BinanceのAPIキー流出報道に関して
Binance(バイナンス)のAPI連携についてお探しの方は下記の記事を参照下さい。
▷【上級者向け】Binance/バイナンスとAPI連携し仮想通貨取引
ハッカーがBinanceのAPIキーを利用して、不正に売買を行ったという報道がありました。現時点でのBinanceの公式見解と合わせて、弊社が運営する「コイン相場」に入力されたAPIキーが流出していない事をご報告します。
TechCrunch『Bitcoinが10%暴落。ハッカーがBinanceのAPIキーを不正使用か』
Binanceの公式コメント
3月8日午前2時時点のBinanceの公式コメントでは、
「APIキーを登録しているアカウントが被害に合っている事しか現時点では確認出来てない」
とありました。
We are investigating reports of some users having issues with their funds. Our team is aware and investigating the issue as we speak.
As of this moment, the only confirmed victims have registered API keys (to use with trading bots or otherwise). There is no evidence of the Binance platform being compromised.
参考:reddit
その後発表されたコメントでは、
2月22日時点で、フィッシングサイトが出現した事。犯人がこのサイトでログインしてしまったユーザーアカウントを使ってAPIキーを生成した事が発表されています。
The hackers accumulated user account credentials over a long period of time. The earliest phishing attack seems to have dated back to early Jan. However it was around Feb 22, where a heavy concentration of phishing attacks were seen using unicode domains, looking very much like binance.com, with the only difference being 2 dots at the bottom of 2 characters. Many users fell for these traps and phishing attempts. After acquiring these user accounts, the hacker then simply created a trading API key for each account but took no further actions, until yesterday.
参考:binance.com
APIキーを生成したユーザーが被害に遭っているわけではない
最初のコメントで、「APIキーを登録しているアカウントが被害に遭っている事しか現時点では確認出来てない」とあった為、APIキーの生成が事の発端と考える方もいらっしゃいました。
しかし、その後のコメントで、APIキーの流出では無く、フィッシングによるアカウントの乗っ取り/APIを勝手に生成されてしまった事が発表されています。
尚、Binanceのセキュリテイシステムは正常に稼働しており、現時点では資産自体の流出は無いとの事です。
コイン相場のAPIキーの保管方法に関して
弊社ではサーバー上(オンライン上)には一切APIキーは保存しておりません。各ユーザーの端末内の暗号化されたメモリ内に保存されており、弊社でも操作は出来ない、サーバーレスアーキテクチャを採用しております。
今回のような事例であれば、セキュリティ面では問題が発生しない仕様です。