AI换脸、插件陷阱,两起安全事故致用户损失超千万
文章转载来源: 陀螺财经
安全事件,在传统金融已然不少见,而在黑暗森林般的匿名币圈,更是司空见惯的存在。
数据显示,仅刚刚过去的5月,加密圈就发生了37起典型安全事件,因黑客攻击、钓鱼诈骗和Rug Pull造成的总损失金额达1.54亿美元,较4月增长约52.5%。
就在6月3日,两起安全事件再度发生,与其他事件略微不同的是,两起事件都与大型交易所相关联,过程也颇为离奇,只是故事的最后,也是有人欢喜有人忧。
6月3日,一位网名为Nakamao的用户在 X 平台发布的长文被疯传,其在文中提到“自己成为了币圈牺牲品,币安账户里100万美元灰飞烟灭。”在娓娓道来的自述中,一环接一环的黑客盗窃揭开了序幕。
据称,5月24日,Nakamao尚在工作途中,所有的通讯设备并未离身,但就在这种看似万无一失的背景下,黑客却在没有拿到币安账号密码、二次验证指令(2FA)的情况下,利用对敲交易盗走了其账户里所有的资金。
对敲交易,简而言之,在流动性稀缺的交易对中进行大额交易,通过交易方大规模买入去接盘黑客账户的抛售,最后,对方以某个山寨币种获得了实际资金或稳定币,而买家则接手了卖家手中的山寨币。该种盗窃方式在交易所并不罕见,在22年,FTX就因3commas API KEY 泄露发生过高达600万美金的对敲盗窃,当时的SBF用钞能力兑付摆平了此事。而后,币安也相继发生过大规模对敲交易。但这种模式的歹毒之处就在于,对于风控欠佳的交易所而言,只是很平常的交易行为,不存在异常的盗窃。
在这起案件中,QTUM/BTC、DASH/BTC、PYR/BTC、ENA/USDC和NEO/USDC被选中,利用用户的大额资金购入上涨超20%。而黑客的所有操作,用户都并未发现,直到1个多小时后查看账户信息才发现异常。
根据安全公司的回复,黑客通过挟持网页Cookies的方式操纵用户账户,简单来说就是利用了网页端保存的终端数据。举一个典型的例子,我们在互联网进入某个界面时,不需要账户密码登录,因为此前已然留下了历史访问与默认记录。
- 星际资讯
免责声明:投资有风险,入市须谨慎。本资讯不作为投资建议。