阿里快讯(Alibtc.com)讯:昨(3)日傍晚,一个推特名为@CryptoNakamao的用户在X平台上讲述了自己币安账户资金被盗窃一空的惨痛经历。他表示在黑客没有拿到他的币安账号密码以及2FA认证码的情况下,仅通过「对敲交易」的方式,就盗走了他在币安上几乎全部的100万美元资金。
备注:对敲交易是庄家或机构投资者的一种交易手法,具体操作方式是在多家交易所同时开户,以拉锯方式在各交易所之间报价交易,以达到操控价格的目的。
被盗原因是什么?
据该用户自述,在安全公司的协助调查下发现,黑客是通过劫持其网页Cookies的方式操纵了其账户,同时在流动性充沛的USDT交易对购买QTUM、DASH等代币,在BTC、USDC等流动性稀缺的交易对挂出超过市价的限价卖单,最后用其账户开启杠杆交易,超额大笔买入,完成对敲交易。
该用户续指出,黑客能劫持其网页Cookies,并以此操纵其币安账户的最终原因,还要归咎其在一众海外KOL和某些TG频道推荐下,使用的一款Chrome扩展程序「Aggr」。
Aggr是一款上线已久的开源行情数据网站的Chrome扩展程序版本,黑客利用其作恶的具体运行原理是:一旦安装了该扩展程序,黑客将能够收集用户的Cookies,并将其转发到黑客的服务器。
而后黑客将利用收集到的Cookies,劫持活跃用户会话(伪装成用户本人),这样就能在不需要密码或2FA的情况下,控制用户的账户。但该用户的资料保存在1password中,因此黑客不能绕过其2FA直接提走其资产,只能通过利用其Cookies,通过对敲交易完成盗窃。
Aggr恶意扩展程序早已有之
值得注意的是,据区块链安全公司慢雾科技追查,这款恶意Aggr扩展程序早已有之。早在今年3月1日,就有推特用户@doomxbt回馈,其币安账户存在异常情况,资金疑似被盗。
一开始这个事件没有引起太大关注,但在2024年5月28日,推特使用者@Tree_of_Alpha分析发现受害者@doomxbt疑似安装了一个Chrome商店中有很多好评的恶意Aggr扩展程序,它可以窃取使用者访问的网站上的所有cookies,并且2个月前有人付钱给一些有影响力的人来推广它。
随后Nakamao爆出自己被黑经历,让此事件关注度升级。最终经慢雾分析,黑客大概率是俄罗斯或东欧黑客团伙,且在3年前就开始谋划攻击,在恶意扩展程序部署成功后,黑客便开始在推特上推广,等待鱼儿上钩…
Nakamao吐苦水:成币安牺牲品
在讲述自己被黑经历的同时,Nakamao同时也对币安在此事件上的反应速度和采取的行动表达不满,他自称币安实际上早在几周前就知道这款恶意扩展程序的存在,但为了追查黑客避免打草惊蛇,并没有及时提醒用户,同时也任由该款扩展套件在X平台上被推广。
同时,他也表示自己在向币安工作人员反应情况后,币安的处理速度太慢以致于没有及时冻结黑客资金,最终无法挽回损失:
回顾整件事,如果黑客直接提走资金,我也无话可说,但是黑客在币安随意对敲交易和币安后续的补救让我无法接受,更别说币安已经在调查这个黑客和扩展程序许久了,按照时间线总结来看:
1.币安在已经知道该黑客和扩展程序存在问题的情况下,几周不作为也不预防,任由该扩展程序被推广,让用户资金损失扩大
2.币安已知被盗和对敲频发的情况下,仍然不作为。黑客肆意操纵账户长达一个多小时,造成多个币对极端异常交易而未有任何风控
3.币安未及时冻结平台内显而易见的黑客单一账户对敲资金
4.错过最佳时机,时隔一天多,币安才联系相关平台冻结黑客资金。
币安:无法进行赔偿
针对该用户的控诉,币安官方也在随后作出以下回复:
1.事件发生的原因是您的电脑本身被黑客攻破
本次案件中,在您的个人电脑被黑客入侵的情况下,黑客通过扩展程序盗取了您的账号登陆状态,伪装成您本人进行操作和交易,由于攻击者拥有与您相同的已登入状态,系统把操作指令当作来自账户主人来执行。
此种手法系对于个人设备的新型黑客攻击,因为黑客无法提币,所以选择了用对敲的方式,消耗您账号资产。
2.币安安全客服用时1分19秒处理了您的冻结需求
经过查询,您联络安全客服的服务时间:05/24 20:45:32 UTC+8,安全客服明确了用户的冻结诉求之后,第一时间进行了禁用,禁用时间是:05/24 20:46:42 UTC+8,停用共计用时1分19秒。
此外根据交易记录,在您提出冻结诉求前,您当时账户内的资产已经持续交易了一段时间,我们在此也建议大家,当您发现账户异常,建议使用「一键冻结」功能,最快时间内保护账户资产。
3.平台排查对敲交易、确认嫌疑人账户,跨平台提出冻结需求需要时间
在日常的交易中,通常存在着许多对手盘,在您的Case中,有很多真实的用户也有参与交易,而且存在杠杆交易,我们需要在1600多个对手盘8000多笔交易中筛选到可疑的获利方,因此,安全风控团队需要时间去撷取资料并进行定位分析。
需要解释的是,我们的客服确实没有相关调查的功能和权限,需要专门的安全风控团队进行后续资料清洗和分析,所以我们回复您是在第二天。
4.截至目前的检验结果,币安在本事件之前并未注意到AGGR插件的相关讯息
根据目前能找到的所有内部记录,我们在此事件之前的确没有注意到这类插件案例,您在贴文中提及的3月案例,团队当时并不知情与AGGR相关。感谢您在贴文中分享的平台外部「KOL」的讯息,我们会继续进行调查,如有任何新的进展,我们将会在第一时间跟您进行分享和同步。
我们非常同情您的相关遭遇,但是通过目前了解到的讯息,您资产遗失的原因是您的相关设备因为安装了恶意插件而被操纵。
很遗憾,我们对于此类跟币安无关的案件,没有办法进行赔偿。非常感谢您为平台后续的优化提供了方向,我们后续将从平台的角度来看如何为您提供协助。
同时,币安共同创办人何一也表示:个人设备下载了有问题的扩展程序,导致的对敲损失,币安确实没办法赔偿。
社群争论不一
对于此事件,社群成员们的意见也各有分歧,有人认为币安应该对该用户进行赔偿,理由是如该受害者所述,币安早知道该扩展功能存在,但未及时同时用户、且没能及时冻结黑客资金;不过也有人表示,如币安所说,该用户首先是由于自己的原因下载了恶意扩展程序,才导致自己的币安账户被操纵。
不过无论双方如何争执,都提醒用户,正如慢雾团队所言:浏览器扩展功能的风险几乎和直接执行可执行档案一样大,所以在安装前一定要仔细稽核。同时,小心那些给你发私信的人,现在黑客和骗子都喜欢冒充合法、知名项目,以资助、推广等名义,针对内容创作者进行诈骗。最后,在区块链黑暗森林里行走,要始终保持怀疑的态度,确保你安装的东西是安全的,不让黑客有机可乘。
2
0
1
0
0
1
0
0
0
0
