# 关于一次资产丢失事件的分析

By [Coffee](https://paragraph.com/@cybercaf) · 2022-02-27

---

前言
--

21年NFT市场爆发带火了NFT，更带火了各种各样的资产盗窃手段，近期除了知名加密艺术家Niq被盗了昂贵的1/1 Doodles之外，某位圈内知名的项目方大佬也不小心被忽悠走一个小幽灵。总体来说，此类事件基本都能确定是基于什么原因发生的。作为被盗资产的用户，其实他们是了解操作风险点，事件发生之后也是清楚知道自己在哪一步操作出了问题。然而前几天遇到了一位不太清楚发生了什么的用户，这次资产丢失我个人觉得很有记录下来的意义，值得所有用户借鉴与思考。

还原事件
----

某天L兄（化名）在群里忽然说钱包里的资产被盗，大家纷纷询问情况，以下是初步还原的事件经过：

L兄在某天晚上发现自己钱包里的资产没了，一开始以为是自己转移到自己别的地址，仔细看了下交易记录发现是在下午自己睡觉的时候被人转走了。

![被盗交易明细](https://storage.googleapis.com/papyrus_images/358bdf107a8f290197d65d33ac43437b967a21ad6007dac558e36cb103371b88.png)

被盗交易明细

一般资产丢失大家常见问题基本是这么几条：

**“助记词是怎么保存的？”**——“存相册”

**“点了什么不明链接了？”**——“没有啊”

**“用的是不是Windows/安卓手机？”**——“苹果全家桶”

不少朋友纷纷表示手机相册不安全，不应当这样操作。但是最后一条引起了我的注意，通常来说大家都会认为苹果全家桶会是一个相对安全的处理资产环境。但这位L兄为什么会被盗了呢？于是我单独联系了L兄，对事件进行分析和复盘，试图寻找风险点。

风险分析
----

### 钱包地址

通过etherscan看了一下该地址，是一个比较干净的准新地址（交易记录数不满十条）。通过[https://debank.com/](https://debank.com/)可以比较清晰的看到最早交易在今年1月8日。Binance提取过一笔44个Sand，有过两个Sandbox NFT和一个Lululand徽章。这些于两天前全部被转移去一个地址，由于钱包地址下没有eth，转账者先给了0.0478个eth作为gas，转完再吧剩下的大部分gas转了回去。

简单看了一下黑客地址[https://opensea.io/0x9e9e7945a35c6c0c34303aaa5b9a959def035912?tab=activity](https://opensea.io/0x9e9e7945a35c6c0c34303aaa5b9a959def035912?tab=activity)在Sandbox交易信息还是比较多的，但交易并不是非常活跃，这边先贴个标签“**疑似与Sandbox相关**”。

### 相册分析

由于手机相册保存助记词是最常见的风险点，所以先从这个地方切入，获得信息如下：

1.  1月初L兄在自己iPad上生成助记词，并通过截屏保存于相册，仅此一份保存，没有记录在纸上。
    
2.  iPad未开iClouds备份，iPad关联的iCloud邮箱登陆检查，只有以前开备份时的照片，没有注册钱包至今的照片备份进去。
    
3.  使用过程中未传送过助记词图片。
    

  

### 代币授权

使用[https://etherscan.io/tokenapprovalchecker](https://etherscan.io/tokenapprovalchecker)查看授权，发现没有授权内容。由于地址是准新，没有过eth交易，也没有涉及Sand转出交易，授权导致资产丢失的话，对方是无法删除授权信息的；此外如果是通过签名方式转账的话虽然不会有授权，但是需要钱包确认；这里存在多个交易，由于用户没有授权，因此这种可能也可以排除，初步判断是私钥泄露导致的问题。

### 行为分析

L兄对使用习惯总结如下：

1.  Mac、iPad均不越狱不使用盗版软件；
    
2.  钱包建立至今一直使用小火箭翻墙，未更换；
    
3.  iPad关闭了iCloud备份。
    

L兄对过去行为总结如下：

*   1月初建的钱包地址
    
*   几天前通过google搜索sandbox，点击进入第一个链接，但是没有做任何其他操作就关闭了网页：
    

![Google搜索结果](https://storage.googleapis.com/papyrus_images/c045c8059163fc4f3d86eb0e5e198dac1f71a3a74da292da9d7d4d4f61ecada6.png)

Google搜索结果

*   被盗前一天通过iPad的Discord点击过一个来自DM的不明链接，全部英文没细看，但是点了没有任何反应。
    

### 环境分析

*   L兄创建助记词时周围没有人，周围玩区块链的朋友水平可能还不如他；
    
*   MacOS目前Big Sur 11.2.3版本，iPad最新版本。
    

事件小结
----

### 结论

1.  未找到明确的助记词/私钥泄露点。理论上点击不明链接，不做进一步操作的话，无论是iPad的系统，还是小狐狸，都是无法进行下一步操作的。但是实际上黑客的操作过程和授权情况又比较符合助记词/私钥泄露的情况。
    
2.  用户可能遗忘了某些地方的习惯性/下意识操作。操作环节一定是有地方被忽略了，不然信息与结果无法对上。
    
3.  由于黑客地址上有不少TSB资产和资产交易记录，大致认为这起攻击事件与TSB关联。可能是冒充TSB及其相关网站的钓鱼攻击。
    
4.  相比较使用哪种系统而言，用户的使用习惯与安全意识才是最重要的。总体而言苹果全家桶的安全性是高于安卓+Windows的，但是无论怎么安全的环境，最终还是人在进行操作，因此最大的风险一定是源于用户自身。
    

### 建议

1.  助记词脱网保存，脱网指用纸笔记录，或者使用不联网的设备（旧手机/iPad，不联网的电脑/虚拟机，硬件钱包等等）保存；
    
2.  Discord谨慎操作：忽略所有私聊信息，即使你能确定对方身份，也不要点击对方提供的任何链接；
    
3.  谨慎点击搜索引擎链接：寻找项目官方网站目前一般通过twitter或者是Discord的Official-links频道里找，但是由于这两也存在被黑客篡改的可能性，所以常用/重要app地址建议自己保存；
    
4.  注意签名/授权网站，要冲土狗的话尽量使用单独的冲土狗专用钱包；
    
5.  注意操作环境：
    
    1.  PC环境：正版/可靠操作系统、正版/可靠应用软件、VPN/梯子安全性、官方地址下载的最新版浏览器、可靠的浏览器插件等等；
        
    2.  移动端环境：正式版/稳定版操作系统（避免越狱、测试、提取系统最高权限），安装可信来源的app，注意屏幕、输入监控类权限的发放；
        
    3.  物理环境：避免使用公共wifi环境操作钱包，避免在公共区域摄像头范围内操作钱包，避免周围有人可见的环境下操作钱包；
        
6.  关注周围资产被盗的案例，时刻警钟长鸣。随着消费级产品的安全性逐步提升，黑客攻击普通用户的手段主要是通过钓鱼手段进行，即伪造界面或者功能引诱用户操作，这类攻击防不胜防，需要用户时刻警惕。

---

*Originally published on [Coffee](https://paragraph.com/@cybercaf/QBfn3UMtoaneusXAVjiz)*