AI換臉、插件陷阱,OKX、幣安用戶損失千萬,交易所真的安全嗎?

AI換臉、插件陷阱,OKX、幣安用戶損失千萬,交易所真的安全嗎?
安全事件,在傳統金融已然不少見,而在黑暗森林般的匿名幣圈,更是司空見慣的存在。

數據顯示,僅剛剛過去的 5 月,加密圈就發生了 37 起典型安全事件,因黑客攻擊、釣魚詐騙和 Rug Pull 造成的總損失金額達 1.54 億美元,較 4 月增長約 52.5%。

就在 6 月 3 日,兩起安全事件再度發生,與其他事件略微不同的是,兩起事件都與大型交易所相關聯,過程也頗為離奇,隻是故事的最後,也是有人歡喜有人憂。

6 月 3 日,一位網名為 Nakamao 的用戶在 X 平臺發布的長文被瘋傳,其在文中提到「自己成為了幣圈犧牲品,幣安賬戶裡 100 萬美元灰飛煙滅。」在娓娓道來的自述中,一環接一環的黑客盜竊揭開了序幕。

據稱,5 月 24 日,Nakamao 尚在工作途中,所有的通訊設備並未離身,但就在這種看似萬無一失的背景下,黑客卻在冇有拿到幣安賬號密碼、二次驗證指令(2FA)的情況下,利用對敲交易盜走了其賬戶裡所有的資金。

黑客

對敲交易,簡而言之,在流動性稀缺的交易對中進行大額交易,通過交易方大規模買入去接盤黑客賬戶的拋售,最後,對方以某個山寨幣種獲得了實際資金或穩定幣,而買家則接手了賣家手中的山寨幣。該種盜竊方式在交易所並不罕見,在 22 年,FTX 就因 3commas API KEY 泄露發生過高達 600 萬美金的對敲盜竊,當時的 SBF 用鈔能力兌付擺平了此事。而後,幣安也相繼發生過大規模對敲交易。但這種模式的歹毒之處就在於,對於風控欠佳的交易所而言,隻是很平常的交易行為,不存在異常的盜竊。

在這起案件中,QTUM/BTC、DASH/BTC、PYR/BTC、ENA/USDC 和 NEO/USDC 被選中,利用用戶的大額資金購入上漲超 20%。而黑客的所有操作,用戶都並未發現,直到 1 個多小時後查看賬戶信息才發現異常。

根據安全公司的回複,黑客通過挾持網頁 Cookies 的方式操縱用戶賬戶,簡單來說就是利用了網頁端保存的終端數據。舉一個典型的例子,我們在互聯網進入某個界麵時,不需要賬戶密碼登錄,因為此前已然留下了曆史訪問與默認記錄。

事情到這,或許僅僅是用戶自身疏唿造成的,然而,後續卻變得更加詭異了起來。在被盜後,Nakamao 第一時間與客戶以及幣安聯合創始人何一取得了聯係,將 UID 交給安全團隊,寄希望在短時間內將黑客資金凍結。但幣安工作人員卻耗時了長達 1 天才通知 Kucoin 和 Gate,冇有絲毫意外,黑客資金早已不翼而飛,而且黑客僅用了一個賬戶,並未分散賬戶,就安然無恙的從幣安提走了所有的資金。在整個過程中,用戶不僅冇有收到任何的安全提醒,更為諷刺的是,由於大額交易的買入,第二日,幣安竟還給其發出了現貨做市商的邀請郵件。

在事後的複盤中,一個平平無奇的 Chrome 插件 Aggr 又進入了 Nakamao 的視野。該插件用於行情數據網站查看,據被盜者描述,其看到有多個海外 KOL 進行推廣長達數月時間,於是出於自身需要,進行了下載。

在這裡簡單進行科普,插件實際上是可以進行多項操作的,理論上而言,它不僅可以通過惡意擴展登錄交易賬戶,訪問用戶的賬戶信息進行交易,還可提取資金與修改賬戶設置,核心原因就在於插件本身具備廣泛的權限訪問、操作網絡請求、訪問瀏覽器存儲、操作剪貼板等多項功能。

在發現插件有問題後,Nakamao 馬上找到 KOL 進行詢問,並告誡 KOL 通知用戶停用此插件,但冇想到,回旋鏢就在這一刻,插到了幣安。據 Nakamao 最初自述,幣安此前就已了解到該插件的問題,在今年 3 月就有類似案件發生,而幣安也在此後追蹤到了黑客,或是為避免打草驚蛇,冇有及時通知暫停產品,且還讓 KOL 繼續與黑客保持聯絡,而在此階段,Nakamao 就成了下一個受害者。

僅用 Cookies 就能登錄進行交易,幣安機製必定也是存在一定問題,但本身事件又切實由用戶自身疏唿引起,追責成為了難題。

果不其然,事後幣安對此的回應,又在市場上引起了軒然大波。除了官方賬號複盤稱本身原因是黑客攻擊外,幣安並未注意到 AGGR 插件的相關信息外,在一個微信群中,何一也對此事件評論道「這個事用戶自己電腦被黑,神仙難救,幣安也冇辦法賠償用戶自己設備中招。」

黑客

對於幣安的操作,Nakamao 顯然不能接受,認為幣安存在風控不作為,且 KOL 有明確確認向幣安團隊提及該插件,幣安也存在知情不報之嫌。隨著輿論持續發酵,幣安也再度回應稱將申請一筆獎勵作為用戶報告惡意插件的回饋。

本以為事情到此已然告一段落,但有趣的是,到了 6 月 5 日,事件又出現了反轉。Nakamao 再度在 X 平臺發文向幣安公開道歉,稱是與幣安有信息差且個人有主觀臆斷成分,幣安實際上並未知情插件的相關情況,幣安首次得知 aggr.trade 的網址也是在 5 月 12 日,並非此前提到的 3 月。此外,KOL 也不是幣安的臥底,KOL 與幣安溝通針對在賬戶問題上,而不是插件問題。

不論這番言論真假,但是態度 180 度大轉彎,從失望喊話到公開致歉,也已可以看出幣安必定是對其有所賠付,而賠付具體為多少,也就不得而知了。

黑客

另一方麵,無獨有偶,在 6 月 3 日,除了幣安,OKX 也受到了波及。一名 OKX 的用戶在社區稱,賬戶被 AI 換臉盜竊,賬戶中的 200 萬美金被轉走。該事件發生在 5 月初,據該用戶描述,其賬戶被盜的原因與個人泄露無關,而是黑客通過登錄郵箱號點擊忘記密碼,並同步構建了一個假身份證以及 AI 換臉的視頻,繞開了防火牆,進一步更換了手機號、郵箱以及穀歌的驗證器,隨後在 24 小時內,盜取了賬戶所有資產。

儘管未看到視頻,但從該用戶的表述,可以大概率知道該 AI 合成視頻非常拙劣,但即使如此,也仍攻破了 OKX 風控體係,因此用戶認為 OKX 也負有責任,希望 OKX 能全額賠付其資金。但實際上,若是仔細分析,作案人必是熟悉該用戶,且了解用戶習慣與賬戶金額的人,可以判定為熟人作案,用戶自己也在信中提到了有朋友與自己形影不離。按照一般情況,OKX 也不會對此進行賠償。目前,這一用戶已報警處理,計劃通過警方進行追償。

針對這兩起事件,加密社區也對此進行了廣泛討論。當然,從安全的角度而言,儘管諸多人強調錢包自托管才有資產絕對控製權,但不得不承認,交易所相比個人控製,還是更加安全,核心就是增加了溝通方。交易所至少是可以對接且聯係到的直接第三方,無論結果如何,至少會在其中介入調查,而若溝通得當,也可能像上述受害人一般獲得賠付,但若自托管錢包被盜,幾乎冇有任何可兜底的機構。

但對於當前交易所的安全改進,也是迫在眉睫。大型交易平臺掌控著大多數用戶的資產,而加密資產又存在難追償性,安全也更應得到重視。在傳統金融的使用中,幾乎每次登出必然需要再次輸入密碼以防止賬戶被控,在轉賬時通常也需要額外增加驗證方式。因此,社區建議,交易平臺應增加密碼鎖功能,交易前增加 2FA 驗證,且 IP 更換後也應重新輸入驗證,或是采取多方安全 MPC 驗證,將密碼分散化,通過犧牲用戶體驗以提升安全性。但也有用戶認為,多次重複驗證對於高頻交易而言過於瑣碎,難以具備可行性。

何一也對此進行了回複,稱「目前對突發價格波動已經疊加大數據報警和人工雙重確認,也會給用戶增加提醒;在插件運行、Cookie 的授權上即將增加驗證頻率,在這個場景交易密碼不適用,但幣安會根據用戶的差異增加安全驗證環節。」

黑客

回到出發點,從兩起事件來看,用戶也需引起高度重視,增強自身安全意識,在分散放置資產的前提下,儘量使用完全獨立的設備進行操作,推薦使用分散認證、不以便捷性為核心,避免設置免密和活體認證,謹慎使用插件,對於大額資產,使用硬件錢包進行存儲。

畢竟加密資產不同於實體資產,實體至少可以進行追蹤,而加密資產的盜竊,由於監管的限製,幾乎很難獲得後續賠付,甚至立案都頗為困難。

這種案例也不少見。在日前 1818 黃金眼的報道中,就出現了典型例子。受害人朱先生發現了知乎上一位號稱憑借炒幣獲得千萬收入的大佬「程七七」,希望跟隨其炒幣賺錢。兩者協商後,通過合同簽訂實現分潤合作,明確盈利的 70% 歸屬於程七七,30% 朱先生自留,而若虧損,兩者各承擔 50%,在交易過程中,朱先生僅跟單操作,所有賬戶歸屬權均掌握在自身手中。

如此高額的分潤,看似具有信任度的合同,並冇有帶來可信任的結果。在最初小獲盈利後,受害人加大了籌碼投入,在程七七保證的「爆倉全賠」口號中,用借來的本金 60 萬、杠杆百倍做空 ETH,最後由於 ETH 的上漲,受害人血本無歸。

該種情況顯然難以立案,原因是所有操作都為個人所為,並不存在詐騙或強迫性行為,而事情的最後,警方、記者也隻能無奈強調,根據我國法律法規,虛擬貨幣交易不受保護,存在高度風險,提高警惕等等。

黑客

最終朱先生帶著心碎又無辜的表情,上演了一場啼笑皆非的結尾。

無論如何,在此還是再度提醒參與交易的看客們,在任何一個金融領域,即使是在加密圈,這一本來就犧牲部分安全性而獲取高額利潤與自由度的板塊,安全,也遠比效率或者盈利更加重要,這或許也是號稱去中心化的加密世界難以離開中心化的原因之一。

畢竟,人性就是如此。每個人都希望有人兜底,而即使賺的錢再多,也不願給他人做嫁衣。

本文来自加密新聞投稿,不代表科技新聞立场,如若转载,请注明出处:https://news.kejixun.com/6294.html

讚! (0)
加密新聞的頭像加密新聞编辑
Previous 2024 年 6 月 9 日
Next 2024 年 6 月 9 日

相关推荐

發佈留言

發佈留言必須填寫的電子郵件地址不會公開。 必填欄位標示為 *

SHARE
TOP