安全事件在传统金融领域已经司空见惯,而在黑暗森林般的匿名币圈中更是屡见不鲜。数据显示,仅在刚刚过去的5月,加密圈就发生了37起典型安全事件,因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达到1.54亿美元,较4月增长约52.5%。就在6月3日,两起安全事件再度发生,与其他事件略有不同的是,这两起事件都与大型交易所相关联,并且过程颇为离奇,只是故事的结局,有人欢喜有人忧。
6月3日,一位网名为Nakamao的用户在X平台发布的长文被疯传,文中提到自己成为了币圈牺牲品,币安账户里100万美元灰飞烟灭。在详细叙述中,黑客盗窃的一环接一环揭开了序幕。据称,5月24日,Nakamao尚在工作途中,所有的通讯设备并未离身,但就在这种看似万无一失的背景下,黑客却在没有拿到币安账号密码、二次验证指令(2FA)的情况下,利用对敲交易盗走了其账户里所有的资金。
对敲交易简而言之,在流动性稀缺的交易对中进行大额交易,通过交易方大规模买入去接盘黑客账户的抛售。最终,黑客通过某个山寨币种获得了实际资金或稳定币,而买家则接手了卖家手中的山寨币。在这起案件中,QTUM/BTC、DASH/BTC、PYR/BTC、ENA/USDC和NEO/USDC被选中,利用用户的大额资金购入上涨超过20%。而黑客的所有操作,用户都未察觉,直到1个多小时后查看账户信息才发现异常。
根据安全公司的回复,黑客通过挟持网页Cookies的方式操纵用户账户,简单来说就是利用了网页端保存的终端数据。举一个典型的例子,当我们在互联网进入某个界面时,不需要账户密码登录,因为此前已留下了历史访问与默认记录。
事件发生后,Nakamao第一时间与客户以及币安联合创始人何一取得了联系,将UID交给安全团队,希望在短时间内将黑客资金冻结。但币安工作人员耗时长达1天才通知Kucoin和Gate,结果黑客资金早已不翼而飞,而且黑客仅用了一个账户,并未分散账户,就安然无恙地从币安提走了所有资金。整个过程中,用户不仅没有收到任何安全提醒,更为讽刺的是,由于大额交易的买入,第二日,币安竟然还给其发出了现货做市商的邀请邮件。
在事后的回顾中,Nakamao又发现了一个平平无奇的Chrome插件Aggr。该插件用于查看行情数据网站,据被盗者描述,发现有多个海外KOL长达数月时间进行推广,基于自身需求,进行了下载。
针对这两起事件,加密社区也进行了广泛讨论。无论如何,在参与交易的过程中,用户也需要引起高度重视,增强自身安全意识,尽量使用完全独立的设备进行操作,推荐使用分散认证、不便捷性为核心,避免设置免密和活体认证,谨慎使用插件,对于大额资产,使用硬件钱包进行存储。加密资产的安全性比效率或盈利更加重要,这也是加密世界难以摆脱中心化的原因之一。