转者注:原贴来源于 twitter 主 @CryptoNakamao ,希望大家也关注下交易所安全问题。
直到现在我整个人还是懵的,这几乎是我这几年全部的积蓄。
黑客在没有拿到我的币安账号密码,二次验证指令( 2FA )的情况下,通过“对敲交易”的方式盗走了我账户内的近全部资金,在我事后与安全公司的调查中,发现了更加令我吃惊的的事,最终我明白,我是一个币圈卧底的牺牲品,整件事过于离奇,我今天鼓起勇气把这个故事写下来,是为了让其他人不要重蹈我的覆辙,我从没想过我的资产会以如此方式被清空,给加密投资者警示,不要再成为下一个我!
5 月 24 日,一个平常的周五,我结束工作在回家的路上,期间我的电脑和手机都在我的身边,而此时,我的账户却在疯狂的交易,我则毫不知情。
QTUM/BTC 由于我账户的买入上涨了 21%,DASH/BTC 由于我账户的买入上涨了 27%,还有 PYR/BTC 上涨 31%;ENA/USDC 上涨 22%;NEO/USDC 上涨 20%。
这些操作直到我一个半小时后习惯性的打开币安看 btc 价格时才发现。
事后安全公司和我说,这是黑客通过挟持我网页 Cookies 的方式在操纵我的账户,黑客在流动性充沛的 USDT 交易对购买相应代币,在 BTC 、USDC 等流动性稀缺的交易对挂出超市场价的限价卖单。最后用我的账户开启杠杆交易,超额大笔买入,完成对敲。
在整个过程中,我没有收到任何来自币安的安全提醒,可笑的是,第二天我还因为交易量过大,收到了现货做市商的邀请邮件。即使这种情况下,我的账户被盗时也没有任何的预警和冻结,黑客的资产也未受到任何的限制。这让我感到非常费解。
在意识到我的账户被盗后,我第一时间与客服取得了联系,但在这个过程中,黑客仍在操作我的账号。按道理,黑客的资金一定还留在平台内,但我得到的来自币安的回复是,黑客安然无恙的从币安提走了他所有的资金。更难以理解的是,这个黑客仅用了一个账户,如此明显的对敲交易。让我对币安的风控大跌眼镜。
在事件发生的第一时间,我不仅告知了币安客服,还在 TG 上私信了一姐,一姐非常敬业,第一时间将我的 UID 交给了安全团队。但让我没想到的是,即便是有一姐的督促,币安工作人员还是用了一天多的时间,才通知 Kucoin 和 Gate 将黑客转入的资金冻结。结果不用说,黑客的资金早已转出(已查证)。冻结已经毫无意义。
在整个过程中,币安工作人员的反应十分迟缓,没有帮用户挽回任何损失,我是币安的忠实用户,这些年来一直都在币安上交易,这真的让我十分失望。这真的是想帮用户追回资金么?
眼看交易所拦截已经彻底失败,我便寻求安全公司的帮助,看看是否能锁定黑客,首先我便要弄清楚第一个问题,在我的电脑手机都在身边,我也没有收到任何币安账户新设备登录提醒,异地登录提醒的情况下,黑客是怎么操作我的币安账户的?
最终,我与安全公司把罪归祸首锁定在了一个平平无奇的 Chrome 插件 Aggr 上。这是一个历史悠久的开源行情数据网站的 Chrome 插件版,我见有很多海外 KOL 和一些 TG 频道在推荐该插件,而且推荐已经有几个月时间了,所以下载这个插件,试着查看一些数据。
关于 Chrome 的恶意插件造成严重损失的情况,目前加密中文圈还没有太多案例。目前看,我可能是第一例。请一定记住,Chrome 网页插件与下载恶意应用程序损伤一样大。不要随意下载和使用 Chrome 插件!为了引起大家的警觉,我可以列举出一种最极端的情况:你常用的 Chrome 插件甚至可以在一次更新后完成恶意代码的植入。
该款恶意插件的具体运行原理是:如果你安装并使用了恶意插件,那么黑客就可以收集你的 Cookies ,并将其转发到黑客的服务器。黑客能够利用收集的 Cookies ,劫持活跃用户会话(伪装为用户本人),这样黑客不再需要密码或 2FA ,能够控制你的帐户。
在我的实际情况中,因为我的资料保存在 1password 之中,黑客没有办法绕过 2FA 提走我的资产。但可以利用我的 Cookies ,通过挟持我的账户,对敲获取收益。
于是我找到推广 KOL ,我要确定他是否是黑客的同谋,如果不是,那他要立刻通知他的所有用户,马上停用这个插件,避免更大的损失,但在和他去的联系后,更加让我震惊的故事来了。
原来币安早就知道这个插件的存在,甚至鼓励这名 KOL 与黑客进一步获得更多的信息,而我就是在该插件被进一步推广之时被盗的。币安至少在 3 、4 周前就追查到黑客的地址了,也从该 KOL 处获取到插件的名字和链接。但即便如此,币安很可能是为了继续追查这个黑客,避免打草惊蛇,而没有及时通知暂停这个产品,我也就此成为了牺牲品。
今年 3 月 1 日初盛传的一名海外社区成员的币安账户被盗事件也是因为该插件,彼时该事件还引得币安 CEO Richard Teng 专门回复,“币安的安全工作组正在积极调查,以找出问题的根本原因”。所以,我不愿也无法相信币安团队近 3 个月的时间还未查出该插件的问题。
也就是说不论如何,在 Alpha Tree 向加密社区公布插件问题之前的一周或几周前,这个插件的问题早就能被公布和发酵了。
回顾整件事情,如果黑客直接提走资金,我也无话可说,但是黑客在币安随意的对敲和币安后续的补救让我无法接受,更别说币安已经在调查这个黑客和插件许久这件事了。按照时间线总结来看:
1.币安在已知该黑客和插件存在问题情况下,几周不作为也不预防,任由推广继续,让资金损失扩大。 2.币安已知被盗和对敲频发的情况下,仍然不作为。黑客肆意操纵账户长达一个多小时造成多个币对极端异常交易而未有任何风控; 3.币安未及时冻结平台内显而易见的黑客单一账户对敲资金; 4.错过最佳时机,时隔一天多,币安才联系相关平台冻结;
我非常尊重一姐和 CZ ,而且事实上,一姐也在第一时间回复了我,对我提供了帮助,在这个层面我应该感谢一姐,这件事本来应该是一个币安帮助用户挽回黑客盗币损失的佳话,而我今天在写的,也应该是一封对币安工作人员的感谢信,但现实是,币安的工作人员完完全全辜负了我的期待。
之前总看到币安关于彰显自身安全性的文章,每年币安的年度总结也总少不了安全二字,让我对币安充满信心。身体力行的将大量资金以稳定币形式存在币安也是因为信任,但当遇到风险后,币安的一系列行为让我感到陌生。那些华丽的词藻,动辄几亿上百亿的数据,我都没办法相信了。
我在这个把这个故事写下来,一方面是对被盗后的一切都深感迷茫无助。另外更想为大家敲响安全问题的警钟,不要重蹈我的覆辙。随加密货币越来越为人熟知,任何参与者的资产安全和人身安全,都值得重视。
完。
1
zsq00 176 天前 via iPhone
膜拜大佬,邮箱验证码和手机,验证码都不用 确实牛逼
|
2
zhlssg 176 天前
我想知道这个恶意插件是什么
|
3
thoo61871 176 天前
那么多钱放交易所图啥呢
|
4
ChefIsAwesome 176 天前
这个对敲交易有意思,长见识了。
|
5
hgc81538 176 天前 1
所以重要帳戶必須用獨立瀏覽器,並且沒有任何插件
|
6
haidishayu 176 天前
就算黑客通过 Cookies ,最多也就能登录你的币安账户,操作和看到余额,提现都需要,短信验证码,邮件验证码,Authenticator 验证器。币安这么大的平台,竟然可以仅仅是,Cookies ,绕过各种验证,这么低级的错误提现。
|
7
fulajickhz 176 天前
@zhlssg https://x.com/CryptoNakamao/status/1797519128632381847 苦主,就是被控制账户用超高价买了个低流动性的垃圾资产,把钱转到黑客账户上了
Chrome 插件 Aggr 已经挂了 https://chromewebstore.google.com/detail/aggrtrade/dachmjaingllkdmljlfhaphbflehijab?pli=1 https://x.com/Tree_of_Alpha/status/1795403185349099740 |
8
ppking 176 天前
@haidishayu 貌似不是直接提钱,我理解的是控制你账户在一些流动性比较差的品种上交易,以交易亏钱的形式,把钱对敲走的。
|
9
fulajickhz 176 天前
徐波不是在微博上说自己被盗 10 亿的数字货币资产,还在追讨和打官司,忘记单位是刀还是人民币了
英国那个 英国法院于 3 月 18 日裁定 42 岁的华裔英国女子简雯参与洗黑钱罪名成立,将于 5 月 10 日受到判刑。警方在调查期间查获了超过 6.1 万枚比特币,价值约 34 亿英镑 太屌了 怎么都玩这么大 |
10
belin520 176 天前
那么复杂,今天中午的真实案例:
Discord 讨论组里面一个用户说自己的空投币转换之后没有显示出来(价值 3500$),然后有一个人创建了一个名字叫 Channel 的 thread 说“我是管理员,按照我的指示操作即可修复”,然后他就一步一步把自己的币转给了骗子的钱包了 |
12
YUyu101 176 天前
看来最好用隐私模式,怕每次重新登录麻烦的话就额外装个干净的浏览器。
|
13
lisxour 176 天前
这个真不该交易所背锅,不下不明的软件插件,100wu 的人还要别人教?
|
17
funbox 176 天前
app 要安全一些
|
18
ssgooglg 176 天前
@haidishayu 并不是直接提现或者转账的方式盗取的账户资金,这种交易确实会二次验证。
币安我也在用,购买/出售 加密货币的时候不会提示验证(至少我没有过) 大概就是黑客通过操纵被盗者账号以高价 usdt 购买冷门没人要的币种(QTUM,DASH,PYR),黑客会用自己的账户提前高价挂卖出单。多次+多笔+多币种交易就把钱全给撸走了。事实上如果你刚好也买了这种币,也会跟着赚一些前提是你卖的时机对 |
20
NIIIIIIIIIICE 176 天前
所以 Google 今天开始落地推行的 Manifest V3 扩展标准我是支持的,Manifest V2 扩展权限太大,类似 V2 上允许执行远程托管的代码这类权限都该收回。
|
22
zictos 176 天前
“几年全部的积蓄”不代表是他所有的钱吧?
如果鸡蛋不要放在一个篮子里的道理都不懂,那即便能赚到大量钱也可能守不住的。 就不说题中的情况,随便在 youtube 上搜“币安冻结资金”都能搜到很多案例。 |
24
S9Yh4wIFsBG7jnE4 176 天前
傻逼,活该 只能说
|
25
zictos 176 天前
@zictos #22 不止放在币圈的钱要分散在多个渠道,放在币圈的所有钱也最好不要超过总资金的 30%,因为所有放在币圈的资金都可能同时遇到风险,包括 usdt 暴雷也不是不可能,虽然可能性很小很小。
|
26
kongkongyzt 176 天前
所以千万不要混币圈,各种不安全,一不小心钱没了
|
27
weitch 176 天前
账户没有开交易二次确认吗?
|
28
shmilypeter 176 天前 3
看了半天我以为是什么高级技巧,没想到还是最朴实无华的偷 cookies
|
29
mokiki 176 天前
不是转给别人或者提现,所以没有二次验证。
攻击者是通过楼主的账户在币安内买卖交易量小的币种,以此影响此币的价格,从而让此币种的其它交易者获益。 厉害!这种攻击法我第一次见! ps:与主题无关,但是感觉币安很 low ,不吐不快:第一,已经实名了的非美国用户,但是用美国 IP 还是没法交易。第二,充值按钮隐藏的比较深,企图以此幼稚手段留住用户。第三,挖矿打新,跟挖矿是一点关系都没有。就是庄家和币安合谋,庄家上线垃圾币,币安推高 BNB ,两方的组合拳一起割韭菜。 |
30
twofox 175 天前
朴实无华的偷 cookies ,原博主错就错在安装了乱七八糟的插件。
但是这个插件都被这么多个 KOL 推荐了,很难有警觉 |
31
cooooler 175 天前
100 美元能把这几个币拉这么多上去吗
|
33
haidishayu 175 天前
@ssgooglg 明白了,这个操作有点 有点厉害了
|
34
haidishayu 175 天前
@cooooler 100 万 U ,冷门币种很容易
|
35
shaozelin030405 168 天前
所以说还是放到冷钱包里好些
|