论数据库的重要性：国内比特币交易平台CNBTC被黑并泄露

成功的黑客事件 11月24日，一位美国IP的成员在西客论坛发了这样的帖子：该帖子最初是用英文写的，并被翻译成多种语言。

11月24日，一位美国IP的成员在喜客论坛发了这样一个帖子：

这篇文章最初是用英语写的，翻译成多种语言，然后发表。大致意思是，这个成员是来自俄罗斯的黑客组织，他成功入侵了中国一个非常大的比特币交易平台并下载了数据库，希望将数据库转换成10万人民币。

乍一看，这个帖子好像是外国老油条骗钱，但是小编对这个老外很感兴趣。于是小编就让西客北美的同事与黑客取得联系。黑客的昵称是Vegas，我们以后称他为V。

为了向我们证明他确实成功入侵并下载了比特币交易所的数据库，V 向我们发送了以下截图：

从图中可以看出，该数据库文件疑似为bson（MongoDB）文件。用Ultraedit打开时，关键内容被画出来了，但应该是用户信息表。区别特征是checkEmail、checkMobile、safepwd、registerTime，左边有行。, 大约有 28,000 条数据或更多。于是小编和我的同事们和V有了更深入的交流，V说只有小编购买了数据库的时候才会告诉小编是哪个比特币平台。

小编对比特币了解的不多，所以在谷歌上搜索了一下。中国能上榜的比特币交易平台有几家：btcchina、chbtc、okcoin、fxbtc、bitcoin86、rmbtb，小编又问了。同事，我的同事说okcoin的价格下跌了，会不会是okcoin，答案是否定的。小编获取的数据库有27880条用户数据。用户信息存储在 MongoDB 中，交易记录存储在 MySQL 中。交易记录共保存3天。源代码是Java代码。

详细推测根据小编查询，本站疑似是变量过滤不严导致的SQL漏洞。最倒霉的是数据库使用root账号，mysql.user表中file_priv为Y，导致读取配置文件，悲剧了。

小编这里只考察了SQL注入漏洞。小编问了V，V否认了通过注入获得的许可。了解创宇的朋友告诉小编，代码中其实存在文件漏洞（这是真的吗？）。嗯，我只是猜测。下面就来吐槽一下吧。

小编访问了chbtc官网的“关于我们”，大概看到了一些端倪。

chbtc将“同机房多服务器实时备份、跨城机房秒级备份、国际分钟级备份”定义为“银行级安全”。您的备份如何工作？根据小编目测，所谓的跨城备份应该是mysql.user中的root用户在host字段中设置为%。小编个人认为，chbtc的安全性不仅没有起到安全的作用，反而给黑客打开了大门。

小编虽然不懂java，但是编程语言点点滴滴都能看懂。小编大概看了V给的源码，感觉完整性高，但是代码写的水平不是很好。尤其怀疑代码是从其他地方挑出来的，然后二次开发修改。小编首先找到了一个疑似注入点的函数。

public List getOneFreezSqlInTrans(){PayUserBean pub = (PayUserBean)Data.GetOne(payName, "select Freez_Money from Pay_User where User_Id=?", new Object[] { Integer.valueOf(this.user_Id) }, PayUserBean.class);if (pub != null) {List pays = new ArrayList();this.freez_Money = (pub.getFreez_Money() + this.money);pays.add(new OneSql("INSERT INTO freez_details (Freez_Details_Id,User_Id,Description,Date ,Type,Money,Freez_Status,Freez_Money ) 值 (" +this.freez_Details_Id + "," + this.user_Id + ",'" + this.description + "','" + this.date + "'," + this .type + "," + this.money + "," + true + "," + this.freez_Money + ")", -2));pays.add(new OneSql("update Pay_User set Balance_Money= Balance_Money-" + this.money + ",Freez_Money=Freez_Money+" + this.money + " where User_Id=" + this.user_Id +" AND Balance_Money>=" + this.money, 1));return pays;}return null;}

上述功能在交易过程中起到暂时冻结资金的作用。小编发现上述函数中的SQL查询语句是由字符串组成的。Description字段疑似未过滤，直接带入SQL查询语句。由于金额字段在Description字段之后，因此成功利用的攻击者甚至可以通过篡改插入freeze_details的冻结资金明细记录中的金额来获利。

更有趣的是，小编从代码中发现了一个未使用的加密类。该函数使用单一DES加密，密钥是可见字符串。

public static final String encrypt(String password){try{return byte2hex(encrypt(password.getBytes(), "jDlpeesc".getBytes()));}catch (Exception localException){}return null;}

当然，这不是重点。使用的加密功能实际上是单层md5加密。混合 userid（没有用户名，但是 id）和明文密码后，md5 被取出并存储在 user 表中。这也是“银行级安全”吗？经验证，User.bson表中的用户密码加密确实是单MD5加密！据我所知，印度最大银行SBI的网银账户采用自定义加密+3DES加密，也就是“银行级安全”。当然，按照惯例，这不是重点，重点是我们在未使用的加密类中找到了这个：

public void getsafemima(){try{String userid = this.request.getParameter("userid");String photo = this.request.getParameter("photo");String filename = EncryptionPhoto.encrypt(photo);this.response。getWriter().write("http://img.artww.com/" + userid + "/" + photo + filename + "");} catch (Exception ex) {try {this.response.getWriter(). write("获取失败" + ex.toString());}catch (Exception localException1){}}}

想办法，这个artww.com网站是古董做的，下属公司是上海艺萃文化传播有限公司，网站页脚是2011年，chbtc公司叫世行宝，2012年上海一翠在做电商时被怀疑不是世行宝的客户或与其有任何关系。可以吗。. . 黑客进去盗取别人的代码是真的，但是这里的小编胆子小，不敢得罪人，就不评论了。

11月26日，chbtc发布公告《我们叫中国比特币，国内只有央视世界周刊播出的平台》。小编这里只希望在提升用户体验的同时，提升下班后的工作人员。安全意识，对客户负责，更对自己负责。顺便说一句，未经授权使用他人的代码，尤其是已声明版权的代码，属于侵犯版权！

谁在玩比特币新闻报道称，温州商人正在炒作比特币。编辑看了资料，觉得我不同意。

小编用一些关键词进行了文字搜索，发现了很多有趣的账号，比如：

wlheike@163.com，在google上放了很多whois信息，比如0359sy.com，这是一个黄色网站。

h3ewhack@163.com，这位大哥应该是做运维的。从谷歌可以看出，曾经因为CSDN数据库事件“泄密”过一次，而这一次他是在撒谎。

还有一些有趣的用户名，如：heikeji、heikeisn、heike9999、fenliuhack、hackamark、hackerpayne、hackeri、hackzj、hackeqin、nhhack、hackliang、dragonhackking、hackor-yan、lgphacker、hackjay。. .

在2万多个账号中比特币黑平台被骗怎么办，小编随机抽取25人3次，通过在数据库中搜索个人信息得到职业分布比例如下：

采样 1：

抽样2：抽样3：当然小编知道统计不科学，但是各种职业的大概比例还是很有参考性的。比特币是否如媒体所说被温州商人炒作？相信大家可以看到，这几千万的交易中，很大一部分相信是资金流向黄、赌、地下的产业链。女士们先生们，黑人老板们，仅仅指望比特币被粉饰是不够的。开始是有风险的。刷白时请注意。此数据库中有电话号码和银行帐户。尽管世界上许多国家已经承认或默认了比特币的合法性，但包括中国在内的中国也处于半默认状态。

但要真正开放比特币，国内经济条件还不成熟。小编甚至不认为比特币是电子货币时代的来临。相反，小编认为开放比特币的长期后果是国内资金大量外流。

比特币虽然有很多其他货币和交易平台无法比拟的优势，但它就像一把利剑，正义者为光明所用，邪恶者为黑暗所用。中国金融市场与西方发达国家还有一定差距。如果这个市场开放，货币流出的监管可能会部分失控。当然，如果政府对这个市场进行监管，对于普通投资者的利弊暂时不提。对于黑、黄、赌等地下行业的人来说，投资比特币洗白可能适得其反。

小编，我只是一个渣渣画师，不是专业码农或者金融科学家，说错了还请多多包涵~

在这里，小编将在西客论坛上贴出卖数据库的小伙伴们的信息：

Vegas,temp200808008[at]hotmail,chaus-koyani68[at]yandex.ru(旧),80.12.242.68,209.85.219.52

最后比特币黑平台被骗怎么办，感谢北美公司Silic Corporation的全体同仁的技术支持，以及在北京认识创宇和余弦的朋友。非常感谢他们提供数据分析支持和代码审计顾问~~~

来自: blackbap