撰文:陀螺财经
安全事件,在传统金融已然不少见,而在黑暗森林般的匿名币圈,更是司空见惯的存在。
数据显示,仅刚刚过去的 5 月,加密圈就发生了 37 起典型安全事件,因黑客攻击、钓鱼诈骗和 Rug Pull 造成的总损失金额达 1.54 亿美元,较 4 月增长约 52.5%。
就在 6 月 3 日,两起安全事件再度发生,与其他事件略微不同的是,两起事件都与大型交易所相关联,过程也颇为离奇,只是故事的最后,也是有人欢喜有人忧。
6 月 3 日,一位网名为 Nakamao 的用户在 X 平台发布的长文被疯传,其在文中提到「自己成为了币圈牺牲品,币安账户里 100 万美元灰飞烟灭。」在娓娓道来的自述中,一环接一环的黑客盗窃揭开了序幕。
据称,5 月 24 日,Nakamao 尚在工作途中,所有的通讯设备并未离身,但就在这种看似万无一失的背景下,黑客却在没有拿到币安账号密码、二次验证指令(2FA)的情况下,利用对敲交易盗走了其账户里所有的资金。
对敲交易,简而言之,在流动性稀缺的交易对中进行大额交易,通过交易方大规模买入去接盘黑客账户的抛售,最后,对方以某个山寨币种获得了实际资金或稳定币,而买家则接手了卖家手中的山寨币。该种盗窃方式在交易所并不罕见,在 22 年,FTX 就因 3commas API KEY 泄露发生过高达 600 万美金的对敲盗窃,当时的 SBF 用钞能力兑付摆平了此事。而后,币安也相继发生过大规模对敲交易。但这种模式的歹毒之处就在于,对于风控欠佳的交易所而言,只是很平常的交易行为,不存在异常的盗窃。
在这起案件中,QTUM/BTC、DASH/BTC、PYR/BTC、ENA/USDC 和 NEO/USDC 被选中,利用用户的大额资金购入上涨超 20%。而黑客的所有操作,用户都并未发现,直到 1 个多小时后查看账户信息才发现异常。
根据安全公司的回复,黑客通过挟持网页 Cookies 的方式操纵用户账户,简单来说就是利用了网页端保存的终端数据。举一个典型的例子,我们在互联网进入某个界面时,不需要账户密码登录,因为此前已然留下了历史访问与默认记录。
事情到这,或许仅仅是用户自身疏忽造成的,然而,后续却变得更加诡异了起来。在被盗后,Nakamao 第一时间与客户以及币安联合创始人何一取得了联系,将 UID 交给安全团队,寄希望在短时间内将黑客资金冻结。但币安工作人员却耗时了长达 1 天才通知 Kucoin 和 Gate,没有丝毫意外,黑客资金早已不翼而飞,而且黑客仅用了一个账户,并未分散账户,就安然无恙的从币安提走了所有的资金。在整个过程中,用户不仅没有收到任何的安全提醒,更为讽刺的是,由于大额交易的买入,第二日,币安竟还给其发出了现货做市商的邀请邮件。
在事后的复盘中,一个平平无奇的 Chrome 插件 Aggr 又进入了 Nakamao 的视野。该插件用于行情数据网站查看,据被盗者描述,其看到有多个海外 KOL 进行推广长达数月时间,于是出于自身需要,进行了下载。
在这里简单进行科普,插件实际上是可以进行多项操作的,理论上而言,它不仅可以通过恶意扩展登录交易账户,访问用户的账户信息进行交易,还可提取资金与修改账户设置,核心原因就在于插件本身具备广泛的权限访问、操作网络请求、访问浏览器存储、操作剪贴板等多项功能。
在发现插件有问题后,Nakamao 马上找到 KOL 进行询问,并告诫 KOL 通知用户停用此插件,但没想到,回旋镖就在这一刻,插到了币安。据 Nakamao 最初自述,币安此前就已了解到该插件的问题,在今年 3 月就有类似案件发生,而币安也在此后追踪到了黑客,或是为避免打草惊蛇,没有及时通知暂停产品,且还让 KOL 继续与黑客保持联络,而在此阶段,Nakamao 就成了下一个受害者。
仅用 Cookies 就能登录进行交易,币安机制必定也是存在一定问题,但本身事件又切实由用户自身疏忽引起,追责成为了难题。
果不其然,事后币安对此的回应,又在市场上引起了轩然大波。除了官方账号复盘称本身原因是黑客攻击外,币安并未注意到 AGGR 插件的相关信息外,在一个微信群中,何一也对此事件评论道「这个事用户自己电脑被黑,神仙难救,币安也没办法赔偿用户自己设备中招。」
对于币安的操作,Nakamao 显然不能接受,认为币安存在风控不作为,且 KOL 有明确确认向币安团队提及该插件,币安也存在知情不报之嫌。随着舆论持续发酵,币安也再度回应称将申请一笔奖励作为用户报告恶意插件的回馈。
本以为事情到此已然告一段落,但有趣的是,到了 6 月 5 日,事件又出现了反转。Nakamao 再度在 X 平台发文向币安公开道歉,称是与币安有信息差且个人有主观臆断成分,币安实际上并未知情插件的相关情况,币安首次得知 aggr.trade 的网址也是在 5 月 12 日,并非此前提到的 3 月。此外,KOL 也不是币安的卧底,KOL 与币安沟通针对在账户问题上,而不是插件问题。
不论这番言论真假,但是态度 180 度大转弯,从失望喊话到公开致歉,也已可以看出币安必定是对其有所赔付,而赔付具体为多少,也就不得而知了。
另一方面,无独有偶,在 6 月 3 日,除了币安,OKX 也受到了波及。一名 OKX 的用户在社区称,账户被 AI 换脸盗窃,账户中的 200 万美金被转走。该事件发生在 5 月初,据该用户描述,其账户被盗的原因与个人泄露无关,而是黑客通过登录邮箱号点击忘记密码,并同步构建了一个假身份证以及 AI 换脸的视频,绕开了防火墙,进一步更换了手机号、邮箱以及谷歌的验证器,随后在 24 小时内,盗取了账户所有资产。
尽管未看到视频,但从该用户的表述,可以大概率知道该 AI 合成视频非常拙劣,但即使如此,也仍攻破了 OKX 风控体系,因此用户认为 OKX 也负有责任,希望 OKX 能全额赔付其资金。但实际上,若是仔细分析,作案人必是熟悉该用户,且了解用户习惯与账户金额的人,可以判定为熟人作案,用户自己也在信中提到了有朋友与自己形影不离。按照一般情况,OKX 也不会对此进行赔偿。目前,这一用户已报警处理,计划通过警方进行追偿。
针对这两起事件,加密社区也对此进行了广泛讨论。当然,从安全的角度而言,尽管诸多人强调钱包自托管才有资产绝对控制权,但不得不承认,交易所相比个人控制,还是更加安全,核心就是增加了沟通方。交易所至少是可以对接且联系到的直接第三方,无论结果如何,至少会在其中介入调查,而若沟通得当,也可能像上述受害人一般获得赔付,但若自托管钱包被盗,几乎没有任何可兜底的机构。
但对于当前交易所的安全改进,也是迫在眉睫。大型交易平台掌控着大多数用户的资产,而加密资产又存在难追偿性,安全也更应得到重视。在传统金融的使用中,几乎每次登出必然需要再次输入密码以防止账户被控,在转账时通常也需要额外增加验证方式。因此,社区建议,交易平台应增加密码锁功能,交易前增加 2FA 验证,且 IP 更换后也应重新输入验证,或是采取多方安全 MPC 验证,将密码分散化,通过牺牲用户体验以提升安全性。但也有用户认为,多次重复验证对于高频交易而言过于琐碎,难以具备可行性。
何一也对此进行了回复,称「目前对突发价格波动已经叠加大数据报警和人工双重确认,也会给用户增加提醒;在插件运行、Cookie 的授权上即将增加验证频率,在这个场景交易密码不适用,但币安会根据用户的差异增加安全验证环节。」
回到出发点,从两起事件来看,用户也需引起高度重视,增强自身安全意识,在分散放置资产的前提下,尽量使用完全独立的设备进行操作,推荐使用分散认证、不以便捷性为核心,避免设置免密和活体认证,谨慎使用插件,对于大额资产,使用硬件钱包进行存储。
毕竟加密资产不同于实体资产,实体至少可以进行追踪,而加密资产的盗窃,由于监管的限制,几乎很难获得后续赔付,甚至立案都颇为困难。
这种案例也不少见。在日前 1818 黄金眼的报道中,就出现了典型例子。受害人朱先生发现了知乎上一位号称凭借炒币获得千万收入的大佬「程七七」,希望跟随其炒币赚钱小白导航。两者协商后,通过合同签订实现分润合作,明确盈利的 70% 归属于程七七,30% 朱先生自留,而若亏损,两者各承担 50%,在交易过程中,朱先生仅跟单操作,所有账户归属权均掌握在自身手中。
如此高额的分润,看似具有信任度的合同,并没有带来可信任的结果。在最初小获盈利后,受害人加大了筹码投入,在程七七保证的「爆仓全赔」口号中,用借来的本金 60 万、杠杆百倍做空 ETH,最后由于 ETH 的上涨,受害人血本无归。
该种情况显然难以立案,原因是所有操作都为个人所为,并不存在诈骗或强迫性行为,而事情的最后,警方、记者也只能无奈强调,根据我国法律法规,虚拟货币交易不受保护,存在高度风险,提高警惕等等。
最终朱先生带着心碎又无辜的表情,上演了一场啼笑皆非的结尾。
无论如何,在此还是再度提醒参与交易的看客们,在任何一个金融领域,即使是在加密圈,这一本来就牺牲部分安全性而获取高额利润与自由度的板块,安全,也远比效率或者盈利更加重要,这或许也是号称去中心化的加密世界难以离开中心化的原因之一。
毕竟,人性就是如此。每个人都希望有人兜底,而即使赚的钱再多,也不愿给他人做嫁衣。
文章来源于互联网:AI 换脸、插件陷阱,两起安全事故致用户损失超千万
Web3 创业者可以通过 FDI 的方式,将境外资金合法回流至内地的外商投资公司,用以支付内地团队的经营支出。 撰文:金鉴智,上海曼昆律师事务所资深律师 Web3 创业者常见的一个困境是,公司的经营收入大部分在海外公司,或接收的融资款只能在海外以合规的方式兑换…