# A Lesson By [Kingway](https://paragraph.com/@kingway) · 2023-01-19 --- 2023年1月17日早晨九点,当我刚起床正准备启程去海南开始今年的春节旅程,我发现手机开机收到一条我从未见过的格式的信息,大概意思是内存不足,转去“一个空格”,我当时有点迷惑(未及时截图)。但敏感性让我打开电脑查下钱包,然后我发现我专用电脑上分别安装在多个谷歌浏览器上的多个小狐狸钱包全部被盗了,甚至包括孩子学习web3用的钱包。盗贼在我1点半睡后的2点左右开始转(盗贼的转账一直持续到17号下午两点,因为去中心化钱包没有办法冻结。)将存储了现值15万美元左右加密资产的钱包中的12万美元左右的加密资产转到了两个新建的属于盗贼的地址。除此之外,在我数以千计的NFT中,盗贼仅专门转走了我DCL和VOXEL上五块元宇宙土地,及另外三个NFT,一个音乐NFT和两个澳网NFT,钱包上还未被盗走的资产已全部处于风险中。 我不得不立即取消了春节旅程,孩子也很难过,元宇宙的土地一直是他在搭建,这次全部被盗了。 然后我必须查看还有多少黑客尚未转出的资金能救回,实际上大额能转的已经全部转走了,钱包上留存的资金基本是处于长期质押状态下或者属于小额币种。一个小时后我拨打110报警,因为我回想,这台电脑是2021年10月用京东上购买的各项元件组装的机器,当时花费共计2万元。我当时联系了街道一家修电脑的来装系统,因为此前帮我维护过一次服务器的除尘,感觉还可以,我当时要求安装正版,但因为各种原因,我也买不到正版windows,因此同意这位安装人员安装上他提供的激活版,但安装上之后,电脑时常有蓝屏的情况,后来通过在线升级等方式,这个情况得以基本解决,但整个过程很不愉快。另外,此前一天,我的谷歌邮箱下线了,谷歌提示检测到我电脑上有可疑活动,此次事件让我想起这次安装电脑的情况,所以我对警方有两个诉求,一:调查我的电脑系统,是否存在后门,信息如何被窃取出去;二:关注盗贼资金流向,如果流向交易所,协助发函交易所冻结资金。 由于需要本人去警局,处理被盗钱包非常繁琐,直到晚上近8点在我爱人的陪同下前往进行笔录。在去的路上,爱人挽着我的手,说知道我有多痛苦,她知道我在链上所投入的时间,她哽咽了,我也哽咽了。 我在电脑上的操作是非常小心的,我对安全非常重视,孩子学习体验玩元宇宙土地也只能使用另外一台电脑,我从不会在我的电脑上点击任何不明来路或者网络上私信给我的链接,也很少参与我们圈里冲NFT,俗称图狗的活动,即使参加,我也会反复确认链接的来源。我安装在多个谷歌浏览器上的钱包,也属于不同的助记词。我只能推测是谷歌在电脑上的缓存包泄露造成的这次被盗,但是具体技术细节我不清楚,在我谷歌邮箱被下线之前,谷歌浏览器提示需要更新,电脑曾经自动重启更新完毕,控制面板安装记录显示是13号安装的谷歌浏览器。(这个截图上的腾讯手游是在那天我和孩子谈到我的一个同学在腾讯工作,要不我们玩一下和平精英才下的,但实际上还没有时间玩。Brave是一个加密浏览器,下载后也并没有开始启用,tele应该是点了自动升级,里面的链接我从来不会点击的) ![](https://storage.googleapis.com/papyrus_images/82c6f556cd555baf56a294c5a65f72b8077f15b6caeed4daa02d4a9f1b635435.png) 还有一个可能的原因,就是我收到不明信息的手机,这台手机连了我的谷歌账号,是否是从手机泄露了一些信息,但是多个浏览器的信息肯定还是从电脑上泄露的。 18号傍晚,盗贼其中一个地址的钱包动了,通过分析转向,可以追溯到一些盗贼之前的部分资金流动情况,初步判断盗贼不是专门针对我,应该是一个非常熟练的黑客组织,有大量的资金在曾经的钱包上进出,出入多个交易所。 如此,追回资金已近不可能,难过也无济于事,再次上路。 我想公开向电脑安全技术专家求助,尤其是微软(windows) 、谷歌和小狐狸钱包的技术专家,如何防止这类泄露事故: 全部独立的谷歌浏览器上的插件同时泄密,是不是因为这个谷歌文件夹泄露 C:\\Users\\admin\\AppData\\Local\\Google\\Chrome\\User Data 小狐狸钱包的助记词、私钥是否被谷歌浏览器记录在缓存中,因而被盗。除此我想不出别的可能,可以确认的是,没有任何黑客可以物理上接触到我的设备,我的助记词也全部手动记录,包括私钥从未拷贝或者存于网上。如果如此小心的我都无法幸免,叠加上近期中心化交易所FTX的倒闭,普通用户如何入圈?web3如何发展? 这次损失的不仅是资产,还有一年多来搭建的一个使用我自己和家人实名在区块链上的完整的矩阵被盗。在链上无数次的体验、交互的记录几乎化为泡影。我感谢我的家人还有朋友们,尤其是我的爱人和孩子,因为你们,我感觉生命中仍然充满爱和阳光。尽管世间充满不信任和暗涌的恶,但是我相信技术,加上良善和对光的信仰,最终能够战胜黑暗。 (P.S. 我被盗的资金应该不能找回了,但希望能够提高整个行业对安全的重视。否则全部是海市蜃楼,所有运行在中心化架构上的去中心化钱包对黑客们来说都是探囊取物,只是时间和资金量值不值的问题。所谓的去中心化钱包还能不能使用,用但不能联网用,联网的钱包里面又不能放什么钱,不放多少钱的又认为是机器人,这个行业怎么玩?) --- *Originally published on [Kingway](https://paragraph.com/@kingway/a-lesson)*