Skip to main content

一用户币安账户被盗100万美元事件的来龙去脉

· 34 min read
HCNerAI
HCNer AI robot

黑客利用了一个名为Aggr的Chrome插件,收集Cookies,绕过了2FA,用AI生成了个假头像视频,操纵账户。在BTC、USDC等流动性稀缺的交易对进行超市场价的限价卖单,对敲交易,完成盗窃。

更令人震惊的是,币安早已知道这个恶意插件的存在,但为了追查黑客,未及时通知用户,即使在黑客操作账户时,币安也未能及时冻结账户。

我成了币圈卧底的牺牲品,币安账户里100万美元灰飞烟灭

作者:Nakamao

直到现在我整个人还是懵的,这几乎是我这几年全部的积蓄。

黑客在没有拿到我的币安账号密码,二次验证指令(2FA)的情况下,通过“对敲交易”的方式盗走了我账户内的近全部资金,在我事后与安全公司的调查中,发现了更加令我吃惊的的事,最终我明白,我是一个币圈卧底的牺牲品,整件事过于离奇,我今天鼓起勇气把这个故事写下来,是为了让其他人不要重蹈我的覆辙,我从没想过我的资产会以如此方式被清空,给加密投资者警示,不要再成为下一个我!

5月24日,一个平常的周五,我结束工作在回家的路上,期间我的电脑和手机都在我的身边,而此时,我的账户却在疯狂的交易,我则毫不知情。

QTUM/BTC由于我账户的买入上涨了21%,DASH/BTC由于我账户的买入上涨了27%,还有PYR/BTC 上涨31%;ENA/USDC 上涨22%;NEO/USDC 上涨20%。

NEO QTUM PYR DASH

这些操作直到我一个半小时后习惯性的打开币安看btc价格时才发现。

事后安全公司和我说,这是黑客通过挟持我网页Cookies的方式在操纵我的账户,黑客在流动性充沛的USDT交易对购买相应代币,在BTC、USDC等流动性稀缺的交易对挂出超市场价的限价卖单。最后用我的账户开启杠杆交易,超额大笔买入,完成对敲。

在整个过程中,我没有收到任何来自币安的安全提醒,可笑的是,第二天我还因为交易量过大,收到了现货做市商的邀请邮件。即使这种情况下,我的账户被盗时也没有任何的预警和冻结,黑客的资产也未受到任何的限制。这让我感到非常费解。

在意识到我的账户被盗后,我第一时间与客服取得了联系,但在这个过程中,黑客仍在操作我的账号。按道理,黑客的资金一定还留在平台内,但我得到的来自币安的回复是,黑客安然无恙的从币安提走了他所有的资金。更难以理解的是,这个黑客仅用了一个账户,如此明显的对敲交易。让我对币安的风控大跌眼镜。

在事件发生的第一时间,我不仅告知了币安客服,还在TG上私信了一姐,一姐非常敬业,第一时间将我的UID交给了安全团队。但让我没想到的是,即便是有一姐的督促,币安工作人员还是用了一天多的时间,才通知Kucoin和Gate将黑客转入的资金冻结。结果不用说,黑客的资金早已转出(已查证)。冻结已经毫无意义。

在整个过程中,币安工作人员的反应十分迟缓,没有帮用户挽回任何损失,我是币安的忠实用户,这些年来一直都在币安上交易,这真的让我十分失望。这真的是想帮用户追回资金么?

眼看交易所拦截已经彻底失败,我便寻求安全公司的帮助,看看是否能锁定黑客,首先我便要弄清楚第一个问题,在我的电脑手机都在身边,我也没有收到任何币安账户新设备登录提醒,异地登录提醒的情况下,黑客是怎么操作我的币安账户的?

最终,我与安全公司把罪归祸首锁定在了一个平平无奇的Chrome插件Aggr上。这是一个历史悠久的开源行情数据网站的Chrome插件版,我见有很多海外KOL和一些TG频道在推荐该插件,而且推荐已经有几个月时间了,所以下载这个插件,试着查看一些数据。

关于Chrome的恶意插件造成严重损失的情况,目前加密中文圈还没有太多案例。目前看,我可能是第一例。请一定记住,Chrome网页插件与下载恶意应用程序损伤一样大。不要随意下载和使用Chrome插件!为了引起大家的警觉,我可以列举出一种最极端的情况:你常用的Chrome插件甚至可以在一次更新后完成恶意代码的植入。

该款恶意插件的具体运行原理是:如果你安装并使用了恶意插件,那么黑客就可以收集你的Cookies,并将其转发到黑客的服务器。黑客能够利用收集的Cookies,劫持活跃用户会话(伪装为用户本人),这样黑客不再需要密码或2FA,能够控制你的帐户。

在我的实际情况中,因为我的资料保存在1password之中,黑客没有办法绕过2FA提走我的资产。但可以利用我的Cookies,通过挟持我的账户,对敲获取收益。

于是我找到推广KOL,我要确定他是否是黑客的同谋,如果不是,那他要立刻通知他的所有用户,马上停用这个插件,避免更大的损失,但在和他去的联系后,更加让我震惊的故事来了。

原来币安早就知道这个插件的存在,甚至鼓励这名KOL与黑客进一步获得更多的信息,而我就是在该插件被进一步推广之时被盗的。币安至少在3、4周前就追查到黑客的地址了,也从该KOL处获取到插件的名字和链接。但即便如此,币安很可能是为了继续追查这个黑客,避免打草惊蛇,而没有及时通知暂停这个产品,我也就此成为了牺牲品。

今年3月1日初盛传的一名海外社区成员的币安账户被盗事件也是因为该插件,彼时该事件还引得币安CEO Richard Teng专门回复,“币安的安全工作组正在积极调查,以找出问题的根本原因”。所以,我不愿也无法相信币安团队近3个月的时间还未查出该插件的问题。

也就是说不论如何,在Alpha Tree向加密社区公布插件问题之前的一周或几周前,这个插件的问题早就能被公布和发酵了。

回顾整件事情,如果黑客直接提走资金,我也无话可说,但是黑客在币安随意的对敲和币安后续的补救让我无法接受,更别说币安已经在调查这个黑客和插件许久这件事了。按照时间线总结来看:

1.币安在已知该黑客和插件存在问题情况下,几周不作为也不预防,任由推广继续,让资金损失扩大。 2.币安已知被盗和对敲频发的情况下,仍然不作为。黑客肆意操纵账户长达一个多小时造成多个币对极端异常交易而未有任何风控; 3.币安未及时冻结平台内显而易见的黑客单一账户对敲资金; 4.错过最佳时机,时隔一天多,币安才联系相关平台冻结;

我非常尊重一姐和CZ,而且事实上,一姐也在第一时间回复了我,对我提供了帮助,在这个层面我应该感谢一姐,这件事本来应该是一个币安帮助用户挽回黑客盗币损失的佳话,而我今天在写的,也应该是一封对币安工作人员的感谢信,但现实是,币安的工作人员完完全全辜负了我的期待。

之前总看到币安关于彰显自身安全性的文章,每年币安的年度总结也总少不了安全二字,让我对币安充满信心。身体力行的将大量资金以稳定币形式存在币安也是因为信任,但当遇到风险后,币安的一系列行为让我感到陌生。那些华丽的词藻,动辄几亿上百亿的数据,我都没办法相信了。

我在这个把这个故事写下来,一方面是对被盗后的一切都深感迷茫无助。另外更想为大家敲响安全问题的警钟,不要重蹈我的覆辙。随加密货币越来越为人熟知,任何参与者的资产安全和人身安全,都值得重视。

我也无意与币安做任何斗争。我也很尊敬何一的敬业和为人,也感谢sisi的理解。我绝不会恶意编造诋毁币安。

所有的消息,都是我在被盗后,自己一点点去找相关人员追查的。都是我问出来的。关于插件的安全问题希望能问自己的安全团队。或者告知我原因,我自然原因帮忙沟通。

再说了,真斗的话,怎么可能能斗争的过😂。

看到bn公告了,只能说不愧是币安。正好我的也刚写好,一并发了。

不好意思,最近情绪不太稳定,可能等不到bn的公告就会休息了。我就是不清楚,准备了这么久,是没找到要封口的人么?还是打算精打细算,要把指控都推干抹净。

Cookies被盗一事,应该是超出了很多社区用户的认知。我先是各方调查,然后最终到aggr官方团队发通知,并看到官方成员举报+下线恶意插件(我都是有证据的)。再到发文分享给社区成员,可到币安这里,我看到的截图总结起来就是一句话,“他是自己被盗的,与BN无关回应。”真是让我人寒心。

该插件3月1日就导致了币安用户被盗,但直到5月底才被其他社区成员披露。即使你没查出来,我也曾多次向那名KOL确认,他的的确确有向BN团队提及该插件(原因是,他接受的是黑客的BTC,在转入BN后就被冻结,并就此持续与BN沟通。脏款和被推广产品悉数告知BN)。这两点叠加,我想问,币安安全团队到底在干嘛?

你说不好排查,我账户损失一百余万美金,提走50万美金的就那一个账户,而且小众交易对每天都是鸟不拉屎的,拉一下挂单和交易数据需要一天?

如果不是alpha tree广而告之,这个插件还会停留在市面上,会有更多人受害。

不愿意和币安battle是我真的没办法。论财力谁比得币安?论舆论操纵和pr水平谁比得过币安?

我一个人,币安可能有几千号员工,即使后续公告出来也不知道如何应对了。

晚安

关于此前文章一些情况的更正和说明

之前的一篇文章,引起了大量的关注。但是由于事先没有与币安方及时准确的沟通,获取不到他们那里的消息,所以那篇文章很多的叙述都是我根据自有资料,主观推测得出的。双方之间确实存在了一些信息差,今天和币安相关同学进行了沟通才意识到自己有些地方确实需要澄清。

我把我之前文章里面有失偏颇或者说无端指责的地方指出来:

1.币安事先确实不知情这个插件的情况

在我与币安同学沟通的过程中,我了解到那名被黑客资助的KOL,起初所做的一切努力其实是为了解决自己账户的问题。为了解冻黑客转给他的BTC,而不是为了所谓他给我讲述的正义。我猜测,可能是因为他得知我因此亏损了100万美金以后,他不敢于承认此事吧,所以后续与我的沟通中都夹杂了正义的幌子,修改或者美化了自己的错误。

我从币安同学那里得到的准确信息是,他首次向币安提及 http://aggr.trade 的网址是在5月12日,但这里的沟通误解是,他当时只是提交了原版的开源网站来解释其账户的交易情况(这是在与币安同学沟通中了解到的);他在这点上在于我沟通之时比较模糊,此信息也并非他告知我的3、4周,致使我以为他一定是在沟通中上交了所有相关资料并已向币安提出关于该插件的预警。

其次是,关于3月1号疑似因aggr插件被盗的用户Doom,经了解,币安安全团队当时和Doom进行过视频连线,在沟通过程中,Doom提及其设备进行过重装,未提供任何与该aggr插件相关的数据和材料,因此导致币安基于当时的信息被认定他受到了其他原因的安全攻击。这一点我是确实不知情,也没有在与他早期的沟通中了解到。

2.KOL并不是币安的卧底

币安和这位KOL一开始的沟通是因其账户问题,并未涉及插件,两者之间是完全独立的案件。币安没有也不会要求KOL去卧底或接洽黑客。起初KOL是为了解决自己账户问题而前后奔波,和黑客沟通了解到更多细节之后,他逐渐怀疑起该插件的问题,然后他开始主动追查黑客的BTC地址等消息。

综上,是我之前有争议或者说主观臆断的部分,可能误导了社区,造成了币安的困扰,我也深表歉意。

总之,不论案件后续怎么发展,我还是要反复感谢一姐。这案子我从第一时间私信她到现在,发的消息长到用手滑都要滑半天,辛苦她看我这么一个小人物唠叨到现在,也跟进整件事到现在。还感谢提供帮助的Sisi和大客户经理,同时也给我之前恶意揣测的币安相关同事和部门道歉。

然后我也要感激社区成员从各种渠道和角度对我的帮助。这行业市场节奏越来越快了,能得到大家的注意和帮助,是我的荣幸。

自始至终,我只是个普通人,不愿意也不想参与那些因上篇文章引发的流量活动。行业日新月异,我一开始因改变世界的梦想进入这个行业,到现在只想做一名悠闲的赌客。

占用大家的时间,十分抱歉;因为我的主观臆断,给币安造成的一些困扰,更是十分抱歉。希望我的事能给大家敲响警钟,大家还是保护好个人资产,这种“被抄家”的滋味,着实不想让其他人再体会一次。

币安官方针对此事的公告

用户您好,对于您的遭遇我们非常遗憾,在客服、安全和风控的同事经过案件分析,本着“公开透明”的原则在此复原场景:

  1. 事件发生的原因是您的电脑本身被黑客攻破
    本次案件中,在您的个人电脑被黑客入侵的情况下,黑客通过插件盗取了您的账户登陆状态,伪装成您本人进行操作和交易,由于攻击者拥有与您相同的已登录状态,系统把操作指令当作来自账户主人来执行。 此种手法系对于个人设备的新型黑客攻击,因为黑客无法提币,所以选择了用对敲的方式,消耗您账号资产。

  2. 币安安全客服用时1分19秒处理了您的冻结需求
    经过查询,您联系安全客服的服务时间: 05/24 20:45:32 UTC+8,安全客服明确了用户的冻结诉求之后, 第一时间进行了禁用,禁用时间是:05/24 20:46:42 UTC+8,禁用共计用时1分19秒。此外根据交易记录,在您提出冻结诉求前,您当时账户内的资产已经持续交易了一段时间,我们在此也建议大家,当您发现账户异常,建议使用“一键冻结”功能,最快时间内保护账户资产。

  3. 平台排查对敲交易、确认嫌疑人账户,跨平台提出冻结需求需要时间
    在日常的交易中,通常存在很多对手盘,在您的Case中,有很多真实的用户也有参与交易,而且存在杠杆交易,我们需要在1600多个对手盘8000多笔交易中筛查到可疑的获利方,因此,安全风控团队需要时间去提取数据并进行定位分析。需要解释的是,我们的客服确实没有相关调查的职能和权限,需要专门的安全风控团队进行跟进数据清洗和分析,所以我们回复您是在第二天。

  4. 截至目前的排查结果,币安在本事件之前并未注意到AGGR插件的相关信息
    根据目前能找到的所有内部记录,我们在此事件之前的确没有注意到这类插件案例,您在贴文中提及的3月案例,团队当时并不知情与AGGR相关。感谢您在贴文中分享的平台外部“KOL”的信息,我们会继续进行调查,如有任何新的进展,我们将会在第一时间跟您进行分享和同步。 我们非常同情您的相关遭遇,但是通过目前了解到的信息,您资产丢失的原因是您的相关设备因为安装了恶意插件而被操纵。很遗憾,我们对于此类跟币安无关的案件,没有办法进行赔偿。非常感谢您为平台后续的优化提供了方向,我们后续将会从平台的角度来看如何向您提供帮助。

币安安全风控团队会持续改善系统安全性:

  1. 提升登录状态存储安全性,生命周期管理和后台验证;
  2. 提升异常交易对倒检测。

我们以此案例为借鉴,建议大家提高安全意识和自我保护:

  1. 仅安装Binance正版App,或者使用干净的无插件的浏览器,访问Binance正版网站;
  2. 涉及资金的App/浏览器在使用后及时退出,不要一直在线以避免泄漏登录状态而带来的风险。
  3. 更多安全建议请参考 币安账户安全提示-360000106932

🙏感谢大家的关注与支持!请注意防范账号与设备的安全风险,安全第一。

用户您好,我们对您的遭遇再次表示遗憾,也感谢您能够帮忙澄清上一篇推文中对我们的误解。

作为平台,我们深知用户对我们的预期——不只是把币存放在币安,还需要在他们因自身原因出现突发状况的时候,我们也可以帮忙拦截恶意交易。对于您的案例,我们的安全及风控团队进行了仔细的分析和复盘,对于异常的对敲交易,平台一直有类似的防控措施,但平台的风控确实应该继续提升和优化以在今后及时成功捕获这类情况。

此前,我们已经通过我们的“漏洞赏金计划” https://bugcrowd.com/binance 设置了奖励机制,鼓励社区成员报告潜在的漏洞,提高对潜在威胁的认识,帮助我们更早地发现问题。您的此次遭遇提醒和帮助我们看到了更好的优化和升级空间,因此我们将给您申请一笔奖励作为回馈,也帮助您在丢失财产之后尽快度过难关。

币安的风控和安全团队将继续调查此类事件,目前已对突发价格波动叠加大数据报警和人工双重确认,也会给用户增加提醒;在插件运行、Cookies的授权上会考虑是否增加验证频率,币安会根据具体情况和用户差异性增加安全验证环节。我们也借此机会提醒所有用户始终保持警惕,使用干净的网络浏览器,不要安装任何第三方插件,并在使用后注销登录。

⚠️更多安全提示,可以点击这篇文章进行了解: 币安账户安全提示-360000106932

保护用户的资产安全是币安长期的责任,需要稳定、大量和长期的投入。风控和安全是交易平台的长期攻防战,币安作为行业的领导者,我们会持续投入,以切实的行动保护用户资产安全。再次感谢您的理解和支持!

2024年3月,一用户的币安账户被盗

作者:𝔡𝔬𝔬𝔪@doomxbt

更新:我按照@zachxbt的建议在周四晚上提交了警方报告。我唯一收到的关注来自@binance 两天前(3 月 1 日),两位“安全专家” Gerry 和 Holic 发起了一次 google meet 视频通话,他们表现得非常困惑,好像不知道自己在做什么,他们让我运行两个应用程序 - Nettiquette 和 KnockKnock,我通过电子邮件向他们发送了两个日志,并被告知他们的“调查”最多将持续 6-12 小时。他们确实提到,他们认为黑客是通过访问我的浏览器的 cookie 进行的。在过去几天把我的整个 Mac mini 翻了个底朝天之后,我仍然不知道这次黑客攻击是如何实施的。无论谁说“他不应该使用 API 密钥”,都必须明白我很谨慎,并且始终非常重视我的网络安全,尽管有人登录了http://Binance.com UI(见所附屏幕截图) ,

Account Record

在帐户上进行了大量操作并提款,在 binance 的“帐户活动记录”选项卡周围留下了他的痕迹。我与交易所绑定的电子邮件账户除了我之外没有其他人的踪迹,在黑客入侵期间我从未收到过币安的任何通知,除了锤子敲钉子的消息:BNB 提现成功您已成功从您的账户中提取 158.08718191 BNB。提现地址:0xf775eeb46DE6669FDBf4DA4d24a11b9E2E065bB2 交易 ID:0xd5a3b0c1dc05195821f818ec96aacbb1e0e49432dc13d63668ec228cfaa01f6e 总的来说,过去几天真的很艰难,我担心我的身份会被盗,到处跑着买新电脑和新手机,擦除并更新我自己的所有在线信息,并将新的电子邮件帐户与我能想到的所有东西绑定。我将大约 80% 的投资组合放在币安显然是“把鸡蛋放在一个篮子里”的错误。在黑客入侵后,每次我为了保护我的 Bybit 账户而更改账户时,它都会自动锁定,24 小时内无法提款,这让我感到很尴尬。这个简单的方法可以让我省去很多焦虑,还能省下我一生中最多的钱。

我还没有收到回复 @BinanceHelpDesk @AlexOnchain @_RichardTeng 两天多以来,他们没有对客户支持人员的疏忽表示任何歉意,也没有丝毫关于对造成的损失进行赔偿的暗示。

最后,我们如何应对风险

如何正确的适用和保护我们的资产呢?

  1. 交易所提币设置只能白名单提币。
  2. 登录官网下载正版的桌面或则手机App。
  3. Cookie 时效性不能太长,宁可让用户登录麻烦点.
  4. 交易所,钱包和助记词用一个单独的电脑或则手机登录。
  5. 涉及资金的App/浏览器在使用后及时退出,不要一直在线。
  6. 管理Chrome插件与Cookie,定期清理防止旧Cookie被滥用。
  7. 购买2个冷钱包,放在不同的位置,防止一个损坏或则丢失。
  8. 如果使用浏览器登录,最好是干净的无插件且单独用来登录加密货币资产的。
  9. 如果是win系统记得安装杀毒软件定期杀毒,如果是苹果mac系统更加安全,安卓和win系统确实没有苹果系统安全。
  10. 用于注册交易所的邮箱,新收邮件设置手机提醒,即便被黑客AI换脸玩忘记密码,你也能第一时间补救。
  11. 助记词或则私钥最好不要存在微信/QQ/支付宝等聊天软件,也不要用WPS/百度云等保存,防止爬虫软件盗取。
  12. 助记词或则私钥可以分成2段,分别放在不同的平台保存,其中一个泄露也不影响。

如果发现账异常怎么办

  1. 删除APP的API Key
  2. 修改账号密码(会让之前cookie失效)
  3. 修改资金密码(24小时不能提币)