Autore: Gyro Finance

 

Gli incidenti di sicurezza non sono rari nella finanza tradizionale, e sono ancora più comuni nel circolo monetario anonimo, simile a una foresta oscura.

I dati mostrano che solo nello scorso maggio si sono verificati 37 tipici incidenti di sicurezza nel circolo della crittografia, con una perdita totale causata da attacchi di hacking, truffe di phishing e Rug Pull che ha raggiunto i 154 milioni di dollari, con un aumento di circa il 52,5% rispetto ad aprile.

Proprio il 3 giugno si sono verificati di nuovo due incidenti di sicurezza. Leggermente diversi dagli altri incidenti, entrambi gli incidenti erano legati a grandi scambi e il processo era piuttosto bizzarro. Tuttavia, alla fine della storia, alcune persone erano felici e altre erano preoccupate.

Il 3 giugno, un lungo articolo pubblicato da un utente di nome Nakamao sull'auto-narrazione di Daolai, sono iniziati uno dopo l'altro i furti degli hacker.

Si dice che il 24 maggio Nakamao fosse ancora in viaggio per andare al lavoro e che tutte le apparecchiature di comunicazione fossero ancora con lui. Tuttavia, in questo contesto apparentemente infallibile, gli hacker non sono riusciti a ottenere la password dell'account Binance e le istruzioni di verifica secondaria (2FA). , tutti i fondi sul suo conto sono stati rubati utilizzando transazioni a catena.

Il trading di coppia, in breve, effettua transazioni di grandi quantità in coppie di scambio con scarsa liquidità e utilizza acquisti su larga scala da parte della parte commerciale per raccogliere la vendita di conti hacker. Infine, l'altra parte ottiene fondi effettivi o fondi in un determinato altcoin. stablecoin, mentre l'acquirente rileva l'altcoin dal venditore. Questo tipo di furto non è raro negli scambi: nel 2022, FTX ha subito un furto fino a 6 milioni di dollari USA a causa della fuga di 3commas API KEY. A quel tempo, SBF ha utilizzato le sue capacità di banconote per risolvere la questione. Da allora, Binance ha effettuato anche transazioni a catena su larga scala. Ma la cattiveria di questo modello è che per gli scambi con scarso controllo del rischio, si tratta solo di un comportamento commerciale ordinario e non si verificano furti anomali.

In questo caso sono stati selezionati QTUM/BTC, DASH/BTC, PYR/BTC, ENA/USDC e NEO/USDC, utilizzando grandi quantità di fondi degli utenti per acquistare un aumento di oltre il 20%. Gli utenti non erano a conoscenza di tutte le operazioni dell'hacker solo dopo aver controllato le informazioni del proprio account, più di un'ora dopo, hanno scoperto l'anomalia.

Secondo la risposta dell'istituto di sicurezza gli hacker manipolano gli account degli utenti dirottando i cookie web. In poche parole, utilizzano i dati del terminale salvati sulla pagina web. Per fare un esempio tipico, quando entriamo in una determinata interfaccia su Internet, non abbiamo bisogno di un account e di una password per accedere, perché prima sono stati lasciati gli accessi storici e i record predefiniti.

Ciò che è successo potrebbe essere stato causato dalla negligenza dell'utente. Tuttavia, in seguito le cose sono diventate ancora più strane. Dopo il furto, Nakamao ha immediatamente contattato il cliente e co-fondatore di Binance He Yi, e ha consegnato l'UID al team di sicurezza, sperando di congelare i fondi dell'hacker in breve tempo. Tuttavia, lo staff di Binance ha impiegato un giorno per avvisare Kucoin e Gate. Senza alcuna sorpresa, i fondi dell’hacker erano scomparsi da tempo. Inoltre, l’hacker ha utilizzato un solo account e non ha disperso l’account prima di ritirarsi in modo sicuro da Binance fondi. Durante l'intero processo, l'utente non solo non ha ricevuto alcun promemoria di sicurezza, ma ciò che è ancora più ironico è che, a causa della grande transazione, Binance ha effettivamente inviato un'e-mail di invito al market maker spot il secondo giorno.

Nella recensione successiva, un mediocre plug-in Chrome Aggr è tornato di nuovo nel campo visivo di Nakamao. Questo plug-in viene utilizzato per visualizzare i siti Web di dati di mercato. Secondo la descrizione della persona derubata, ha visto che diversi KOL stranieri lo promuovevano da diversi mesi, quindi lo ha scaricato per le proprie esigenze.

Ecco una semplice divulgazione scientifica. Il plug-in può effettivamente eseguire più operazioni. In teoria, non solo può accedere al conto di trading tramite estensioni dannose, accedere alle informazioni del conto dell'utente per le transazioni, ma anche prelevare fondi e modificare le impostazioni del conto. Il nocciolo della questione è che il plug-in stesso ha molteplici funzioni come l'accesso completo alle autorizzazioni, il funzionamento delle richieste di rete, l'accesso all'archiviazione del browser e il funzionamento degli appunti.

Dopo aver scoperto che c'era un problema con il plug-in, Nakamao si è recato immediatamente al KOL per informarsi e ha avvertito il KOL di avvisare gli utenti di disattivare il plug-in. Tuttavia, inaspettatamente, proprio in questo momento il boomerang è stato inserito in Binance. Secondo la dichiarazione iniziale di Nakamao, Binance era già a conoscenza del problema con il plug-in e un caso simile si è verificato a marzo di quest'anno. Binance ha rintracciato l'hacker in seguito o, per evitare di allertare il serpente, non ha notificato la sospensione del prodotto in tempo, e anche a KOL è stato permesso di continuare a mantenere i contatti con gli hacker, e in questa fase Nakamao è diventato la prossima vittima.

Essendo in grado di accedere ed effettuare transazioni utilizzando solo i cookie, devono esserci alcuni problemi con il meccanismo di Binance, ma l'incidente stesso è stato effettivamente causato dalla negligenza dell'utente, rendendo la responsabilità un problema difficile.

Come previsto, la risposta di Binance ha successivamente suscitato scalpore nel mercato. Oltre alla revisione ufficiale dell'account secondo cui la causa era un attacco di hacker, Binance non ha notato le informazioni rilevanti sul plug-in AGGR In un gruppo WeChat, He Yi ha anche commentato l'incidente: "Il computer dell'utente è stato violato . Dio." È difficile da salvare e Binance non ha modo di risarcire gli utenti per la compromissione dei loro dispositivi."

Nakamao ovviamente non può accettare l'operazione di Binance, ritenendo che Binance non abbia fatto nulla in termini di controllo del rischio, e il KOL ha chiaramente confermato di aver menzionato il plug-in al team di Binance, e Binance è anche sospettato di non aver segnalato la questione. Mentre l'opinione pubblica continua a fermentare, Binance ha risposto ancora una volta che avrebbe richiesto una ricompensa come feedback per gli utenti che segnalassero plug-in dannosi.

Pensavo che la questione fosse finita qui, ma, cosa interessante, il 5 giugno l'incidente ha preso un'altra piega. Nakamao ha rilasciato ancora una volta le scuse pubbliche a Binance il 12 maggio, non era marzo come menzionato prima. Inoltre, KOL non è un agente sotto copertura di Binance. La comunicazione tra KOL e Binance si concentra su questioni relative all'account, non a problemi di plug-in.

Indipendentemente dal fatto che queste osservazioni siano vere o false, ma l’atteggiamento è cambiato di 180 gradi, dall’espressione di disappunto alle scuse pubbliche, si può vedere che Binance deve averlo risarcito e l’importo specifico del risarcimento è sconosciuto.

D’altronde, guarda caso, il 3 giugno, oltre a Binance, è stato colpito anche OKX. Un utente OKX ha affermato nella community che il suo account è stato rubato dall'IA che ha cambiato volto e che 2 milioni di dollari USA nel suo account sono stati trasferiti via. L'incidente è avvenuto all'inizio di maggio. Secondo la descrizione dell'utente, il motivo del furto del suo account non aveva nulla a che fare con una fuga di informazioni personale. L'hacker invece si è registrato al suo indirizzo e-mail, ha cliccato sulla password dimenticata e contemporaneamente ha costruito un carta d'identità falsa e un video che cambia volto tramite intelligenza artificiale per aggirare la situazione. Ha aperto il firewall, ha ulteriormente modificato il numero di cellulare, l'indirizzo e-mail e l'autenticatore di Google, quindi ha rubato tutte le risorse dell'account entro 24 ore.

Sebbene il video non sia stato visto, dalla dichiarazione dell'utente si può sapere con un'alta probabilità che il video sintetizzato dall'intelligenza artificiale è molto scadente, ma anche così interrompe comunque il sistema di controllo dei rischi OKX. Pertanto, l'utente lo ritiene Anche OKX è responsabile e spera che OKX possa pienamente versare l'importo del risarcimento ai suoi fondi. Ma in realtà, se analizzato attentamente, l'autore del reato deve essere qualcuno che ha familiarità con l'utente e conosce le sue abitudini e l'importo del conto. Si può accertare che il reato è stato commesso da un conoscente, menzionato anche dall'utente stesso nella lettera ha un amico che è inseparabile da lui. In circostanze normali, OKX non compenserà ciò. Al momento, questo utente ha chiamato la polizia e prevede di chiedere un risarcimento tramite la polizia.

In risposta a questi due incidenti, anche la comunità della crittografia ne ha discusso ampiamente. Naturalmente, dal punto di vista della sicurezza, anche se molte persone sottolineano che l’autocustodia dei portafogli ha il controllo assoluto sulle risorse, dobbiamo ammettere che rispetto al controllo personale, gli scambi sono ancora più sicuri. L’importante è aumentare il metodo di comunicazione. Lo scambio è almeno un terzo diretto che può essere collegato e contattato Indipendentemente dall'esito, almeno interverrà nelle indagini. Se la comunicazione è corretta, è possibile ottenere un risarcimento come la vittima sopra menzionata , se il portafoglio ospitato autonomamente viene rubato, non ci sarà quasi alcun risarcimento da parte di alcuna istituzione in grado di fornire copertura.

Tuttavia, sono urgenti anche miglioramenti della sicurezza degli scambi attuali. Le grandi piattaforme di trading controllano le risorse della maggior parte degli utenti e le risorse crittografate sono difficili da recuperare, quindi si dovrebbe prestare maggiore attenzione alla sicurezza. Nell'uso della finanza tradizionale, quasi ogni volta che ti disconnetti, devi inserire nuovamente la password per evitare che il conto venga controllato. Di solito sono richiesti ulteriori metodi di verifica quando si trasferiscono denaro. Pertanto, la comunità suggerisce che la piattaforma di trading dovrebbe aggiungere una funzione di blocco della password, aggiungere la verifica 2FA prima delle transazioni e reinserire la verifica dopo la modifica dell'IP, oppure adottare una verifica MPC sicura multiparte per decentralizzare le password e migliorare la sicurezza sacrificando l'esperienza dell'utente. . Tuttavia, alcuni utenti ritengono che la verifica ripetuta sia troppo banale per le transazioni ad alta frequenza e sia difficile da realizzare.

Anche He Yi ha risposto a questo, dicendo: "Attualmente, allarmi big data e doppie conferme manuali sono stati sovrapposti alle improvvise fluttuazioni dei prezzi, e verranno aggiunti anche promemoria agli utenti; la frequenza di verifica sarà aumentata per il funzionamento del plug-in e l'autorizzazione dei cookie . In questo scenario le password di transazione non sono applicabili, ma Binance aggiungerà collegamenti di verifica della sicurezza in base alle differenze dell'utente.

Tornando al punto di partenza, a giudicare dai due incidenti, anche gli utenti devono prestare molta attenzione, aumentare la propria consapevolezza della sicurezza e provare a utilizzare apparecchiature completamente indipendenti per le operazioni sulla base del posizionamento decentralizzato delle risorse utilizzare l’autenticazione decentralizzata e non considerare la comodità come priorità. In sostanza, evitare di impostare l’autenticazione senza password e in tempo reale, utilizzare i plug-in con cautela e utilizzare portafogli hardware per l’archiviazione di grandi quantità di risorse.

Dopotutto, i beni crittografici sono diversi dai beni fisici. Tuttavia, a causa delle restrizioni normative, è quasi difficile ottenere un risarcimento successivo per il furto di beni crittografici, ed è persino difficile persino avviare un caso. .

Anche questi casi non sono rari. Un tipico esempio è apparso nel recente rapporto GoldenEye del 1818. La vittima, il signor Zhu, ha scoperto "Cheng Qiqi", un boss di Zhihu che affermava di aver guadagnato decine di milioni di dollari attraverso la speculazione valutaria, e sperava di seguirlo per fare soldi attraverso la speculazione valutaria. Dopo la negoziazione tra i due, firmarono un contratto per realizzare una cooperazione con la partecipazione agli utili. Era chiaro che il 70% del profitto apparteneva a Cheng Qiqi e il 30% veniva trattenuto dal signor Zhu. Se ci fosse stata una perdita, entrambe le parti lo avrebbero fatto sopportare il 50% Durante la transazione, solo il signor Zhu Per le operazioni di follow-up, tutti i diritti di proprietà dell'account sono nelle tue mani.

Una quota di profitto così elevata, un contratto apparentemente affidabile, non porta risultati affidabili. Dopo aver inizialmente realizzato un piccolo profitto, la vittima ha aumentato il suo investimento in chip. Seguendo lo slogan di Cheng Qiqi "compensazione completa per la liquidazione", ha utilizzato il capitale preso in prestito di 600.000 per shortare ETH con una leva finanziaria di 100 volte in ETH, la vittima ha perso tutti i suoi soldi.

Ovviamente è difficile sporgere denuncia in questo caso perché tutte le operazioni sono state effettuate da privati ​​e non vi è stata alcuna frode o comportamento forzato. Alla fine, la polizia e i giornalisti hanno potuto solo sottolineare che, secondo le leggi e i regolamenti del nostro Paese, le transazioni in valuta virtuale non sono esenti da protezione, rischio elevato, maggiore vigilanza, ecc.

Alla fine, il signor Zhu ha eseguito un finale ridicolo con un'espressione innocente e affranta.

In ogni caso, vorrei ricordare ancora una volta agli spettatori che partecipano alla transazione che in qualsiasi campo finanziario, anche nel circolo della crittografia, questo settore che originariamente sacrifica un po' di sicurezza per ottenere profitti e libertà elevati è molto più sicuro dell'efficienza o della redditività. più importante, il che potrebbe essere uno dei motivi per cui è difficile per il cosiddetto mondo della crittografia decentralizzata abbandonare la centralizzazione.

Dopotutto, questa è la natura umana. Tutti vogliono che qualcuno dica la verità e, non importa quanti soldi guadagnano, non sono disposti a confezionare abiti da sposa per gli altri.