剖析 | 危险的火币 API

这可能是标准共识迄今为止成本最高的一篇报告：价值 3.55 个 BTC。按 2 月 28 日市场价格折算，约合人民币 91,813.65 元。

今年 1 月 29 日，标准共识一位分析师登录自己的火币账户时发现异常，在他本人不知情的情况下，账户里包括 BTC 和 USDT 在内的所有数字资产全部被「洗」成了一个小币种。黑客利用「对敲」的方式把价值约 12,000 美金的 BTC 和 USDT 换成了一个叫做 EKO 的 Token，全部价值只剩不到 2,000 美金（按事件发生时的火币平台价格计算）。研究过事件发生的来龙去脉之后，我们判断，这是一起典型的、手法巧妙的黑客盗币事件。

过去几年，数字货币二级市场的活跃使得沉淀着用户大量数字资产的交易所成为全球黑客的重点攻击目标，币安、OKEx 和火币等市场份额领先的平台更是首当其冲。究其原因，除了数字货币的匿名性和全球流通性可以帮助隐藏黑客的真实身份之外，不完善的交易所资产安全保护机制也屡屡成为黑客帮凶。

本文将通过案例来详细剖析交易所 API 存在的巨大风险。

（作者：标准共识，内容来自链得得内容开放平台“得得号”；本文仅代表作者观点，不代表链得得官方立场）