重问题，无论MD5是否加盐，用户数据库已经被拖，比特儿的用户将处于裸奔危险中，还有可能危及客户在其他交易所的帐号。接下来比特儿给了黑客1个比特币，并要求黑客把NXT退回，完了以后给他剩余的9个币。此时导致黑客感到被侮辱了，回复道： left what? I don't need your lousy 10BTC一分钟以后，黑客开价要求100BTC赎金：100 btc, than we're talking. otherwise, let it do the rollback.底牌498)this.width=498;' onmousewheel = 'javascript:return big(this)' style=&width: 535 height: 353px& border=&0& alt=&比特儿() 比特币交易平台被盗事件全解析& src=&/wyfs02/M00/46/80/wKioL1PyrXKwuMxBAALcxCho4Lg273.jpg& width=&690& height=&443& /&接下来比特儿犯了大错，在21分47秒将价格抬至50BTC，并要求黑客返还NXT到被盗帐户。这一失去理智的语言立即提醒了黑客。此时黑客已经明白比特儿的处境，态度立即大变，要求100个比特币，先付10个，分批交易。并表示牛逼你就回滚，回滚会导致NXT社区因为你们受损，你们看着办吧。45分比特儿答应黑客的条件，并冠冕堂皇的说为了NXT社区和用户的利益什么的，我们公司准备承担损失… 这里用了we这个词，并给了黑客9个比特币，此时黑客得到了10个比特币。这个声明让黑客看到了比特儿的虚弱本质，并且知道他们认为这是公司行为，已经考虑计入公司成本，不在乎这100个币，
很在乎用户流失和NXT大跌，比特儿的底牌此时已经暴露。逼宫当黑客发现比特儿回滚区块的决心不足，之前的恐吓都是玩笑，而还在纠缠NXT的利益和用户流失(密码泄漏)的时候，比特儿已经处于完全劣势 。此时黑客立即掌握了主动，在54分黑客返还了500万NXT(10%)后，在59分立即开始逼宫：This is taking too long. I dont have all night.黑客假装已经不耐烦，并要结束谈判。此时比特儿的回答让人哭笑不得：send the left first and we will send you the left BTC. We are an exchange, we do it publicly and we keep our promise. Otherwise, we can do 20 by 20 to speed it up.先0退还剩下的部分，接下来我会给你剩下的BTC。我们是一个交易所，我们公开说的并保持我们的承诺，另外你可以20%一次交易来提高速度。黑客立即发现了比特儿根本没有回滚区块的决心，而是关心起自己作为交易所的声誉，而且被吓住了，要求加速交易。此时黑客不再回应比特儿的留言，选择了沉默。撕票10分钟后，黑客回应：So, what taking so long? Send me the next batch already. I'm going to leave soon. It's already 2 hours of negotiation, it took me 1 hour to clean your whole exchanger. BTC 500+ I'm not going to sit here, and wait 2 more hours for you to decide to send the lousy 10 BTC.此时黑客要求立即支付下一批的比特币，并要结束
，表示不耐心了。比特儿的老总在这10分钟的时间内受到的煎熬不得而知，但他完全丧失了理智，被黑客牵着鼻子走了。见比特儿没有回应，黑客声称结束谈话。 Deal is off. Good night.比特儿立即慌乱了，给了黑客20个币，并要求黑客不要等比特币确认就交易，再次留言了邮箱。498)this.width=498;' onmousewheel = 'javascript:return big(this)' style=&width: 483 height: 79px& border=&0& alt=&比特儿() 比特币交易平台被盗事件全解析& src=&/wyfs02/M02/46/7F/wKiom1PyrG_Agk2uAADfiQPrMvM553.jpg& width=&690& height=&120& /&此时留邮箱，已经不是无知的表现，而是反映出交易所不想让讨价还价的这一幕丑剧继续暴露在公众面前。加上他要求黑客不要等确认，此时说明交易所已经完全慌乱，陷入了绝望中。黑客当然没有给出任何回复，他已经牢牢把握了主动权。接下来黑客没有任何回复，而是出现了一些其他人，声称要和黑客交易，以更高的价格买下这些NXT。不知道这些人是真的，还是黑客自导自演的戏。反正这局面继续给比特儿制造着压力。498)this.width=498;' onmousewheel = 'javascript:return big(this)' style=&width: 476 height: 77px& border=&0& alt=&比特儿() 比特币交易平台被盗事件全解析& src=&/wyfs02/M00/46/7F/wKiom1PyrIGz9xRHAACg-rzHogo504.jpg& width=&690& height=&122& /&比特儿终于在最后屈服了，把100个比特币付给了黑客。而且交易是从交易所公布的用户资金冷钱包里出帐的。前后一共有30个比特币是从用户冷钱包 1GRFNTyLwoyQnk7S3MFFAz5qPkdWp7YSoY 里直接支出的。然后，就没有然后了。比特儿在半小时后如梦方醒，发出了最后一声哀鸣：We have already done our part. Send the rest NXT back for the community and it will be over. Make life easier for both you and others.回滚然后比特儿开始联系所谓社区，要回滚交易区块，目前是否回滚成功不得而知。而黑客却至少得到了110个比特币(比特儿事实上给了黑客110个比特币，第二次一共给了100个，第一次给了1+9个，已经慌乱到数都数不清了) 。如果区块不能回滚，比特儿将面临着倒闭的命运。总结本次比特儿被黑是历史上第一次完全公开展现的网络犯罪，剧情跌宕起伏，扣人心弦，比特儿开始从掌握主动，到处置不当，最后惊慌失措，丢了夫人又折兵，暴露出交易所和虚拟币行业的一些严重问题，可以说是极好的教材。总结一下可以有几条：1，POS币的钱包必须上线运行才能
利息。因此NXT钱包必须在线运行，给了入侵的机会。POS币不能冷钱包保存，暴露出POS的重大安全隐患。2，网站安全性严重缺陷，不仅钱包被洗劫，用户数据库也被盗了，给用户的邮箱等密码带来严重威胁。更可怕的是在黑客表示要爆库后，比特儿惊慌失措，立即答应赎金增加，已经暴露了底牌——非常害怕被脱裤。为何非常害怕被脱裤?——恐怕MD5密码未加盐，是最可能的原因。 没加盐的MD5，可能稍微比明文好
一点吧……3，发生危机后，负责人在巨大压力下精神崩溃。开始从掌握主动，逐渐在语言和发信频率上暴露出心虚，也没有给黑客施加强大压力，被黑客掌握了底牌，立即处于完全被控制的状态。不仅乖乖交出赎金，还浪费了宝贵的重铸时间。4，交易所在紧急情况下竟然挪用用户资金支付赎金，如果黑客有心，一定已经知道了(因为是公开钱包)。这反映出交易所一个是精神上
准备(至少先从客户钱包转出来到另一个钱包，再转给黑客)，另外也反映交易所的资金不足。这就给了黑客充分的思考余地，最终完胜比特儿。而且这种行为在用户中造成极为恶劣的影响，已经引起了一场危机。5，POS币竟然可以由社区决定回滚，这又沉重打击了POS币的信心。等等等等，这些事件在同一起黑客攻击事件中出现，充分反映了中国比特币行业的混乱无序，完全有理由怀疑其他交易所的安全性和偿付能力。最后，如果能存活下来，希望比特儿能认真吸取教训。其他交易所也要加强安全措施，吸取前车之鉴。至于POS的弱点这次暴露无遗，恐怕就不是交易所能解决的了。原文地址：/blog-.html【编辑推荐】比特币交易站受攻击破产 互联网金融急寻防御解决方案研究人员发现伪装在Github上的比特币窃取木马比特币网站Flexcoin遭黑被迫关闭 损失60万美元黑客攻破Mt.Gox服务器，发现部分比特币并未丢失勒索软件“BitCrypt”
比特币!【责任编辑：蓝雨泪 TEL：（010）】 原文：比特儿() 比特币交易平台被盗事件全解析 返回网络安全首页
本站所有文章全部来源于互联网，版权归属于原作者。本站所有转载文章言论不代表本站观点，如是侵犯了原作者的权利请发邮件联系站长（yanjing@），我们收到后立即删除。
网站主机空间
摘要： 我们知道搜索引擎蜘蛛在访问网站的时候，有个判断因素就是网站打开速度是否快速，所以站长们在选择网站主机空间就要注意了。如果网站主机空间不稳定也会给seo带来一定影响的。 我们知道搜索引擎蜘蛛在访问网站的时候，有个判断因素就是网站打开速度是否快速，所以站长们在选择网站主机空间就要注意了。如果网站主机空间不稳定也会给seo带来一定影响的。 当搜索引擎蜘蛛来访问网站的时候，发现主机死机，无法...
摘要： 心态篇 其实做个人站长自己的心态很重要，不论你是新手站长还是经验丰富的老站长。都该把自己的心态摆正了，网上有很多什么月收入过万的软文，其实真正有几个呢。多数高手都是 心态篇 其实做个人站长自己的心态很重要，不论你是新手站长还是经验丰富的老站长。都该把自己的心态摆正了，网上有很多什么月收入过万的软文，其实真正有几个呢。多数高手都是低调赚钱的。那么个人站长要具备那些心态呢? 第一： 学会...
产品网站订单
摘要： 企业营销已经不再是传统的模式，越来越多的企业英雄通过seo优化的方法做行业关键字排名，希望可以通过关键词获得流量和订单销量，不过很多企业网站的IP流量上涨，订单销量却不 企业营销已经不再是传统的模式，越来越多的企业英雄通过seo优化的方法做行业关键字排名，希望可以通过关键词获得流量和订单销量，不过很多企业网站的IP流量上涨，订单销量却不尽如人意。 很多卖产品的网站存在的一个问题是有流...
2012年的苏宁正面临着同样的挑战。做了二十多年零售的张近东，其面临的现实挑战已经不是让苏宁如何避免撞上冰山，而是已经撞上了冰山，如何让这艘巨轮前行，而不是坐等沉没。 “泰坦尼克号”是如何沉没的? 泰坦尼克号设计中，如果船上的16个防水舱只有4个进水的话，船还可以浮在水上，但不幸的是有5个底舱的外壁被冰山撕裂了，弃船是必然的选择。 苏宁作为中国最优秀的连锁零售商，如果在线零售只是占所有社会商...
网站策划方案
摘要： 要建立一个网站，需要从网站定位，到设计、网站结构、内容准备、内外链的建设等等，是一个复杂繁琐的过程，需要准备一份网站的策划方案。本文将简要描述，从网站的定位到最终 要建立一个网站，需要从网站定位，到设计、网站结构、内容准备、内外链的建设等等，是一个复杂繁琐的过程，需要准备一份网站的策划方案。本文将简要描述，从网站的定位到最终的网站建成，整个过程。 一、网站的定位 分析：给网站定位，策...
行业网站编辑
摘要： 我们需要做一个什么样的网站?很多时候大家感觉做行业网站比较简单容易，于是越来越多的朋友涉足行业网站这一块，加上一些传统行业慢慢向互联网转移，一批批的行业网站建立起来 我们需要做一个什么样的网站?很多时候大家感觉做行业网站比较简单容易，于是越来越多的朋友涉足行业网站这一块，加上一些传统行业慢慢向互联网转移，一批批的行业网站建立起来了。然而不少朋友都问到守护一个很重要的问题是：行业网站到...
行业架构师咨询
服务与支持
账号与支持
关注阿里云
International就比特币交易平台被盗事件引发的社会工程学的思考
日晚，国内著名的山寨币交易所比特儿遭到攻击，被盗5000万个NXT(未来币)。
怎么说呢，看完这篇报道，感觉很震惊。为什么这么说呢？这个交易平台是否安全倒是其次，毕竟谁都有犯错的时候，而且俗话说的好，这个世界上没有不存在漏洞的平台或是软件。所有漏洞这方面不是我们要讨论的话题。我们今天要来聊一下人性的漏洞。
大家也不用把这篇文章当成是什么高深的学术问题，只是通过这件事情来发表一些想法。
2014年8月15日16点34左右，比特儿先在其官方账户上发出被盗信息，两分钟后在发布消息称：“重要通知：刚刚我们的NXT中心账号被黑，黑客盗走5000万NXT，我们正与开发团队合作解决，我们将持续为您更新，感激您的支持，我们联系方式
400 007 0955!”
根据NXT区块浏览查询器查询可知，黑客盗取NXT时间为下午13:11-13:14左右。（交易链接）事发三小时后比特儿官方宣布了被盗消息。
根据交易记录可知，NXT地址&NXT-LSC3-VB9T-2W3V-BH7FB向&输出了5000多万的NXT交易。按照目前每一枚NXT
0.2073元的价&#26684;计算，这些被盗的NXT总价&#20540;在1000万元人民币以上。
此时黑客利用NXT的交易留言功能，试图与比特儿进行谈判。黑客的地址为：&比特儿的地址为
黑客主动发送了一个“hi&，在比特儿没有答复后，黑客主动提出了要求，要求交易所用比特币赎回NXT。
黑客：“We can trade these NXT for some bitcoins to make life easier for you, and me”
由于NXT的交易所有限，而且区块能被回滚，黑客也担心自己的赃款不能销赃，或者交易被取消。因此主动提出要求赎金。由于区块重置会损伤NXT的信心，比特儿没有决心要重置区块，而开始对黑客的要求进行回应。
比特儿开始口气还比较硬，先是要求黑客用邮件联系，在黑客7分钟没有回答后，可能才想明白邮件能被追踪，黑客不可能使用邮件，只能使用交易留言。此时比特儿还认为自己能够用“回滚”恐吓黑客，在58分22秒要求黑客返还NXT，不然采取行动，还要求黑客“放聪明点”（be
黑客在33秒立即回应，声称如果得到比特币，可以返还。并提供了比特币地址&，但此时黑客并未开价。注意黑客在44秒发送比特币地址后，59秒立即补充了一句“btc
purse”（应该是wallet才对），说明此时黑客还没有思想准备，说话还比较随意，主动权尚在比特儿手中。
比特儿收到要求后，大概考虑了5分钟，回应了黑客的要求。比特儿要求黑客返还全部的NXT到一个指定地址NXT-R3V3-2S79-F3ZM-BVXKZ
或者被盗地址。并答应给黑客10个比特币，威胁黑客如果不从，将在很快时间重置区块，并要收拾黑客，最后说了一句“我保证”。至此，比特儿开始进入被动。一句“退还被盗地址”已经反映出比特儿方寸大乱。既然币被从地址盗走，地址早已被黑客控制，如何能安全呢？然后想有10个币赎回1000万的NXT，哪个黑客也不会答应的。
黑客感觉被侮辱了，说10个币你也想打发我？我把你的密码（MD5）爆出来吗？——此时已经暴露出交易所的严重问题，无论MD5是否加盐，用户数据库已经被拖，比特儿的用户将处于裸奔危险中，还有可能危及客户在其他交易所的帐号。
接下来比特儿给了黑客1个比特币，并要求黑客把NXT退回，完了以后给他剩余的9个币。此时导致黑客感到被侮辱了，回复道：&left
what? I don't need your lousy 10BTC
一分钟以后，黑客开价要求100BTC赎金：100 btc, than we're talking.
otherwise, let it do the rollback.
接下来比特儿犯了大错，在21分47秒将价&#26684;抬至50BTC，并要求黑客返还NXT到被盗帐户。这一失去理智的语言立即提醒了黑客。
此时黑客已经明白比特儿的处境，态度立即大变，要求100个比特币，先付10个，分批交易。并表示牛&#36924;你就回滚，回滚会导致NXT社区因为你们受损，你们看着办吧。
45分比特儿答应黑客的条件，并冠冕堂皇的说为了NXT社区和用户的利益什么的，我们公司准备承担损失…
这里用了we这个词，并给了黑客9个比特币，此时黑客得到了10个比特币。这个声明让黑客看到了比特儿的虚弱本质，并且知道他们认为这是公司行为，已经考虑计入公司成本，不在乎这100个币，但是很在乎用户流失和NXT大跌，比特儿的底牌此时已经暴露。
当黑客发现比特儿回滚区块的决心不足，之前的恐吓都是玩笑，而还在纠缠NXT的利益和用户流失（密码泄漏）的时候，比特儿已经处于完全劣势 。此时黑客立即掌握了主动，在54分黑客返还了500万NXT（10%）后，在59分立即开始&#36924;宫：
This is taking too long. I dont have all night.
黑客假装已经不耐烦，并要结束谈判。
此时比特儿的回答让人哭笑不得：send the left first and we will send you the left BTC. We are an exchange, we do it publicly and we keep our promise.
Otherwise, we can do 20 by 20 to speed it up.
先退还剩下的部分，接下来我会给你剩下的BTC。我们是一个交易所，我们公开说的并保持我们的承诺，另外你可以20%一次交易来提高速度。
黑客立即发现了比特儿根本没有回滚区块的决心，而是关心起自己作为交易所的声誉，而且被吓住了，要求加速交易。此时黑客不再回应比特儿的留言，选择了沉默。
10分钟后，黑客回应：
So, what taking so long? Send me the next batch already. I'm going to leave soon. It's already 2 hours of negotiation, it took me 1 hour to clean your whole exchanger. BTC
500&#43; I'm not going to sit here, and wait 2 more hours for you to decide to send the lousy 10 BTC.
此时黑客要求立即支付下一批的比特币，并要结束对话，表示不耐心了。比特儿的老总在这10分钟的时间内受到的煎熬不得而知，但他完全丧失了理智，被黑客牵着鼻子走了。
见比特儿没有回应，黑客声称结束谈话。&Deal is off. Good night.
比特儿立即慌乱了，给了黑客20个币，并要求黑客不要等比特币确认就交易，再次留言了邮箱。
此时留邮箱，已经不是无知的表现，而是反映出交易所不想让讨价还价的这一幕丑剧继续暴露在公众面前。加上他要求黑客不要等确认，此时说明交易所已经完全慌乱，陷入了绝望中。黑客当然没有给出任何回复，他已经牢牢把握了主动权。
接下来黑客没有任何回复，而是出现了一些其他人，声称要和黑客交易，以更高的价&#26684;买下这些NXT。不知道这些人是真的，还是黑客自导自演的戏。反正这局面继续给比特儿制造着压力。
比特儿终于在最后屈服了，把100个比特币付给了黑客。而且交易是从交易所公布的用户资金冷钱包里出帐的。前后一共有30个比特币是从用户冷钱包&1GRFNTyLwoyQnk7S3MFFAz5qPkdWp7YSoY&里直接支出的。
比特儿在半小时后如梦方醒，发出了最后一声哀鸣：We have already done our part. Send the rest NXT back for the community and it will be over. Make life easier
for both you and others.
然后比特儿开始联系所谓社区，要回滚交易区块。
具体经过大家可以查看比特网的报道（）。
下面我们开始分析，首先，作为一名社会工程师我们可以发现一系列的问题。从黑客一开始的随意知道最后的&#36924;宫，以及比特儿的从容到最后的慌乱。
我们都知道掌握并且控制一件事情的走向，这是每一个社会工程师的必修课，只有让对手向着我们设计好的“圈套”走去，我们才能获得我们想要的结果。
我们可以发现，在这其中有一个最大的问题就是比特儿不能很好的控制住自己，从而导致了被黑客牵着鼻子走，甚至损失的比原先商量好的还要多。
那么我们怎么才能让对手慌乱，获得我们想要的信息呢？这时候我们就可以利用FUD来造势。创造出对我们有利的事态，扰乱对手的视线。就像这次事件中的其他人想要高价购买NXT，这就是一次完美的FUD，彻底的成为了压倒天平的最后一根稻草。我们在社工的过程中就应该充分利用好FUD理论，并且要判断我们收集到的信息的准确性，要分析是否获取到的是对手提供的假信息。对手也完全可以利用FUD来向我们展示出一个他们想我们看到的环境，所有判断好是否是反向的FUD也是非常重要的。
大家都知道隐藏好自己，保护好自己的身份是最重要的一件事情，这里黑客同志没有使用邮箱是一个很好地教学，我们只有保护好自己才能走得更远。所有要判断好自己每一步是否安全，如果不必要，不要去冒险。不仅仅是工具的使用，比如手机，邮箱，每一步对整个社工过程来说都是至关重要的，所有我们要小心的走好每一步，适当的小心谨慎是必要的。
我相信大家都能发现其中最大的一个问题是比特儿太过注重声誉，从而被黑客钻了空子。我们可以发现不仅仅是这一家公司的问题，甚至可以说是全人类的问题。这是属于人性的漏洞。每个人或多或少都有一些缺点，有些严重，有些则无关紧要。那么怎么去利用这些致命的漏洞，我认为这是每一名社会工程师需要去研究的。惧、惑、疑，这也正是FUD的本质。
最后相信我不用多说大家都明白，怎么去利用好形势，怎么保护好自己，怎么去利用好的漏洞，这些对于每一位社会工程师来说都是毕生研究的课题。这也是我们应该去好好学习好好思考的问题。为啥一直出现虚拟货币被盗的事情呢，我觉得应该好好想想了。
阅读(...) 评论()}