作者henryhuang17 ()
看板DigiCurrency
标题[闲聊] 使用电脑热钱包/交易所的别乱下载插件
时间Mon Jun 3 15:55:15 2024
开头直接给GPT-4o懒人包
1. **资金被盗经过**:币安帐户被骇客利用劫持Cookies进行对敲交易,导致100万
美元资金被盗。
2. **插件问题**:骇客利用安装的恶意Chrome插件收集Cookies,从而控制帐户,
无需密码或二次验证。
3. **币安反应迟缓**:在报告帐户被盗後,币安未能及时冻结骇客的资金,导致资金
被转出。
4. **币安早知情况**:币安早已知晓该恶意插件的存在,但未能及时警示用户或采取有
效措施。
5. **安全警示**:呼吁加密货币投资者注意资产安全,谨慎下载和使用Chrome插件,避
免成为下一个受害者。
原文来自:
Nakamao
@CryptoNakamao
我成了币圈卧底的牺牲品,币安帐户里100万美元灰飞烟灭
直到现在我整个人还是懵的,这几乎是我这几年全部的积蓄。
骇客在没有拿到我的币安帐号密码,二次验证指令(2FA)的情况下,透过「对敲交易」
的方式盗走了我帐户内的近全部资金,在我事後与安全公司的调查中,发现了更令我吃惊
的事,最後我明白,我是一个币圈卧底的牺牲品,整件事过於离奇,我今天鼓起勇气把这
个故事写下来,是为了让其他人不要重蹈我的覆辙,我从没想过我的资产会以如此方式被
清空,给加密投资者警示,不要再成为下一个我!
5月24日,一个平常的星期五,我结束工作在回家的路上,期间我的电脑和手机都在我的
身边,而此时,我的帐户却在疯狂的交易,我则毫不知情。
QTUM/BTC由於我帐户的买入上涨了21%,DASH/BTC由於我帐户的买入上涨了27%,还有
PYR/BTC 上涨31%;ENA/USDC 上涨22%;NEO/USDC 上涨20% 。
这些操作直到我一个半小时习惯性的打开币安看btc价格时才发现。
事後安全公司和我说,这是骇客透过挟持我网页Cookies的方式在操纵我的帐户,骇客在
流动性充沛的USDT交易对购买相应代币,在BTC、USDC等流动性稀缺的交易对挂出超市价
的限价卖单。最後用我的帐户开启杠杆交易,超额大笔买入,完成对敲。
在整个过程中,我没有收到任何来自币安的安全提醒,可笑的是,第二天我还因为交易量
过大,收到了现货做市商的邀请邮件。即使在这种情况下,我的帐户被盗时也没有任何的
预警和冻结,骇客的资产也未受到任何的限制。这让我感到非常费解。
在意识到我的帐户被盗後,我第一时间与客服取得了联系,但在这个过程中,骇客仍在操
作我的帐号。照道理,骇客的资金一定还留在平台内,但我得到的来自币安的回覆是,骇
客安然无恙的从币安提走了他所有的资金。更难以理解的是,这个骇客只用了一个帐户,
如此明显的对敲交易。让我对币安的风控大跌眼镜。
在事件发生的第一时间,我不仅告知了币安客服,还在TG上私信了一姐,一姐非常敬业,
第一时间将我的UID交给了安全团队。但让我没想到的是,即便是有一姐的督促,币安工
作人员还是花了一天多的时间,才通知Kucoin和Gate将骇客转入的资金冻结。结果不用说
,骇客的资金早已转出(已查证)。冻结已经毫无意义。
在整个过程中,币安工作人员的反应十分迟缓,没有帮用户挽回任何损失,我是币安的忠
实用户,这些年来一直都在币安上交易,这真的让我十分失望。这真的是想帮用户追回资
金?
眼看交易所拦截已经彻底失败,我便寻求安全公司的帮助,看看是否能锁定黑客,首先我
便要弄清楚第一个问题,在我的电脑手机都在身边,我也没有收到任何币安帐号新装置登
入提醒,异地登入提醒的情况下,骇客是怎麽操作我的币安帐号的?
最终,我与安全公司把罪归祸首锁定在了一个平平无奇的Chrome插件Aggr上。这是一个历
史悠久的开源行情数据网站的Chrome插件版,我见有很多海外KOL和一些TG频道在推荐该
插件,而且推荐已经有几个月时间了,所以下载这个插件,试着查看一些数据。
关於Chrome的恶意插件造成严重损失的情况,目前加密中文圈还没有太多案例。目前看,
我可能是第一例。请一定记住,Chrome网页外挂程式与下载恶意应用程式损伤一样大。不
要随意下载和使用Chrome插件!为了引起大家的警觉,我可以列举出一个最极端的情况:
你常用的Chrome插件甚至可以在一次更新後完成恶意程式码的植入。
这个恶意插件的具体运作原理是:如果你安装并使用了恶意插件,那麽骇客就可以收集你
的Cookies,并将其转发到骇客的伺服器。骇客能够利用收集的Cookies,劫持活跃用户会
话(伪装为用户本人),这样骇客就不再需要密码或2FA,能够控制你的帐户。
在我的实际情况中,因为我的资料保存在1password之中,骇客没有办法绕过2FA提走我的
资产。但可以利用我的Cookies,透过挟持我的帐户,对敲获取收益。
於是我找到推广KOL,我要确定他是否是骇客的同谋,如果不是,那他要立刻通知他的所
有用户,马上停用这个插件,避免更大的损失,但在和他去的联系後,更让我震惊的故事
来了。
原来币安早就知道这个插件的存在,甚至鼓励这名KOL与骇客进一步获得更多的信息,而
我就是在该插件被进一步推广之时被盗的。币安至少在3、4周前就追查到骇客的地址了,
也从该KOL取得到插件的名字和连结。但即便如此,币安很可能是为了继续追查这个骇客
,避免打草惊蛇,而没有及时通知暂停这个产品,我也就此成为了牺牲品。
今年3月1日初盛传的一名海外社区成员的币安帐户被盗事件也是因为该插件,彼时该事件
还引得币安CEO Richard Teng专门回复,“币安的安全工作组正在积极调查,以找出问题
的根本原因」。所以,我不愿也无法相信币安团队近3个月的时间还未查出该插件的问题
。
也就是说不论如何,在Alpha Tree向加密社区公布插件问题之前的一周或几周前,这个插
件的问题早就能被公布和发酵了。
回顾整件事情,如果骇客直接提走资金,我也无话可说,但是黑客在币安随意的对敲和币
安後续的补救让我无法接受,更别说币安已经在调查这个黑客和插件许久这件事了。按照
时间轴总结来看:
1.币安在已知该黑客和插件存在问题情况下,几周不作为也不预防,任由推广继续,让资
金损失扩大。
2.币安已知被盗和对敲频的情况下,仍然不作为。骇客肆意操纵帐户长达一个多小时造成
多个币对极端异常交易而未有任何风控;
3.币安未及时冻结平台内显而易见的骇客单一帐户对敲资金;
4.错过最佳时机,时隔一天多,币安才联络相关平台冻结;
我非常尊敬一姐和CZ,事实上,一姐也在第一时间回复了我,对我提供了帮助,在这个层
面我应该感谢一姐,这件事本来应该是一个币安帮助用户挽回骇客盗币损失的佳话,而我
今天在写的,也应该是一封对币安工作人员的感谢信,但现实是,币安的工作人员完完全
全辜负了我的期待。
之前总看到币安关於彰显自身安全性的文章,每年币安的年度总结也总少不了安全二字,
让我对币安充满信心。身体力行的将大量资金以稳定币形式存在币安也是因为信任,但当
遇到风险後,币安的一系列行为让我感到陌生。那些华丽的词藻,动辄几亿上百亿的数据
,我都没办法相信了。
我在这个把这个故事写下来,一方面是对被盗後的一切都深感迷茫无助。另外更想为大家
敲响安全问题的警钟,不要重蹈我的覆辙。随加密货币越来越为人所知,任何参与者的资
产安全和人身安全,都值得重视。
----
心得:
最近迷因狂潮
大家用热钱包或TG机器人冲土狗应该冲的不亦乐乎
但是用cookies帮你远端操作不论是盗YT帐号或者现在这个盗用交易所帐户
都是一样的状况
使用电脑操作还是安全第一啊!
有的没的插件要用,尽量跟会操作热钱包或者交易所帐号的浏览器分开
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.227.214.9 (台湾)
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/DigiCurrency/M.1717401318.A.C56.html
1F:推 blackbtc: 只用手机的会比较好吗 06/03 15:58
2F:推 yahooyamgoog: 刚好在X上也看到这篇,这cookies的外泄/恶意外挂程 06/03 15:58
3F:→ yahooyamgoog: 式,除了交易所之外还有可能造成什麽风险?有办法 06/03 15:58
4F:→ yahooyamgoog: 取得其他外挂(如热钱包)里的私钥吗? 06/03 15:58
5F:推 newforte: 看起来币安也不太ok 06/03 16:52
6F:→ yobdc3692581: 应该是得不到私钥,他只得到登入交易所的token而已 06/03 16:55
7F:→ yobdc3692581: 我最近也在想这问题 就新买一台乾净电脑专门放资产 06/03 17:01
8F:→ yobdc3692581: 相关 钱多了开始会怕 06/03 17:01
10F:推 allen20937: 问个问题,如果下载了某个插件但是没有设定On的话,那 06/03 17:33
11F:→ allen20937: 个插件会在背景执行啥吗? 又或者有其他风险吗? 06/03 17:33
12F:推 tswun: 这个token应该会在手动登出币安後失效吧?每次登入都会生新 06/03 17:43
13F:→ tswun: 的token,会不会是他没有登出习惯?还是还有什麽盲点 06/03 17:43
14F:→ tswun: 就算骇客在用户登出後还保有这个token在登入情况也会因为交 06/03 17:47
15F:→ tswun: 易request 重新验证token 发现失效被强制登出阿 06/03 17:47
16F:推 mithuang: 币安动不动就会被登出,结果你都这麽烦客户了,换IP就登 06/03 17:49
17F:→ mithuang: 出有差那麽一点吗?cookie绑IP感觉应该不是什麽难事 06/03 17:49
18F:推 mithuang: 如果一百万镁的操作也要被侦测到,那一堆巨鲸都不能操作 06/03 17:53
19F:→ mithuang: 拉盘了,把自己的交易量看得太重要了吧! 06/03 17:53
20F:推 qr1348: 根本不敢用个人电脑登入币安 iOS手机至少还有沙盒保护 说 06/03 18:25
21F:→ qr1348: 到底还是要分散风险 多几个冷热钱包 +交易所 拍拍 06/03 18:25
22F:→ KuraHoshi: 还是要老话一句 Not your key,Not your coin在不能实 06/03 18:32
23F:→ KuraHoshi: 时监控的状态下把大笔钱放在交易所,永远都有意想不到 06/03 18:32
24F:→ KuraHoshi: 的理由会失去他 06/03 18:32
25F:嘘 s1612316: 币圈就是这麽好赚 只要你盗的走 全部就是你的 你甚至不 06/03 18:59
26F:→ s1612316: 知道平台是不是真的有在帮你 还是 06/03 18:59
27F:推 s1612316: 竟然有人把身家放在上面 06/03 19:02
28F:推 doom3: 现在手机用户这麽多 电信同个基地台大都同ip吧 06/03 19:03
29F:→ doom3: 浏览器cookies是资安弱点没错 google也想解决但很缓慢 06/03 19:04
30F:推 juice9527: 这是电脑被黑跟交易所没关系吧 06/03 19:13
31F:→ juice9527: 放自己热钱包一样有可能被盗 06/03 19:13
32F:→ juice9527: 甚至还有100种方式会被钓鱼 06/03 19:13
33F:推 tornado1621: 100万U 笑死活该死好 06/03 19:28
34F:推 tsaigi: 交易所验证机制差 怎麽会没关系 06/03 19:32
35F:→ tsaigi: 无监管市场本来就有风险 还把身家放交易所 毫无资安观念 06/03 19:37
36F:→ stander9: 玩合约亏光就说骇客盗币,老招了,我每次交易,2FA,ema 06/03 19:46
37F:→ stander9: il 验证码也没有因为我是本人就没跟我要,要的可狠了! 06/03 19:46
38F:推 mike0608: 大额放自己的钱包,然後开多重签名应该会比较安全 06/03 19:49
39F:推 stander9: 打错字,是提币才对,交易不用,合约也不用 06/03 19:53
对啊你自己也说了...交易跟合约不用啊
他不就是被对敲交易洗走的吗,从偷到尾都不是被骇客提币的==
40F:推 doom3: 币安应该要有个设定可以超过多少金额的交易要MFA 06/03 20:39
※ 编辑: henryhuang17 (61.227.214.9 台湾), 06/03/2024 21:08:29
41F:→ ripple0129: 说真的玩合约亏掉每个都说被骇客对敲交易,忙不完, 06/03 21:55
42F:→ ripple0129: 自己被盗就吞了吧。币安顶多多做个交易前要输入密码 06/03 21:55
43F:→ ripple0129: 功能,但老实说一定一堆人觉得烦,希望拔掉。 06/03 21:55
44F:→ ripple0129: 永远只在苹果的系统上操作加密货币是我的宗旨,相对 06/03 21:57
45F:→ ripple0129: 性的安全 06/03 21:57
46F:推 nccukkk: 在交易所都能被盗 那也没办法了... 06/03 22:49
47F:推 stander9: 像那个DMM也说被骇客盗,填不了坑就说有骇客,真方便 06/03 23:18
48F:推 gajo1564: 盗走登入状态确实是问题 不只cex也不少dex有1ct功能 06/04 01:10
49F:→ gajo1564: 只能说如果没有做专用装置/虚拟机还是少安装东西吧 06/04 01:12
50F:推 domago: 所以是饼乾木马?直接买卖怎麽赔掉100万?对方比你早买入 06/04 04:24
51F:→ domago: 100万等你买入100万再出货? 06/04 04:24
52F:推 gmoz: 找流动性低的 挂天地单来接 06/04 09:26
53F:→ gmoz: 看他贴的图都是一根超长针 06/04 09:27
54F:推 xluds24805: 这跟用不用苹果设备无关了 ,用 macbook 装 chrome 插 06/04 09:54
55F:→ xluds24805: 件,一样也会被盗 06/04 09:54
56F:→ xluds24805: 装插件後,设定插件的作用网站是基本动作,不要让它预 06/04 09:57
57F:→ xluds24805: 设能在你所有开的网站中运行 06/04 09:57
58F:推 Shinn826: 先买流动性高的币的再去流动性低深度低的交易对对敲 06/04 20:25
59F:推 sazabijiang: 早年玩加密币的许多玩家,还懂得用一台乾净专用的 06/04 20:29
60F:→ sazabijiang: 笔电去操作交易。我也是严格区分交易网站专用的浏览 06/04 20:30
61F:→ sazabijiang: 器,当然该浏览器完全不安装任何插件。其实我不是很 06/04 20:30
62F:→ sazabijiang: 能理解感装插件的人的心态。技术上来说,插件可以 06/04 20:31
63F:→ sazabijiang: 监控你的浏览器上的任何显示文字以及撷取所有你输入 06/04 20:31
64F:→ sazabijiang: 的文字,安装插件就跟你在卧房摆一台网路监视器一样 06/04 20:31
65F:→ sazabijiang: 币安的问题当然也很大,为了减少使用者的摩擦,刻意 06/04 20:32
66F:→ sazabijiang: 设计成每次登入时不需要重新认证,意思是登入资讯就 06/04 20:32
67F:→ sazabijiang: 保存在cookie,就跟FB一样,你以为你登出了,但其实 06/04 20:33
68F:→ sazabijiang: 根本没登出。如果按金融业的规范,下达交易指示都 06/04 20:33
69F:→ sazabijiang: 需要使用者再次认证,甚至二因子认证,但加密币交易 06/04 20:33
70F:→ sazabijiang: 网把它弄成好像电商购物一样的低安全性,出事是迟早 06/04 20:34
71F:推 newforte: chrome插件可以设定权限 弄一下就好惹 06/04 20:45
72F:→ stander9: 上面一姐对话翻拍,话外之音很明显,意思明显是:先不说 06/04 21:03
73F:→ stander9: 到底是有木马程式还是演的,如果全是自导自演,现货对敲 06/04 21:03
74F:→ stander9: 左手敲右手顶多损失交易费,但合约部分开杠杆就足够赚死 06/04 21:03
75F:→ stander9: 一大片韭菜,还要叫我查,钱都你赚活都我干 06/04 21:03
76F:→ stander9: 危机处理完,结果大家用脚投票,币安币大涨了 06/05 00:00
77F:推 sennin32: 这个是自己电脑被黑 怪不了谁吧 06/06 01:35
78F:推 xm3u4vmp6: 以後用手机吧 iOS 会隔离 07/05 11:36