撸毛圈传来噩耗,资金集体飞升黑客星球
——记 Ads Power 指纹浏览器之殇
少年,听说你想用 0 撸剑开天门?
可曾想过,长老送你的这把利剑有「后门」!
1月25日,Web3 撸毛圈已经沉浸在年前的氛围中,等着年后分享 Bera、Linea 等空投喜悦。
殊不知,一场大劫来临。
黑客在 1 月 17 日就已摩拳擦掌。他注册登记了作案用的域名 logcollection[.]info,入侵了比特浏览器服务器,替换了 Ads Power 指纹浏览器的插件,让更新这个版本的插件的用户私钥全部泄露。
诡异的是,东窗事发之时,Ads Power 居然是先通过微信等私人方式联系部分用户告知被盗风险,没有选择立刻大范围警告。
当慢雾创始人余弦于 25 日 11:15 分在社交媒体发出警告时,超过 20,000 个地址、近 500 万美元的资产已在被无声收割,多少工作室养了几年的地址集群一朝作废。
只有少部分消息快的人和黑客赛跑成功,抢救回了资产。
🟢 中心化黑箱工具就 TM 是定时归零炸弹
这一灾难般的场景,何其眼熟?
就在 3 个月前,知名顶级 meme 交易工具 Dexx 用户的私钥尽数被盗,一觉醒来资产清零。
就在一年多前,同类工具比特浏览器发生盗窃,最后不了了之。(甚至还甩锅给了 WPS)
更眼熟的是,不久之前 Ads Power 还在投放推广 KOL 邀请注册返佣。翻翻 Ads Power 的推特历史,还能看到其 1 月 3 号刚以 90+ 分【高分】通过了 Certik 的安全认证审计,而 Certik 的推文已经悄悄地删除了,留下一个空荡荡的不可见引用推文。
更多的作案细节,安全机构仍在跟进调查中。无论是监守自盗还是外部入侵,都无一不说明了这种中心化的、不开源的黑箱工具的恐怖。
这种可能暴雷的工具往往有两个特点:
1)有能力作恶。这些工具往往能够直接接触到用户的钱包私钥缓存,甚至直接就能托管你的私钥——并且处在联网动态更新环境、对于用户不开源。
2)有动机作恶。托管/接触的资金的量和增长的速度,都远远超过了其商业模式收入,内部人员有 ROI 极大的盗窃跑路诱惑,成功了一辈子荣华富贵,谁看了不迷糊?
当然,也有第三种情况,就是安全防御能力匹配不上用户的增长,成为黑客的目标,被入侵拿下。
🟢 大道至简,请离线隔离你的私钥
不要嫌 OneKey 啰嗦….我们一遍一遍地强调过:只要你在联网电脑上的钱包,私钥助记词是缓存在电脑、并且签名操作在电脑操作的,都有可能导致资产被盗!!!
当签名环境与网络连接共存于同一内存空间时,再复杂的加密算法也抵不过一行被注入的恶意代码。
就比如你下载的随便一个视频播放器,突然哪天被黑客入侵。有能力的黑客,直接上传你的私钥缓存暴力破解,没能力的,记下你的 PIN 直接远程操作你的钱包转账。
那为什么指纹浏览器成为了目标?因为它是币圈撸毛精准用户——有钱可偷呀!毕竟 Web3 还是小众的,随便入侵一个软件,Web3 用户可能都不到 0.1%。
这一次被盗事件,你大可以打听一下,使用硬件钱包(OneKey、Ledger、Trezor 等)的工作室,都没有被盗。
为什么?
这些硬件钱包的目的就是帮助用户更好地离线地保护自己的私钥,保证私钥锁定在 EAL6+ 加密芯片中,没有任何利益方接触。它要确保的是——私钥从生成、备份到储存都永远不和网络连接。
以 OneKey 为例, OneKey 的硬件钱包和软件钱包更是从第一天就【完完全全】地在 Github 开源公开代码并被慢雾审计。物理的隔离,代码的限制,让被入侵的可能性降到最低。OneKey 有 Coinbase、Dragonfly 等知名机构的大额融资,不会发币,更不托管用户的私钥。
老实说,安全和便利有时候有些冲突。需要抄写助记词、手动确认每次交互、甚至使用硬件钱包来保存私钥、作转账签名。
或者你有技术能力/钞能力,花时间做个自己的多开操作脚本,而不是使用中心化不开源第三方,用着放心。(目前第三代的撸毛工作室基本都有这种技术能力了)
但这本身是有点反人性的,因为人都是懒惰的。
大部份人都想着「这种事情不会发生在我的身上吧?」,但只要发生一次,就归零,回归原点。
🟢 总结
最聪明的大脑,最美丽的叙事,却最多的人倒在牛市。
打听打听过去的中心化暴雷事件吧,哪一个不震撼人心?
那些门头沟、FTX 以及一众项目方的烟花好看吗?
用户的亿万级真金白银换的。
万千财富灰飞烟灭,仅在一刻之间。
希望你不要继续做侥幸者,学会隔离私钥自托管,适当出金,守护住你的大结果。
——
🎁 既然你看到这里,OneKey 就偷偷抽个奖吧。
评论转发,痛快抽 1 台最新的 Classic 1s 硬件钱包,我们会和上次的抽奖一起开奖:)
最后祝各位剑开天门,没有后门。
+ There are no comments
Add yours