幣安用戶聲稱帳戶被盜,100 萬美元資金灰飛煙滅
加密貨幣交易所幣安(Binance)擁有近 2 億名用戶,是當前全球規模最大的交易所。昨日卻遭遇用戶抱怨帳戶被盜,聲稱一百萬美元資產突然「灰飛煙滅」,究竟發生了什麼?
昨日(3日)下午,化名為 Nakamoto 的幣安用戶以「我成了幣圈臥底的犧牲品,幣安帳戶裡 100 萬美元灰飛煙滅」為題,敘述了駭客在沒有拿到用戶帳號密碼與 2 步驟驗證(2FA)的情況下,就盜走了帳戶接近全部資產的事件。為了方便讀者們理解,《加密城市》整理重點如下:
Nakamoto 敘述遭駭事件經過:
Nakamoto 的幣安帳戶在 5 月 24 日被駭客入侵,近 100 萬美元的資金被掏空
駭客利用 Nakamoto 的電腦和手機上的 Cookies 劫持帳戶,進行「對敲交易」
駭客操縱帳戶進行大量交易,使多個流動性較低的幣價交易對價格出現異常波動
Nakamoto 認為幣安出現的漏洞:
駭客未取得 Nakamoto 的密碼或(2FA),卻能成功操縱帳戶
幣安未發出任何安全提醒,帳戶被盜時無及時預警與凍結
駭客使用一個帳戶進行明顯的對敲交易,幣安未及時風控
Nakamoto 敘述幣安的反應:
Nakamoto 認為幣安客服反應遲緩,未能及時通知相關平台凍結駭客資金
即使共同創辦人何一(常稱一姐)即時介入,處理仍然耗時過久
幣安在駭客轉移資金後才通知其他平台,已無法挽回損失
Nakamoto 遭駭事件背後:
資安公司告訴 Nakamoto,駭客是利用一個名為 Aggr 的Chrome擴充功能,通過 Cookies 劫持進行操縱。
Nakamoto 認為幣安早已知曉該擴充功能的安全問題,但未及時通知用戶或採取措施。
Nakamoto 的全文內容,可以點擊此處閱讀。
幣安官方回應「百萬美元灰飛煙滅」事件
Nakamoto 的貼文引發幣圈網友熱議,截至今日撰稿時已有超過 4 千個讚與超 2 千次分享。隨著事件甚囂塵上,幣安中文官方很快地在昨晚發長文回應此事,以下是《加密城市》整理的重點:
幣安整理的事件經過:
駭客攻破用戶的個人電腦,利用 Chrome 擴充功能盜取帳戶登入狀態,偽裝成用戶本人操作
由於駭客無法直接提幣,他們選擇用對敲交易耗盡用戶資產
本次攻擊是針對個人設備的新型駭客攻擊
幣安敘述客服處理經過:
用戶於台灣時間 5 月 24 日 20:45:32 聯繫幣安安全客服,客服在 1 分 19 秒內完成帳戶凍結
在用戶提出凍結需求前,帳戶已經持續交易了一段時間
建議用戶在發現帳戶異常時使用「一鍵凍結」功能保護資產
幣安排查對敲交易經過:
平台需要時間排查 1,600 多個對手盤、8,000 多筆交易中的可疑獲利方
客服無法直接調查,需要安全風控團隊進行數據清洗和分析
回覆用戶的時間較長,是因為需要專門團隊進行處理
幣安回應 Aggr 擴充功能相關問題:
幣安在此事件發生之前,並未注意到 Aggr 擴充功能的相關資訊
用戶提及的 3 月案例,幣安團隊當時不知情與 Aggr 擴充功能有關
感謝用戶分享外部網紅(KOL)的資訊,幣安將繼續調查並同步進展
幣安的立場:
用戶資產丟失是由於安裝惡意擴充功能,導致設備被操縱
幣安無法對此類與平台無關的案件進行賠償
感謝用戶提供的建議,幣安將從平台角度提供幫助
幣安承諾的安全改進措施:
提升登入狀態儲存安全性,生命周期管理和後台驗證
提升異常交易對倒檢測
幣安提供資安防護建議:
僅安裝幣安正版 APP,或使用無安裝擴充功能的瀏覽器進入幣安正版網站
涉及資金的 APP 或瀏覽器使用後應及時退出,避免因洩漏登入狀態而帶來的風險
幣安回應的全文內容,可以點擊此處閱讀。
在幣安百萬美元灰飛煙滅事件發生之前,區塊鏈資安公司慢霧科技正好在近期分析了 Aggr 擴充功能駭客案,有興趣的讀者可以看看駭客的詳細手法:
披著羊皮的狼!小心虛假 Chrome 擴充功能,駭客會用「這一招」偷走資產
網友對「幣安百萬美元灰飛煙滅」事件的反應
在幣安官方回應的貼文下方,有許多網友發表看法。
一位網友認為:「幣安應該要下架沒啥深度的交易對,帳戶當日出現大幅虧損時及時提醒」;另一位網友則稱:「這是幣安網頁登入邏輯的系統性風險,完全可以在網頁發起第一筆交易時彈個驗證。」
有網友則認為雙方都有問題:
「用戶亂裝擴充功能肯定有責任,但是服務端的風控也不是一個簡單的『有cookie就認』的邏輯,要從 IP、UA、交易習慣、頻率、金額等做全方位的動態策略。」
而知名中文幣圈媒體《吳說區塊鏈》主編也認為:
「確實中心化交易所帳戶被攻破一般是用戶自身的問題。但難道沒有辦法去限制這個問題嗎?比如增加更多的 2FA 驗證,或系統自動監控到對敲後急速驗證喊停?」
《加密城市》也建議,由於駭客手法日新月異,不管是使用自託管加密錢包還是中心化交易所,幣圈用戶都應提高資安意識,確保不洩漏助記詞、私鑰與帳戶登入紀錄,你也可以善用冷錢包等其他方式分散資金,以免把資金放在同一個籃子上。