[转载]我成了币圈卧底的牺牲品,币安账户里 100 万美元灰飞烟灭

176 天前
 CHTuring

转者注:原贴来源于 twitter 主 @CryptoNakamao ,希望大家也关注下交易所安全问题。

直到现在我整个人还是懵的,这几乎是我这几年全部的积蓄。

黑客在没有拿到我的币安账号密码,二次验证指令( 2FA )的情况下,通过“对敲交易”的方式盗走了我账户内的近全部资金,在我事后与安全公司的调查中,发现了更加令我吃惊的的事,最终我明白,我是一个币圈卧底的牺牲品,整件事过于离奇,我今天鼓起勇气把这个故事写下来,是为了让其他人不要重蹈我的覆辙,我从没想过我的资产会以如此方式被清空,给加密投资者警示,不要再成为下一个我!

5 月 24 日,一个平常的周五,我结束工作在回家的路上,期间我的电脑和手机都在我的身边,而此时,我的账户却在疯狂的交易,我则毫不知情。

QTUM/BTC 由于我账户的买入上涨了 21%,DASH/BTC 由于我账户的买入上涨了 27%,还有 PYR/BTC 上涨 31%;ENA/USDC 上涨 22%;NEO/USDC 上涨 20%。

这些操作直到我一个半小时后习惯性的打开币安看 btc 价格时才发现。

事后安全公司和我说,这是黑客通过挟持我网页 Cookies 的方式在操纵我的账户,黑客在流动性充沛的 USDT 交易对购买相应代币,在 BTC 、USDC 等流动性稀缺的交易对挂出超市场价的限价卖单。最后用我的账户开启杠杆交易,超额大笔买入,完成对敲。

在整个过程中,我没有收到任何来自币安的安全提醒,可笑的是,第二天我还因为交易量过大,收到了现货做市商的邀请邮件。即使这种情况下,我的账户被盗时也没有任何的预警和冻结,黑客的资产也未受到任何的限制。这让我感到非常费解。

在意识到我的账户被盗后,我第一时间与客服取得了联系,但在这个过程中,黑客仍在操作我的账号。按道理,黑客的资金一定还留在平台内,但我得到的来自币安的回复是,黑客安然无恙的从币安提走了他所有的资金。更难以理解的是,这个黑客仅用了一个账户,如此明显的对敲交易。让我对币安的风控大跌眼镜。

在事件发生的第一时间,我不仅告知了币安客服,还在 TG 上私信了一姐,一姐非常敬业,第一时间将我的 UID 交给了安全团队。但让我没想到的是,即便是有一姐的督促,币安工作人员还是用了一天多的时间,才通知 Kucoin 和 Gate 将黑客转入的资金冻结。结果不用说,黑客的资金早已转出(已查证)。冻结已经毫无意义。

在整个过程中,币安工作人员的反应十分迟缓,没有帮用户挽回任何损失,我是币安的忠实用户,这些年来一直都在币安上交易,这真的让我十分失望。这真的是想帮用户追回资金么?

眼看交易所拦截已经彻底失败,我便寻求安全公司的帮助,看看是否能锁定黑客,首先我便要弄清楚第一个问题,在我的电脑手机都在身边,我也没有收到任何币安账户新设备登录提醒,异地登录提醒的情况下,黑客是怎么操作我的币安账户的?

最终,我与安全公司把罪归祸首锁定在了一个平平无奇的 Chrome 插件 Aggr 上。这是一个历史悠久的开源行情数据网站的 Chrome 插件版,我见有很多海外 KOL 和一些 TG 频道在推荐该插件,而且推荐已经有几个月时间了,所以下载这个插件,试着查看一些数据。

关于 Chrome 的恶意插件造成严重损失的情况,目前加密中文圈还没有太多案例。目前看,我可能是第一例。请一定记住,Chrome 网页插件与下载恶意应用程序损伤一样大。不要随意下载和使用 Chrome 插件!为了引起大家的警觉,我可以列举出一种最极端的情况:你常用的 Chrome 插件甚至可以在一次更新后完成恶意代码的植入。

该款恶意插件的具体运行原理是:如果你安装并使用了恶意插件,那么黑客就可以收集你的 Cookies ,并将其转发到黑客的服务器。黑客能够利用收集的 Cookies ,劫持活跃用户会话(伪装为用户本人),这样黑客不再需要密码或 2FA ,能够控制你的帐户。

在我的实际情况中,因为我的资料保存在 1password 之中,黑客没有办法绕过 2FA 提走我的资产。但可以利用我的 Cookies ,通过挟持我的账户,对敲获取收益。

于是我找到推广 KOL ,我要确定他是否是黑客的同谋,如果不是,那他要立刻通知他的所有用户,马上停用这个插件,避免更大的损失,但在和他去的联系后,更加让我震惊的故事来了。

原来币安早就知道这个插件的存在,甚至鼓励这名 KOL 与黑客进一步获得更多的信息,而我就是在该插件被进一步推广之时被盗的。币安至少在 3 、4 周前就追查到黑客的地址了,也从该 KOL 处获取到插件的名字和链接。但即便如此,币安很可能是为了继续追查这个黑客,避免打草惊蛇,而没有及时通知暂停这个产品,我也就此成为了牺牲品。

今年 3 月 1 日初盛传的一名海外社区成员的币安账户被盗事件也是因为该插件,彼时该事件还引得币安 CEO Richard Teng 专门回复,“币安的安全工作组正在积极调查,以找出问题的根本原因”。所以,我不愿也无法相信币安团队近 3 个月的时间还未查出该插件的问题。

也就是说不论如何,在 Alpha Tree 向加密社区公布插件问题之前的一周或几周前,这个插件的问题早就能被公布和发酵了。

回顾整件事情,如果黑客直接提走资金,我也无话可说,但是黑客在币安随意的对敲和币安后续的补救让我无法接受,更别说币安已经在调查这个黑客和插件许久这件事了。按照时间线总结来看:

1.币安在已知该黑客和插件存在问题情况下,几周不作为也不预防,任由推广继续,让资金损失扩大。 2.币安已知被盗和对敲频发的情况下,仍然不作为。黑客肆意操纵账户长达一个多小时造成多个币对极端异常交易而未有任何风控; 3.币安未及时冻结平台内显而易见的黑客单一账户对敲资金; 4.错过最佳时机,时隔一天多,币安才联系相关平台冻结;

我非常尊重一姐和 CZ ,而且事实上,一姐也在第一时间回复了我,对我提供了帮助,在这个层面我应该感谢一姐,这件事本来应该是一个币安帮助用户挽回黑客盗币损失的佳话,而我今天在写的,也应该是一封对币安工作人员的感谢信,但现实是,币安的工作人员完完全全辜负了我的期待。

之前总看到币安关于彰显自身安全性的文章,每年币安的年度总结也总少不了安全二字,让我对币安充满信心。身体力行的将大量资金以稳定币形式存在币安也是因为信任,但当遇到风险后,币安的一系列行为让我感到陌生。那些华丽的词藻,动辄几亿上百亿的数据,我都没办法相信了。

我在这个把这个故事写下来,一方面是对被盗后的一切都深感迷茫无助。另外更想为大家敲响安全问题的警钟,不要重蹈我的覆辙。随加密货币越来越为人熟知,任何参与者的资产安全和人身安全,都值得重视。

完。

5006 次点击
所在节点    Bitcoin
35 条回复
zsq00
176 天前
膜拜大佬,邮箱验证码和手机,验证码都不用 确实牛逼
zhlssg
176 天前
我想知道这个恶意插件是什么
thoo61871
176 天前
那么多钱放交易所图啥呢
ChefIsAwesome
176 天前
这个对敲交易有意思,长见识了。
hgc81538
176 天前
所以重要帳戶必須用獨立瀏覽器,並且沒有任何插件
haidishayu
176 天前
就算黑客通过 Cookies ,最多也就能登录你的币安账户,操作和看到余额,提现都需要,短信验证码,邮件验证码,Authenticator 验证器。币安这么大的平台,竟然可以仅仅是,Cookies ,绕过各种验证,这么低级的错误提现。
fulajickhz
176 天前
@zhlssg https://x.com/CryptoNakamao/status/1797519128632381847 苦主,就是被控制账户用超高价买了个低流动性的垃圾资产,把钱转到黑客账户上了

Chrome 插件 Aggr 已经挂了 https://chromewebstore.google.com/detail/aggrtrade/dachmjaingllkdmljlfhaphbflehijab?pli=1

https://x.com/Tree_of_Alpha/status/1795403185349099740
ppking
176 天前
@haidishayu 貌似不是直接提钱,我理解的是控制你账户在一些流动性比较差的品种上交易,以交易亏钱的形式,把钱对敲走的。
fulajickhz
176 天前
徐波不是在微博上说自己被盗 10 亿的数字货币资产,还在追讨和打官司,忘记单位是刀还是人民币了

英国那个

英国法院于 3 月 18 日裁定 42 岁的华裔英国女子简雯参与洗黑钱罪名成立,将于 5 月 10 日受到判刑。警方在调查期间查获了超过 6.1 万枚比特币,价值约 34 亿英镑

太屌了

怎么都玩这么大
belin520
176 天前
那么复杂,今天中午的真实案例:
Discord 讨论组里面一个用户说自己的空投币转换之后没有显示出来(价值 3500$),然后有一个人创建了一个名字叫 Channel 的 thread 说“我是管理员,按照我的指示操作即可修复”,然后他就一步一步把自己的币转给了骗子的钱包了
ssgooglg
176 天前
@zhlssg 文中有,Aggr
YUyu101
176 天前
看来最好用隐私模式,怕每次重新登录麻烦的话就额外装个干净的浏览器。
lisxour
176 天前
这个真不该交易所背锅,不下不明的软件插件,100wu 的人还要别人教?
ssgooglg
176 天前
@lisxour 交易所肯定是有责任的 这种异常交易起码邮件提醒一下吧
lisxour
176 天前
@ssgooglg #14 感觉顶多赔一小部分,而且只是为了公关舆论才赔的。
lisxour
176 天前
@belin520 这种就是纯空白的小白了
funbox
176 天前
app 要安全一些
ssgooglg
176 天前
@haidishayu 并不是直接提现或者转账的方式盗取的账户资金,这种交易确实会二次验证。
币安我也在用,购买/出售 加密货币的时候不会提示验证(至少我没有过)

大概就是黑客通过操纵被盗者账号以高价 usdt 购买冷门没人要的币种(QTUM,DASH,PYR),黑客会用自己的账户提前高价挂卖出单。多次+多笔+多币种交易就把钱全给撸走了。事实上如果你刚好也买了这种币,也会跟着赚一些前提是你卖的时机对
belin520
176 天前
@lisxour #16 空投的都是参与过 github web3 开源项目的程序员,我以前面试的时候很多简历连 github 是啥都不知道
NIIIIIIIIIICE
176 天前
所以 Google 今天开始落地推行的 Manifest V3 扩展标准我是支持的,Manifest V2 扩展权限太大,类似 V2 上允许执行远程托管的代码这类权限都该收回。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1046412

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX