作者ccbbaa (幻呱呱)
看板DigiCurrency
标题[新闻] 90万积蓄全没了!他玩虚拟货币惨遭骇客入
时间Thu Dec 2 12:32:22 2021
https://udn.com/news/story/121591/5930339
90万积蓄全没了!他玩虚拟货币惨遭骇客入侵 「两疏失」血本无归
2021-12-01 17:36 联合新闻网 / 综合报导
近两年来比特币价格水涨船高,不少民众想靠虚拟货币翻身,却容易忽视了其背後包括匿
名性、跨国性等衍生出的高风险。一名25岁网友在脸书分享自身惨痛经验,表示接触虚拟
货币近一年,日前却遭骇客入侵,市值达90万的积蓄一夕全没了,也提出自己在投资上的
疏失,以此警示所有投资人。
原PO在脸书社团「爆料公社二社」发文表示,自己日前在使用 MetaMask 钱包(俗称「小
狐狸钱包」,为储存虚拟货币的线上钱包)遭骇客入侵,由於加密货币是浮动的,详细金
额难以估计,恐造成70至90万元的损失。
原PO表示,自己平时非常警惕,不随意进入钓鱼网站、电脑定期扫毒等,但某天却发现钱
包中的加密货币遭骇客转为他种虚拟货币、以不同网站分两笔汇出。原PO事後反省认为犯
了两疏失:一、把所有钱都统一放在一个篮子(意指钱包);二、没有使用硬钱包(冷钱
包)储存虚拟货币,也发现国外早有许多网友发生过同样案例。
然而托管货币的线上钱包仅需12个英文字母即可登入,在 MetaMask 登入及转帐也不会留
下任何IP,因此原PO可能求助无门,找回这笔积蓄的机率极低。
根据《维基百科》介绍,随虚拟货币蓬勃发展,因应不同的使用情况也发展出不同类型的
钱包,常见可分为「热钱包」(线上钱包)及「冷钱包」(离线钱包)两种类。热钱包可
将虚拟资产储存於浏览器、手机APP上,虽然方便性高、容易操作,安全性却较低;冷钱
包则需藉由类似USB的硬体设备储存虚拟资产,只有进行交易时才会连网,大大增加了其
安全性,但较不方便操作,且硬体本身价格也不低。
评论:
虾皮一堆卖冷钱包的有没有危险性阿...
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 218.35.191.26 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/DigiCurrency/M.1638419545.A.1A1.html
1F:→ jehovah: 意思是狐狸钱包有资安漏洞? 12/02 12:41
2F:推 Wadient: 应该是被键盘侧录吧 12/02 12:41
3F:→ CrackedVoice: 天知道是不是某天连上钓鱼网站自己没注意 12/02 12:43
4F:推 creepy: 搞半天 交易所钱包最安全 还有2FA 12/02 12:46
5F:推 Wadient: 交易所最大风险就是倒闭,但是会一群人陪你一起 12/02 12:47
6F:推 a2007535: 他这个是自己上了钓鱼网站 按了approve才被领光的 12/02 12:47
7F:推 bluefancy: 我也都这样用而已,确认权限前都要看一下 12/02 12:47
8F:→ creepy: 财产分coinbase ftx 币安 max 币托 五家存放 总不会全爆炸 12/02 12:47
9F:推 wtl: 鸡蛋不要放在同一个篮子 交易所硬体钱包各放一些 12/02 12:57
10F:推 aspirev3: 大币长HOLD 分几家交易所放+1 小币才用狐狸 12/02 13:00
11F:推 musicfreshma: 怕.jpg 12/02 13:01
12F:推 minikai: 主要是他没用冷钱包啊 12/02 13:04
13F:推 xichen0326: 再approve啊 12/02 13:11
14F:推 aixiiae2005: 出金/转移都要OTP或验证码(auth/email) 请问怎麽盗的 12/02 13:17
15F:推 yys310: 楼上这是metamask 12/02 13:23
16F:推 TellthEtRee: 去年小狐狸有山寨的google插件 12/02 13:26
17F:推 aixiiae2005: 懂了..结果放交易所还真的比较安全= = 分散放 12/02 13:38
18F:→ aixiiae2005: 前几大的 12/02 13:39
19F:推 Secret69: 我自己是放币的官方钱包里== 12/02 13:39
20F:推 mickl8101: 买coolwallet 来放应该安全吧? 12/02 13:46
21F:推 Qidu: 90又不是什麽大钱 12/02 13:47
22F:推 creepy: 用离线钱包真的要知道自己在干嘛 要不然很容易被盗 中木马 12/02 13:49
23F:推 zoinsung: 买冷钱包 你怎麽知道厂商有没有备份你的随机乱数 12/02 14:09
24F:→ Boom3: 楼上是被害妄想? 12/02 14:11
25F:推 XX: 我是觉得 操作钱包 可以选一台乾净的电脑 只单纯操作币 12/02 14:13
26F:→ XX: 然後别乱点网站...蛮多人钱包中钓鱼网站被木马骇的 12/02 14:13
27F:→ XX: 常用工具网站直接官网存起来 要用直接点 12/02 14:13
28F:→ XX: 用搜寻的 可能前几个有机会跳出假的 网址要再三确认== 12/02 14:14
29F:推 fantasy1024: 真要安全还是自己写冷钱包吧 存USB用树莓派离线签 12/02 14:18
30F:推 eipduolc: 我现在是比较想知道交易所钱包的风险XD 12/02 14:29
31F:推 louisxxiii: 90也算是很有感的金额吧 还是会痛的 12/02 14:34
32F:→ louisxxiii: 放交易所搞不好都比钱包安全 当然不比冷钱包啦 12/02 14:35
33F:推 newdawn1106: 担心交易所就尽量用前几大的交易所吧相对安全,倒了 12/02 14:36
34F:→ newdawn1106: 也有人陪 XD 12/02 14:36
35F:推 yys310: 备份乱数urrr 会怕自己掷骰子阿== 12/02 15:02
36F:推 creepy: 冷钱包也有客户名单流出 引导到木马网站的前例 非妄想 12/02 15:03
37F:→ creepy: 最安全还是用钱包生成工具 拔掉网路头关掉wifi 完成後直接 12/02 15:04
38F:→ creepy: 摧毁作业系统 12/02 15:04
39F:推 XX: 全球最大交易所版上都不推ZZZzzz 人家还成为华人首富 12/02 15:05
40F:推 wtl: 用冷钱包产生的注记词可以在加一个自己设的passphrase 可以设 12/02 15:06
41F:→ wtl: 特殊字元 就算硬体有备份也猜不到你自己设的passphrase 12/02 15:07
42F:推 doomsday0728: 都不安全,分散风险才是对的,反正创钱包又不用钱 12/02 15:08
43F:推 qw5526259: 用冷钱包,电脑、手机中毒、骇客入侵,也没关系,只要 12/02 15:08
44F:→ qw5526259: 你SOP作好,就没事。这就是为何要买冷钱包~~~ 12/02 15:09
45F:→ Asasin: 去中心化代表自己要有保护资产的能力 12/02 15:43
46F:推 SamuelLuo: 什麽12个英文字母,英文单字啦!助记词稍微研究一下 12/02 15:53
47F:→ SamuelLuo: 有90万还不研究冷钱包,这个是没有风险管控意识 12/02 15:53
48F:推 mithuang: 自己写冷钱包怎麽知道compiler有没有被埋後门,建议要操 12/02 16:00
49F:→ mithuang: 作钱包的时候用纸笔把签名算出来再key到电脑广播出去 12/02 16:00
50F:推 Rocker5566: 2fa 还会有风险吗 连手机都被盗? 12/02 16:34
51F:推 DarkerDuck: 2FA假如用Email和简讯的话都有被盗的可能 12/02 16:36
52F:→ DarkerDuck: 用Google Autheticator又回到私钥不要外流 12/02 16:37
54F:→ DarkerDuck: 交易所最大的风险还是倒闭与封帐,封提款 12/02 16:38
55F:→ DarkerDuck: 用DeFi本来就要有比用CeFi更高的资安意识 12/02 16:40
56F:→ DarkerDuck: 因为用DeFi就算用硬体钱包结果乱授权合约还是一样被盗 12/02 16:40
57F:→ DarkerDuck: 基本上只要钱包地址被授权智能合约就不能再视为冷钱包 12/02 16:40
58F:推 cat654231: 原本用MEW最近也买了两个冷钱包 12/02 17:17
59F:推 cat654231: 不放交易所钱包 之前币宝真的傻眼 12/02 17:21
60F:推 yys310: 签过合约就可能外露私钥了吗? 12/02 17:31
61F:推 frrr: 私钥不可能外露,签合约只有可能把权限全给了别人 12/02 18:07
63F:推 SamuelLuo: 了解了,硬体钱包永远不要玩Defi,幸好我都是分开放 12/02 18:54
64F:→ SamuelLuo: 硬体钱包是拿来HODL一辈子的 12/02 18:54
65F:→ DarkerDuck: 智能合约的复杂性非一般人可以验证的 12/02 19:10
66F:→ DarkerDuck: 甚至很多通过审计的智能合约也是被骇 12/02 19:11
67F:→ DarkerDuck: 所以我认为相信智能合约授权跟丢CeFi风险性差不多 12/02 19:12
68F:推 fiiox3: 智能合约风险更高吧,开发者随时都能跑路,找都找不到 12/02 19:15
69F:→ DarkerDuck: 你认为交易所就找得到?币安的总部到现在还没人找到ㄝ 12/02 19:16
71F:→ DarkerDuck: 应该不会两个月就盖好总部了吧 12/02 19:18
72F:推 buddy123: 请问像Ledger这种硬件钱包玩Defi还是有可能被骇吗? 12/02 19:18
73F:→ DarkerDuck: 至於那个币宝,继续丢给日本人装死中 12/02 19:18
74F:→ DarkerDuck: 无论用哪一种钱包,要看清楚智能合约授权的类型 12/02 19:20
75F:→ DarkerDuck: 并不会因为你用硬体钱包授权就无效了,那谁要用 12/02 19:20
76F:→ buddy123: 了解,授权要看清楚才可以按,谢谢大大 12/02 19:24
77F:→ DarkerDuck: 就算是用硬体钱包,授权到钓鱼网站的智能合约照样有效 12/02 19:24
78F:→ DarkerDuck: 很常见的就是钓鱼乱空头token,然後导到钓鱼网站 12/02 19:25
79F:→ cp296633: defi网站要注意域名 别被钓了 不然就从defillama找项目 12/02 19:54
80F:→ cp296633: 在加到我的最爱 12/02 19:54
81F:推 mic138465: 昨天看过他的钱包地址,他明明就授权一些奇怪的东西... 12/02 20:04
82F:→ mic138465: . 12/02 20:04
83F:→ mic138465: 还说他没乱碰 12/02 20:04
84F:推 Bujo: 自己人偷的吧 12/02 20:06
85F:推 fiiox3: 至少知道CZ是谁,defi一堆开发者连脸长啥样都看不到 12/02 20:28
86F:→ fiiox3: 连打官司的机会都没有 12/02 20:28
87F:→ DarkerDuck: DeFi的确很多匿名开发者,随便乱丢只会被rug pull 12/02 20:30
88F:推 Realperson: 逻辑怪怪,定期扫毒感觉重视资安,却没有想到要用冷 12/02 23:11
89F:→ Realperson: 钱包? 12/02 23:11
90F:→ Crimson1014: 不管看了多少被偷的案列 最後看到的结果几乎都是自 12/03 00:20
91F:→ Crimson1014: 己乱授权 热冷硬体都一样被偷光光 12/03 00:20
92F:推 john371911: 因电信业者的SMS 2FA被骇,电信业者没被告、要赔偿吗? 12/03 00:23
93F:推 ea610125: 贪心乱授权,天天想要暴富 只能说活该 12/03 03:41
94F:推 seal46825: 用热钱包感觉不如放币安 12/03 12:34
95F:→ wr: 就看你觉得币安倒闭跟电脑坏掉谁的发生机率高了 12/03 15:10
96F:推 glory5566: 我就买点币安币放币安就好 12/05 11:23