※ 本文為 Knuckles 轉寄自 ptt.cc 更新時間: 2024-06-04 13:24:08
看板 DigiCurrency
作者 標題 [閒聊] 使用電腦熱錢包/交易所的別亂下載插件
時間 Mon Jun 3 15:55:15 2024
開頭直接給GPT-4o懶人包
1. **資金被盜經過**:幣安帳戶被駭客利用劫持Cookies進行對敲交易,導致100萬
美元資金被盜。
2. **插件問題**:駭客利用安裝的惡意Chrome插件收集Cookies,從而控制帳戶,
無需密碼或二次驗證。
3. **幣安反應遲緩**:在報告帳戶被盜後,幣安未能及時凍結駭客的資金,導致資金
被轉出。
4. **幣安早知情況**:幣安早已知曉該惡意插件的存在,但未能及時警示用戶或採取有
效措施。
5. **安全警示**:呼籲加密貨幣投資者注意資產安全,謹慎下載和使用Chrome插件,避
免成為下一個受害者。
原文來自:
Nakamao
@CryptoNakamao
我成了幣圈臥底的犧牲品,幣安帳戶裡100萬美元灰飛煙滅
直到現在我整個人還是懵的,這幾乎是我這幾年全部的積蓄。
駭客在沒有拿到我的幣安帳號密碼,二次驗證指令(2FA)的情況下,透過「對敲交易」
的方式盜走了我帳戶內的近全部資金,在我事後與安全公司的調查中,發現了更令我吃驚
的事,最後我明白,我是一個幣圈臥底的犧牲品,整件事過於離奇,我今天鼓起勇氣把這
個故事寫下來,是為了讓其他人不要重蹈我的覆轍,我從沒想過我的資產會以如此方式被
清空,給加密投資者警示,不要再成為下一個我!
的方式盜走了我帳戶內的近全部資金,在我事後與安全公司的調查中,發現了更令我吃驚
的事,最後我明白,我是一個幣圈臥底的犧牲品,整件事過於離奇,我今天鼓起勇氣把這
個故事寫下來,是為了讓其他人不要重蹈我的覆轍,我從沒想過我的資產會以如此方式被
清空,給加密投資者警示,不要再成為下一個我!
5月24日,一個平常的星期五,我結束工作在回家的路上,期間我的電腦和手機都在我的
身邊,而此時,我的帳戶卻在瘋狂的交易,我則毫不知情。
QTUM/BTC由於我帳戶的買入上漲了21%,DASH/BTC由於我帳戶的買入上漲了27%,還有
PYR/BTC 上漲31%;ENA/USDC 上漲22%;NEO/USDC 上漲20% 。
這些操作直到我一個半小時習慣性的打開幣安看btc價格時才發現。
事後安全公司和我說,這是駭客透過挾持我網頁Cookies的方式在操縱我的帳戶,駭客在
流動性充沛的USDT交易對購買相應代幣,在BTC、USDC等流動性稀缺的交易對掛出超市價
的限價賣單。最後用我的帳戶開啟槓桿交易,超額大筆買入,完成對敲。
流動性充沛的USDT交易對購買相應代幣,在BTC、USDC等流動性稀缺的交易對掛出超市價
的限價賣單。最後用我的帳戶開啟槓桿交易,超額大筆買入,完成對敲。
在整個過程中,我沒有收到任何來自幣安的安全提醒,可笑的是,第二天我還因為交易量
過大,收到了現貨做市商的邀請郵件。即使在這種情況下,我的帳戶被盜時也沒有任何的
預警和凍結,駭客的資產也未受到任何的限制。這讓我感到非常費解。
過大,收到了現貨做市商的邀請郵件。即使在這種情況下,我的帳戶被盜時也沒有任何的
預警和凍結,駭客的資產也未受到任何的限制。這讓我感到非常費解。
在意識到我的帳戶被盜後,我第一時間與客服取得了聯繫,但在這個過程中,駭客仍在操
作我的帳號。照道理,駭客的資金一定還留在平台內,但我得到的來自幣安的回覆是,駭
客安然無恙的從幣安提走了他所有的資金。更難以理解的是,這個駭客只用了一個帳戶,
如此明顯的對敲交易。讓我對幣安的風控大跌眼鏡。
作我的帳號。照道理,駭客的資金一定還留在平台內,但我得到的來自幣安的回覆是,駭
客安然無恙的從幣安提走了他所有的資金。更難以理解的是,這個駭客只用了一個帳戶,
如此明顯的對敲交易。讓我對幣安的風控大跌眼鏡。
在事件發生的第一時間,我不僅告知了幣安客服,還在TG上私信了一姐,一姐非常敬業,
第一時間將我的UID交給了安全團隊。但讓我沒想到的是,即便是有一姐的督促,幣安工
作人員還是花了一天多的時間,才通知Kucoin和Gate將駭客轉入的資金凍結。結果不用說
,駭客的資金早已轉出(已查證)。凍結已經毫無意義。
第一時間將我的UID交給了安全團隊。但讓我沒想到的是,即便是有一姐的督促,幣安工
作人員還是花了一天多的時間,才通知Kucoin和Gate將駭客轉入的資金凍結。結果不用說
,駭客的資金早已轉出(已查證)。凍結已經毫無意義。
在整個過程中,幣安工作人員的反應十分遲緩,沒有幫用戶挽回任何損失,我是幣安的忠
實用戶,這些年來一直都在幣安上交易,這真的讓我十分失望。這真的是想幫用戶追回資
金?
實用戶,這些年來一直都在幣安上交易,這真的讓我十分失望。這真的是想幫用戶追回資
金?
眼看交易所攔截已經徹底失敗,我便尋求安全公司的幫助,看看是否能鎖定黑客,首先我
便要弄清楚第一個問題,在我的電腦手機都在身邊,我也沒有收到任何幣安帳號新裝置登
入提醒,異地登入提醒的情況下,駭客是怎麼操作我的幣安帳號的?
便要弄清楚第一個問題,在我的電腦手機都在身邊,我也沒有收到任何幣安帳號新裝置登
入提醒,異地登入提醒的情況下,駭客是怎麼操作我的幣安帳號的?
最終,我與安全公司把罪歸禍首鎖定在了一個平平無奇的Chrome插件Aggr上。這是一個歷
史悠久的開源行情數據網站的Chrome插件版,我見有很多海外KOL和一些TG頻道在推薦該
插件,而且推薦已經有幾個月時間了,所以下載這個插件,試著查看一些數據。
史悠久的開源行情數據網站的Chrome插件版,我見有很多海外KOL和一些TG頻道在推薦該
插件,而且推薦已經有幾個月時間了,所以下載這個插件,試著查看一些數據。
關於Chrome的惡意插件造成嚴重損失的情況,目前加密中文圈還沒有太多案例。目前看,
我可能是第一例。請一定記住,Chrome網頁外掛程式與下載惡意應用程式損傷一樣大。不
要隨意下載和使用Chrome插件!為了引起大家的警覺,我可以列舉出一個最極端的情況:
你常用的Chrome插件甚至可以在一次更新後完成惡意程式碼的植入。
我可能是第一例。請一定記住,Chrome網頁外掛程式與下載惡意應用程式損傷一樣大。不
要隨意下載和使用Chrome插件!為了引起大家的警覺,我可以列舉出一個最極端的情況:
你常用的Chrome插件甚至可以在一次更新後完成惡意程式碼的植入。
這個惡意插件的具體運作原理是:如果你安裝並使用了惡意插件,那麼駭客就可以收集你
的Cookies,並將其轉發到駭客的伺服器。駭客能夠利用收集的Cookies,劫持活躍用戶會
話(偽裝為用戶本人),這樣駭客就不再需要密碼或2FA,能夠控制你的帳戶。
的Cookies,並將其轉發到駭客的伺服器。駭客能夠利用收集的Cookies,劫持活躍用戶會
話(偽裝為用戶本人),這樣駭客就不再需要密碼或2FA,能夠控制你的帳戶。
在我的實際情況中,因為我的資料保存在1password之中,駭客沒有辦法繞過2FA提走我的
資產。但可以利用我的Cookies,透過挾持我的帳戶,對敲獲取收益。
於是我找到推廣KOL,我要確定他是否是駭客的同謀,如果不是,那他要立刻通知他的所
有用戶,馬上停用這個插件,避免更大的損失,但在和他去的聯繫後,更讓我震驚的故事
來了。
有用戶,馬上停用這個插件,避免更大的損失,但在和他去的聯繫後,更讓我震驚的故事
來了。
原來幣安早就知道這個插件的存在,甚至鼓勵這名KOL與駭客進一步獲得更多的信息,而
我就是在該插件被進一步推廣之時被盜的。幣安至少在3、4週前就追查到駭客的地址了,
也從該KOL取得到插件的名字和連結。但即便如此,幣安很可能是為了繼續追查這個駭客
,避免打草驚蛇,而沒有及時通知暫停這個產品,我也就此成為了犧牲品。
我就是在該插件被進一步推廣之時被盜的。幣安至少在3、4週前就追查到駭客的地址了,
也從該KOL取得到插件的名字和連結。但即便如此,幣安很可能是為了繼續追查這個駭客
,避免打草驚蛇,而沒有及時通知暫停這個產品,我也就此成為了犧牲品。
今年3月1日初盛傳的一名海外社區成員的幣安帳戶被盜事件也是因為該插件,彼時該事件
還引得幣安CEO Richard Teng專門回复,“幣安的安全工作組正在積極調查,以找出問題
的根本原因」。所以,我不願也無法相信幣安團隊近3個月的時間還未查出該插件的問題
。
還引得幣安CEO Richard Teng專門回复,“幣安的安全工作組正在積極調查,以找出問題
的根本原因」。所以,我不願也無法相信幣安團隊近3個月的時間還未查出該插件的問題
。
也就是說不論如何,在Alpha Tree向加密社區公佈插件問題之前的一周或幾週前,這個插
件的問題早就能被公佈和發酵了。
回顧整件事情,如果駭客直接提走資金,我也無話可說,但是黑客在幣安隨意的對敲和幣
安後續的補救讓我無法接受,更別說幣安已經在調查這個黑客和插件許久這件事了。按照
時間軸總結來看:
安後續的補救讓我無法接受,更別說幣安已經在調查這個黑客和插件許久這件事了。按照
時間軸總結來看:
1.幣安在已知該黑客和插件存在問題情況下,幾週不作為也不預防,任由推廣繼續,讓資
金損失擴大。
2.幣安已知被盜和對敲頻的情況下,仍然不作為。駭客肆意操縱帳戶長達一個多小時造成
多個幣對極端異常交易而未有任何風控;
3.幣安未及時凍結平台內顯而易見的駭客單一帳戶對敲資金;
4.錯過最佳時機,時隔一天多,幣安才聯絡相關平台凍結;
我非常尊敬一姐和CZ,事實上,一姐也在第一時間回復了我,對我提供了幫助,在這個層
面我應該感謝一姐,這件事本來應該是一個幣安幫助用戶挽回駭客盜幣損失的佳話,而我
今天在寫的,也應該是一封對幣安工作人員的感謝信,但現實是,幣安的工作人員完完全
全辜負了我的期待。
面我應該感謝一姐,這件事本來應該是一個幣安幫助用戶挽回駭客盜幣損失的佳話,而我
今天在寫的,也應該是一封對幣安工作人員的感謝信,但現實是,幣安的工作人員完完全
全辜負了我的期待。
之前總看到幣安關於彰顯自身安全性的文章,每年幣安的年度總結也總少不了安全二字,
讓我對幣安充滿信心。身體力行的將大量資金以穩定幣形式存在幣安也是因為信任,但當
遇到風險後,幣安的一系列行為讓我感到陌生。那些華麗的詞藻,動輒幾億上百億的數據
,我都沒辦法相信了。
讓我對幣安充滿信心。身體力行的將大量資金以穩定幣形式存在幣安也是因為信任,但當
遇到風險後,幣安的一系列行為讓我感到陌生。那些華麗的詞藻,動輒幾億上百億的數據
,我都沒辦法相信了。
我在這個把這個故事寫下來,一方面是對被盜後的一切都深感迷茫無助。另外更想為大家
敲響安全問題的警鐘,不要重蹈我的覆轍。隨加密貨幣越來越為人所知,任何參與者的資
產安全和人身安全,都值得重視。
敲響安全問題的警鐘,不要重蹈我的覆轍。隨加密貨幣越來越為人所知,任何參與者的資
產安全和人身安全,都值得重視。
----
心得:
最近迷因狂潮
大家用熱錢包或TG機器人衝土狗應該衝的不亦樂乎
但是用cookies幫你遠端操作不論是盜YT帳號或者現在這個盜用交易所帳戶
都是一樣的狀況
使用電腦操作還是安全第一啊!
有的沒的插件要用,盡量跟會操作熱錢包或者交易所帳號的瀏覽器分開
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.227.214.9 (臺灣)
※ 作者: henryhuang17 2024-06-03 15:55:15
※ 文章代碼(AID): #1cNNRcnM (DigiCurrency)
※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1717401318.A.C56.html
推 : 只用手機的會比較好嗎1F 06/03 15:58
推 : 剛好在X上也看到這篇,這cookies的外洩/惡意外掛程2F 06/03 15:58
→ : 式,除了交易所之外還有可能造成什麼風險?有辦法
→ : 取得其他外掛(如熱錢包)裡的私鑰嗎?
→ : 式,除了交易所之外還有可能造成什麼風險?有辦法
→ : 取得其他外掛(如熱錢包)裡的私鑰嗎?
推 : 看起來幣安也不太ok5F 06/03 16:52
→ : 應該是得不到私鑰,他只得到登入交易所的token而已6F 06/03 16:55
→ : 我最近也在想這問題 就新買一台乾淨電腦專門放資產
→ : 相關 錢多了開始會怕
→ : 我最近也在想這問題 就新買一台乾淨電腦專門放資產
→ : 相關 錢多了開始會怕
![[圖]](https://i.imgur.com/dUBh9wEh.jpg)
推 : 問個問題,如果下載了某個插件但是沒有設定On的話,那10F 06/03 17:33
→ : 個插件會在背景執行啥嗎? 又或者有其他風險嗎?
→ : 個插件會在背景執行啥嗎? 又或者有其他風險嗎?
推 : 這個token應該會在手動登出幣安後失效吧?每次登入都會生新12F 06/03 17:43
→ : 的token,會不會是他沒有登出習慣?還是還有什麼盲點
→ : 就算駭客在用戶登出後還保有這個token在登入情況也會因為交
→ : 易request 重新驗證token 發現失效被強制登出阿
→ : 的token,會不會是他沒有登出習慣?還是還有什麼盲點
→ : 就算駭客在用戶登出後還保有這個token在登入情況也會因為交
→ : 易request 重新驗證token 發現失效被強制登出阿
推 : 幣安動不動就會被登出,結果你都這麼煩客戶了,換IP就登16F 06/03 17:49
→ : 出有差那麼一點嗎?cookie綁IP感覺應該不是什麼難事
推 : 如果一百萬鎂的操作也要被偵測到,那一堆巨鯨都不能操作
→ : 拉盤了,把自己的交易量看得太重要了吧!
→ : 出有差那麼一點嗎?cookie綁IP感覺應該不是什麼難事
推 : 如果一百萬鎂的操作也要被偵測到,那一堆巨鯨都不能操作
→ : 拉盤了,把自己的交易量看得太重要了吧!
推 : 根本不敢用個人電腦登入幣安 iOS手機至少還有沙盒保護 說20F 06/03 18:25
→ : 到底還是要分散風險 多幾個冷熱錢包 +交易所 拍拍
→ : 到底還是要分散風險 多幾個冷熱錢包 +交易所 拍拍
→ : 還是要老話一句 Not your key,Not your coin在不能實22F 06/03 18:32
→ : 時監控的狀態下把大筆錢放在交易所,永遠都有意想不到
→ : 的理由會失去他
→ : 時監控的狀態下把大筆錢放在交易所,永遠都有意想不到
→ : 的理由會失去他
噓 : 幣圈就是這麼好賺 只要你盜的走 全部就是你的 你甚至不25F 06/03 18:59
→ : 知道平台是不是真的有在幫你 還是
推 : 竟然有人把身家放在上面
→ : 知道平台是不是真的有在幫你 還是
推 : 竟然有人把身家放在上面
推 : 現在手機用戶這麼多 電信同個基地台大都同ip吧28F 06/03 19:03
→ : 瀏覽器cookies是資安弱點沒錯 google也想解決但很緩慢
→ : 瀏覽器cookies是資安弱點沒錯 google也想解決但很緩慢
推 : 這是電腦被黑跟交易所沒關係吧30F 06/03 19:13
→ : 放自己熱錢包一樣有可能被盜
→ : 甚至還有100種方式會被釣魚
→ : 放自己熱錢包一樣有可能被盜
→ : 甚至還有100種方式會被釣魚
推 : 100萬U 笑死活該死好33F 06/03 19:28
推 : 交易所驗證機制差 怎麼會沒關係34F 06/03 19:32
→ : 無監管市場本來就有風險 還把身家放交易所 毫無資安觀念
→ : 無監管市場本來就有風險 還把身家放交易所 毫無資安觀念
→ : 玩合約虧光就說駭客盜幣,老招了,我每次交易,2FA,ema36F 06/03 19:46
→ : il 驗證碼也沒有因為我是本人就沒跟我要,要的可狠了!
→ : il 驗證碼也沒有因為我是本人就沒跟我要,要的可狠了!
推 : 大額放自己的錢包,然後開多重簽名應該會比較安全38F 06/03 19:49
推 : 打錯字,是提幣才對,交易不用,合約也不用39F 06/03 19:53
對啊你自己也說了...交易跟合約不用啊他不就是被對敲交易洗走的嗎,從偷到尾都不是被駭客提幣的==
推 : 幣安應該要有個設定可以超過多少金額的交易要MFA40F 06/03 20:39
※ 編輯: henryhuang17 (61.227.214.9 臺灣), 06/03/2024 21:08:29→ : 說真的玩合約虧掉每個都說被駭客對敲交易,忙不完,41F 06/03 21:55
→ : 自己被盜就吞了吧。幣安頂多多做個交易前要輸入密碼
→ : 功能,但老實說一定一堆人覺得煩,希望拔掉。
→ : 永遠只在蘋果的系統上操作加密貨幣是我的宗旨,相對
→ : 性的安全
→ : 自己被盜就吞了吧。幣安頂多多做個交易前要輸入密碼
→ : 功能,但老實說一定一堆人覺得煩,希望拔掉。
→ : 永遠只在蘋果的系統上操作加密貨幣是我的宗旨,相對
→ : 性的安全
推 : 在交易所都能被盜 那也沒辦法了...46F 06/03 22:49
推 : 像那個DMM也說被駭客盜,填不了坑就說有駭客,真方便47F 06/03 23:18
推 : 盜走登入狀態確實是問題 不只cex也不少dex有1ct功能48F 06/04 01:10
→ : 只能說如果沒有做專用裝置/虛擬機還是少安裝東西吧
→ : 只能說如果沒有做專用裝置/虛擬機還是少安裝東西吧
推 : 所以是餅乾木馬?直接買賣怎麼賠掉100萬?對方比你早買入50F 06/04 04:24
→ : 100萬等你買入100萬再出貨?
→ : 100萬等你買入100萬再出貨?
推 : 找流動性低的 掛天地單來接52F 06/04 09:26
→ : 看他貼的圖都是一根超長針
→ : 看他貼的圖都是一根超長針
推 : 這跟用不用蘋果設備無關了 ,用 macbook 裝 chrome 插54F 06/04 09:54
→ : 件,一樣也會被盜
→ : 裝插件後,設定插件的作用網站是基本動作,不要讓它預
→ : 設能在你所有開的網站中運行
→ : 件,一樣也會被盜
→ : 裝插件後,設定插件的作用網站是基本動作,不要讓它預
→ : 設能在你所有開的網站中運行
--
※ 看板: DigiCurrency 文章推薦值: 0 目前人氣: 0 累積人氣: 51
回列表(←)
分享