Автор: Gyro Finance
Инциденты безопасности не являются чем-то необычным в традиционных финансах, но еще чаще они встречаются в темном лесу анонимных валютных кругов.
Данные показывают, что только в прошлом мае в сфере шифрования произошло 37 типичных инцидентов безопасности, при этом общий ущерб, вызванный хакерскими атаками, фишинговыми атаками и Rug Pull, достиг 154 миллионов долларов США, что примерно на 52,5% больше, чем в апреле.
Буквально 3 июня снова произошли два инцидента с безопасностью. Немного отличающиеся от других инцидентов, оба инцидента были связаны с крупными обменами, и процесс был довольно странным. Однако в конце истории некоторые люди были счастливы, а некоторые были обеспокоены.
3 июня пользователь по имени Накамао опубликовал длинную статью о саморассказе Ин Даолая о том, что хакерские кражи начались одна за другой.
Сообщается, что 24 мая Накамао все еще был в пути на работу, и все коммуникационное оборудование все еще было с ним. Однако на этом, казалось бы, надежном фоне хакеры не получили пароль учетной записи Binance и инструкции по вторичной проверке (2FA). , все средства на его счете были украдены с помощью поддельных транзакций.
Короче говоря, парная торговля заключается в проведении крупных транзакций в торговых парах с ограниченной ликвидностью и использовании крупномасштабных покупок торговой стороной, чтобы компенсировать продажу хакерских счетов. Наконец, другая сторона получает реальные средства или средства в определенных количествах. альткойн. стейблкоин, при этом покупатель получает альткойн от продавца. Этот тип кражи не является редкостью на биржах. В 2022 году FTX столкнулась с кражей до 6 миллионов долларов США из-за утечки 3commas API KEY. В то время SBF использовала свои возможности банкнот для урегулирования этого вопроса. С тех пор на Binance также проводились крупномасштабные имитационные транзакции. Но порочность этой модели в том, что для бирж с плохим контролем рисков это просто обычное торговое поведение, и нет никаких ненормальных воров.
В данном случае были выбраны QTUM/BTC, DASH/BTC, PYR/BTC, ENA/USDC и NEO/USDC, используя большие суммы средств пользователей для покупки с увеличением более чем на 20%. Пользователи не знали обо всех действиях хакера и только спустя час проверили данные своей учетной записи, они обнаружили аномалию.
Согласно ответу охранной компании, хакеры манипулируют учетными записями пользователей, перехватывая веб-куки. Проще говоря, они используют данные терминала, сохраненные на веб-странице. Приведем типичный пример: когда мы заходим в определенный интерфейс в Интернете, нам не нужна учетная запись и пароль для входа, поскольку ранее были оставлены исторические записи доступа и записи по умолчанию.
То, что с этим произошло, могло быть вызвано собственной халатностью пользователя. Однако впоследствии все стало еще страннее. После кражи Накамао немедленно связался с клиентом и соучредителем Binance Хэ И и передал UID команде безопасности, надеясь в короткие сроки заморозить средства хакера. Однако сотрудникам Binance потребовался день, чтобы уведомить Kucoin и Gate. Неудивительно, что средства хакера уже давно исчезли. Более того, хакер использовал только одну учетную запись и не разогнал ее, прежде чем благополучно вывести средства из Binance. средства. В течение всего процесса пользователь не только не получал никаких напоминаний о безопасности, но, что еще более иронично, из-за крупной транзакции Binance фактически отправила электронное письмо с приглашением мейкеру спотового рынка на второй день.
В последующем обзоре в поле зрения Накамао снова попал посредственный плагин для Chrome Aggr. Этот плагин используется для просмотра веб-сайтов с рыночной информацией. По описанию украденного, он увидел, что несколько зарубежных KOL продвигали его в течение нескольких месяцев, поэтому скачал его для собственных нужд.
Вот простая научная популяризация. Плагин действительно может выполнять множество операций. Теоретически он может не только входить в торговый счет через вредоносные расширения, получать доступ к данным учетной записи пользователя для транзакций, но также выводить средства и изменять настройки учетной записи. Ядро Причина в том, что сам плагин имеет множество функций, таких как расширенный доступ к разрешениям, выполнение сетевых запросов, доступ к хранилищу браузера и управление буфером обмена.
Обнаружив, что с плагином возникла проблема, Накамао немедленно отправился в KOL, чтобы узнать, и предупредил KOL, чтобы тот уведомил пользователей о необходимости деактивировать плагин. Однако в этот момент неожиданно в Binance был вставлен бумеранг. Согласно первоначальному заявлению Накамао, Binance уже знала о проблеме с плагином, и аналогичный случай произошел в марте этого года. Binance также отследила хакера после этого или, чтобы не предупредить змею, не уведомила о приостановке. продукта вовремя, а The KOL также разрешили продолжать поддерживать контакты с хакерами, и на этом этапе следующей жертвой стал Накамао.
Возможность входа в систему и проведения транзакций с использованием только файлов cookie должна иметь определенные проблемы с механизмом Binance, но сам инцидент на самом деле был вызван собственной халатностью пользователя, что затрудняет подотчетность.
Как и ожидалось, ответ Binance впоследствии вызвал бурю негодования на рынке. Помимо официального обзора аккаунта, в котором говорится, что причиной стала хакерская атака, Binance не заметила соответствующей информации о плагине AGGR. В группе WeChat Хэ И также прокомментировал инцидент: «Собственный компьютер пользователя был взломан. Боже.» Трудно спасти, и у Binance нет возможности компенсировать пользователям за компрометацию их собственных устройств».
Накамао, очевидно, не может принять действия Binance и считает, что Binance ничего не предприняла с точки зрения контроля рисков. Более того, KOL четко подтвердил, что он упомянул о плагине команде Binance, и Binance также подозревается в том, что она не сообщила об этом. . Поскольку общественное мнение продолжает бродить, Binance еще раз ответила, что будет подавать заявку на вознаграждение в качестве обратной связи для пользователей, сообщающих о вредоносных плагинах.
Я думал на этом дело и закончилось, но что интересно, 5 июня инцидент принял новый оборот. Накамао еще раз принес публичные извинения Binance 12 мая, это был не март, как упоминалось ранее. Кроме того, KOL не является тайным агентом Binance. Общение между KOL и Binance сосредоточено на проблемах учетных записей, а не на проблемах плагинов.
Независимо от того, правдивы эти высказывания или ложны, но отношение изменилось на 180 градусов, от выражения разочарования до публичных извинений, видно, что Binance, должно быть, компенсировала это, а конкретная сумма компенсации неизвестна.
С другой стороны, по совпадению, 3 июня, помимо Binance, пострадала и OKX. Пользователь OKX заявил в сообществе, что его учетная запись была украдена с помощью искусственного интеллекта, меняющего лицо, и 2 миллиона долларов США на его счете были переведены. Инцидент произошел в начале мая. По описанию пользователя, причина кражи его аккаунта не имела ничего общего с утечкой личных данных. Вместо этого хакер зашел на свой адрес электронной почты, нажал на забытый пароль и одновременно сконструировал пароль. поддельное удостоверение личности и видео, меняющее лицо с помощью искусственного интеллекта, чтобы обойти ситуацию. Он открыл брандмауэр, изменил номер своего мобильного телефона, адрес электронной почты и аутентификатор Google, а затем в течение 24 часов украл все активы учетной записи.
Хотя видео не было просмотрено, из заявления пользователя можно с большой долей вероятности знать, что видео, синтезированное ИИ, очень плохое, но даже в этом случае оно все равно нарушает систему контроля рисков OKX. Поэтому пользователь считает, что. OKX также несет ответственность и надеется, что OKX сможет полностью выплатить сумму компенсации в ее фонды. Но на самом деле, если внимательно проанализировать, преступником должен быть кто-то, кто знаком с пользователем и знает его привычки и сумму счета. Можно определить, что преступление совершил знакомый. Об этом в письме также упоминал сам пользователь. у него есть друг, который неразлучен с ним. В обычных обстоятельствах OKX не будет компенсировать это. В настоящее время этот пользователь позвонил в полицию и планирует добиться компенсации через полицию.
В ответ на эти два инцидента сообщество шифрования также широко их обсудило. Конечно, с точки зрения безопасности, хотя многие люди подчеркивают, что самостоятельное хранение кошельков обеспечивает абсолютный контроль над активами, мы должны признать, что по сравнению с личным контролем биржи все же безопаснее. Биржа - это, по крайней мере, прямая третья сторона, с которой можно связаться и с которой можно связаться. Независимо от результата, она, по крайней мере, вмешается в расследование. Однако, если связь правильная, можно получить компенсацию, как и вышеупомянутая жертва. , если собственный кошелек будет украден, никакой компенсации не будет ни у одного учреждения, которое может предоставить покрытие.
Однако улучшение безопасности текущих обменов также является неотложным. Крупные торговые платформы контролируют активы большинства пользователей, а зашифрованные активы сложно восстановить, поэтому безопасности следует уделять больше внимания. При использовании традиционных финансов почти каждый раз при выходе из системы вам необходимо снова вводить пароль, чтобы предотвратить контроль над учетной записью. При переводе денег обычно требуются дополнительные методы проверки. Поэтому сообщество предлагает, чтобы торговая платформа добавила функцию блокировки пароля, добавила проверку 2FA перед транзакциями и повторно ввела проверку после смены IP или внедрила многостороннюю безопасную проверку MPC для децентрализации паролей и повышения безопасности, жертвуя удобством пользователей. . Однако некоторые пользователи считают, что повторная проверка слишком тривиальна для высокочастотных транзакций и ее трудно осуществить.
Хэ И также ответил на это, сказав: «В настоящее время сигналы тревоги по большим данным и двойное подтверждение вручную накладываются на внезапные колебания цен, а также будут добавлены напоминания для пользователей; частота проверок будет увеличена для работы плагина и авторизации файлов cookie». В этом сценарии пароли транзакций неприменимы, но Binance добавит ссылки для проверки безопасности на основе различий между пользователями».
Возвращаясь к отправной точке, судя по двум инцидентам, пользователям также необходимо уделять этому большое внимание, повышать свою осведомленность о безопасности и стараться использовать полностью независимое оборудование для операций на основе децентрализованного размещения активов. используйте децентрализованную аутентификацию и не ставьте удобство в качестве приоритета. По сути, избегайте установки беспарольной и живой аутентификации, используйте плагины с осторожностью и используйте аппаратные кошельки для хранения больших объемов активов.
В конце концов, криптоактивы отличаются от физических активов. Однако из-за нормативных ограничений получить последующую компенсацию за кражу криптоактивов практически сложно, и даже возбудить дело сложно. .
Подобные случаи тоже не редкость. Типичный пример появился в недавнем отчете GoldenEye за 1818 год. Жертва, г-н Чжу, обнаружил «Чэн Цици», босса Чжиху, который утверждал, что заработал десятки миллионов долларов на валютных спекуляциях, и надеялся последовать за ним, чтобы зарабатывать деньги на валютных спекуляциях. После переговоров две стороны подписали контракт на участие в прибылях. Было ясно, что 70% прибыли принадлежало Чэн Цици, а 30% оставалось у г-на Чжу. В случае возникновения убытков обе стороны возьмут на себя ответственность. нести 50%. Во время сделки только г-н Чжу. Для последующих операций все права владения учетной записью находятся в ваших руках.
Столь высокая доля прибыли, казалось бы, надежный контракт не приносит заслуживающих доверия результатов. Первоначально получив небольшую прибыль, жертва увеличила свои инвестиции в фишки. Следуя лозунгу Чэн Цици о «полной компенсации за ликвидацию», он использовал заемную основную сумму в размере 600 000 для короткой продажи ETH с кредитным плечом в 100 раз. в ETH. Жертва потеряла все свои деньги.
Очевидно, что в этом случае сложно возбудить дело, поскольку все операции проводились частными лицами и не было никакого мошенничества или принуждения. В конце концов полиция и журналисты могли только подчеркнуть, что в соответствии с законами и правилами нашей страны. Операции с виртуальной валютой не освобождаются от Защиты, высокого риска, повышенной бдительности и т. д.
В конце концов, г-н Чжу разыграл нелепую концовку с убитым горем и невинным выражением лица.
В любом случае, я хотел бы еще раз напомнить зрителям, участвующим в сделке, что в любой финансовой сфере, даже в сфере шифрования, этот сектор, который изначально жертвует некоторой безопасностью ради получения высоких прибылей и свободы, гораздо безопаснее, чем Эффективность или прибыльность. более важно, и это может быть одной из причин, почему так называемому миру децентрализованного шифрования трудно отказаться от централизации.
Ведь такова человеческая природа. Каждый хочет, чтобы кто-то говорил правду, и сколько бы денег он ни зарабатывал, он не желает шить свадебную одежду для других.
