-
作者帖子
-
-
我成了币圈卧底的牺牲品,币安账户里100万美元灰飞烟灭
直到现在我整个人还是懵的,这几乎是我这几年全部的积蓄。
黑客在没有拿到我的币安账号密码,二次验证指令(2FA)的情况下,通过“对敲交易”的方式盗走了我账户内的近全部资金,在我事后与安全公司的调查中,发现了更加令我吃惊的的事,最终我明白,我是一个币圈卧底的牺牲品,整件事过于离奇,我今天鼓起勇气把这个故事写下来,是为了让其他人不要重蹈我的覆辙,我从没想过我的资产会以如此方式被清空,给加密投资者警示,不要再成为下一个我!
5月24日,一个平常的周五,我结束工作在回家的路上,期间我的电脑和手机都在我的身边,而此时,我的账户却在疯狂的交易,我则毫不知情。
QTUM/BTC由于我账户的买入上涨了21%,DASH/BTC由于我账户的买入上涨了27%,还有PYR/BTC 上涨31%;ENA/USDC 上涨22%;NEO/USDC 上涨20%。
这些操作直到我一个半小时后习惯性的打开币安看btc价格时才发现。
事后安全公司和我说,这是黑客通过挟持我网页Cookies的方式在操纵我的账户,黑客在流动性充沛的USDT交易对购买相应代币,在BTC、USDC等流动性稀缺的交易对挂出超市场价的限价卖单。最后用我的账户开启杠杆交易,超额大笔买入,完成对敲。
在整个过程中,我没有收到任何来自币安的安全提醒,可笑的是,第二天我还因为交易量过大,收到了现货做市商的邀请邮件。即使这种情况下,我的账户被盗时也没有任何的预警和冻结,黑客的资产也未受到任何的限制。这让我感到非常费解。
在意识到我的账户被盗后,我第一时间与客服取得了联系,但在这个过程中,黑客仍在操作我的账号。按道理,黑客的资金一定还留在平台内,但我得到的来自币安的回复是,黑客安然无恙的从币安提走了他所有的资金。更难以理解的是,这个黑客仅用了一个账户,如此明显的对敲交易。让我对币安的风控大跌眼镜。
在事件发生的第一时间,我不仅告知了币安客服,还在TG上私信了一姐,一姐非常敬业,第一时间将我的UID交给了安全团队。但让我没想到的是,即便是有一姐的督促,币安工作人员还是用了一天多的时间,才通知Kucoin和Gate将黑客转入的资金冻结。结果不用说,黑客的资金早已转出(已查证)。冻结已经毫无意义。
在整个过程中,币安工作人员的反应十分迟缓,没有帮用户挽回任何损失,我是币安的忠实用户,这些年来一直都在币安上交易,这真的让我十分失望。这真的是想帮用户追回资金么?
眼看交易所拦截已经彻底失败,我便寻求安全公司的帮助,看看是否能锁定黑客,首先我便要弄清楚第一个问题,在我的电脑手机都在身边,我也没有收到任何币安账户新设备登录提醒,异地登录提醒的情况下,黑客是怎么操作我的币安账户的?
最终,我与安全公司把罪归祸首锁定在了一个平平无奇的Chrome插件Aggr上。这是一个历史悠久的开源行情数据网站的Chrome插件版,我见有很多海外KOL和一些TG频道在推荐该插件,而且推荐已经有几个月时间了,所以下载这个插件,试着查看一些数据。
关于Chrome的恶意插件造成严重损失的情况,目前加密中文圈还没有太多案例。目前看,我可能是第一例。请一定记住,Chrome网页插件与下载恶意应用程序损伤一样大。不要随意下载和使用Chrome插件!为了引起大家的警觉,我可以列举出一种最极端的情况:你常用的Chrome插件甚至可以在一次更新后完成恶意代码的植入。
该款恶意插件的具体运行原理是:如果你安装并使用了恶意插件,那么黑客就可以收集你的Cookies,并将其转发到黑客的服务器。黑客能够利用收集的Cookies,劫持活跃用户会话(伪装为用户本人),这样黑客不再需要密码或2FA,能够控制你的帐户。
在我的实际情况中,因为我的资料保存在1password之中,黑客没有办法绕过2FA提走我的资产。但可以利用我的Cookies,通过挟持我的账户,对敲获取收益。
于是我找到推广KOL,我要确定他是否是黑客的同谋,如果不是,那他要立刻通知他的所有用户,马上停用这个插件,避免更大的损失,但在和他去的联系后,更加让我震惊的故事来了。
原来币安早就知道这个插件的存在,甚至鼓励这名KOL与黑客进一步获得更多的信息,而我就是在该插件被进一步推广之时被盗的。币安至少在3、4周前就追查到黑客的地址了,也从该KOL处获取到插件的名字和链接。但即便如此,币安很可能是为了继续追查这个黑客,避免打草惊蛇,而没有及时通知暂停这个产品,我也就此成为了牺牲品。
今年3月1日初盛传的一名海外社区成员的币安账户被盗事件也是因为该插件,彼时该事件还引得币安CEO Richard Teng专门回复,“币安的安全工作组正在积极调查,以找出问题的根本原因”。所以,我不愿也无法相信币安团队近3个月的时间还未查出该插件的问题。
也就是说不论如何,在Alpha Tree向加密社区公布插件问题之前的一周或几周前,这个插件的问题早就能被公布和发酵了。
回顾整件事情,如果黑客直接提走资金,我也无话可说,但是黑客在币安随意的对敲和币安后续的补救让我无法接受,更别说币安已经在调查这个黑客和插件许久这件事了。按照时间线总结来看:
1.币安在已知该黑客和插件存在问题情况下,几周不作为也不预防,任由推广继续,让资金损失扩大。
2.币安已知被盗和对敲频发的情况下,仍然不作为。黑客肆意操纵账户长达一个多小时造成多个币对极端异常交易而未有任何风控;
3.币安未及时冻结平台内显而易见的黑客单一账户对敲资金;
4.错过最佳时机,时隔一天多,币安才联系相关平台冻结;我非常尊重一姐和CZ,而且事实上,一姐也在第一时间回复了我,对我提供了帮助,在这个层面我应该感谢一姐,这件事本来应该是一个币安帮助用户挽回黑客盗币损失的佳话,而我今天在写的,也应该是一封对币安工作人员的感谢信,但现实是,币安的工作人员完完全全辜负了我的期待。
之前总看到币安关于彰显自身安全性的文章,每年币安的年度总结也总少不了安全二字,让我对币安充满信心。身体力行的将大量资金以稳定币形式存在币安也是因为信任,但当遇到风险后,币安的一系列行为让我感到陌生。那些华丽的词藻,动辄几亿上百亿的数据,我都没办法相信了。
我在这个把这个故事写下来,一方面是对被盗后的一切都深感迷茫无助。另外更想为大家敲响安全问题的警钟,不要重蹈我的覆辙。随加密货币越来越为人熟知,任何参与者的资产安全和人身安全,都值得重视。
(故事讲述人:Nakamao🫡)
-
关于此类盗窃,后续的安全文章解析和提醒——披着羊皮的狼:虚假 Chrome 扩展盗窃分析
慢雾安全团队提醒广大用户在安装浏览器扩展前一定要仔细审核。作者:山,Thinking,慢雾安全团队
背景
2024 年 3 月 1 日,据推特用户 @doomxbt 反馈,其币安账户存在异常情况,资金疑似被盗:(https://x.com/doomxbt/status/1763237654965920175)
一开始这个事件没有引起太大关注,但在 2024 年 5 月 28 日,推特用户 @Tree_of_Alpha 分析发现受害者 @doomxbt 疑似安装了一个 Chrome 商店中有很多好评的恶意 Aggr 扩展程序!它可以窃取用户访问的网站上的所有 cookies,并且 2 个月前有人付钱给一些有影响力的人来推广它。
(https://x.com/Tree_of_Alpha/status/1795403185349099740)
这两天此事件关注度提升,有受害者登录后的凭证被盗取,随后黑客通过对敲盗走受害者的加密货币资产,不少用户咨询慢雾安全团队这个问题。接下来我们会具体分析该攻击事件,为加密社区敲响警钟。
分析
首先,我们得找到这个恶意扩展。虽然已经 Google 已经下架了该恶意扩展,但是我们可以通过快照信息看到一些历史数据。
下载后进行分析,从目录上 JS 文件是 background.js,content.js,jquery-3.6.0.min.js,jquery-3.5.1.min.js。
静态分析过程中,我们发现 background.js 和 content.js 没有太多复杂的代码,也没有明显的可疑代码逻辑,但是我们在 background.js 发现一个站点的链接,并且会将插件获取的数据发送到 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
通过分析 manifest.json 文件,可以看到 background 使用了 /jquery/jquery-3.6.0.min.js,content 使用了 /jquery/jquery-3.5.1.min.js,于是我们来聚焦分析这两个 jquery 文件:
我们在 jquery/jquery-3.6.0.min.js 中发现了可疑的恶意代码,代码将浏览器中的 cookies 通过 JSON 处理后发送到了 site : https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
静态分析后,为了能够更准确地分析恶意扩展发送数据的行为,我们开始对扩展进行安装和调试。(注意:要在全新的测试环境中进行分析,环境中没有登录任何账号,并且将恶意的 site 改成自己可控的,避免测试中将敏感数据发送到攻击者的服务器上)
在测试环境中安装好恶意扩展后,打开任意网站,比如 google.com,然后观察恶意扩展 background 中的网络请求,发现 Google 的 cookies 数据被发送到了外部服务器:
我们在 Weblog 服务上也看到了恶意扩展发送的 cookies 数据:
至此,如果攻击者拿到用户认证、凭证等信息,使用浏览器扩展劫持 cookies,就可以在一些交易网站进行对敲攻击,盗窃用户的加密资产。
我们再分析下回传恶意链接 https[:]//aggrtrade-extension[.]com/statistics_collection/index[.]php。
涉及域名:aggrtrade-extension[.]com
解析上图的域名信息:
.ru 看起来是典型的俄语区用户,所以大概率是俄罗斯或东欧黑客团伙。
攻击时间线:
分析仿冒 AGGR (aggr.trade) 的恶意网站 aggrtrade-extension[.]com,发现黑客 3 年前就开始谋划攻击:
4 个月前,黑客部署攻击:
根据 InMist 威胁情报合作网络,我们查到黑客的 IP 位于莫斯科,使用 srvape.com 提供的 VPS ,邮箱是 aggrdev@gmail.com。
部署成功后,黑客便开始在推特上推广,等待鱼儿上钩。后面的故事大家都知道了,一些用户安装了恶意扩展,然后被盗。
下图是 AggrTrade 的官方提醒:
总结
慢雾安全团队提醒广大用户,浏览器扩展的风险几乎和直接运行可执行文件一样大,所以在安装前一定要仔细审核。同时,小心那些给你发私信的人,现在黑客和骗子都喜欢冒充合法、知名项目,以资助、推广等名义,针对内容创作者进行诈骗。最后,在区块链黑暗森林里行走,要始终保持怀疑的态度,确保你安装的东西是安全的,不让黑客有机可乘。
-
我觉得币安在安全这方面已经是圈内数一数二的了,各种风控和验证还有人脸等等操作,但是黑客是手段也是不断进步的,这种东西是无法提前预防的,因为没人能预料到黑客究竟会用哪些手段来盗取资金,所以我觉得安全方面交易所是没问题的
电脑不要登录币安,我操作币安都只敢在iphone上,各种验证还是用的不同手机来读取。
cex dex 其实都有很大的风险,现在插件和病毒横行。
而且风控管不了cookie盗用, 一般在登录或敏感操作时才触发风控项,大部分人为了方便,固定设备都有缓存信息,方便开机就可以直接用。电脑被入侵的情况下,交易是同一个设备,相同ip,所以风控扫不到。在网页端操作完就点击退出账户(不是关闭网页,退出账户才行)。cookie 自动失效,想操作的时候再登录一下就好了。 这样麻烦点 ,但是不会被盗。手机端很安全不用担心,手机端有环境检测 拿到cookie也没用,手机和网页 认证cookie不通。尽量用手机端操作。至于说后续的处理,其实大家都能理解你丢了钱的心情肯定是需要一些安慰的情绪价值的,但是这事说实话怪不到客服,客服能做的事也是很有限的,要是客服能随意冻结一个人的账户想想不是也挺可怕的
这事给我们也敲响了警钟,后面要多学学安全知识,不要觉得那些安全手段麻烦了!
鸡蛋不要放在同一个篮子里。Not your keys, not your coins🥲 各位注意资产安全🔏
-
简单梳理一下,黑客利用木马程序(可以浏览器插件第三方软件等形态)获取受害者的登录cookie,再利用这个信息直接登录盗取资金,妈耶,有人油管频道都被这样盗过,太可怕了,安慰一下博主,以后预防用iPhone登录吧
浏览器安全tips:
1.养成习惯 多开浏览器用户
Chrome在右上角-添加用户配置,Edge在左上角-创建新的用户资料
2.不用的插件在管理页面中关掉 不要装太多无用浏览器插件
包括但不限于: 死链/社区开发/无活跃的钱包、各种便利的油猴脚本和功能性插件
3.打开通知 如果有未知操作,APP-我的设备里先退出账号现在的手法越来越狡猾了,用插件对敲交易都给他们想到,插件真的不能乱下载。。
对交易所而言,一般的风控是在提币这个环节的,交易环节没有风控,走对敲转移资金对交易所而言就是炒币/做市,所以那个人也收到了做市邀请,有点搞但确实看来如此,因此交易所这一侧是很难识别的。
对交易所用户而言,也是很难防范的。如果一定要说就是尽量不要使用非知名团队的插件,更不要随便通过 API 交易。之前 API 大规模被盗,就是走对敲转移资金的。
举个🌰,3Commas 平台就被盗了,这也算是一个比较大的 API 服务商了,总损失有 1亿美元以上,FTX 也没有任何风控。毕竟,对敲会产生大量的手续费,而且交易所自己的 MM 往往是可以赚钱的😴可以理解为如果被盗 100万,一般攻击者只能获利 70万,其他30万被交易所和 MM 的 Bot(非链上 Bot,交易所内部的做市机器人)捕获。
孙哥 @justinsuntron讲的挺清楚,直接截图丢上吧。
1. 尽量不用网页端登录交易所
2. 不得不登录不用就马上登出
3.插件资金浏览器分开 -
OK,看了这次币安被盗,多说两句。
我见过一些独立开发者,做了个chrome插件,上了chrome web store,非常火,非常好用,一下子几十万安装量,
然后就有公司找你谈收购,直接掏出几百万刀现金,要找你买插件。
一般而言,这些开发者都是业余折腾插件,还有其他事情,插件功能开发得也差不多, 也没有动力继续维护了,找不到快乐了——于是索性直接卖掉,套现几十万、几百万刀,落袋为安,该干嘛干嘛去。
其实这种公司都是黑产、灰产,这些开发者心里大概也有数,但是无奈自己懒得管了,于是直接把钱拿走,官宣项目被收购,彻底切割关系,眼不见心不烦。
于是就会出现,有一个合法且正式的chrome插件,被收购以后,开始一把梭偷你的cookie,造成损失。
币安这次也他妈倒霉,不去验证cookie和IP地址,黑客拿到cookies直接登上去了,所以被喷活该。
但是我还是想说,如果你做了个chrome extension,上架web store,建议你在看到疑似灰产、黑产公司收购插件的时候,拍拍良心,不要卖。
当然,对于币圈而言,最重要的是,时刻准备一个崭新电脑或者一个sandbox沙箱,里面运行一个干净、没有扩展的chrome(甚至是chromium),不要相信操作系统、不要相信浏览器、不要安装任何未名插件、不要下载安装恶意程序——对一切抱有怀疑。
-
看看币圈一姐何一的评论:
建议用户
1. 隔离——单独创建一个chrome用户登录DAPP,不要安装插件;
2. 清除——涉及资金的APP,记得登录了网页及时退出,别因为需要输入密码偷懒一直用cookies挂在线上!
3. 无痕——无痕模式打开网页,禁用任何插件;
4. 隐私——资金操作的单独一台电脑,最好还是用苹果手机交易,这个安全性还是很高的;
5. 权限——涉及到资金权限的,设置成几分钟立刻登出(很多传统银行软件的做法)你永远都没办法知道这个世界上的坏人的手段都进化到什么样的地步了,哎🥺
-
所以, web3 的资产并不是宣传那样安全,
毕竟要进行交易,
而交易还是掌握在少数知名交易平台上,
这种情景和法币们所在的银行/股票交易所,没什么区别,
无论 BTC 本身设计的多安全,
在其上多层衍生起来的各级侧链以及交易渠道,
都是草台班子…
当然, 最大的还是浏览器平台,
Chrome 为核心的各种衍生浏览器其实已经变成了互联网无法绕开的标准 shell ,
而这层壳儿的核心代码, 却掌握在一家公司手中,
虽然是开源的, 但是, 没那哪个团队现在有希望能追上 google 的积累,
虽然有很多 Chromium 的独立分支, 可以作到完全清晰简洁的只有核心浏览器能力而不包含其它任何后门,
但是, 根本流行不起来, 只能在小领域专用场景中生存.
“Chrome网页插件与下载恶意应用程序损伤一样大。”这句话真的要听进去,管住手是真的。 -
这是币安不作为,还是和插件狼狈为奸啊?感觉这些黑客应该就是盯上了大额、且国内这交易不合法没法报警的人,所以才这么猖獗
-
归根结底是自己的原因,怪不了交易所
-
亏大发了
-
币圈里面的骗子太多,无法无天,报警也不好使,难
-
-
作者帖子