Geschrieben von: Gyro Finance

Sicherheitsvorfälle sind im traditionellen Finanzwesen keine Seltenheit und kommen im dunklen Wald-ähnlichen anonymen Währungskreis noch häufiger vor.

Daten zeigen, dass allein im vergangenen Mai 37 typische Sicherheitsvorfälle im Verschlüsselungskreis aufgetreten sind, wobei sich die Gesamtverluste durch Hacking-Angriffe, Phishing-Betrügereien und Rug Pulls auf 154 Millionen US-Dollar beliefen, was einem Anstieg von etwa 52,5 % gegenüber April entspricht.

Gerade am 3. Juni ereigneten sich erneut zwei Sicherheitsvorfälle, die sich ein wenig von anderen Vorfällen unterschieden. Beide Vorfälle standen im Zusammenhang mit großen Börsen und der Vorgang war ziemlich bizarr .

Am 3. Juni veröffentlichte ein Benutzer namens Nakamao einen langen Artikel über die In Daolais Selbsterzählung begannen die Hackerdiebstähle nacheinander.

Es heißt, dass Nakamao am 24. Mai immer noch auf dem Weg zur Arbeit war und die gesamte Kommunikationsausrüstung noch bei ihm war. Vor diesem scheinbar narrensicheren Hintergrund gelangten die Hacker jedoch nicht an das Binance-Kontopasswort und die sekundären Verifizierungsanweisungen (2FA). , wurden alle Gelder auf seinem Konto durch Knock-on-Transaktionen gestohlen.

Kurz gesagt, beim Paarhandel werden Transaktionen mit großen Beträgen in Handelspaaren mit knapper Liquidität durchgeführt, und die Handelspartei nutzt große Käufe, um den Verkauf von Hackerkonten aufzufangen. Schließlich erhält die andere Partei tatsächliche Gelder oder Gelder in einem bestimmten Altcoin . Stablecoin, während der Käufer den Altcoin vom Verkäufer übernimmt. Diese Diebstahlmethode ist bei Börsen keine Seltenheit. Im Jahr 2022 kam es bei FTX zu einem Gegendiebstahl von bis zu 6 Millionen US-Dollar aufgrund des Durchsickerns des 3commas API KEY. Damals nutzte SBF seine Banknotenfähigkeiten, um die Angelegenheit zu regeln. Seitdem hat Binance auch groß angelegte Folgetransaktionen durchgeführt. Die Bösartigkeit dieses Modells besteht jedoch darin, dass es sich bei Börsen mit schlechter Risikokontrolle nur um normales Handelsverhalten handelt und es keinen ungewöhnlichen Diebstahl gibt.

In diesem Fall wurden QTUM/BTC, DASH/BTC, PYR/BTC, ENA/USDC und NEO/USDC ausgewählt, um mit den großen Geldbeträgen der Benutzer Preise zu erwerben, die um mehr als 20 % stiegen. Keiner der Vorgänge des Hackers wurde vom Benutzer entdeckt, bis er mehr als eine Stunde später die Kontoinformationen überprüfte und die Anomalie entdeckte.

Laut der Antwort des Sicherheitsunternehmens manipulieren Hacker Benutzerkonten, indem sie Web-Cookies kapern. Vereinfacht gesagt nutzen sie auf der Webseite gespeicherte Terminaldaten. Um ein typisches Beispiel zu nennen: Wenn wir eine bestimmte Schnittstelle im Internet betreten, benötigen wir kein Konto und kein Passwort, um uns anzumelden, da zuvor historische Zugriffs- und Standarddatensätze hinterlassen wurden.

Was damit passiert ist, könnte auf die eigene Nachlässigkeit des Benutzers zurückzuführen sein. Später wurde es jedoch noch seltsamer. Nach dem Diebstahl kontaktierte Nakamao sofort den Kunden und Binance-Mitbegründer He Yi und übergab die UID an das Sicherheitsteam, in der Hoffnung, die Gelder des Hackers in kurzer Zeit einfrieren zu können. Die Mitarbeiter von Binance brauchten jedoch bis zu einem Tag, um Kucoin und Gate zu benachrichtigen. Darüber hinaus nutzte der Hacker nur ein Konto und hob das gesamte Geld sicher von Binance ab . Während des gesamten Prozesses erhielt der Benutzer nicht nur keine Sicherheitserinnerungen, sondern was noch ironischer ist, ist, dass Binance aufgrund der großen Transaktion am zweiten Tag tatsächlich eine Einladungs-E-Mail an den Spot Market Maker verschickte.

Im anschließenden Testbericht rückte erneut ein mittelmäßiges Chrome-Plugin Aggr ins Blickfeld von Nakamao. Dieses Plug-in wird zum Anzeigen von Marktdaten-Websites verwendet. Der Beschreibung der gestohlenen Person zufolge sah er, dass mehrere ausländische KOLs es mehrere Monate lang bewarben, und lud es daher für seine eigenen Zwecke herunter.

Hier ist eine einfache wissenschaftliche Popularisierung. Theoretisch kann es sich nicht nur über böswillige Erweiterungen beim Handelskonto anmelden, auf die Kontoinformationen des Benutzers zugreifen, sondern auch Geld abheben und Kontoeinstellungen ändern Der Kern liegt darin, dass das Plug-In selbst über mehrere Funktionen verfügt, z. B. über umfassende Berechtigungszugriffe, das Betreiben von Netzwerkanforderungen, den Zugriff auf den Browserspeicher und das Betreiben der Zwischenablage.

Nachdem er herausgefunden hatte, dass es ein Problem mit dem Plug-in gab, wandte sich Nakamao sofort an die KOL, um sich zu erkundigen, und forderte die KOL auf, die Benutzer zu benachrichtigen, das Plug-in zu deaktivieren. Allerdings wurde der Bumerang in diesem Moment unerwartet in Binance eingefügt. Laut Nakamaos erster Aussage war Binance bereits zuvor über das Problem mit dem Plug-in informiert gewesen, und ein ähnlicher Fall ereignete sich auch danach im März dieses Jahres. Binance hat den Hacker ebenfalls verfolgt oder die Aussetzung des Produkts nicht rechtzeitig mitgeteilt, um dies zu verhindern Dadurch wurde die Schlange alarmiert, und es ermöglichte dem KOL außerdem, weiterhin Kontakt zu den Hackern aufrechtzuerhalten, und zu diesem Zeitpunkt wurde Nakamao das nächste Opfer.

Da man sich nur mit Cookies anmelden und Transaktionen durchführen kann, muss es einige Probleme mit dem Binance-Mechanismus geben, aber der Vorfall selbst wurde tatsächlich durch die eigene Fahrlässigkeit des Benutzers verursacht, was die Verantwortlichkeit zu einem schwierigen Problem macht.

Wie erwartet sorgte die anschließende Reaktion von Binance für Aufruhr am Markt. Zusätzlich zu der offiziellen Kontoüberprüfung, die besagt, dass die Ursache ein Hackerangriff war, hat Binance die relevanten Informationen über das AGGR-Plug-in nicht bemerkt. In einer WeChat-Gruppe äußerte sich He Yi auch zu dem Vorfall: „Der eigene Computer des Benutzers wurde gehackt.“ . Gott.“ Es ist schwer zu retten und Binance hat keine Möglichkeit, Benutzer zu entschädigen, deren Geräte kompromittiert wurden.“

Nakamao kann die Operation von Binance offensichtlich nicht akzeptieren und glaubt, dass Binance es versäumt hat, irgendetwas in Bezug auf die Risikokontrolle zu unternehmen. Darüber hinaus hat KOL eindeutig bestätigt, dass er das Plug-in gegenüber dem Binance-Team erwähnt hat, und Binance wird ebenfalls verdächtigt, die Angelegenheit nicht gemeldet zu haben. Während die öffentliche Meinung weiter gärt, antwortete Binance erneut, dass es eine Belohnung als Feedback für Benutzer beantragen werde, die bösartige Plug-ins melden.

Ich dachte, die Sache wäre zu diesem Zeitpunkt erledigt, aber interessanterweise nahmen die Ereignisse am 5. Juni eine andere Wendung. Nakamao entschuldigte sich erneut öffentlich bei Binance am 12. Mai und nicht wie bereits erwähnt im März. Darüber hinaus ist KOL kein verdeckter Ermittler von Binance. Die Kommunikation zwischen KOL und Binance konzentriert sich auf Kontoprobleme, nicht auf Plug-in-Probleme.

Unabhängig davon, ob diese Bemerkungen wahr oder falsch sind, hat sich die Haltung um 180 Grad geändert, vom Ausdruck der Enttäuschung zur öffentlichen Entschuldigung. Es ist ersichtlich, dass Binance eine Entschädigung geleistet haben muss, und die genaue Höhe der Entschädigung ist unbekannt.

Andererseits war am 3. Juni neben Binance auch OKX betroffen. Ein OKX-Benutzer sagte in der Community, dass sein Konto durch KI-Gesichtsveränderung gestohlen und 2 Millionen US-Dollar auf dem Konto wegüberwiesen wurden. Der Vorfall ereignete sich Anfang Mai, der Grund für den Diebstahl seines Kontos lag jedoch nicht darin, dass er sich mit seiner E-Mail-Adresse anmeldete, auf das vergessene Passwort klickte und gleichzeitig ein Konto erstellte Um die Situation zu umgehen, öffnete er einen gefälschten Personalausweis und ein KI-Video, das das Gesicht veränderte. Er öffnete die Firewall, änderte seine Mobiltelefonnummer, seine E-Mail-Adresse und seinen Google-Authentifikator und stahl dann innerhalb von 24 Stunden das gesamte Kontoguthaben.

Obwohl das Video nicht gesehen wurde, lässt sich anhand der Aussage des Benutzers mit hoher Wahrscheinlichkeit erkennen, dass das KI-synthetisierte Video sehr schlecht ist, aber trotzdem das OKX-Risikokontrollsystem verletzt. Daher ist der Benutzer davon überzeugt OKX trägt ebenfalls Verantwortung und hofft, dass OKX die Höhe der Entschädigung vollständig an seine Fonds auszahlen kann. Tatsächlich muss der Täter jedoch bei sorgfältiger Analyse jemand sein, der mit dem Benutzer vertraut ist und die Gewohnheiten und den Kontostand des Benutzers kennt. Es kann festgestellt werden, dass die Straftat von einem Bekannten begangen wurde er hat einen Freund, der unzertrennlich mit ihm verbunden ist. Als allgemeine Regel gilt, dass OKX Sie hierfür nicht entschädigt. Derzeit hat dieser Benutzer die Polizei gerufen und plant, eine Entschädigung durch die Polizei einzufordern.

Als Reaktion auf diese beiden Vorfälle hat die Verschlüsselungs-Community sie auch ausführlich diskutiert. Aus sicherheitstechnischer Sicht müssen wir natürlich zugeben, dass der Austausch im Vergleich zur persönlichen Kontrolle immer noch sicherer ist, obwohl viele Menschen betonen, dass die Selbstverwahrung von Geldbörsen die absolute Kontrolle über Vermögenswerte hat. Die Börse ist zumindest ein direkter Dritter, der zugeschaltet und kontaktiert werden kann. Unabhängig vom Ergebnis wird sie bei ordnungsgemäßer Kommunikation jedoch auch entschädigt. Wenn das selbst gehostete Wallet gestohlen wird, gibt es fast keine Entschädigung. Keine Institution, die Schutz bieten kann.

Allerdings sind auch Sicherheitsverbesserungen an den aktuellen Börsen dringend erforderlich. Große Handelsplattformen kontrollieren die Vermögenswerte der meisten Benutzer und verschlüsselte Vermögenswerte sind schwer wiederherzustellen, daher sollte der Sicherheit mehr Aufmerksamkeit geschenkt werden. Bei der Nutzung traditioneller Finanzen müssen Sie fast jedes Mal, wenn Sie sich abmelden, Ihr Passwort erneut eingeben, um zu verhindern, dass das Konto kontrolliert wird, wenn Sie Geld überweisen. Daher schlägt die Community vor, dass die Handelsplattform eine Passwortsperrfunktion hinzufügen, eine 2FA-Verifizierung vor Transaktionen hinzufügen und die Verifizierung nach einer IP-Änderung erneut durchführen sollte oder eine sichere MPC-Verifizierung für mehrere Parteien einführen sollte, um Passwörter zu dezentralisieren und die Sicherheit zu verbessern, indem das Benutzererlebnis geopfert wird . . Einige Benutzer glauben jedoch, dass eine wiederholte Überprüfung für Hochfrequenztransaktionen zu trivial und schwer durchführbar ist.

Auch He Yi antwortete darauf und sagte: „Derzeit werden plötzlichen Preisschwankungen Big-Data-Alarme und manuelle Doppelbestätigungen überlagert, und den Benutzern werden auch Erinnerungen hinzugefügt; die Überprüfungshäufigkeit wird für den Plug-in-Betrieb und die Cookie-Autorisierung erhöht.“ In diesem Szenario sind Transaktionskennwörter nicht anwendbar, Binance fügt jedoch Sicherheitsüberprüfungsschritte basierend auf Benutzerunterschieden hinzu.“

Zurück zum Ausgangspunkt: Den beiden Vorfällen nach zu urteilen, müssen Benutzer dem Thema auch große Aufmerksamkeit schenken, ihr eigenes Sicherheitsbewusstsein stärken und versuchen, unter der Voraussetzung einer dezentralen Platzierung von Vermögenswerten völlig unabhängige Geräte für den Betrieb zu verwenden Verwenden Sie eine dezentrale Authentifizierung und konzentrieren Sie sich nicht auf die Bequemlichkeit. Vermeiden Sie grundsätzlich die Einrichtung einer passwortfreien und Live-Authentifizierung, verwenden Sie Plug-ins mit Vorsicht und verwenden Sie Hardware-Wallets für die Speicherung großer Mengen an Vermögenswerten.

Schließlich unterscheiden sich Krypto-Vermögenswerte von physischen Vermögenswerten. Aufgrund regulatorischer Beschränkungen ist es jedoch nahezu schwierig, eine Entschädigung für den Diebstahl von Krypto-Vermögenswerten zu erhalten, und es ist sogar schwierig, überhaupt eine Klage einzureichen .

Auch solche Fälle sind keine Seltenheit. Ein typisches Beispiel erschien im jüngsten Golden Eye-Bericht von 1818. Das Opfer, Herr Zhu, entdeckte „Cheng Qiqi“, einen Chef auf Zhihu, der behauptete, durch Währungsspekulationen Dutzende Millionen Dollar verdient zu haben, und hoffte, ihm zu folgen, um durch Währungsspekulationen Geld zu verdienen. Nach Verhandlungen zwischen den beiden unterzeichneten sie einen Vertrag zur Gewinnbeteiligung. Es war klar, dass 70 % des Gewinns Cheng Qiqi gehörten und 30 % von Herrn Zhu einbehalten wurden Tragen Sie 50 % während der Transaktion, Herr Zhu nur Für Folgeoperationen liegen alle Kontoeigentumsrechte in Ihren eigenen Händen.

Eine so hohe Gewinnbeteiligung, ein scheinbar vertrauenswürdiger Vertrag bringt keine vertrauenswürdigen Ergebnisse. Nachdem das Opfer zunächst einen kleinen Gewinn gemacht hatte, erhöhte es seine Investition in Chips im Einklang mit Cheng Qiqis Slogan „vollständige Entschädigung für die Liquidation“ und nutzte schließlich einen geliehenen Kapitalbetrag von 600.000, um ETH mit einem Hebel von 100 zu leeren Durch den Anstieg der ETH verlor das Opfer sein gesamtes Geld.

Es ist offensichtlich schwierig, in diesem Fall Anzeige zu erstatten, da alle Vorgänge von Einzelpersonen durchgeführt wurden und kein Betrug oder erzwungenes Verhalten vorlag. Am Ende der Angelegenheit konnten Polizei und Reporter nur betonen, dass gemäß den Gesetzen und Vorschriften unseres Landes Folgendes gilt: Virtuelle Währungstransaktionen sind nicht von Schutzmaßnahmen, hohem Risiko, erhöhter Wachsamkeit usw. ausgenommen.

Am Ende vollführte Herr Zhu einen lächerlichen Schluss mit gebrochenem und unschuldigem Gesichtsausdruck.

Auf jeden Fall möchte ich die Zuschauer, die an der Transaktion teilnehmen, noch einmal daran erinnern, dass in jedem Finanzbereich, selbst im Kryptowährungskreis, dieser Sektor, der ursprünglich etwas Sicherheit opfert, um hohe Gewinne und Freiheiten zu erzielen, weitaus sicherer ist als Effizienz oder Rentabilität wichtiger, was einer der Gründe sein könnte, warum es für die sogenannte dezentrale Verschlüsselungswelt schwierig ist, die Zentralisierung zu verlassen.

Schließlich ist das die menschliche Natur. Jeder möchte, dass jemand die Wahrheit sagt, und egal wie viel Geld er verdient, er ist nicht bereit, Hochzeitskleidung für andere herzustellen.