写在前面
事实的真相是什么
被盗原因分析
一些 KOL 分析的分析
我们该怎么做
我们该吸取什么教训
写在最后
本篇文章不为任何交易所站台,纯粹是我个人观察,然后结合这些教训,提出一些可能可以保护自己的建议。
我也做了一些分析,虽然这些分析也有可能是错的。但是希望提供一个不同的视角,除了 fud,我们可以做些什么。
最近两大主流交易所都不太平,特别是 OKX,几起大额财产被盗。推特上也出现了几篇令人潸然泪下的小作文,让人对交易所的安全性产生了极大的怀疑,动手能力强的朋友,甚至连夜把资产转走。
但是这是真相吗?你看到的就是真相吗?
很久之前我就发现如下现象:
所有的事情责任都在别人,如果我有责任,那肯定是你没做好。本来你可以做的更好的,因为你没有做好,所以我受害都怪你。
还有一个问题,他们说了真相,但是只说了部分真相,有些真相有意无意的忽略了。比如有人中招了,但是没提自己助记词是保存在微信收藏。有人点了钓鱼链接了,只说自己点了链接钱包,但是没说他还授权了。有人说自己手机短信和邮箱被盗了,但是他有没有设置谷歌二次验证,是不是有可能是熟人作案,都没有提。
我们来分析一下,按照发生的事情,钱包被盗了。有几种可能。
第一,受害者自己被钓鱼了
第二,钱包安全有问题
第三,以上二者的累加。
我把最近几个小作文拿来拜读了一下,发现有一个典型的问题。就是自身安全意识严重欠缺,然后出事了,把责任一股脑推给钱包。
比如,拿 OKX Web3 钱包点了钓鱼网站去授权,然后资金被盗了,事后怪钱包团队有问题。我想起有个网友举的例子:你喝酒开车出了车祸,然后怪车厂没做好酒精检测。或者要车厂第一时间给你开个证明,与车厂无关。怎么看都觉得有点幽默。话说,不是不愿做,实在臣妾做不到啊。
另外一个看到的评论也很幽默:「这行为就像老太太在街上摔倒了,必须要找个人出来讹一下,找得到就找,找不到硬就找生产水泥的」。
而且从评论区的描述看,也不是点开链接钱包这么简单,受害者做了交易的签名,自己亲手交出了对钱包的控制权,而这个事实,在长文中并没有说明。
试问
如果你对钓鱼链接没有警惕。
如果你没有一些安全的插件去做一个初级防卫
如果你交易所、邮箱、推特等连谷歌认证都没有做
那你被盗不是迟早的事情吗?除了换得别人的一丝丝同情,还能收获什么?如果你不能为自己负责,又怎么指望别人为你负责?
结论:这件事结果让人同情,过程不值得同情。即使这次不出事,以后也肯定会出事。
第二件,说实话这个攻击我也看不明白。大概就是 OKX 中心化钱包里的钱被通过邮箱和短信的方式全部转走。从截图看,感觉是邮箱被盗,然后谷歌二次验证也泄露了。
第三件:只说了资产被盗,SMS 应该也被盗了,整个过程不是很清楚,唯一让我印象深刻的是用了华为手机。
第一个,点了链接,然后被盗了。具体原理我也不是很懂,有个网友解释如下:
在 Solana 中,账户的权限和所有权可以通过合约代码动态更改,这是与以太坊不同的一个重要特性。也就是说,你如果点了钓鱼网站的一个链接并签名了,由于不是授权操作,钱包不会有任何提示,但是代码能动态修改钱包权限,这就是为什么失去了控制权。
所以使用 Solana 的钱包需要更小心,因为以上的操作在以太智能合约层面是无法实现的。所有的Solana 钱包都防不住这种,这是 Solana 链的帐号权限的一个机制,除非 Solana 进行修改。
钱包权限被改,是受害者交互了并支付了 gas。所有链上操作,钱包都会弹出一个窗让你签名,上面会有消耗的gas是多少的,只有有 gas 付费的操作才是链上操作。也只有链上操作才能更改钱包权限。如果只是登录钱包,而不需要付费的,不算链上操作,这种操作是无法修改钱包权限的。
第二个,我能想到的是所有自己的设备都绑定谷歌二次认证,但是如果 Google 账号被盗 ,那么你的二次验证也被盗了。胡侃大佬提供的办法是用 yubikey。 凡是新设备在登陆时必须要通过物理 yubikey 验证。
第三个,手机只收到短信,然后钱被盗了,由于信息太少,没法分析。
第二个和第三个共同特征是用户 SMS 被盗。第二个是谷歌二次验证也被盗了。
根据官方的分析:
黑客盗取 GA 的方法有两个:
在用户设备上植入木马
如果用户开启了 GA 云同步,则盗取用户谷歌账户之后,也可以获得用户 GA。
盗取用户 SMS 的方法比较多,有木马植入、SIM 卡复制、伪基站、发送服务商等。
看起来是 SMS 被盗了,不过调查结果没出来之前,一切以官方为准。
第一个:「发现有个漏洞,就是可以通过邮件和手机验证码就可以提币,即使你开启了谷歌验证,也可以只通过这两个直接提,除非你把手机号禁用掉。众所周知,权限高的管理员可以轻松从数据库获取手机和邮箱验证码。。。要是有内鬼,不敢想象。。。」
分析:这其实是一个 feature。比如三个验证你都开了,但是提币的时候只需要其中 2 个。那你开启谷歌验证,但是选择了手机和邮箱验证码,当然不需要使用谷歌验证码。想一想国内有多少人提币是通过手机短信、邮箱验证码来做的。然后那人说把手机禁掉,其他操作都需要使用谷歌验证,这不 tm 废话吗,总共三个校验,需要使用其中两个(谷歌二次认证、手机短信、邮箱短信),你把其中手机短信禁掉了,当然必须使用谷歌二次认证。你要是
还说什么千防万防,家贼难防。权限高的管理员可以轻松从数据库获取手机和邮箱验证码。动一动脑子吧,如果有这么高权限的人,操作数据库的时候会没有记录?我虽然不知道怎么操作,我肯定也会设置一些东西来记录他们的操作,何况是成熟的交易所。
大橙子还言之凿凿问 做了OKX安全测试的。你们把 feature 当做 bug,这不是来搞笑的吗。
还有很多人受害之后,总会有一些奇怪的想法,比如有人助记词保存在微信收藏,觉得肯定是微信内部的人看到了自己的助记词然后盗走的,有人被盗走了某个币,只损失了那个币,觉得是项目方的内鬼干的。
第二个:「尽管用户绑定了 GA,但校验时允许切换到低安全等级的校验方式,导致 GA 校验被绕过
用户绑定 GA(Google Authenticator),就是考虑到 GA 的安全等级更高更安全。但 OKX 在对用户敏感操作做校验时,比如添加白名单地址、提币、各类验证项设置变更等,可以直接切换为低安全等级的校验方式,比如短信。」
分析:用户绑定了 GA,如上面所示,他绑定了但是没有使用,再安全也没用。有一个网友的解释,我觉得很对:「这个降级验证说法存疑,谷歌验证切换为短信验证是否为降级得看情况,如果手机号码和谷歌验证没有分离,手机被控,那么这两个就是同等安全和风险,甚至大部分人的手机和谷歌验证就是一个手机没做分离」
第三个:「用户敏感操作发生时,比如:关闭手机校验、关闭 GA 校验,修改登录密码,均不会触发 24 小时禁止提币的风控措施。其中修改登录密码的风控措施采取了折衷的方式,在新设备上登录才会触发。」
分析:我的理解是,正常用户是对自己的手机拥有自主权的。上面那个没有触发风控的前提都是在你之前的设备,如果这些操作还能做,说明这手机你还是有自主权的。否则,你从用户使用角度来看,你改了一下密码,你 24 小时不能提币,貌似也说不通。
修改了登录密码,并在新设备上去登录,这个做法本来就是很存疑的。
第四个:「白名单地址提币,没有根据提币额度来做动态的验证,一旦这个地址加入白名单,就可以在提币额度内直接无校验的疯狂提币。不像其它交易所会设置一个限额,超过限额会要求再次做校验。」
分析:我确认了,交易所可以设置提现额度。
比如 Binance 24 小时额度是 10000 刀。
Bitget 的白名单是对应一个币种的白名单。但是基本上是没有额度限制的,除非用户设置了免密提币才有额度。
OKX 白名单:刷脸提币有单日限额,白名单没有。免认证地址是为了API用户自动化提币需求设计的,设置限额是不符合实际需求的,而且添加免验证地址的安全验证和提币是一个级别的。
派网:大额提现都是有人工审核的。
第五个:OKX 莫名多了一个提款白名单,有一部分人是自己之前设置的忘记了,有些如果不确认,可以复制一下去链上(https://tronscan.org/ )查查,到底是什么地址。如果想删除,就直接左滑删掉即可。
当你遇到这种事情的时候,第一时间要做的是,不是把这种言论四处转发,而是检查自己是不是安全的,如果你不知道怎么检查,那就先把钱转到一个你认为安全的地方,然后再去检查你自己是不是安全的。所谓君子不立危墙之下,是你知道什么是危墙,而不是从一个危墙跑到另外一个危墙。
我之前写的如何快速开始撸毛大业,特意花了很长的篇幅让大家注意安全问题,最讽刺的是,有人读完我的这篇文章之后,还是中招了。
有些弯路,我们能避开就避开,哪怕自己走过,也还好,但是有些教训。能不自己去试一下,就别自己去试一下,成本实在太高。
那么从这些人我们可以吸取什么教训,我们还能做什么?
助记词手抄,助记词手抄,助记词手抄。今天还看到一个老韭菜钱包被转走了,因为助记词放在微信收藏,觉得一直以来没事,以为就是安全的。
不要使用百度搜索,不要使用百度搜索,不要使用百度搜索。
不要使用华为手机,不要使用华为手机,不要使用华为手机(我说的是不要使用华为手机参与币圈的交易,其他生活手机你可以随便)
给你的交易所、邮箱、推特等都加上谷歌认证。不要嫌麻烦。这世上还有比丢了几百万,然后写小作文,四处求爷爷告奶奶还麻烦的事情吗?既然如此,又何必怕那一时的麻烦,再说了,根本没这么麻烦,等你做好各种安全设置,你觉得是安心的,那一点点麻烦又何足挂齿呢。
学会交叉验证,不要相信你看到的话(哪怕是任何人),每一个网站都要交叉验证,交叉验证就是多个渠道去对比,比如其他推特、微信群等等。
不要和 TG、DC 等陌生人聊天,更不要点他们给的链接。和你聊天并给你提供网址、软件,或者要你提供私钥、助记词的,都是骗子,直接拉黑。
不要在推特评论下面点链接,哪怕是官推下面的链接。最近马上有几个大空投,可以想象的出,官推下面会有无数钓鱼链接,不要好奇心泛滥。
Solana 钱包里会出现一堆莫名其妙的 NFT,无视它,是金子总会发光,是鱼饵你不碰就不会有事。
谷歌验证码是本地管理,如果邮箱被盗了,则谷歌验证码也会被盗。记得把 Google 身份验证器取消云同步。谷歌验证器首页,不要登录谷歌账号,如果登录,右上角云朵标志如果是蓝色就是已经打开同步,灰色就是关闭中,已经打开的,点击个人中心,关掉。
学会使用 1Password。
所有交易所全部开启 谷歌验证。如果你是苹果手机,开启刷脸验证。
上面每一个不要做和要做,背后都是无数人被盗币的惨痛经验,这种事情千万不要发生,一旦发生,你找谁也没用。记住。是找谁也没用。(找余弦也没用)
很多人听说 OKX 出事了,赶紧把钱转走,但是如果上面这些底层问题没有解决,你转哪里都没有用,说不定一慌乱,复制的地址还复制错了。
准备苹果全家桶(Mac + iPhone):无数个例子证明,钓鱼大部分发生在 Windows 电脑,而 Android 手机总会让你有些软件安装不上,特别是遥遥领先。
Chrome 浏览器,首推。其他 Opera、Edge 也行,但是建议使用 Chrome 浏览器
多读读余弦的帖子,虽然有些我也看不懂,但是最起码知道有这么些攻击的方式。
OKX 手机上的安全设置入口:首页-左上九个点—自己昵称下面(个人资料和设置)—安全设置—安全中心
不要 fud,要 build。很多人看热闹不嫌事大,四处转发。我就问问,你知道到底是怎么被盗的吗,了解这个原理吗,如果是你,知道如何提高自己的安全等级吗。不过,有些人是为了流量,他们的确也不在意是怎么被盗的,只在意这玩意能不能有流量。比如你读到这句「今日我若冷眼旁观,他日祸临己身,将无人为我摇旗呐喊」。。你喊的确实很感人,你知道发生什么了吗
不要相信任何一方一面之词。以我这几年在微信、推特观察到的现象,大部分事实的真相都要经历三次以上反转才是真相。而且有很多文章,写的无比煽情,但是会有意无意去忽略一些重要的事实。
比如最近有个人也是在 OKX 交互之后被盗了,在详细了描述自己出事的细节之后,群友纷纷出谋划策,我甚至还联系了 OKX 两个人,让他们帮忙查查。但这个朋友最后说了自己的助记词是放在微信收藏。我心中真是万马奔腾,这你不被盗,只能说明黑客水平太次。
还有一些不知道怎么反驳的理论,比如,我用了你们的产品,我出事了,就是要你们负责。朋友们,你的钱包的主人是你,只有你自己才要 100% 为自己负责,没有任何一个其他人、机构、交易所会为你负责。
Don’t trust, Verify。这几个单词,每一个背后都是价值 xx 万的教训。
很多人事前很少或者从不去阅读余弦或者其他做安全的的东西,出事了开始四处求爷爷告奶奶,找各种安全大佬来帮忙,这样做和蔡桓公有啥区别?
在写作过程中,我查看了原贴和回复,还发现了很多幽默的回复,摘下来给大家一起欣赏欣赏。
既然做了交易所,就有有义务维护用户的资产安全,既然做不到还要中心化交易所干嘛!
币安、OKX 这些交易所应该有一套成熟安全策略的打法,在接到用户报告被盗之后立刻行动,尽量挽回损失,而不是瞎耽误时间等黑客把钱都转走了无法挽回损失了才发个公告说是用户自己被黑了跟交易所没关系。
我已经做好了引起争议的准备,所以我不会在评论区做解释,所有不友好评论,都会第一时间拉黑。
没必要对不同频的事情解释,更别说有些傻逼,你也解释不清楚,所谓夏虫不可语冰,所以该拉黑拉黑,一直拉黑一直爽。
最近是 OKX 出事了,但是按照 xx 定律:如果有问题,那就不会是一个地方有问题。和黑客的战斗从来都不是一次性的。如果你觉得有问题,尽量做到分散。我自己钱包也有,链上也有,但是都是很分散,首先自己万分小心,其次,即使某一个中招了,青山还在。
有时候觉得余弦挺惨的,事前没见几个人找他,事后找他的时候,钱也被盗的差不多了,想开价都不好意思。
目前我在用的 Binance、OKX、Bitget、派网,虽然现在其他几家还没爆出问题,但是你们做好应对了吗?
没有任何一个地方是安全的,交易所是人开发的,是人都会犯错,学会自己保护自己的资产。
最后多问问自己:你真的对自己的账户做好了安全保护吗?你保护的是谁的资产?
下面是我用的几个交易所,欢迎注册,😂
日拱一卒王小楼
