[閒聊] 使用電腦熱錢包/交易所的別亂下載插件

開頭直接給GPT-4o懶人包 1. **資金被盜經過**：幣安帳戶被駭客利用劫持Cookies進行對敲交易，導致100萬 美元資金被盜。 2. **插件問題**：駭客利用安裝的惡意Chrome插件收集Cookies，從而控制帳戶， 無需密碼或二次驗證。 3. **幣安反應遲緩**：在報告帳戶被盜後，幣安未能及時凍結駭客的資金，導致資金 被轉出。 4. **幣安早知情況**：幣安早已知曉該惡意插件的存在，但未能及時警示用戶或採取有 效措施。 5. **安全警示**：呼籲加密貨幣投資者注意資產安全，謹慎下載和使用Chrome插件，避 免成為下一個受害者。 原文來自： Nakamao @CryptoNakamao 我成了幣圈臥底的犧牲品，幣安帳戶裡100萬美元灰飛煙滅 直到現在我整個人還是懵的，這幾乎是我這幾年全部的積蓄。 駭客在沒有拿到我的幣安帳號密碼，二次驗證指令（2FA）的情況下，透過「對敲交易」 的方式盜走了我帳戶內的近全部資金，在我事後與安全公司的調查中，發現了更令我吃驚 的事，最後我明白，我是一個幣圈臥底的犧牲品，整件事過於離奇，我今天鼓起勇氣把這 個故事寫下來，是為了讓其他人不要重蹈我的覆轍，我從沒想過我的資產會以如此方式被 清空，給加密投資者警示，不要再成為下一個我！ 5月24日，一個平常的星期五，我結束工作在回家的路上，期間我的電腦和手機都在我的 身邊，而此時，我的帳戶卻在瘋狂的交易，我則毫不知情。 QTUM/BTC由於我帳戶的買入上漲了21%，DASH/BTC由於我帳戶的買入上漲了27%，還有 PYR/BTC 上漲31%;ENA/USDC 上漲22%;NEO/USDC 上漲20% 。 這些操作直到我一個半小時習慣性的打開幣安看btc價格時才發現。 事後安全公司和我說，這是駭客透過挾持我網頁Cookies的方式在操縱我的帳戶，駭客在 流動性充沛的USDT交易對購買相應代幣，在BTC、USDC等流動性稀缺的交易對掛出超市價 的限價賣單。最後用我的帳戶開啟槓桿交易，超額大筆買入，完成對敲。 在整個過程中，我沒有收到任何來自幣安的安全提醒，可笑的是，第二天我還因為交易量 過大，收到了現貨做市商的邀請郵件。即使在這種情況下，我的帳戶被盜時也沒有任何的 預警和凍結，駭客的資產也未受到任何的限制。這讓我感到非常費解。 在意識到我的帳戶被盜後，我第一時間與客服取得了聯繫，但在這個過程中，駭客仍在操 作我的帳號。照道理，駭客的資金一定還留在平台內，但我得到的來自幣安的回覆是，駭 客安然無恙的從幣安提走了他所有的資金。更難以理解的是，這個駭客只用了一個帳戶， 如此明顯的對敲交易。讓我對幣安的風控大跌眼鏡。 在事件發生的第一時間，我不僅告知了幣安客服，還在TG上私信了一姐，一姐非常敬業， 第一時間將我的UID交給了安全團隊。但讓我沒想到的是，即便是有一姐的督促，幣安工 作人員還是花了一天多的時間，才通知Kucoin和Gate將駭客轉入的資金凍結。結果不用說 ，駭客的資金早已轉出（已查證）。凍結已經毫無意義。 在整個過程中，幣安工作人員的反應十分遲緩，沒有幫用戶挽回任何損失，我是幣安的忠 實用戶，這些年來一直都在幣安上交易，這真的讓我十分失望。這真的是想幫用戶追回資 金？ 眼看交易所攔截已經徹底失敗，我便尋求安全公司的幫助，看看是否能鎖定黑客，首先我 便要弄清楚第一個問題，在我的電腦手機都在身邊，我也沒有收到任何幣安帳號新裝置登 入提醒，異地登入提醒的情況下，駭客是怎麼操作我的幣安帳號的？ 最終，我與安全公司把罪歸禍首鎖定在了一個平平無奇的Chrome插件Aggr上。這是一個歷 史悠久的開源行情數據網站的Chrome插件版，我見有很多海外KOL和一些TG頻道在推薦該 插件，而且推薦已經有幾個月時間了，所以下載這個插件，試著查看一些數據。 關於Chrome的惡意插件造成嚴重損失的情況，目前加密中文圈還沒有太多案例。目前看， 我可能是第一例。請一定記住，Chrome網頁外掛程式與下載惡意應用程式損傷一樣大。不 要隨意下載和使用Chrome插件！為了引起大家的警覺，我可以列舉出一個最極端的情況： 你常用的Chrome插件甚至可以在一次更新後完成惡意程式碼的植入。 這個惡意插件的具體運作原理是：如果你安裝並使用了惡意插件，那麼駭客就可以收集你 的Cookies，並將其轉發到駭客的伺服器。駭客能夠利用收集的Cookies，劫持活躍用戶會 話（偽裝為用戶本人），這樣駭客就不再需要密碼或2FA，能夠控制你的帳戶。 在我的實際情況中，因為我的資料保存在1password之中，駭客沒有辦法繞過2FA提走我的 資產。但可以利用我的Cookies，透過挾持我的帳戶，對敲獲取收益。 於是我找到推廣KOL，我要確定他是否是駭客的同謀，如果不是，那他要立刻通知他的所 有用戶，馬上停用這個插件，避免更大的損失，但在和他去的聯繫後，更讓我震驚的故事 來了。 原來幣安早就知道這個插件的存在，甚至鼓勵這名KOL與駭客進一步獲得更多的信息，而 我就是在該插件被進一步推廣之時被盜的。幣安至少在3、4週前就追查到駭客的地址了， 也從該KOL取得到插件的名字和連結。但即便如此，幣安很可能是為了繼續追查這個駭客 ，避免打草驚蛇，而沒有及時通知暫停這個產品，我也就此成為了犧牲品。 今年3月1日初盛傳的一名海外社區成員的幣安帳戶被盜事件也是因為該插件，彼時該事件 還引得幣安CEO Richard Teng專門回复，“幣安的安全工作組正在積極調查，以找出問題 的根本原因」。所以，我不願也無法相信幣安團隊近3個月的時間還未查出該插件的問題 。 也就是說不論如何，在Alpha Tree向加密社區公佈插件問題之前的一周或幾週前，這個插 件的問題早就能被公佈和發酵了。 回顧整件事情，如果駭客直接提走資金，我也無話可說，但是黑客在幣安隨意的對敲和幣 安後續的補救讓我無法接受，更別說幣安已經在調查這個黑客和插件許久這件事了。按照 時間軸總結來看： 1.幣安在已知該黑客和插件存在問題情況下，幾週不作為也不預防，任由推廣繼續，讓資 金損失擴大。 2.幣安已知被盜和對敲頻的情況下，仍然不作為。駭客肆意操縱帳戶長達一個多小時造成 多個幣對極端異常交易而未有任何風控； 3.幣安未及時凍結平台內顯而易見的駭客單一帳戶對敲資金； 4.錯過最佳時機，時隔一天多，幣安才聯絡相關平台凍結； 我非常尊敬一姐和CZ，事實上，一姐也在第一時間回復了我，對我提供了幫助，在這個層 面我應該感謝一姐，這件事本來應該是一個幣安幫助用戶挽回駭客盜幣損失的佳話，而我 今天在寫的，也應該是一封對幣安工作人員的感謝信，但現實是，幣安的工作人員完完全 全辜負了我的期待。 之前總看到幣安關於彰顯自身安全性的文章，每年幣安的年度總結也總少不了安全二字， 讓我對幣安充滿信心。身體力行的將大量資金以穩定幣形式存在幣安也是因為信任，但當 遇到風險後，幣安的一系列行為讓我感到陌生。那些華麗的詞藻，動輒幾億上百億的數據 ，我都沒辦法相信了。 我在這個把這個故事寫下來，一方面是對被盜後的一切都深感迷茫無助。另外更想為大家 敲響安全問題的警鐘，不要重蹈我的覆轍。隨加密貨幣越來越為人所知，任何參與者的資 產安全和人身安全，都值得重視。 ---- 心得： 最近迷因狂潮 大家用熱錢包或TG機器人衝土狗應該衝的不亦樂乎 但是用cookies幫你遠端操作不論是盜YT帳號或者現在這個盜用交易所帳戶 都是一樣的狀況 使用電腦操作還是安全第一啊！ 有的沒的插件要用，盡量跟會操作熱錢包或者交易所帳號的瀏覽器分開 -- 對啊你自己也說了...交易跟合約不用啊 他不就是被對敲交易洗走的嗎，從偷到尾都不是被駭客提幣的＝＝
※ 批踢踢實業坊(ptt.cc), 來自: 61.227.214.9 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/DigiCurrency/M.1717401318.A.C56.html

推 blackbtc: 只用手機的會比較好嗎 06/03 15:58

推 yahooyamgoog: 剛好在X上也看到這篇，這cookies的外洩/惡意外掛程 06/03 15:58

→ yahooyamgoog: 式，除了交易所之外還有可能造成什麼風險？有辦法 06/03 15:58

→ yahooyamgoog: 取得其他外掛(如熱錢包)裡的私鑰嗎？ 06/03 15:58

推 newforte: 看起來幣安也不太ok 06/03 16:52

→ yobdc3692581: 應該是得不到私鑰，他只得到登入交易所的token而已 06/03 16:55

→ yobdc3692581: 我最近也在想這問題 就新買一台乾淨電腦專門放資產 06/03 17:01

→ yobdc3692581: 相關 錢多了開始會怕 06/03 17:01

推 albertBTC: https://i.imgur.com/dUBh9wE.jpeg 06/03 17:28

推 allen20937: 問個問題，如果下載了某個插件但是沒有設定On的話，那 06/03 17:33

→ allen20937: 個插件會在背景執行啥嗎? 又或者有其他風險嗎? 06/03 17:33

推 tswun: 這個token應該會在手動登出幣安後失效吧？每次登入都會生新 06/03 17:43

→ tswun: 的token，會不會是他沒有登出習慣？還是還有什麼盲點 06/03 17:43

→ tswun: 就算駭客在用戶登出後還保有這個token在登入情況也會因為交 06/03 17:47

→ tswun: 易request 重新驗證token 發現失效被強制登出阿 06/03 17:47

推 mithuang: 幣安動不動就會被登出，結果你都這麼煩客戶了，換IP就登 06/03 17:49

→ mithuang: 出有差那麼一點嗎？cookie綁IP感覺應該不是什麼難事 06/03 17:49

推 mithuang: 如果一百萬鎂的操作也要被偵測到，那一堆巨鯨都不能操作 06/03 17:53

→ mithuang: 拉盤了，把自己的交易量看得太重要了吧! 06/03 17:53

推 qr1348: 根本不敢用個人電腦登入幣安 iOS手機至少還有沙盒保護 說 06/03 18:25

→ qr1348: 到底還是要分散風險 多幾個冷熱錢包 +交易所 拍拍 06/03 18:25

→ KuraHoshi: 還是要老話一句 Not your key,Not your coin在不能實 06/03 18:32

→ KuraHoshi: 時監控的狀態下把大筆錢放在交易所，永遠都有意想不到 06/03 18:32

→ KuraHoshi: 的理由會失去他 06/03 18:32

噓 s1612316: 幣圈就是這麼好賺 只要你盜的走 全部就是你的 你甚至不 06/03 18:59

→ s1612316: 知道平台是不是真的有在幫你 還是 06/03 18:59

推 s1612316: 竟然有人把身家放在上面 06/03 19:02

推 doom3: 現在手機用戶這麼多 電信同個基地台大都同ip吧 06/03 19:03

→ doom3: 瀏覽器cookies是資安弱點沒錯 google也想解決但很緩慢 06/03 19:04

推 juice9527: 這是電腦被黑跟交易所沒關係吧 06/03 19:13

→ juice9527: 放自己熱錢包一樣有可能被盜 06/03 19:13

→ juice9527: 甚至還有100種方式會被釣魚 06/03 19:13

推 tornado1621: 100萬U 笑死活該死好 06/03 19:28

推 tsaigi: 交易所驗證機制差 怎麼會沒關係 06/03 19:32

→ tsaigi: 無監管市場本來就有風險 還把身家放交易所 毫無資安觀念 06/03 19:37

→ stander9: 玩合約虧光就說駭客盜幣，老招了，我每次交易，2FA，ema 06/03 19:46

→ stander9: il 驗證碼也沒有因為我是本人就沒跟我要，要的可狠了！ 06/03 19:46

推 mike0608: 大額放自己的錢包，然後開多重簽名應該會比較安全 06/03 19:49

推 stander9: 打錯字，是提幣才對，交易不用，合約也不用 06/03 19:53

推 doom3: 幣安應該要有個設定可以超過多少金額的交易要MFA 06/03 20:39

→ ripple0129: 說真的玩合約虧掉每個都說被駭客對敲交易，忙不完， 06/03 21:55

→ ripple0129: 自己被盜就吞了吧。幣安頂多多做個交易前要輸入密碼 06/03 21:55

→ ripple0129: 功能，但老實說一定一堆人覺得煩，希望拔掉。 06/03 21:55

→ ripple0129: 永遠只在蘋果的系統上操作加密貨幣是我的宗旨，相對 06/03 21:57

→ ripple0129: 性的安全 06/03 21:57

推 nccukkk: 在交易所都能被盜 那也沒辦法了... 06/03 22:49

推 stander9: 像那個DMM也說被駭客盜，填不了坑就說有駭客，真方便 06/03 23:18

推 gajo1564: 盜走登入狀態確實是問題 不只cex也不少dex有1ct功能 06/04 01:10

→ gajo1564: 只能說如果沒有做專用裝置/虛擬機還是少安裝東西吧 06/04 01:12

推 domago: 所以是餅乾木馬？直接買賣怎麼賠掉100萬？對方比你早買入 06/04 04:24

→ domago: 100萬等你買入100萬再出貨？ 06/04 04:24

推 gmoz: 找流動性低的 掛天地單來接 06/04 09:26

→ gmoz: 看他貼的圖都是一根超長針 06/04 09:27

推 xluds24805: 這跟用不用蘋果設備無關了 ，用 macbook 裝 chrome 插 06/04 09:54

→ xluds24805: 件，一樣也會被盜 06/04 09:54

→ xluds24805: 裝插件後，設定插件的作用網站是基本動作，不要讓它預 06/04 09:57

→ xluds24805: 設能在你所有開的網站中運行 06/04 09:57

推 Shinn826: 先買流動性高的幣的再去流動性低深度低的交易對對敲 06/04 20:25

推 sazabijiang: 早年玩加密幣的許多玩家，還懂得用一台乾淨專用的 06/04 20:29

→ sazabijiang: 筆電去操作交易。我也是嚴格區分交易網站專用的瀏覽 06/04 20:30

→ sazabijiang: 器，當然該瀏覽器完全不安裝任何插件。其實我不是很 06/04 20:30

→ sazabijiang: 能理解感裝插件的人的心態。技術上來說，插件可以 06/04 20:31

→ sazabijiang: 監控你的瀏覽器上的任何顯示文字以及擷取所有你輸入 06/04 20:31

→ sazabijiang: 的文字，安裝插件就跟你在臥房擺一台網路監視器一樣 06/04 20:31

→ sazabijiang: 幣安的問題當然也很大，為了減少使用者的摩擦，刻意 06/04 20:32

→ sazabijiang: 設計成每次登入時不需要重新認證，意思是登入資訊就 06/04 20:32

→ sazabijiang: 保存在cookie，就跟FB一樣，你以為你登出了，但其實 06/04 20:33

→ sazabijiang: 根本沒登出。如果按金融業的規範，下達交易指示都 06/04 20:33

→ sazabijiang: 需要使用者再次認證，甚至二因子認證，但加密幣交易 06/04 20:33

→ sazabijiang: 網把它弄成好像電商購物一樣的低安全性，出事是遲早 06/04 20:34

推 newforte: chrome插件可以設定權限 弄一下就好惹 06/04 20:45

→ stander9: 上面一姐對話翻拍，話外之音很明顯，意思明顯是：先不說 06/04 21:03

→ stander9: 到底是有木馬程式還是演的，如果全是自導自演，現貨對敲 06/04 21:03

→ stander9: 左手敲右手頂多損失交易費，但合約部分開槓桿就足夠賺死 06/04 21:03

→ stander9: 一大片韭菜，還要叫我查，錢都你賺活都我幹 06/04 21:03

→ stander9: 危機處理完，結果大家用腳投票，幣安幣大漲了 06/05 00:00

推 sennin32: 這個是自己電腦被黑 怪不了誰吧 06/06 01:35