目錄
寫在前面
事實的真相是什麼
被盜原因分析
一些 KOL 分析的分析
我們該怎麼做
我們該吸取什麼教訓
寫在最後
寫在前面
本篇文章不爲任何交易所站臺,純粹是我個人觀察,然後結合這些教訓,提出一些可能可以保護自己的建議。
我也做了一些分析,雖然這些分析也有可能是錯的。但是希望提供一個不同的視角,除了 fud,我們可以做些什麼。
事實的真相是什麼
最近兩大主流交易所都不太平,特別是 OKX,幾起大額財產被盜。推特上也出現了幾篇令人潸然淚下的小作文,讓人對交易所的安全性產生了極大的懷疑,動手能力強的朋友,甚至連夜把資產轉走。
但是這是真相嗎?你看到的就是真相嗎?
很久之前我就發現如下現象:
所有的事情責任都在別人,如果我有責任,那肯定是你沒做好。本來你可以做的更好的,因爲你沒有做好,所以我受害都怪你。
還有一個問題,他們說了真相,但是隻說了部分真相,有些真相有意無意的忽略了。比如有人中招了,但是沒提自己助記詞是保存在微信收藏。有人點了釣魚鏈接了,只說自己點了鏈接錢包,但是沒說他還授權了。有人說自己手機短信和郵箱被盜了,但是他有沒有設置谷歌二次驗證,是不是有可能是熟人作案,都沒有提。
我們來分析一下,按照發生的事情,錢包被盜了。有幾種可能。
第一,受害者自己被釣魚了
第二,錢包安全有問題
第三,以上二者的累加。
我把最近幾個小作文拿來拜讀了一下,發現有一個典型的問題。就是自身安全意識嚴重欠缺,然後出事了,把責任一股腦推給錢包。
比如,拿 OKX Web3 錢包點了釣魚網站去授權,然後資金被盜了,事後怪錢包團隊有問題。我想起有個網友舉的例子:你喝酒開車出了車禍,然後怪車廠沒做好酒精檢測。或者要車廠第一時間給你開個證明,與車廠無關。怎麼看都覺得有點幽默。話說,不是不願做,實在臣妾做不到啊。
另外一個看到的評論也很幽默:「這行爲就像老太太在街上摔倒了,必須要找個人出來訛一下,找得到就找,找不到硬就找生產水泥的」。
而且從評論區的描述看,也不是點開鏈接錢包這麼簡單,受害者做了交易的簽名,自己親手交出了對錢包的控制權,而這個事實,在長文中並沒有說明。
試問
如果你對釣魚鏈接沒有警惕。
如果你沒有一些安全的插件去做一個初級防衛
如果你交易所、郵箱、推特等連谷歌認證都沒有做
那你被盜不是遲早的事情嗎?除了換得別人的一絲絲同情,還能收穫什麼?如果你不能爲自己負責,又怎麼指望別人爲你負責?
結論:這件事結果讓人同情,過程不值得同情。即使這次不出事,以後也肯定會出事。
第二件,說實話這個攻擊我也看不明白。大概就是 OKX 中心化錢包裏的錢被通過郵箱和短信的方式全部轉走。從截圖看,感覺是郵箱被盜,然後谷歌二次驗證也泄露了。
第三件:只說了資產被盜,SMS 應該也被盜了,整個過程不是很清楚,唯一讓我印象深刻的是用了華爲手機。
被盜原因分析
第一個,點了鏈接,然後被盜了。具體原理我也不是很懂,有個網友解釋如下:
在 Solana 中,賬戶的權限和所有權可以通過合約代碼動態更改,這是與以太坊不同的一個重要特性。也就是說,你如果點了釣魚網站的一個鏈接並簽名了,由於不是授權操作,錢包不會有任何提示,但是代碼能動態修改錢包權限,這就是爲什麼失去了控制權。
所以使用 Solana 的錢包需要更小心,因爲以上的操作在以太智能合約層面是無法實現的。所有的 Solana 錢包都防不住這種,這是 Solana 鏈的帳號權限的一個機制,除非 Solana 進行修改。
錢包權限被改,是受害者交互了並支付了 gas。所有鏈上操作,錢包都會彈出一個窗讓你簽名,上面會有消耗的gas是多少的,只有有 gas 付費的操作纔是鏈上操作。也只有鏈上操作才能更改錢包權限。如果只是登錄錢包,而不需要付費的,不算鏈上操作,這種操作是無法修改錢包權限的。
第二個,我能想到的是所有自己的設備都綁定谷歌二次認證,但是如果 Google 賬號被盜 ,那麼你的二次驗證也被盜了。胡侃大佬提供的辦法是用 yubikey。 凡是新設備在登陸時必須要通過物理 yubikey 驗證。
第三個,手機只收到短信,然後錢被盜了,由於信息太少,沒法分析。
第二個和第三個共同特徵是用戶 SMS 被盜。第二個是谷歌二次驗證也被盜了。
根據官方的分析:
黑客盜取 GA 的方法有兩個:
在用戶設備上植入木馬
如果用戶開啓了 GA 雲同步,則盜取用戶谷歌賬戶之後,也可以獲得用戶 GA。
盜取用戶 SMS 的方法比較多,有木馬植入、SIM 卡複製、僞基站、發送服務商等。
看起來是 SMS 被盜了,不過調查結果沒出來之前,一切以官方爲準。
一些 KOL 分析的分析
第一個:「發現有個漏洞,就是可以通過郵件和手機驗證碼就可以提幣,即使你開啓了谷歌驗證,也可以只通過這兩個直接提,除非你把手機號禁用掉。衆所周知,權限高的管理員可以輕鬆從數據庫獲取手機和郵箱驗證碼。。。要是有內鬼,不敢想象。。。」
分析:這其實是一個 feature。比如三個驗證你都開了,但是提幣的時候只需要其中 2 個。那你開啓谷歌驗證,但是選擇了手機和郵箱驗證碼,當然不需要使用谷歌驗證碼。想一想國內有多少人提幣是通過手機短信、郵箱驗證碼來做的。然後那人說把手機禁掉,其他操作都需要使用谷歌驗證,這不 tm 廢話嗎,總共三個校驗,需要使用其中兩個(谷歌二次認證、手機短信、郵箱短信),你把其中手機短信禁掉了,當然必須使用谷歌二次認證。
還說什麼千防萬防,家賊難防。權限高的管理員可以輕鬆從數據庫獲取手機和郵箱驗證碼。動一動腦子吧,如果有這麼高權限的人,操作數據庫的時候會沒有記錄?我雖然不知道怎麼操作,我肯定也會設置一些東西來記錄他們的操作,何況是成熟的交易所。
大橙子還言之鑿鑿問 做了OKX安全測試的。你們把 feature 當做 bug,這不是來搞笑的嗎。
還有很多人受害之後,總會有一些奇怪的想法,比如有人助記詞保存在微信收藏,覺得肯定是微信內部的人看到了自己的助記詞然後盜走的,有人被盜走了某個幣,只損失了那個幣,覺得是項目方的內鬼乾的。
第二個:「儘管用戶綁定了 GA,但校驗時允許切換到低安全等級的校驗方式,導致 GA 校驗被繞過
用戶綁定 GA(Google Authenticator),就是考慮到 GA 的安全等級更高更安全。但 OKX 在對用戶敏感操作做校驗時,比如添加白名單地址、提幣、各類驗證項設置變更等,可以直接切換爲低安全等級的校驗方式,比如短信。」
分析:用戶綁定了 GA,如上面所示,他綁定了但是沒有使用,再安全也沒用。有一個網友的解釋,我覺得很對:「這個降級驗證說法存疑,谷歌驗證切換爲短信驗證是否爲降級得看情況,如果手機號碼和谷歌驗證沒有分離,手機被控,那麼這兩個就是同等安全和風險,甚至大部分人的手機和谷歌驗證就是一個手機沒做分離」
第三個:「用戶敏感操作發生時,比如:關閉手機校驗、關閉 GA 校驗,修改登錄密碼,均不會觸發 24 小時禁止提幣的風控措施。其中修改登錄密碼的風控措施採取了折衷的方式,在新設備上登錄纔會觸發。」
分析:我的理解是,正常用戶是對自己的手機擁有自主權的。上面那個沒有觸發風控的前提都是在你之前的設備,如果這些操作還能做,說明這手機你還是有自主權的。否則,你從用戶使用角度來看,你改了一下密碼,你 24 小時不能提幣,貌似也說不通。
修改了登錄密碼,並在新設備上去登錄,這個做法本來就是很存疑的。
第四個:「白名單地址提幣,沒有根據提幣額度來做動態的驗證,一旦這個地址加入白名單,就可以在提幣額度內直接無校驗的瘋狂提幣。不像其它交易所會設置一個限額,超過限額會要求再次做校驗。」
分析:我確認了,交易所可以設置提現額度。
比如 Binance 24 小時額度是 10000 刀。
Bitget 的白名單是對應一個幣種的白名單。但是基本上是沒有額度限制的,除非用戶設置了免密提幣纔有額度。
OKX 白名單:刷臉提幣有單日限額,白名單沒有。免認證地址是爲了API用戶自動化提幣需求設計的,設置限額是不符合實際需求的,而且添加免驗證地址的安全驗證和提幣是一個級別的。
派網:大額提現都是有人工審覈的。
第五個:OKX 莫名多了一個提款白名單,有一部分人是自己之前設置的忘記了,有些如果不確認,可以複製一下去鏈上(https://tronscan.org/ )查查,到底是什麼地址。如果想刪除,就直接左滑刪掉即可。
我們該怎麼做
當你遇到這種事情的時候,第一時間要做的是,不是把這種言論四處轉發,而是檢查自己是不是安全的,如果你不知道怎麼檢查,那就先把錢轉到一個你認爲安全的地方,然後再去檢查你自己是不是安全的。所謂君子不立危牆之下,是你知道什麼是危牆,而不是從一個危牆跑到另外一個危牆。
我之前寫的如何快速開始擼毛大業,特意花了很長的篇幅讓大家注意安全問題,最諷刺的是,有人讀完我的這篇文章之後,還是中招了。
https://wangxiaolou.gitbook.io/wang_xiaolou/jiao-hu-gong-lve/ri-gong-yi-zu-xiao-bai-ru-he-kuai-su-kai-shi-lu-mao-da-ye
有些彎路,我們能避開就避開,哪怕自己走過,也還好,但是有些教訓。能不自己去試一下,就別自己去試一下,成本實在太高。
那麼從這些人我們可以吸取什麼教訓,我們還能做什麼?
助記詞手抄,助記詞手抄,助記詞手抄。今天還看到一個老韭菜錢包被轉走了,因爲助記詞放在微信收藏,覺得一直以來沒事,以爲就是安全的。
不要使用百度搜索,不要使用百度搜索,不要使用百度搜索。
不要使用華爲手機,不要使用華爲手機,不要使用華爲手機(我說的是不要使用華爲手機參與幣圈的交易,其他生活手機你可以隨便)
給你的交易所、郵箱、推特等都加上谷歌認證。不要嫌麻煩。這世上還有比丟了幾百萬,然後寫小作文,四處求爺爺告奶奶還麻煩的事情嗎?既然如此,又何必怕那一時的麻煩,再說了,根本沒這麼麻煩,等你做好各種安全設置,你覺得是安心的,那一點點麻煩又何足掛齒呢。
學會交叉驗證,不要相信你看到的話(哪怕是任何人),每一個網站都要交叉驗證,交叉驗證就是多個渠道去對比,比如其他推特、微信羣等等。
不要和 TG、DC 等陌生人聊天,更不要點他們給的鏈接。和你聊天並給你提供網址、軟件,或者要你提供私鑰、助記詞的,都是騙子,直接拉黑。
不要在推特評論下面點鏈接,哪怕是官推下面的鏈接。最近馬上有幾個大空投,可以想象的出,官推下面會有無數釣魚鏈接,不要好奇心氾濫。
Solana 錢包裏會出現一堆莫名其妙的 NFT,無視它,是金子總會發光,是魚餌你不碰就不會有事。
谷歌驗證碼是本地管理,如果郵箱被盜了,則谷歌驗證碼也會被盜。記得把 Google 身份驗證器取消雲同步。谷歌驗證器首頁,不要登錄谷歌賬號,如果登錄,右上角雲朵標誌如果是藍色就是已經打開同步,灰色就是關閉中,已經打開的,點擊個人中心,關掉。
學會使用 1Password。
所有交易所全部開啓 谷歌驗證。如果你是蘋果手機,開啓刷臉驗證。
上面每一個不要做和要做,背後都是無數人被盜幣的慘痛經驗,這種事情千萬不要發生,一旦發生,你找誰也沒用。記住。是找誰也沒用。(找餘弦也沒用)
很多人聽說 OKX 出事了,趕緊把錢轉走,但是如果上面這些底層問題沒有解決,你轉哪裏都沒有用,說不定一慌亂,複製的地址還複製錯了。
其他建議
準備蘋果全家桶(Mac + iPhone):無數個例子證明,釣魚大部分發生在 Windows 電腦,而 Android 手機總會讓你有些軟件安裝不上,特別是遙遙領先。
Chrome 瀏覽器,首推。其他 Opera、Edge 也行,但是建議使用 Chrome 瀏覽器
多讀讀餘弦的帖子,雖然有些我也看不懂,但是最起碼知道有這麼些攻擊的方式。
OKX 手機上的安全設置入口:首頁-左上九個點—自己暱稱下面(個人資料和設置)—安全設置—安全中心
我們該吸取什麼教訓
不要 fud,要 build。很多人看熱鬧不嫌事大,四處轉發。我就問問,你知道到底是怎麼被盜的嗎,瞭解這個原理嗎,如果是你,知道如何提高自己的安全等級嗎。不過,有些人是爲了流量,他們的確也不在意是怎麼被盜的,只在意這玩意能不能有流量。比如你讀到這句「今日我若冷眼旁觀,他日禍臨己身,將無人爲我搖旗吶喊」。。你喊的確實很感人,你知道發生什麼了嗎
不要相信任何一方一面之詞。以我這幾年在微信、推特觀察到的現象,大部分事實的真相都要經歷三次以上反轉纔是真相。而且有很多文章,寫的無比煽情,但是會有意無意去忽略一些重要的事實。
比如最近有個人也是在 OKX 交互之後被盜了,在詳細了描述自己出事的細節之後,羣友紛紛出謀劃策,我甚至還聯繫了 OKX 兩個人,讓他們幫忙查查。但這個朋友最後說了自己的助記詞是放在微信收藏。我心中真是萬馬奔騰,這你不被盜,只能說明黑客水平太次。
還有一些不知道怎麼反駁的理論,比如,我用了你們的產品,我出事了,就是要你們負責。朋友們,你的錢包的主人是你,只有你自己纔要 100% 爲自己負責,沒有任何一個其他人、機構、交易所會爲你負責。
Don’t trust, Verify。這幾個單詞,每一個背後都是價值 xx 萬的教訓。
很多人事前很少或者從不去閱讀餘弦或者其他做安全的的東西,出事了開始四處求爺爺告奶奶,找各種安全大佬來幫忙,這樣做和蔡桓公有啥區別?
一些幽默的回覆
在寫作過程中,我查看了原貼和回覆,還發現了很多幽默的回覆,摘下來給大家一起欣賞欣賞。
既然做了交易所,就有有義務維護用戶的資產安全,既然做不到還要中心化交易所幹嘛!
幣安、OKX 這些交易所應該有一套成熟安全策略的打法,在接到用戶報告被盜之後立刻行動,儘量挽回損失,而不是瞎耽誤時間等黑客把錢都轉走了無法挽回損失了才發個公告說是用戶自己被黑了跟交易所沒關係。
寫在最後
我已經做好了引起爭議的準備,所以我不會在評論區做解釋,所有不友好評論,都會第一時間拉黑。
沒必要對不同頻的事情解釋,更別說有些傻逼,你也解釋不清楚,所謂夏蟲不可語冰,所以該拉黑拉黑,一直拉黑一直爽。
最近是 OKX 出事了,但是按照 xx 定律:如果有問題,那就不會是一個地方有問題。和黑客的戰鬥從來都不是一次性的。如果你覺得有問題,儘量做到分散。我自己錢包也有,鏈上也有,但是都是很分散,首先自己萬分小心,其次,即使某一箇中招了,青山還在。
有時候覺得餘弦挺慘的,事前沒見幾個人找他,事後找他的時候,錢也被盜的差不多了,想開價都不好意思。
目前我在用的 Binance、OKX、Bitget、派網,雖然現在其他幾家還沒爆出問題,但是你們做好應對了嗎?
沒有任何一個地方是安全的,交易所是人開發的,是人都會犯錯,學會自己保護自己的資產。
最後多問問自己:你真的對自己的賬戶做好了安全保護嗎?你保護的是誰的資產?
