開頭直接給GPT-4o懶人包 1. **資金被盜經過**:幣安帳戶被駭客利用劫持Cookies進行對敲交易,導致100萬 美元資金被盜。 2. **插件問題**:駭客利用安裝的惡意Chrome插件收集Cookies,從而控制帳戶, 無需密碼或二次驗證。 3. **幣安反應遲緩**:在報告帳戶被盜後,幣安未能及時凍結駭客的資金,導致資金 被轉出。 4. **幣安早知情況**:幣安早已知曉該惡意插件的存在,但未能及時警示用戶或採取有 效措施。 5. **安全警示**:呼籲加密貨幣投資者注意資產安全,謹慎下載和使用Chrome插件,避 免成為下一個受害者。 原文來自: Nakamao @CryptoNakamao 我成了幣圈臥底的犧牲品,幣安帳戶裡100萬美元灰飛煙滅 直到現在我整個人還是懵的,這幾乎是我這幾年全部的積蓄。 駭客在沒有拿到我的幣安帳號密碼,二次驗證指令(2FA)的情況下,透過「對敲交易」 的方式盜走了我帳戶內的近全部資金,在我事後與安全公司的調查中,發現了更令我吃驚 的事,最後我明白,我是一個幣圈臥底的犧牲品,整件事過於離奇,我今天鼓起勇氣把這 個故事寫下來,是為了讓其他人不要重蹈我的覆轍,我從沒想過我的資產會以如此方式被 清空,給加密投資者警示,不要再成為下一個我! 5月24日,一個平常的星期五,我結束工作在回家的路上,期間我的電腦和手機都在我的 身邊,而此時,我的帳戶卻在瘋狂的交易,我則毫不知情。 QTUM/BTC由於我帳戶的買入上漲了21%,DASH/BTC由於我帳戶的買入上漲了27%,還有 PYR/BTC 上漲31%;ENA/USDC 上漲22%;NEO/USDC 上漲20% 。 這些操作直到我一個半小時習慣性的打開幣安看btc價格時才發現。 事後安全公司和我說,這是駭客透過挾持我網頁Cookies的方式在操縱我的帳戶,駭客在 流動性充沛的USDT交易對購買相應代幣,在BTC、USDC等流動性稀缺的交易對掛出超市價 的限價賣單。最後用我的帳戶開啟槓桿交易,超額大筆買入,完成對敲。 在整個過程中,我沒有收到任何來自幣安的安全提醒,可笑的是,第二天我還因為交易量 過大,收到了現貨做市商的邀請郵件。即使在這種情況下,我的帳戶被盜時也沒有任何的 預警和凍結,駭客的資產也未受到任何的限制。這讓我感到非常費解。 在意識到我的帳戶被盜後,我第一時間與客服取得了聯繫,但在這個過程中,駭客仍在操 作我的帳號。照道理,駭客的資金一定還留在平台內,但我得到的來自幣安的回覆是,駭 客安然無恙的從幣安提走了他所有的資金。更難以理解的是,這個駭客只用了一個帳戶, 如此明顯的對敲交易。讓我對幣安的風控大跌眼鏡。 在事件發生的第一時間,我不僅告知了幣安客服,還在TG上私信了一姐,一姐非常敬業, 第一時間將我的UID交給了安全團隊。但讓我沒想到的是,即便是有一姐的督促,幣安工 作人員還是花了一天多的時間,才通知Kucoin和Gate將駭客轉入的資金凍結。結果不用說 ,駭客的資金早已轉出(已查證)。凍結已經毫無意義。 在整個過程中,幣安工作人員的反應十分遲緩,沒有幫用戶挽回任何損失,我是幣安的忠 實用戶,這些年來一直都在幣安上交易,這真的讓我十分失望。這真的是想幫用戶追回資 金? 眼看交易所攔截已經徹底失敗,我便尋求安全公司的幫助,看看是否能鎖定黑客,首先我 便要弄清楚第一個問題,在我的電腦手機都在身邊,我也沒有收到任何幣安帳號新裝置登 入提醒,異地登入提醒的情況下,駭客是怎麼操作我的幣安帳號的? 最終,我與安全公司把罪歸禍首鎖定在了一個平平無奇的Chrome插件Aggr上。這是一個歷 史悠久的開源行情數據網站的Chrome插件版,我見有很多海外KOL和一些TG頻道在推薦該 插件,而且推薦已經有幾個月時間了,所以下載這個插件,試著查看一些數據。 關於Chrome的惡意插件造成嚴重損失的情況,目前加密中文圈還沒有太多案例。目前看, 我可能是第一例。請一定記住,Chrome網頁外掛程式與下載惡意應用程式損傷一樣大。不 要隨意下載和使用Chrome插件!為了引起大家的警覺,我可以列舉出一個最極端的情況: 你常用的Chrome插件甚至可以在一次更新後完成惡意程式碼的植入。 這個惡意插件的具體運作原理是:如果你安裝並使用了惡意插件,那麼駭客就可以收集你 的Cookies,並將其轉發到駭客的伺服器。駭客能夠利用收集的Cookies,劫持活躍用戶會 話(偽裝為用戶本人),這樣駭客就不再需要密碼或2FA,能夠控制你的帳戶。 在我的實際情況中,因為我的資料保存在1password之中,駭客沒有辦法繞過2FA提走我的 資產。但可以利用我的Cookies,透過挾持我的帳戶,對敲獲取收益。 於是我找到推廣KOL,我要確定他是否是駭客的同謀,如果不是,那他要立刻通知他的所 有用戶,馬上停用這個插件,避免更大的損失,但在和他去的聯繫後,更讓我震驚的故事 來了。 原來幣安早就知道這個插件的存在,甚至鼓勵這名KOL與駭客進一步獲得更多的信息,而 我就是在該插件被進一步推廣之時被盜的。幣安至少在3、4週前就追查到駭客的地址了, 也從該KOL取得到插件的名字和連結。但即便如此,幣安很可能是為了繼續追查這個駭客 ,避免打草驚蛇,而沒有及時通知暫停這個產品,我也就此成為了犧牲品。 今年3月1日初盛傳的一名海外社區成員的幣安帳戶被盜事件也是因為該插件,彼時該事件 還引得幣安CEO Richard Teng專門回复,“幣安的安全工作組正在積極調查,以找出問題 的根本原因」。所以,我不願也無法相信幣安團隊近3個月的時間還未查出該插件的問題 。 也就是說不論如何,在Alpha Tree向加密社區公佈插件問題之前的一周或幾週前,這個插 件的問題早就能被公佈和發酵了。 回顧整件事情,如果駭客直接提走資金,我也無話可說,但是黑客在幣安隨意的對敲和幣 安後續的補救讓我無法接受,更別說幣安已經在調查這個黑客和插件許久這件事了。按照 時間軸總結來看: 1.幣安在已知該黑客和插件存在問題情況下,幾週不作為也不預防,任由推廣繼續,讓資 金損失擴大。 2.幣安已知被盜和對敲頻的情況下,仍然不作為。駭客肆意操縱帳戶長達一個多小時造成 多個幣對極端異常交易而未有任何風控; 3.幣安未及時凍結平台內顯而易見的駭客單一帳戶對敲資金; 4.錯過最佳時機,時隔一天多,幣安才聯絡相關平台凍結; 我非常尊敬一姐和CZ,事實上,一姐也在第一時間回復了我,對我提供了幫助,在這個層 面我應該感謝一姐,這件事本來應該是一個幣安幫助用戶挽回駭客盜幣損失的佳話,而我 今天在寫的,也應該是一封對幣安工作人員的感謝信,但現實是,幣安的工作人員完完全 全辜負了我的期待。 之前總看到幣安關於彰顯自身安全性的文章,每年幣安的年度總結也總少不了安全二字, 讓我對幣安充滿信心。身體力行的將大量資金以穩定幣形式存在幣安也是因為信任,但當 遇到風險後,幣安的一系列行為讓我感到陌生。那些華麗的詞藻,動輒幾億上百億的數據 ,我都沒辦法相信了。 我在這個把這個故事寫下來,一方面是對被盜後的一切都深感迷茫無助。另外更想為大家 敲響安全問題的警鐘,不要重蹈我的覆轍。隨加密貨幣越來越為人所知,任何參與者的資 產安全和人身安全,都值得重視。 ---- 心得: 最近迷因狂潮 大家用熱錢包或TG機器人衝土狗應該衝的不亦樂乎 但是用cookies幫你遠端操作不論是盜YT帳號或者現在這個盜用交易所帳戶 都是一樣的狀況 使用電腦操作還是安全第一啊! 有的沒的插件要用,盡量跟會操作熱錢包或者交易所帳號的瀏覽器分開 -- ※ 發信站: 批踢踢實業坊(pttweb.org.tw), 來自: 61.227.214.9 (臺灣) ※ 文章網址: https://pttweb.org.tw/DigiCurrency/M.1717401318.A.C56
blackbtc: 只用手機的會比較好嗎 06/03 15:58
yahooyamgoog: 剛好在X上也看到這篇,這cookies的外洩/惡意外掛程 06/03 15:58
yahooyamgoog: 式,除了交易所之外還有可能造成什麼風險?有辦法 06/03 15:58
yahooyamgoog: 取得其他外掛(如熱錢包)裡的私鑰嗎? 06/03 15:58
newforte: 看起來幣安也不太ok 06/03 16:52
yobdc3692581: 應該是得不到私鑰,他只得到登入交易所的token而已 06/03 16:55
yobdc3692581: 我最近也在想這問題 就新買一台乾淨電腦專門放資產 06/03 17:01
yobdc3692581: 相關 錢多了開始會怕 06/03 17:01
albertBTC: https://i.imgur.com/dUBh9wE.jpeg 06/03 17:28
allen20937: 問個問題,如果下載了某個插件但是沒有設定On的話,那 06/03 17:33
allen20937: 個插件會在背景執行啥嗎? 又或者有其他風險嗎? 06/03 17:33
tswun: 這個token應該會在手動登出幣安後失效吧?每次登入都會生新 06/03 17:43
tswun: 的token,會不會是他沒有登出習慣?還是還有什麼盲點 06/03 17:43
tswun: 就算駭客在用戶登出後還保有這個token在登入情況也會因為交 06/03 17:47
tswun: 易request 重新驗證token 發現失效被強制登出阿 06/03 17:47
mithuang: 幣安動不動就會被登出,結果你都這麼煩客戶了,換IP就登 06/03 17:49
mithuang: 出有差那麼一點嗎?cookie綁IP感覺應該不是什麼難事 06/03 17:49
mithuang: 如果一百萬鎂的操作也要被偵測到,那一堆巨鯨都不能操作 06/03 17:53
mithuang: 拉盤了,把自己的交易量看得太重要了吧! 06/03 17:53
qr1348: 根本不敢用個人電腦登入幣安 iOS手機至少還有沙盒保護 說 06/03 18:25
qr1348: 到底還是要分散風險 多幾個冷熱錢包 +交易所 拍拍 06/03 18:25
KuraHoshi: 還是要老話一句 Not your key,Not your coin在不能實 06/03 18:32
KuraHoshi: 時監控的狀態下把大筆錢放在交易所,永遠都有意想不到 06/03 18:32
KuraHoshi: 的理由會失去他 06/03 18:32
s1612316: 幣圈就是這麼好賺 只要你盜的走 全部就是你的 你甚至不 06/03 18:59
s1612316: 知道平台是不是真的有在幫你 還是 06/03 18:59
s1612316: 竟然有人把身家放在上面 06/03 19:02
doom3: 現在手機用戶這麼多 電信同個基地台大都同ip吧 06/03 19:03
doom3: 瀏覽器cookies是資安弱點沒錯 google也想解決但很緩慢 06/03 19:04
juice9527: 這是電腦被黑跟交易所沒關係吧 06/03 19:13
juice9527: 放自己熱錢包一樣有可能被盜 06/03 19:13
juice9527: 甚至還有100種方式會被釣魚 06/03 19:13
tornado1621: 100萬U 笑死活該死好 06/03 19:28
tsaigi: 交易所驗證機制差 怎麼會沒關係 06/03 19:32
tsaigi: 無監管市場本來就有風險 還把身家放交易所 毫無資安觀念 06/03 19:37
stander9: 玩合約虧光就說駭客盜幣,老招了,我每次交易,2FA,ema 06/03 19:46
stander9: il 驗證碼也沒有因為我是本人就沒跟我要,要的可狠了! 06/03 19:46
mike0608: 大額放自己的錢包,然後開多重簽名應該會比較安全 06/03 19:49
stander9: 打錯字,是提幣才對,交易不用,合約也不用 06/03 19:53
doom3: 幣安應該要有個設定可以超過多少金額的交易要MFA 06/03 20:39
ripple0129: 說真的玩合約虧掉每個都說被駭客對敲交易,忙不完, 06/03 21:55
ripple0129: 自己被盜就吞了吧。幣安頂多多做個交易前要輸入密碼 06/03 21:55
ripple0129: 功能,但老實說一定一堆人覺得煩,希望拔掉。 06/03 21:55
ripple0129: 永遠只在蘋果的系統上操作加密貨幣是我的宗旨,相對 06/03 21:57
ripple0129: 性的安全 06/03 21:57
nccukkk: 在交易所都能被盜 那也沒辦法了... 06/03 22:49
stander9: 像那個DMM也說被駭客盜,填不了坑就說有駭客,真方便 06/03 23:18
gajo1564: 盜走登入狀態確實是問題 不只cex也不少dex有1ct功能 06/04 01:10
gajo1564: 只能說如果沒有做專用裝置/虛擬機還是少安裝東西吧 06/04 01:12
domago: 所以是餅乾木馬?直接買賣怎麼賠掉100萬?對方比你早買入 06/04 04:24
domago: 100萬等你買入100萬再出貨? 06/04 04:24
gmoz: 找流動性低的 掛天地單來接 06/04 09:26
gmoz: 看他貼的圖都是一根超長針 06/04 09:27
xluds24805: 這跟用不用蘋果設備無關了 ,用 macbook 裝 chrome 插 06/04 09:54
xluds24805: 件,一樣也會被盜 06/04 09:54
xluds24805: 裝插件後,設定插件的作用網站是基本動作,不要讓它預 06/04 09:57
xluds24805: 設能在你所有開的網站中運行 06/04 09:57
Shinn826: 先買流動性高的幣的再去流動性低深度低的交易對對敲 06/04 20:25
sazabijiang: 早年玩加密幣的許多玩家,還懂得用一台乾淨專用的 06/04 20:29
sazabijiang: 筆電去操作交易。我也是嚴格區分交易網站專用的瀏覽 06/04 20:30
sazabijiang: 器,當然該瀏覽器完全不安裝任何插件。其實我不是很 06/04 20:30
sazabijiang: 能理解感裝插件的人的心態。技術上來說,插件可以 06/04 20:31
sazabijiang: 監控你的瀏覽器上的任何顯示文字以及擷取所有你輸入 06/04 20:31
sazabijiang: 的文字,安裝插件就跟你在臥房擺一台網路監視器一樣 06/04 20:31
sazabijiang: 幣安的問題當然也很大,為了減少使用者的摩擦,刻意 06/04 20:32
sazabijiang: 設計成每次登入時不需要重新認證,意思是登入資訊就 06/04 20:32
sazabijiang: 保存在cookie,就跟FB一樣,你以為你登出了,但其實 06/04 20:33
sazabijiang: 根本沒登出。如果按金融業的規範,下達交易指示都 06/04 20:33
sazabijiang: 需要使用者再次認證,甚至二因子認證,但加密幣交易 06/04 20:33
sazabijiang: 網把它弄成好像電商購物一樣的低安全性,出事是遲早 06/04 20:34
newforte: chrome插件可以設定權限 弄一下就好惹 06/04 20:45
stander9: 上面一姐對話翻拍,話外之音很明顯,意思明顯是:先不說 06/04 21:03
stander9: 到底是有木馬程式還是演的,如果全是自導自演,現貨對敲 06/04 21:03
stander9: 左手敲右手頂多損失交易費,但合約部分開槓桿就足夠賺死 06/04 21:03
stander9: 一大片韭菜,還要叫我查,錢都你賺活都我幹 06/04 21:03
stander9: 危機處理完,結果大家用腳投票,幣安幣大漲了 06/05 00:00
sennin32: 這個是自己電腦被黑 怪不了誰吧 06/06 01:35