WEEX 唯客博客, 作者:陀螺財經 安全事件,在傳統金融已然不少見,而在黑暗森林般的匿名幣圈,更是司空見慣的存在。 數據顯示,僅剛剛過去的5月,加密圈就發生了37起典型安全事件,因黑客攻擊、釣魚詐騙和Rug Pull造成的總損失金額達1.54億美元,較4月增長約52.5%。 就在6月3日,兩起安全事件再度發生,與其他事件略微不同的是,兩起事件都與大型交易所相關聯,過程也頗為離奇,只是故事的最後,也是有人歡喜有人憂。 6月3日,一位網名為Nakamao的用戶在 X 平台發布的長文被瘋傳,其在文中提到「自己成為了幣圈犧牲品,幣安賬戶里100萬美元灰飛煙滅。」在娓娓道來的自述中,一環接一環的黑客盜竊揭開了序幕。 據稱,5月24日,Nakamao尚在工作途中,所有的通訊設備並未離身,但就在這種看似萬無一失的背景下,黑客卻在沒有拿到幣安賬號密碼、二次驗證指令(2FA)的情況下,利用對敲交易盜走了其賬戶里所有的資金。 對敲交易,簡而言之,在流動性稀缺的交易對中進行大額交易,通過交易方大規模買入去接盤黑客賬戶的拋售,最後,對方以某個山寨幣種獲得了實際資金或穩定幣,而買家則接手了賣家手中的山寨幣。該種盜竊方式在交易所並不罕見,在22年,FTX就因3commas API KEY 泄露發生過高達600萬美金的對敲盜竊,當時的SBF用鈔能力兌付擺平了此事。而後,幣安也相繼發生過大規模對敲交易。但這種模式的歹毒之處就在於,對於風控欠佳的交易所而言,只是很平常的交易行為,不存在異常的盜竊。 在這起案件中,QTUM/BTC、DASH/BTC、PYR/BTC、ENA/USDC和NEO/USDC被選中,利用用戶的大額資金購入上漲超20%。而黑客的所有操作,用戶都並未發現,直到1個多小時后查看賬戶信息才發現異常。 根據安全公司的回復,黑客通過挾持網頁Cookies的方式操縱用戶賬戶,簡單來說就是利用了網頁端保存的終端數據。舉一個典型的例子,我們在互聯網進入某個界面時,不需要賬戶密碼登錄,因為此前已然留下了歷史訪問與默認記錄。 事情到這,或許僅僅是用戶自身疏忽造成的,然而,後續卻變得更加詭異了起來。在被盜后,Nakamao第一時間與客戶以及幣安聯合創始人何一取得了聯繫,將UID交給安全團隊,寄希望在短時間內將黑客資金凍結。但幣安工作人員卻耗時了長達1天才通知Kucoin和Gate,沒有絲毫意外,黑客資金早已不翼而飛,而且黑客僅用了一個賬戶,並未分散賬戶,就安然無恙的從幣安提走了所有的資金。在整個過程中,用戶不僅沒有收到任何的安全提醒,更為諷刺的是,由於大額交易的買入,第二日,幣安竟還給其發出了現貨做市商的邀請郵件。 在事後的復盤中,一個平平無奇的Chrome插件Aggr又進入了Nakamao的視野。該插件用於行情數據網站查看,據被盜者描述,其看到有多個海外KOL進行推廣長達數月時間,於是出於自身需要,進行了下載。 在這裡簡單進行科普,插件實際上是可以進行多項操作的,理論上而言,它不僅可以通過惡意擴展登錄交易賬戶,訪問用戶的賬戶信息進行交易,還可提取資金與修改賬戶設置,核心原因就在於插件本身具備廣泛的許可權訪問、操作網路請求、訪問瀏覽器存儲、操作剪貼板等多項功能。 在發現插件有問題后,Nakamao馬上找到KOL進行詢問,並告誡KOL通知用戶停用此插件,但沒想到,迴旋鏢就在這一刻,插到了幣安。據Nakamao最初自述,幣安此前就已了解到該插件的問題,在今年3月就有類似案件發生,而幣安也在此後追蹤到了黑客,或是為避免打草驚蛇,沒有及時通知暫停產品,且還讓KOL繼續與黑客保持聯絡,而在此階段,Nakamao就成了下一個受害者。 僅用Cookies就能登錄進行交易,幣安機制必定也是存在一定問題,但本身事件又切實由用戶自身疏忽引起,追責成為了難題。 果不其然,事後幣安對此的回應,又在市場上引起了軒然大波。除了官方賬號復盤稱本身原因是黑客攻擊外,幣安並未注意到AGGR插件的相關信息外,在一個微信群中,何一也對此事件評論道「這個事用戶自己電腦被黑,神仙難救,幣安也沒辦法賠償用戶自己設備中招。」 對於幣安的操作,Nakamao顯然不能接受,認為幣安存在風控不作為,且KOL有明確確認向幣安團隊提及該插件,幣安也存在知情不報之嫌。隨著輿論持續發酵,幣安也再度回應稱將申請一筆獎勵作為用戶報告惡意插件的回饋。 本以為事情到此已然告一段落,但有趣的是,到了6月5日,事件又出現了反轉。Nakamao再度在X平台發文向幣安公開道歉,稱是與幣安有信息差且個人有主觀臆斷成分,幣安實際上並未知情插件的相關情況,幣安首次得知aggr.trade的網址也是在5月12日,並非此前提到的3月。此外,KOL也不是幣安的卧底,KOL與幣安溝通針對在賬戶問題上,而不是插件問題。 不論這番言論真假,但是態度180度大轉彎,從失望喊話到公開致歉,也已可以看出幣安必定是對其有所賠付,而賠付具體為多少,也就不得而知了。 另一方面,無獨有偶,在6月3日,除了幣安,OKX也受到了波及。一名OKX的用戶在社區稱,賬戶被AI換臉盜竊,賬戶中的200萬美金被轉走。該事件發生在5月初,據該用戶描述,其賬戶被盜的原因與個人泄露無關,而是黑客通過登錄郵箱號點擊忘記密碼,並同步構建了一個假身份證以及AI換臉的視頻,繞開了防火牆,進一步更換了手機號、郵箱以及谷歌的驗證器,隨後在24小時內,盜取了賬戶所有資產。 儘管未看到視頻,但從該用戶的表述,可以大概率知道該AI合成視頻非常拙劣,但即使如此,也仍攻破了OKX風控體系,因此用戶認為OKX也負有責任,希望OKX能全額賠付其資金。但實際上,若是仔細分析,作案人必是熟悉該用戶,且了解用戶習慣與賬戶金額的人,可以判定為熟人作案,用戶自己也在信中提到了有朋友與自己形影不離。按照一般情況,OKX也不會對此進行賠償。目前,這一用戶已報警處理,計劃通過警方進行追償。 針對這兩起事件,加密社區也對此進行了廣泛討論。當然,從安全的角度而言,儘管諸多人強調錢包自託管才有資產絕對控制權,但不得不承認,交易所相比個人控制,還是更加安全,核心就是增加了溝通方。交易所至少是可以對接且聯繫到的直接第三方,無論結果如何,至少會在其中介入調查,而若溝通得當,也可能像上述受害人一般獲得賠付,但若自託管錢包被盜,幾乎沒有任何可兜底的機構。 但對於當前交易所的安全改進,也是迫在眉睫。大型交易平台掌控著大多數用戶的資產,而加密資產又存在難追償性,安全也更應得到重視。在傳統金融的使用中,幾乎每次登出必然需要再次輸入密碼以防止賬戶被控,在轉賬時通常也需要額外增加驗證方式。因此,社區建議,交易平台應增加密碼鎖功能,交易前增加2FA驗證,且IP更換后也應重新輸入驗證,或是採取多方安全MPC驗證,將密碼分散化,通過犧牲用戶體驗以提升安全性。但也有用戶認為,多次重複驗證對於高頻交易而言過於瑣碎,難以具備可行性。 何一也對此進行了回復,稱「目前對突發價格波動已經疊加大數據報警和人工雙重確認,也會給用戶增加提醒;在插件運行、Cookie的授權上即將增加驗證頻率,在這個場景交易密碼不適用,但幣安會根據用戶的差異增加安全驗證環節。」 回到出發點,從兩起事件來看,用戶也需引起高度重視,增強自身安全意識,在分散放置資產的前提下,盡量使用完全獨立的設備進行操作,推薦使用分散認證、不以便捷性為核心,避免設置免密和活體認證,謹慎使用插件,對於大額資產,使用硬體錢包進行存儲。 畢竟加密資產不同於實體資產,實體至少可以進行追蹤,而加密資產的盜竊,由於監管的限制,幾乎很難獲得後續賠付,甚至立案都頗為困難。 這種案例也不少見。在日前1818黃金眼的報道中,就出現了典型例子。受害人朱先生髮現了知乎上一位號稱憑藉炒幣獲得千萬收入的大佬「程七七」,希望跟隨其炒幣賺錢。兩者協商后,通過合同簽訂實現分潤合作,明確盈利的70%歸屬於程七七,30%朱先生自留,而若虧損,兩者各承擔50%,在交易過程中,朱先生僅跟單操作,所有賬戶歸屬權均掌握在自身手中。 如此高額的分潤,看似具有信任度的合同,並沒有帶來可信任的結果。在最初小獲盈利后,受害人加大了籌碼投入,在程七七保證的「爆倉全賠」口號中,用借來的本金60萬、槓桿百倍做空ETH,最後由於ETH的上漲,受害人血本無歸。 該種情況顯然難以立案,原因是所有操作都為個人所為,並不存在詐騙或強迫性行為,而事情的最後,警方、記者也只能無奈強調,根據我國法律法規,虛擬貨幣交易不受保護,存在高度風險,提高警惕等等。 最終朱先生帶著心碎又無辜的表情,上演了一場啼笑皆非的結尾。 無論如何,在此還是再度提醒參與交易的看客們,在任何一個金融領域,即使是在加密圈,這一本來就犧牲部分安全性而獲取高額利潤與自由度的板塊,安全,也遠比效率或者盈利更加重要,這或許也是號稱去中心化的加密世界難以離開中心化的原因之一。 畢竟,人性就是如此。每個人都希望有人兜底,而即使賺的錢再多,也不願給他人做嫁衣。 WEEX唯客交易所官網:weex.com
AI 換臉、插件陷阱,兩起安全事故致用戶損失超千萬
Previous: 紐約梅隆銀行:39%的家族辦公室正投資或探索加密貨幣