Q1 2020 Quarterly Futures Listings

On 13 December 2019 08:30 UTC, BitMEX will list new quarterly futures.

Please see the table below of listing and settlement dates for current and upcoming futures contracts for Q1 2020. The new contracts are in bold.

Code Pair Listing Date Settlement Date
ADAZ19 Cardano / Bitcoin 13 September 2019 27 December 2019
ADAH20 Cardano / Bitcoin 13 December 2019 27 March 2020
BCHZ19 Bitcoin Cash / Bitcoin 13 September 2019 27 December 2019
BCHH20 Bitcoin Cash / Bitcoin 13 December 2019 27 March 2020
EOSZ19 EOS Token / Bitcoin 13 September 2019 27 December 2019
EOSH20 EOS Token / Bitcoin 13 December 2019 27 March 2020
ETHZ19 Ether / Bitcoin 13 September 2019 27 December 2019
ETHH20 Ether / Bitcoin 13 December 2019 27 March 2020
LTCZ19 Litecoin / Bitcoin 13 September 2019 27 December 2019
LTCH20 Litecoin / Bitcoin 13 December 2019 27 March 2020
TRXZ19 Tron / Bitcoin 13 September 2019 27 December 2019
TRXH20 Tron / Bitcoin 13 December 2019 27 March 2020
XRPZ19 Ripple Token (XRP) / Bitcoin 13 September 2019 27 December 2019
XRPH20 Ripple Token (XRP) / Bitcoin 13 December 2019 27 March 2020
XBTZ19 Bitcoin / USD 15 March 2019 27 December 2019
XBTH20 Bitcoin / USD 13 September 2019 27 March 2020
XBTM20 Bitcoin / USD 13 December 2019 26 June 2020

 

Temporary change to BitMEX .BBCHXBT Index, 28 November 2019

Effective 28 November 2019 at 02:00 UTC, BitMEX will temporarily remove Binance from its .BBCHXBT index in response to Binance’s scheduled symbol change. This Binance symbol change is expected to take 8 hours and will affect the BitMEX .BBCHXBT index only. Binance will be reintroduced as a constituent of .BBCHXBT once trading on Binance has resumed. 

If you have any further questions, please contact Support via our contact form.

Временное изменение индекса BitMEX .BBCHXBT 28 ноября 2019 г.

Начиная с 02:00 UTC 28 ноября 2019 г., BitMEX временно исключит компонент Binance из своего индекса .BBCHXBT в рамках ответа на запланированное изменение символа Binance. Это запланированное изменение символа Binance займет 8 часов и повлияет только на индекс BitMEX .BBCHXBT. Компонент Binance будет снова включен в .BBCHXBT, как только на Binance возобновятся торги.

Если у вас есть дополнительные вопросы, пожалуйста, свяжитесь со службой поддержки с помощью контактной формы.

关于 2019 年 11 月 28 日 BitMEX .BBCHXBT 指数的临时更改

自北京时间 2019 年 11 月 28 日 10:00 起,BitMEX 将因 Binance 的预定符号更改,暂时将其从 .BBCHXBT 指数中删除。 该预定的停机时间预计将持续 8 个小时,并且只会影响 BitMEX .BBCHXBT 指数。 一旦 Binance 交易恢复,Binance 将被重新引入为 .BBCHXBT 的成分。

如果您有任何疑问,请通过 联系 页面联络我们的客服。

Задержки в работе Websocket 26 ноября 2019 г.

В период между 21:30 UTC 25 ноября 2019 г. и 07:05 UTC 26 ноября 2019 г. Websocket API работал в режиме пониженной производительности. Это привело к незначительным задержкам в потоках данных в указанный период, а также отдельным длительным задержкам в периоды пикового трафика, связанные с мощными движениями рынка.

Проблема была идентифицирована, когда около 06:55 UTC были превышены пределы, установленные нашими системами автоматического мониторинга. С 07:05 проблема была устранена, производительность была полностью восстановлена.

Проблема явилась результатом некорректного закрепления ЦП, последовавшего за запуском компонента распределения рыночных данных, который состоялся в 21:30 UTC 25 ноября 2019 г. Влияние этого события наблюдалось только во время значительных всплесков трафика, которые произошли через несколько часов после запуска. В связи с этим проблема не была обнаружена во время проверок, проведенных сразу после запуска. Конфигурация данного сервиса была скорректирована, для предотвращения подобных инцидентов были проведены рабочие тесты.

Мы приносим извинения за возможные неудобства, связанные с данным инцидентом. Если у вас есть дополнительные вопросы, пожалуйста, свяжитесь с нашей службой поддержки с помощью контактной формы.

2019년 11월 26일 발생한 웹소켓 지연 현상

2019년 11월 25일 21:30 UTC 부터 익일 07:05 (한국시간 기준 11월 26일 오전 6시 30분 ~ 오후 4시 5분) 사이에 웹소켓 API는 성능이 저하된 상태로 실행 중에 있었습니다. 이는 해당 기간 동안 피드 제공에 약간의 지연을 비롯해 대규모 시장 움직임과 관련된 트래픽이 급증하는 동안 상당한 일회성 지연 또한 발생시켰습니다.

이번 문제는 06:55 UTC (한국시간 기준 오후 3시 55분) 전후에 저희 비트멕스 자동 감시 시스템에서 대기시간 임계값이 위반되었을 때 확인되었습니다. 해당 문제는 07:05 UTC (한국시간 기준 오후 4시 5분)에 해결되였으며 웹소켓 API의 성능 또한 최대치로 복원되었습니다. 저희는 영향을 받은 서비스를 지속적으로 면밀히 모니터링할 예정입니다.

이번 문제는 2019년 11월 25일 21:30 UTC (한국시간 기준 11월 26일 오전 6시 30분)에 시장 데이터 배포 구성 요소가 출시된 후 잘못된 CPU 고정 할당으로 발생했습니다. 이로 인한 영향은 몇 시간 후에 발생한 대규모 트래픽 급증 시에만 발견되었으므로 출시 후 점검 시에는 확인되지 않았습니다. 본 서비스의 구성은 올바르게 수정되었으며 동일한 문제가 발생하지 않도록 방지하기 위한 배포 테스트가 시행되었습니다.

이번 문제로 인해 불편을 끼쳐드린 점에 대해 사과드립니다. 문의사항이 있는 경우 해당 연락처 양식을 통해 고객지원팀에 문의해 주시기 바랍니다.

Изменение уровня комиссий для инструмента ETHZ19 с 12:00:05 UTC 29 ноября 2019 г

Мы понизим уровень комиссий и рибейтов по ETHZ19 в период между 12:00:05 UTC 29 ноября 2019 г. и 12:00 UTC 27 декабря 2019 г.

В этот период рибейты мейкера составят -0.025%, комиссии тейкера составят 0.075% для всех сделок по ETHZ19.

Когда станет доступным ETHH20, рибейт мейкера для сделок с ним составит -0.05%, комиссия тейкера – 0.25%. Дополнительную информацию вы сможете найти на нашей обновленной странице “Комиссии” здесь.

Благодарим вас за ваш выбор!

Если у вас возникнут дополнительные вопросы, пожалуйста, свяжитесь со службой поддержки с помощью нашей контактной формы.

电子邮件隐私问题:事件回顾及我们能提供的帮助

上周末发生的电子邮件泄露事件可能会令您感到不安对此有诸多疑问针对这次事件,我们在世界各地的团队全部夜以继日地工作,全力保护您的账户安全并确保尽快回归正轨。 

客服团队已经为许多用户提供了帮助,并将与每一位用户取得联系。 由于这次的工作流程较为繁复:要确保遵守所有流程的合理性保证信息传送的顺畅严格处理所有潜在的安全问题,因此联系到所有用户需要一定的时间。如果您目前尚未收到我们的电子邮件,请不要担心,很快收到。

对于此次事件给您带来的不便,我们深表歉意。以下信息将进行事件回顾明确我们可以提供的帮助以及您可以用来增强安全措施的一些方法

事件回顾

北京时间 11 月 1 日星期五下午两点,许多用户收到了一封电子邮件, 收件人:字段中包含其他用户的邮件地址。 这原本是我们发给用户的常规信息更新的邮件,内容有关指数权重进行的更改。 在这次群发中,许多 BitMEX 用户电子邮件地址(包括大量非活跃地址)以小批量的方式泄露给其他用户。 没有涉及其他信息泄露

BitMEX 是一家全球性公司,需要向多家电子邮件供应商发送邮件。电子邮件的可传递性本身是一个多层次的问题,需要大量工作来构建发件人信誉系统和自动过滤垃圾邮件。这些措施会使企业提供大规模邮件服务,例如 BitMEX 面临一定的困难

我们仅在极少数且绝对必要的情况下向所有用户群发电子邮件,以保持较高的信噪比。我们在 11 月 1 日发布的指数更新具备绝对的重要性,它将影响我们所有产品的定价 – 这是我们觉得有必要将其告知所有用户的原因

然而,在全球范围内,向所有收件人发送这样的批量邮件是一项困难而复杂的任务。因为有些邮件服务器,特别是雅虎和网易等大型全球品牌的分支机构,具有非常严格的管控制度在我们发送大量邮件时启动限制系统但是对于系统重要通知(例如提现,重置密码和清算),客户必须安全地接收邮件。

为了补救这个问题,我们构建了一个内部系统来处理重要电子邮件涉及的必要呈现、翻译、分段和零碎(以免触发频率限制)的发送。自 2017 年以来,BitMEX 未曾一次性向所有用户发送电子邮件,我们平台近年也发生了巨大变化。

此次事件中,当我们开始群发邮件时,发现需要 10 个小时以上才能完成发送,而团队希望用户在更合理的时间范围内收到相同的材料资讯。为了解决这个问题,我们快速改写了发送方式,以单次 SendGrid API 接口调用批量发送 1,000 个地址。由于时间的限制,这次操作没有通过我们常规质量检查流程没有第一时间发现 API 接口调用会创建一个串联的 收件人:字段,从而导致用户电子邮件地址的泄露。 在意识到问题时,我们即刻停止继续发送电子邮件,并从源头上解决了问题从事件发生开始,我们一直在全力帮助所有受影响的用户,阻止信息泄露的蔓延并减轻损失。

BitMEX 是一家认真对待工程设计的公司,对于如此严重的疏忽导致用户信息泄,我们非常的愧疚和自责。这些失误是整体流程上的问题,而不仅仅是工程设计层面上的。 我们的流程有严重的漏洞,我们正在夜以继日地进行弥补和修正,并保证即使是最简单的代码更改也都受到严格审查。

有一个事件我们的此次操作无关BitMEX Twitter 的账户曾被外部人士访问,该账户在 6 分钟内重新受 BitMEX 控制并重新修复,该事件正在安全审查中。

除电子邮件地址外,没有任何个人或账户信息被披露。 我们的核心系统在任何时候都没有受到威胁。

受影响用户有哪些?

大部分的 BitMEX 用户都受到影响。您可以用以下的方式来进行判断:

  • 如果您收到有关指数更新的电子邮件, “收件人:” 字段里只有您个人的邮件地址,您并没有受到影响。
  • 如果您收到指数更新的电子邮件,并在 “收件人:” 字段里看到多个电子邮件地址,您已经受到影响。
  • 如果您没有收到指数更新的电子邮件,可能已受到影响,我们建议您按照以下步骤操作,以增强线上防护。因为虽然系统在完全发送完成之前就已被关闭,但许多受影响的收件人希望可以不再接收类似的电子邮件,将 BitMEX 电子邮件标记为垃圾邮件。这种方法确实可以在引起某些主机上可传递性问题,导致电子邮件无法送达。 同批次中的其他用户可能已经收到该电子邮件,从而暴露了您的电子邮件地址。
    • 由垃圾邮件报告引起的可传递性问题导致后续的密码重置被延迟了几个小时。运营团队已于北京时间 11 月 2 日 14:00 之前解决了这个问题。

我们可以提供哪些帮助?

在发现泄露事件后,BitMEX 员工全力减少用户损失。我们知道许多用户在不同的电子邮件服务商设置了相同的邮件地址,再加上密码经常重用,这意味着我们的许多用户可能由于 hash 值散列转储而在其他平台上面临风险,包括一些与加密无关的平台。

因此,在通知用户泄露事件后,我们采取了以下措施:

  • 安全和客服团队在泄露事件后开始加强对可疑活动账户访问的监测,由此导致了多个账户需要重置密码并由客服团队进行人工审查。
  • 在电子邮件发送的当天,北京时间 21:00 ,对提现进行的常规人工审核增加了额外的检查。我们确定了可能表明账户被入侵的标准,并取消了以下情况账户提现申请:(i)没有启用双重验证 (2FA) ;(ii)提现至未发生过交易的比特币地址;(iii)从未出现过的IP 地址提交提现申请;(iv)在电子邮件地址泄露事件后发出提现申请。所有其他提现申请均不受影响。以上行动是为了保护我们的用户和那些已经联络的受影响用户。
  • 目前发现有人正在收集 BitMEX 的电子邮件地址并可能使它们受到安全威胁,BitMEX 工程师强制要求所有尚有余额且没有启用双重验证(2FA)的用户重置密码。在经过全面的质量审查并肃清原始错误后,我们已通过电子邮件通知受影响的用户。
  • BitMEX 客服(客服链接)正在和更多团队合力工作,无间断地处理用户需求,帮助用户更改电子邮件地址,回答问题,提供安全评估和建议。

如果您担心个人信息在 BitMEX 或任何其他平台上泄露,最好的办法是从修改您的电子邮件地址开始,在所有关键服务上启用双重验证(2FA)。我们已经发布了相关建议以及其他包括 Paul Stamatiou 的实用指南

BitMEX 工程团队正在研发增加平台安全密钥数量的新功能,改善账户通知的信息方式,为用户提供更多避免和控制账户入侵的工具。

您需要做什么?

尽管没有任何电子邮件地址以外的账户详细信息和个人信息遭到泄露,但为了安全防护,我们建议您:

  • 谨防钓鱼行为。BitMEX 的电子邮件只会从 ”support@bitmex.com” 和 ”noreply@bitmex.com” 发出。我们建议把这些地址添加到联系人列表中。我们绝不会要求您给出密码。
  • 请注意 BitMEX 绝不会要求您转账。充值您的 BitMEX 账户的唯一方法是将比特币发送到您唯一的 BitMEX 存款地址。您唯一的 BitMEX 存款地址将以 ” 3BMEX” 或 ” 3BitMEX” 开头,您可以在 BitMEX 账户的存款页面查询
  • 请关注我们的官方 BitMEX 通讯渠道您只需参考这些渠道发出的相关指导
  • 请使用强有力的密码来保护您的账户;为您的所有账户( BitMEX 和个人账户)启用双重验证(2FA);并使用密码管理器。 


我们想向您再次保证,除了电子邮件地址之外,没有任何个人或账户信息被泄露。 在此问题发生期间,我们的任何系统都没有受到威胁,它们仍然是安全的,我们也会继续采取措施来增强我们的安全性。 您的隐私和安全仍然是我们的首要任务。

同时,如果您需要一些即时的帮助,请通过 联系 页面联络我们的客服。

 

Vivien Khoo
代理首席运营官

이메일 개인 정보 이슈: 사건 발생 경위 및 후속 조치

비트멕스는 이번 주말에 발생한 이메일 유출에 대해 우려하는 많은 분들이 계시며 이에 대해 수 많은 문의사항이 뒤따르는 것에 대해 인지하고 있습니다.

전세계 비트멕스 고객지원팀은 24시간 내내 귀하의 계정 보안을 유지하고 비트멕스를 정상화시키기 위해 노력하고 있습니다. 저희 고객지원팀은 이미 다수의 사용자에 대한 지원 작업을 완료했으며, 모든 사용자에게 지속적으로 지원을 제공하고 있습니다. 이는 논리적으로 결함이 없고 긴급한 우려 사항을 해결하기 위한 시차를 둔 처리 과정입니다. 귀하께서 아직 비트멕스로부터 연락을 받지 못하셨다면, 빠른 시일 내에 별도의 연락이 도착할 것입니다.

이번 이슈로 인해 여러분들께 불편을 끼쳐드려 진심으로 송구하다는 사과의 말씀을 전합니다. 아래에서는 사건 발생 경위와 후속 조치 그리고 귀하 계정의 보호를 위한 몇 가지 방법에 대한 추가 정보를 안내해드리겠습니다.

사건 발생 경위

11월 1일 금요일 06:00 UTC에 다수의 사용자들이 “수신자::” (“To::”)필드에 타 사용자의 이메일 주소가 포함된 비트멕스 이메일을 받았습니다. 이것은 비트멕스 지수 가중치 변경사항에 관한 일반적인 업데이트 메일이었습니다.

그 결과, 다수의 비활성화된 이메일 주소를 포함한 비트멕스 사용자의 이메일 주소가 소규모로 타 사용자에게 공개되었습니다. 이를 제외한 다른 정보는 유출되지 않았습니다.

비트멕스는 국제적 기업으로 수많은 다른 이메일 공급자에게 이메일을 발송합니다. 이메일 수신 가능성은 그 자체로 많은 문제를 갖고 있으며, 발신자 평가 시스템 및 스팸 필터링을 개발하는데 수 십년 간의 작업이 요구됩니다. 유감스럽게도, 이와 같은 현상은 비트멕스의 업무를 어렵게 했습니다: 당사에서는 특정한 경우에 한해서 사용자들에게 대량 이메일을 발송합니다. 비트멕스에서는 정보의 유용성을 최대로 유지하기 위하여 오직 필요한 경우에 한해 이메일을 발송하고 있습니다.

11월 1일에 발표한 지수 변경은 아주 중요한 사항이었습니다. 위 변경사항은 당사의 모든 상품의 가격에 영향을 줄 수 있기 때문에 저희는 이를 모든 사용자들에게 안내해야 한다고 판단했습니다. 하지만, 이와 같은 전세계적인 규모의 대량 메일 발송은 어렵고 복잡한 작업이기 때문에 모든 수신자에게 전달되는 것이 쉽지 않습니다. 특히 세계적 브랜드인 Yahoo 및 163와 같은 몇몇 메일 서버의 경우, 매우 엄격한 관리 시스템으로 인해 당사에서 대용량의 메일 발송 시 종종 문제가 촉발되었습니다. 출금, 비밀번호 재설정 및 청산과 같은 시스템 알림을 위해서 사용자는 안정적인 메일 수신이 필요합니다.

해결방안으로 당사에서는 중요 이메일의 렌더링, 번역, 스테이징을 처리하고 해당 이메일을 조금씩 나누어 발송하는 (비율 한도를 초래하지 않음) 사내 시스템을 구축했습니다. 비트멕스는 2017 이후 동시에 모든 사용자들에게 이메일을 발송한 적이 없으며, 그 이후로 많은 것이 변했습니다. 당사에서 이메일 발송을 계획할 때, 작성을 완료하기 위해 10시간의 시간이 소요되며 또한 비트멕스 팀은 모든 사용자들이 동일한 정보를 합당한 기간내에 수신하는 것을 목표로 하고 있습니다.

이를 처리하기 위해, 단일 SendGrid API call들을 1,000개 주소 단위로 보내도록 시스템을 정정했습니다. 송구스럽게도, 시간제약으로 인해 정상적인 품질 보증 과정을 거치지 않았습니다. 이것은 API call이 “수신자::” (“To::”)필드 및 고객 이메일 주소 유출과 같은 일반적인 연쇄활동을 일으킬 수 있다는 것을 바로 알아차리지 못하게 했습니다. 당사에서는 이 사실을 인지하자마자 추가 이메일이 발송되는 것을 즉시 차단하고 근본 원인을 해결했습니다. 그 이후로 당사는 최선을 다해 영향을 받은 모든 사용자들을 지원하고 추가 유출을 방지하기 위해 노력했습니다.

비트멕스는 기술을 매우 중요시하는 회사이며, 부주의로 인하여 모든 사용자들에게 원치 않는 정보를 공개하게 된 것에 진심으로 유감을 표합니다. 당사에서는 엔지니어가 아닌 프로세스에 문제가 있다고 생각합니다. 당사의 프로세스에 결함이 있었던 것으로 확인됩니다. 당사는 24시간 내내 해당 프로세스를 개선하고 있으며, 가장 단순한 코드 변경조차도 철저한 검토를 받을 수 있도록 최선을 다하고 있습니다.

또한, 이 작업과 관련이 없는 개인이 비트멕스 트위터 계정에 접근했습니다. 해당 계정은 6분내에 비트멕스의 제어 하에 다시 확보되었고 현재 해당 사건은 보안팀의 관리감독 중 입니다.

이메일 개인 계정 정보는 절대 포함되지 않았음을 말씀 드리며, 당사의 핵심 시스템은 노출된 적이 없음을 알려 드립니다.

영향을 받은 사용자

 대부분의 비트멕스 사용자는 아래 제시된 방법에 따라 이메일 노출에 대해 자가 진단을 해볼 수 있습니다:

  • 지수 변경에 대한 이메일을 수신하였으며, “수신자::” (“To::”) 필드에 이메일이 표시된 경우: 아무런 영향을 받지 않습니다.
  • 지수 변경 이메일을 수신하였으며, “수신자” (“To”) 필드에서 복수의 수신자를 본 경우: 영향을 받습니다.
  • 지수 변경 이메일을 받지 못했지만 본 이메일을 수신한 경우: 영향을 받았을 가능성이 있으므로 온라인 상 계정 보호 기능을 향상시키기 위해 아래의 방법대로 조치를 취할 것을 권장드립니다. 시스템이 완전히 완성되기 전에 차단되었지만 많은 수신자가 비트멕스 이메일을 스팸으로 표시하기 시작했습니다. 이로 인해 실제로 일부 호스트에서 전송 문제가 발생하여 메일이 전송되지 않았습니다. 유감스럽게도, 귀하의 이메일 주소가 포함된 이메일을 수신한 누군가가 귀하의 이메일 주소를 유출할 가능성도 있습니다.
  • 스팸 보고를 위한 전송 문제로 인해 일부 후속 비밀번호 재설정이 몇 시간 동안 지연되었습니다. 비트멕스 운영 팀은 11월 2일 06:00 UTC로 이 문제를 해결했습니다.

당사 후속조치

 해당 내용을 발견 한 후 비트멕스의 전 직원은 밤낮으로 사용자의 위험을 완화하기 위해 노력하고 있습니다. 당사는 많은 사용자가 다수의 서비스에서 이메일 주소를 재사용한다는 것을 인지하고 있습니다. 이것은 암호를 재사용하는 경향과 결합하여 많은 사용자가 다른 플랫폼의 암호 해시 덤프로 인해 위험에 처했을 수 있음을 의미합니다.

이러한 이유로 당사는 사용자에게 개인정보 이슈에 대해 공지한 후 다음과 같은 조치를 취했습니다:

  • 당사의 보안 및 지원 팀은 해당 노출 후 의심스러운 활동이 감지되는 계정을 분류하기 위해 접속 유형 모니터링을 강화했습니다. 이로 인해 다수의 계정 암호가 재설정되고 지원팀에서 검토를 진행했습니다.
  • 13:00 UTC에 일반적인 출금 검토 과정에서 추가 점검을 수행했습니다. 상황에 따라 타협을 나타낼 수 있는 기준을 확인했습니다. 당사에서는 아래 경우에 해당하는 계정에 대하여 출금 요청을 취소했습니다. (i) 이중인증 장치 (2FA)가 없는 경우 (ii) 이전에 보지 못한 신규 비트코인 주소로 출금한 경우 (iii) 이전에 보지 못한 새 IP 주소로 요청된 경우 (iv) 이메일 유출 직후에 이루어진 출금 요청. 다른 모든 출금 요청은 영향을 받지 않았습니다. 이러한 조치는 모든 사용자를 보호하기 위해 취해졌으며 영향을 받은 사용자들은 이에 대한 안내를 이미 받았습니다.
  • 몇몇 단체에서 비트멕스 이메일을 수집하여 손상을 시도하는 것이 분명해지자 비트멕스 엔지니어는 잔고가 있으며 2 단계 인증 장치 (2FA)가 활성화되지 않은 모든 사용자에 대해 암호를 필수적으로 재설정하도록 요구했습니다. 영향을 받은 사용자는 최초 오류에 대한 철저한 QA 검토를 거친 후 이메일을 통해 공지를 받았습니다.
  • 비트멕스 지원팀 (문의)은 연장근무를 통해 이메일 주소 변경, 고객문의에 대한 답변, 보안 평가 및 조언을 위해 최선을 다하고 있습니다.

비트멕스 또는 기타 플랫폼에서 개인정보 노출을 보호할 수 있는 최상의 방법은 이중인증 장치 (2FA)를 활성화 하는 것 입니다. 당사는 Paul Stamatiou의 매우 유용한 가이드를 포함하여 다른 이들과 마찬가지로 이 주제에 관한 조언에 대해 공지한 바 있습니다.

비트멕스 엔지니어링팀은 플랫폼에서 지원하는 보안 키 수를 늘리고 계정 알림을 개선하여 사용자들의 이탈을 방지할 수 있는 더 많은 새로운 보안 장치를 제공하기 위해 연구하고 있습니다.

추가 사항

 이메일 주소 이외의 개인정보 및 계정 정보는 공개되지 않았지만 다음 사항을 권장해드립니다:

  • 이메일을 통한 피싱 위험 요소를 인지하시기 바랍니다. 비트멕스에서 발송하는 모든 이메일은 오직 “support@bitmex.com” 및 “noreply@bitmex.com“을 통해 발송됩니다. 해당 이메일 주소를 귀하의 이메일 주소록에 저장해 주시기 바랍니다.
  • 비트멕스는 어떠한 상황에서도 사용자를 대상으로 송금, 이체 등을 요구하지 않습니다. 오직 귀하의 등록된 비트멕스 입금 주소로의 비트코인 송금만이 공식적으로 인정됨을 숙지해 주시기 바랍니다. 참고로, 귀하의 비트멕스 입금 주소는 “3BMEX” 또는 “3BitMEX”로 시작하며, 입금 페이지에서 확인 가능합니다.
  • 비트멕스의 공식 커뮤니케이션 채널을 참고해 주시기 바랍니다. 이는 당사와 사용자 간의 공식적인 소셜 미디어 채널로써, 해당 경로를 통해 안내, 공유되는 사항을 숙지해 주시기 바랍니다.
  • 당사는 모든 사용자들이 외부로의 유출 또는 해킹 위험이 낮은 개인의 고유한 비밀번호 설정을 강력하게 권장드리며, 이와 더불어 등록된 모든 비트멕스 계정 및 개인 이메일 계정에도 반드시 이중인증 장치 (2FA)를 활성화 해주실 것을 당부 드립니다.

당사에서는 다시 한 번 귀하의 이메일 주소 외 개인정보 및 계정 정보가 공개되지 않았음을 말씀드립니다. 또한, 해당 문제가 발생하는 동안 당사 시스템에는 아무런 문제가 없었음을 알려드립니다, 비트멕스에서는 향후 동일한 문제가 발생하지 않도록 시스템 상의 보안을 더욱 철저히 유지할 예정이며, 이를 보완하기 위한 추가적인 수단 또한 도입할 것입니다. 비트멕스는 모든 사용자들의 계정에 대한 보안을 최우선으로 생각하고 있음을 알려드립니다.

도움이 필요하실 경우, 고객지원팀으로 문의해주시기 바랍니다.

Vivien Khoo,
최고 운영 책임 차장

メールプライバシーの問題:何が起きているのか、どのように支援できるのか

弊社は多くのお客様が、この週末に発生したメールの開示について懸念しており、多くの疑問をお持ちであることを認識しております。

世界中の弊社のチームは、お客様のアカウントのセキュリティを保護し、業務を再開するために24時間体制で作業を行っています。弊社のサポートチームはすでに多くのユーザーとやり取りを行っており、今後も皆様との連絡を取り続けていきます。これは段階的なプロセスであり、すべての適切なプロセスに従っていること、対処がロジスティックス的にスムーズであること、およびすべての根本的なセキュリティ上の懸念が適切にカバーされていることを保証するためのものです。弊社からの連絡をまだ受け取っていない方にも近日中に連絡させて頂きます。

ご心配をおかけして申し訳ございません。ここでは、発生した事象の詳細、弊社がお客様をサポートする方法、お客様の保護を向上させるためにお客様が実行できる手順について説明します。

何が起きたかに関して

BitMEXはグローバルに展開しており、多くの異なるEメールプロバイダにEメールを送信します。電子メールの配信能力自体は、送信者のレピュテーションシステムや自動スパムフィルタの構築などの何十年にもわたる努力を含む、多くの階層からなる問題です。これにより残念ながらBitMEXのような大規模なサービスの仕事を時に困難とします。私たちは、極稀なイベントの際のみ全ユーザーにメールを送り、必要な情報と雑音の比率を高く維持し、絶対に必要な時だけメールを送るようにしております。

弊社が11月1日に公表したインデックスの変更は弊社の全ての製品の価格に影響を与えるため、全てのBitMEXユーザーにそれを知らせる必要があると判断しました。しかし、このように大量のメールを送信する際は、すべての受信者に対してグローバルな規模で正しく調整することが困難となります。一部のメールサーバ、特にYahooや163のような大企業のグローバル部門は、非常に厳しい制限があり、大量のメールを送信するときには頻繁に制限がされます。出金、パスワードのリセット、清算などのシステム通知では、顧客がメールを確実に受信することが不可欠です。

この問題を解決するために、重要なメールのレンダリング、翻訳、ステージング、および(レートリミットをトリガーしないような)段階的な部分送信を処理する社内システムを構築しました。BitMEXは2017年以来、すべての顧客に一斉にメールを送ることはしておらず、それ以来多くのことが変化しました。送信を開始した際は、送信が完了するまでに10時間以上かかることが明らかになり、ユーザーがより妥当な時間尺度で同じ資料情報を受信できるようにすることがチームに求められました。

これに対処するために、ツールは1,000アドレスのバッチで単一のSendGrid API呼び出しを送信するように素早く書き換えられました。残念ながら、時間の制約により、これは通常の品質保証プロセスを通過しませんでした。このAPI呼び出しによって、連結されたTo:フィールドが作成され、顧客の電子メールアドレスが漏洩することは、すぐには理解されませんでした。この問題を察知した段階で、それ以上の電子メールの送信を阻止し、根本原因の対処を行いました。

BitMEXはエンジニアリングを真剣に考えている会社であり、このような配慮の不足が顧客に望まない情報開示をもたらしたことを大変残念に思っています。こうした失敗の原因は、エンジニアではなくプロセスにあると考えています。弊社のプロセスはここで失敗しましたが、24時間体制でプロセスを改善し、一見非常に単純に見えるコード変更であっても厳格な審査を受けるようにしています。

さらに、本件とは関係なく、BitMEXのTwitterアカウントが外部の個人によってアクセスされました。アカウントは6分以内にBitMEXの管理下に戻り安全が確保され、セキュリティレビュー中です。

メールアドレス以外の個人情報やアカウント情報は一切公開されておらず、当社の基幹システムにリスクはありませんでした。

影響を受けたユーザーに関して

多くのBitMEXユーザーは、このアクションの影響を受けました。以下の手順で影響の有無を自己診断できます。

  • インデックスの変更に関する電子メールを受信し、ユーザーの電子メールだけが [宛先:]フィールドに唯一表示されていた場合は、影響を受けていません
  • インデックス変更の電子メールを受信し、 [宛先:]フィールドに複数のアドレスが表示されている場合は、影響を受けています
  • インデックス変更のEメールを受信していないにもかかわらず、このEメールを受信した場合は、影響を受けたと考えてください。システムが完了する前に停止されていましたが、多くの受信者は不満のため、またはそれ以上の電子メールを止めることを期待して、BitMEXの電子メールをスパムとマークし始めました。これはいくつかのホストで配達可能性の問題を引き起こし、メールが配達されない原因となりました。残念ながら、お客様がメールを受け取っていない場合であっても、他の誰もメールを受け取っていないということにはなりません。
    • スパム報告によって引き起こされた配達可能性の問題により、本件後に実施されたパスワードのリセットが数時間遅れました。我々のオペレーションチームは11月2日UTC06:00までにこれを是正しました。

私たちが行っていること

この事実が発覚した後、BitMEXの従業員はユーザーのリスクを軽減するために日夜作業を行いました。私たちは多くのユーザーがサービス間でメールアドレスを再利用していることを認識しております。これは、パスワードを再利用するという非常に一般的な傾向と相まって、他のプラットフォーム(暗号通貨とは無関係なものであっても) でのパスワードハッシュダンプのために、多くのユーザーが危険にさらされていることを意味していました。

そのため、ユーザー様への告知後、以下の対応を行いました。

  • セキュリティおよびサポート・チームは、本件発生後に疑わしいアクティビティが発生したアカウントにフラグを付けるために、アクセス・パターンの監視を強化し始めました。これにより、いくつかのアカウントのパスワードがリセットされ、サポート担当者による確認が行われました。
  • UTC13:00に、出金時の通常の人間によるレビューの際に追加のチェックを行いました。我々は状況を考慮の上、不正アクセスを示す基準を特定し、以下の条件を満たすアカウントからのリクエストをキャンセルしました。 (i) 二要素認証が設定されていない、(ii)以前には見られなかったBitcoinアドレスへの出金が申請されている、(iii)以前には見られなかった新しいIPアドレスから申請されている、(iv)メールが公開された後に行われている。これら以外の出金申請は影響を受けておりません。これらの措置は、ユーザーを保護する目的で実施されたものであり、影響を受けたユーザーにはすでに連絡がなされています。
  • いくつかのグループがBitMEXの電子メールを照合して不正アクセスしようとしていることが明らかになると、BitMEXのエンジニアは、二段階認証がなく残高を有するアカウントのすべてのユーザーのパスワードを強制的にリセットしました。影響を受けたユーザーには、電子メールで通知が行われました(これは徹底的な品質管理レビューと元のバグの見直しの後に実施されました)。
  • BitMEXサポート(お問い合わせはこちら)は、通常よりも長い時間をかけて、Eメールアドレスの変更、質問への回答、およびセキュリティ評価とアドバイスの提供に関するお客様のリクエストを処理し続けています。

BitMEXや他のプラットフォームで個人的な露出が心配な場合は、すべての重要なサービスで二段階認証を有効にするのが最善の方法です。まずはご自身のメールアドレスから二段階認証の設定をして頂けます。BitMEXは、このセキュリティについてのアドバイスを共有しており、Paul Stamatiouによる記事もご覧いただけます。

BitMEXのエンジニアリングチームは、プラットフォームでサポートされるセキュリティキーの数の増加、アカウント通知のシグナルの改善、アカウント乗っ取りの回避と封じ込めを行うためのツールをユーザーに提供する新機能に取り組んでいます。

お客様にして頂くこと

電子メールアドレス以外の個人情報やアカウントの詳細は開示されませんでしたが、ベストプラクティスとして、次のことをお勧めします。

  • フィッシングにご注意ください。BitMEXからのメールは「support@bitmex.com」と「noreply@bitmex.com」から送信されます。これらの電子メールが迷惑メールフォルダに入らないように、これらの電子メールアドレスを連絡先リストに追加してください。BitMEXがユーザーにパスワードを求めることはありません。
  • BitMEXはお客様に送金を要求することはありません。BitMEXアカウントに資金を入金する唯一の方法は、お客様の固有のBitMEXデポジットアドレスにBitcoinを送ることのみです。お客様のユニークなBitMEXデポジットアドレスは「3BMEX」または「3BitMEX」で始まり、お客様自身のBitMEXアカウントの入金ページで確認できます。
  • 当社の公式BitMEXコミュニケーションチャネルをご確認ください。こちらに記載されているページが主要な公式ソーシャルメディアコミュニケーションチャネルであり、これらを通じて提供される指示のみが公式のものです。
  • また、パスワードは使いまわしのものではなく、強力でユニークなものを使用し、二段階認証の設定がまだの方はこちらのページから設定していただくようお願い致します。セキュリティに関してはこちらのポストをご参照ください。

Eメールアドレス以外には、個人情報やアカウント情報は一切開示されていませんので、ご安心ください。この問題が発生した時点で、当社のシステムは危険にさらされていませんでした。当社はセキュリティを強化するための対策を継続しています。お客様のプライバシーとセキュリティは、引き続き最優先事項です。

当面の間、サポートが必要な場合は、連絡フォームからサポートまでお問い合わせください。

敬具

Vivien Khoo,
Deputy Chief Operating Officer 

Проблема конфиденциальности электронной почты: что происходит и как мы можем помочь

Нам известно, что многих из вас беспокоит утечка адресов электронной почты, произошедшая в прошедшие выходные, и, несомненно, у вас есть множество вопросов по этому поводу.

Наши специалисты по всему миру работают 24 часа в сутки с целью обеспечить безопасность ваших аккаунтов и вернуться к работе в обычном режиме. Наша служба технической поддержки уже помогла многим нашим пользователям, и мы стараемся установить связь со всеми. Мы работаем с целью постепенно обеспечить следование необходимым процедурам, устойчивое обеспечение необходимой поддержкой, а также соблюдение всех стандартов безопасности. Если мы еще не связались с вами, мы сделаем это очень скоро.

Мы приносим свои искренние извинения в связи с беспокойством, вызванным данной проблемой. Ниже мы подробнее расскажем о том, что произошло, о том, как мы можем вам помочь, а также о способах, с помощью которых вы можете повысить безопасность ваших аккаунтов.

Что случилось?

 В пятницу 1 ноября в 06:00 UTC многие из наших пользователей получили сообщения, которые в поле “Кому” содержали адреса электронной почты других пользователей. Это была рассылка общего характера для информирования наших пользователей о планируемых изменениях в наших индексах. В результате многие email-адреса пользователей BitMEX, включая большое количество неактивных адресов, были частично разглашены другим пользователям небольшими разрозненными фрагментами. Никакая другая информация о пользователях не была разглашена.

BitMEX – это глобальный бизнес, работа которого предполагает отправку электронных сообщений с помощью разных почтовых провайдеров. Сама по себе задача доставки информации является комплексной и включает в себя большое количество работы по созданию репутации отправителя и автоматических спам-фильтров. К сожалению, иногда это усложняет работу больших сервисов (таких как BitMEX): мы выполняем массовую рассылку всем пользователям только в редких случаях. Мы стараемся тревожить пользователей как можно реже и отправляем уведомления только в случае крайней необходимости.

Рассылка информации о планируемых изменениях в наших индексах играла важную роль. Данное изменение окажет воздействие на все наши инструменты, и мы посчитали необходимым уведомить пользователей о данном обновлении. Управлять на глобальном уровне массовой рассылкой писем, такой как эта, – непростая задача. Некоторые провайдеры, особенно такие, как Yahoo и 163, имеют в наличии жесткие контрольные правила, которые часто применяются, когда мы посылаем большое количество писем нашим пользователям. Для системных уведомлений о снятии средств, сбросе паролей, ликвидациях очень важно гарантированное получение письма пользователем.

Чтобы это реализовать, мы построили свою систему для обработки отображения, перевода и масштабирования списка рассылки (чтобы не превышать лимиты запросов) важных писем. BitMEX не отправляла письма массового характера каждому клиенту с 2017 года, и с тех пор многое изменилось. Когда мы начали обрабатывать текущий список рассылки, мы поняли, что на завершение отправки писем по данному списку потребуется около 10 часов. У нашей команды было намерение сократить данное время, чтобы пользователи получили корреспонденцию в приемлемые временные промежутки.

Для решения вышеуказанной задачи был оперативно переписан инструмент, отправляющий в API SendGrid запросы в виде списков по 1000 адресов. К сожалению, из-за жестких временных ограничений, данное изменение ПО не было подвергнуто нашей стандартной процедуре контроля качества. Выяснилось, что запрос к API объединяет все адреса в поле “Кому” в одну запись, вызвав тем самым утечку пользовательских email-адресов. Как только мы обнаружили проблему, отправка дальнейших писем была немедленно приостановлена и причина сбоя была устранена. С этого времени мы помогали всем, кого это затронуло, задействовав все наши ресурсы с тем, чтобы минимизировать ущерб и остановить утечку информации.

BitMEX – компания, которая серьезно относится к разработке ПО, и мы разочарованы тем, как данное упущение привело к ненамеренной утечке пользовательских данных. Мы считаем, что не разработчики, а производственные процессы стали причиной инцидента. Именно производственные процессы послужили причиной в данном случае. Мы круглосуточно работаем над их улучшением. Впредь самое простое изменение кода будет подвергнуто строгому тестированию.

Также произошел другой инцидент, не относящийся к данному событию. К Twitter-аккаунту BitMEX получил доступ посторонний пользователь. Мы восстановили полный контроль над Twitter-аккаунтом в течение 6 минут и обеспечили его безопасность.

Помимо email-адресов, никакая другая персональная информация не была разглашена. Также наши основные системы не были подвергнуты какому-либо риску.

Кто был затронут?

Данный инцидент затронул большинство пользователей BitMEX. Вы можете проверить, затронул ли вас данный инцидент, используя инструкцию ниже:

  • Если вы получили сообщение об изменениях индекса и в поле “Кому” содержится только один email-адрес, то вы не были затронуты.
  • Если вы получили сообщение об изменении индекса и увидели другие адреса в поле “Kому”, то вы были затронуты.
  • Если вы не получили сообщение об изменениях индекса, то вы предположительно были затронуты и мы по-прежнему рекомендуем следовать инструкции ниже, чтобы повысить вашу онлайн-безопасность. Во время отключения системы отправки сообщений многие получатели начали помечать наши сообщения как спам, по понятным причинам надеясь остановить дальнейшую входящую корреспонденцию. Это привело к сбоям доставки на некоторых хостах (серверах). К сожалению, если вы не получали писем, это не означает, что ваш email-адрес не получили другие.
    • Сбои в доставке также привели к задержкам с доставкой писем о сбросе паролей на несколько часов. Наши технические команды устранили неполадку до 6:00 UTC 2 ноября.

Что мы делаем для оказания помощи пользователям?

После обнаружения утечки персонал BitMEX круглосуточно работал над уменьшением пользовательских рисков. Мы в курсе, что многие пользователи используют свои email-адреса и в других сервисах. Данный факт, комбинированный с тенденцией у человека использовать одни и те же пароли, означал, что многие наши пользователи подверглись риску на других платформах, в том числе, не имеющих отношения к криптовалютам.

В связи с вышесказанным, мы предприняли следующие шаги после уведомления пользователей об утечке email-адресов:

  • Наша служба безопасности и служба поддержки начали расширенный мониторинг пользовательских учетных записей на предмет подозрительной активности после утечки. Это привело к сбросу паролей для ряда аккаунтов и проверке с помощью сотрудников техподдержки.
  • В 13:00 UTC того же дня была проведена дополнительная проверка безопасности наряду с нашей стандартной ручной проверкой запросов на вывод средств. Мы идентифицировали критерии, по которым могли быть выявлены подозрительные операции по выводу средств. Мы отменили заявки на вывод средств, которые были произведены: (i) с аккаунтов без двухфакторной аутентификации, (ii) с использованием ранее не встречавшегося у данной учетной записи биткоин-адреса для вывода, (iii) с использованием ранее не встречавшегося у данной учетной записи IP-адреса, и (iv) сразу после инцидента утечки.
    Все другие выводы затронуты не были и были обработаны в обычном режиме.
    Вышеуказанные действия были предприняты в интересах защиты соответствующих пользователей, затронутых инцидентом, с которыми мы уже связались. 
  • Как только стало ясно, что несколько групп злоумышленников работают вместе для объединения разрозненных фрагментов и списков, инженеры BitMEX инициировали сброс паролей для всех учетных записей без двухфакторной аутентификации. Затронутые пользователи были уведомлены по электронной почте (после тщательной проверки отделом контроля качества в отношении предыдущей ошибки при отправке писем).
  • Служба поддержки BitMEX (обратная связь) работает в расширенном режиме, продолжая обрабатывать заявки пользователей об изменении email-адресов, отвечая на вопросы и консультируя пользователей по вопросам безопасности.

Если вы обеспокоены компрометацией персональных данных на BitMEX или других сервисах, пожалуйста, установите двухфакторную аутентификацию на всех критичных сервисах, начиная в первую очередь с вашей электронной почты. BitMEX ранее опубликовала объявление на эту тему, как и другие источники, включая руководство Пола Стаматоу.

Технические команды BitMEX работают над обновленным функционалом с целью увеличения количества опций безопасности, поддерживаемых на платформе, улучшением сигнальных свойств уведомлений учетных записей и новыми инструментами противодействия перехвату аккаунтов для пользователей.

Требуются ли от меня какие либо действия?

Несмотря на то, что ни персональная информация, ни детали аккаунта за исключением адреса электронной почты не были разглашены, мы просим вас:

  • Будьте бдительны в отношении попыток фишинга. Сообщения от BitMEX отправляются только с адресов support@bitmex.com и noreply@bitmex.com. Мы советуем внести эти адреса в список контактов. Мы ни при каких обстоятельствах не будем просить вас предоставить ваш пароль.
  • Отметьте, что BitMEX не при каких обстоятельствах не будет просить вас переводить средства. Единственным способом пополнения аккаунта на ваш аккаунт BitMEX является перевод средств на уникальный депозитный адрес BitMEX, который начинается с префиксов “3BMEX” или “3BitMEX”. Вы можете найти ваш BitMEX адрес на странице “Депозит”. 
  • Пожалуйста, ознакомьтесь со списком наших официальных средств коммуникации. Следует принимать во внимание только инструкции, опубликованные в вышеуказанных источниках.
  • Убедительная просьба защищать ваши аккаунты посредством использования надежных и уникальных паролей. Включите двухфакторную аутентификацию (2FA) аккаунта (на почте и на аккаунте BitMEX) и используйте менеджер паролей.

Мы бы хотели повторно заверить вас в том, что никакая персональная информация пользователей (за исключением email-адресов) не подверглась утечке. Все наши системы находятся в полной безопасности. Мы продолжаем работу над средствами дополнительной безопасности наших пользователей и платформы. Сохранение вашего права на конфиденциальность и ваша безопасность являются наивысшим приоритетом BitMEX.

Если вам необходима срочная помощь, пожалуйста, свяжитесь с нашей службой технической поддержки с помощью контактной формы.

С уважением,

Vivien Khoo,
Deputy Chief Operating Officer

Email Privacy Issue: What Is Happening And How Can We Help

We understand many of you are concerned about the email disclosure which happened over this weekend and no doubt have many questions.

Our teams across the world have been working around the clock to protect your account security and make sure we are back on course. Our support team has already assisted many of our users and we are continuing to establish contact with everyone. This is a staggered process, to ensure that the proper processes are all followed, the delivery is logistically smooth and that all underlying security concerns are appropriately covered. If you have not yet heard from us already, you will do very soon.

We would like to apologise unreservedly for the concern this has caused. Below contains further information about what happened, how we can assist you and some steps that you can take to improve your protection.

What happened?

On Friday, November 1 at 06:00 UTC, many of our users received an email which contained the email addresses of other users in the “To:” field. This was a general email update to our users about upcoming changes to the weighting of our indices. As a result, many BitMEX user email addresses, including a large number of inactive addresses, were disclosed to other users in small batches. No other information was disclosed.

BitMEX is a global business that sends emails to many different email providers. Email deliverability itself is a multi-layered problem, involving decades of work in building sender reputation systems and automatic spam filters. Unfortunately, this makes the job of large services such as BitMEX difficult at times: we only send mass emails to all users on rare occasions. We intend to keep a high signal-to-noise ratio, and only send emails when absolutely necessary.

The index change we published on 1 Nov was of sufficient importance – it will impact pricing of all of our products – that we felt it necessary to inform all our users about it. However, bulk mail sends such as this are a difficult and complex undertaking when it’s on a global scale, to all recipients. Some mail servers, especially the global arms of large brands like Yahoo and 163, have very tight controls that are often triggered when we send large amounts of mail. For system notifications such as withdrawals, password resets, and liquidations, it is imperative that the customer receives mail dependably.

To remedy this, we built an in-house system to handle the necessary rendering, translation, staging, and piecemeal (as not to trigger rate limits) sending of important email. BitMEX has not sent an email to every customer at once since 2017, and much has changed since then. When we initiated the send, it became clear that it would take upwards of 10 hours to complete, and there was a desire on the team to ensure users received the same material information on a more reasonable timescale.

To handle this, the tool was quickly rewritten to send single SendGrid API calls in batches of 1,000 addresses. Unfortunately, due to the time constraints, this was not put through our normal QA process. It was not immediately understood that the API call would create a literal concatenated “To:” field, leaking customer email addresses. As soon as we became aware, we immediately prevented further emails from being sent and have addressed the root cause. Since then we have been aiding all who have been affected as best we can and mitigating the damage to contain the leak.

BitMEX is a company that takes engineering seriously, and we are disappointed that this lapse in care has resulted in unwanted disclosure for our customers. We believe that processes, not engineers, are to blame for these failures. Our processes failed here. We are working around-the-clock to revamp them and to ensure that even the simplest-looking code changes are put under strict review.

Additionally, and unrelated to this action, the BitMEX Twitter account was accessed by an external individual. The account was back under BitMEX control within 6 minutes and re-secured, and the event is under security review.

Beyond email addresses, no personal or account information has been disclosed. At no point were any of our core systems at risk.

Who was affected?

Most BitMEX users were affected by this action. You can self-diagnose your exposure with the following steps:

  • If you received an email about the index change, and your email was the only one listed in the “To:” field, you were not affected.
  • If you received the index change email, and you saw multiple addresses in the To: field, you were affected.
  • If you did not receive an index change email, you may have been affected and we still recommend that you follow steps below to improve your protection online. While the system was cut-off before it completed entirely, many recipients began marking BitMEX emails as spam, understandably out of hope that it would stop further emails. This caused deliverability issues at some hosts, causing mail not to be delivered. Unfortunately, someone else in your batch may have received the email, exposing your email address.
    • The deliverability issues caused by the spam reporting caused some follow-up password resets to be delayed for several hours. Our operation teams remedied this by 06:00 UTC on Nov 2.

What are we doing to help?

After the discovery of the disclosure, BitMEX employees have since worked through the nights and days to reduce risk for users. We are aware that many users reuse email addresses across services. This, combined with a very human tendency to reuse passwords, meant that many of our users may have been at risk due to password hash dumps on other platforms, even ones unrelated to crypto.

For this reason, we took the following steps after we notified our users of the disclosure:

  • Our Security and Support teams began enhanced monitoring of access patterns to flag accounts with suspicious activity after the disclosure. This led to several account password resets and human review with Support.
  • At 13:00 UTC on the day of the email, we conducted additional checks during our usual human review of withdrawals. We identified criteria that could be indicative of a compromise given the circumstances. We cancelled requests from accounts that (i) did not have two-factor authentication, (ii) were withdrawing to a previously unseen Bitcoin address, (iii) were submitted with previously unseen new IP address, and (iv) were made after the email address disclosure had occurred. All other withdrawal requests were unaffected. These actions were taken in the interest of protecting our users and those affected have already been contacted.
  • As it became clear that several groups were working to collate BitMEX email addresses in order to attempt to compromise them, BitMEX engineers forced a password reset for all users with balances and without Two-Factor devices. Affected users were notified via email (after a thorough QA review and retrospective on the original bug).
  • BitMEX Support (contact here) is working shifts with extra agents, continuing to handle customer requests to change email addresses, answer questions, and provide security assessment and advice.

If you are concerned about your personal exposure, on BitMEX or on any other platform, the best thing you can do is to enable Two-Factor Authentication on all critical services. Start with your email address first. We have  published advice on this topic, as have others, including this very helpful guide by Paul Stamatiou.

BitMEX engineering teams are working on new features to increase the number of security keys supported by the platform, to improve the signal of account notifications, and to give users more tools to avoid and contain account takeovers.

Do I need to do anything?

Although no-one’s personal information or account details beyond their email address were disclosed, as best practice, we recommend that you:

  • Please be vigilant against phishing attempts. Emails from BitMEX are sent from “support@bitmex.com” and “noreply@bitmex.com”. We recommend adding these addresses to your contacts list. We will never ask for your password.
  • Note that BitMEX will never ask you to transfer any funds. The only way to fund your BitMEX account is to send Bitcoin to your unique BitMEX deposit address. Your unique BitMEX deposit address will begin with “3BMEX” or “3BitMEX” and can be found on the deposit page of your BitMEX account.
  • Please take note of our official BitMEX communications channels. Only instructions provided via these avenues should be observed.
  • Protect your account by using strong and unique passwords; enabling Two-Factor Authentication (2FA) for all of your accounts (both BitMEX and personal); and to use a password manager.

We want to reassure you that beyond email addresses, no personal or account information has been disclosed. At no point during this issue were any of our systems at risk, and they remain secure, as we continue to take measures to enhance our security. Your privacy and security remain our top priority.

In the meantime, if you need any immediate assistance, please contact Support via our contact form.

Vivien Khoo,
Deputy Chief Operating Officer