Subscribe to web12368
Subscribe to web12368
Share Dialog
Share Dialog
一、事件概述
1月24日晚,AdsPower安全团队发现,部分加密钱包插件被恶意替换。1月25日12:00 - 14:00期间,黑客开始大规模盗号攻击,疯狂转移用户资产。Adspower官方表示,是在1月21日18:00至1月24日18:00(UTC+8)期间,部分用户安装或手动更新的扩展钱包被恶意替换,可能导致用户助记词/私钥被盗(最新消息,熊链空投被盗,证明adspower用户助记词或私钥被盗,这下损失大了,后续空投项目建议找科学家帮忙),事件超过20,000个用户地址被盗,损失金额超过470万美元(不包括空投损失)。经笔者查看adspower官推公布的四个黑客地址0x16199891430886782b3413f0a2b24d593b787346,0xf772be79bd6d1f4316e938c6c40cf68cf6911c81,0x4e8f3340eFbC48EC36d043F11a5f23D457dB51ea,0xD3d5aF11A482A89D4BbfE4880C3D71D1dE5F155f,25号之后确实基本没有被盗款项入账。
二、 adspower官方是否存在过错的法律分析
(一)安全防护方面可能存在漏洞
黑客能够利用MD5校验漏洞修改服务器端JS代码及MD5校验值,绕过文件完整性检测,还通过API远程操作漏洞,利用AdsPower的API接口批量提取MetaMask钱包访问权限,进而发起资金转移操作。
( 因adspower官方尚未公布调查结果,推测都是来自于群友或者twitter网友,也仅仅是推测出来的结论,要看adspower公布的调查结果)
如果上述原因属实,可以表明AdsPower在技术安全防护上存在缺陷,未能有效防止黑客对其系统的攻击和利用。
(二)未及时通知可能存在过错
adspower官推明确表明:2025年1月24日,AdsPower安全团队发现,部分加密钱包被恶意替换(见附图)。而当天,AdsPower部分用户发现MetaMask 钱包被删除,恐怕正是adspower内部紧急封堵漏洞(未经adspower证实)。但直到1月25日下午1点adspower客服才通知部分客户。而在12点开始,黑客转移资产的行为即已开始。
因此,adspower未通过邮件、短信等多种有效渠道及时向所有用户进行通知(大部分),导致大量用户未能及时采取防范措施,错过保护资产的最佳时机,扩大了用户的损失。这种不及时通知的行为,对用户损失的扩大存在一定过错。
不过值得一提的是,本案中adspower采取措施应该还是及时的,1月25日下午2点,黑客停止盗号行为,可能因adspower采取了漏洞封堵或 API 访问权限限制等措施(虽然adspower并未声明其采取了上述措施)。
(三)潜在内部管理问题(需等待相关调查结果)
因黑客入侵云端服务器并获得API访问权限实施盗号,不排除存在内部人员故意开放权限的可能。
三、法律责任
(一)刑事责任
国内:黑客盗取用户虚拟货币的行为,涉嫌触犯刑法。此次AdsPower浏览器用户虚拟货币被盗事件中,损失金额高达500万美元,涉案金额巨大,若黑客被抓获,将面临严重的刑事处罚。但司法实践中,虚拟货币被盗案件对于罪名的认定存在争议,究竟是构成盗窃罪还是非法获取计算机信息系统数据罪尚无统一标准。如果法院认为虚拟货币具有刑法意义上的财物属性,黑客的行为可能被认定为盗窃罪;若法院倾向于将虚拟货币视为计算机信息系统数据,黑客则可能被认定为非法获取计算机信息系统数据罪。不同罪名的量刑标准不同,盗窃罪最高可判无期徒刑,非法获取计算机信息系统数据罪最高判7年。目前,国内大部分类似判例均判决为“非法获取计算机系统数据罪”(不将虚拟货币作为财物属性)。同时,如果刑事责任成立,则犯罪嫌疑人应退赔相关财物。
新加坡:AdsPower官方已向新加坡执法部门报案,有助于查明案件事实,追究黑客及相关责任人的刑事责任。这点AdsPower倒是对的,因为在国内,这种案件基本无法立案。
(二)民事责任
在无法抓获黑客的情况下,adspower是否应承担法律责任,关键看其是否具有过错。
依据《民法典》第一千一百八十二条、一千一百九十五条等相关规定,网络服务提供者应当保障用户的人身、财产安全,若因网络服务提供者的过错导致用户遭受损害,应承担侵权责任。AdsPower作为浏览器服务提供商,有义务保障用户在使用其服务过程中的资产安全,由于其存在上述安全防护漏洞、通知不及时及可能的内部管理问题等过错,导致用户加密货币被盗,用户有权依据《民法典》要求其承担侵权赔偿责任。
四、难点
难点1
虚拟货币在国内的法律定性导致其很难被保护。
2013年12月《关于防范比特币风险的通知》2017年94公告《关于防范代币发行融资风险的公告》,特别2021年924通知《关于进一步防范和处置虚拟货币交易炒作风险的通知》,认为虚拟货币是一种特定的虚拟商品,但首先,不具有与货币等同的法律地位,不能且不应作为货币在市场上流通使用。其次,虚拟货币相关业务被认定为非法金融活动,因此,在司法实践中,导致虚拟货币很难被定性为财产,且利用adspower从事虚拟货币相关业务很容易被认定为非法金融活动而不受法律保护,相关与adspower发生的协议可能认定为无效协议,等等。
难点2
证据收集难度,用户需要证明自己的损失与AdsPower的过错之间存在直接因果关系,还需证明自身无过错,如未泄露账号密码等信息。但网络攻击的复杂性使得用户在获取相关证据方面存在较大困难,难以获取AdsPower系统漏洞、黑客攻击路径等关键证据,这有有赖于adspower公司的调查结果,也影响到案件的胜诉结果。
五、adspower的运营公司是不是广州标品软件有限公司
可以很明确的说,无论adspower是否是在新加坡报案,无论其注册新加坡公司sunflower Tech Pte. Ltd.,香港公司Hongkong Adspower Information Techology Limited,,adspower在国内的运营方就是广州标品软件有限公司(原名广州散步去信息科技有限公司),这是adspower的国内运营主体,除了图片2这个证据之外,还有很多很多其他证据可以表明如果真出问题,广州标品软件有限公司就是国内adspower的运营主体和责任承担者。
六、关于adsPower后续维权,想对黑客,adspower以及广大受害者说几句:
一、对广州标品软件公司:
**只要企业在国内,合法维权有很多种方式,民事刑事行政等多种方式都是可以的(不展开了)。**因此,真心希望不要回避问题,并尽快以公告方式回复受害者:
1.告知出具调查结果的时限;2. 还原事实真相,尽快公布调查结果,建议应当由慢雾等第三方机构共同出具;3.及时告知刑事案件进展,在无法抓获黑客的情况下,给受害者一个合理的处理结果。
二、对黑客
互联网不是法外之地,区块链也一样不是。法网恢恢疏而不漏。虽然通过混币器你可以变现,但魔高一尺道高一丈,你还出来现(不知道真假),迟早是要还的。另外,盗亦有道,你拿走你的现金,凭你的技术手段去找下一个漏洞好了,既然你能把NFT退还,何必死盯着辛苦撸毛人的三瓜两枣呢?
三、对广大adspower受害者
很喜欢余弦老师的区块链黑暗森林安全自救手册(虽然看不太懂),在区块链黑暗森林两大安全法则零信任+持续验证。在使用adspower使用了其便捷性的同时,明知其有一定的风险,对其带来的风险也应有心理准备,之前比特币浏览器发生的被盗事件也一样。
最后说一句:虽处黑暗森林,还请相信有光。
感谢小志老师推文,对本法律报告的事实了解有较大帮助
x.com/shut_nice1/status/1883421664412840196
一、事件概述
1月24日晚,AdsPower安全团队发现,部分加密钱包插件被恶意替换。1月25日12:00 - 14:00期间,黑客开始大规模盗号攻击,疯狂转移用户资产。Adspower官方表示,是在1月21日18:00至1月24日18:00(UTC+8)期间,部分用户安装或手动更新的扩展钱包被恶意替换,可能导致用户助记词/私钥被盗(最新消息,熊链空投被盗,证明adspower用户助记词或私钥被盗,这下损失大了,后续空投项目建议找科学家帮忙),事件超过20,000个用户地址被盗,损失金额超过470万美元(不包括空投损失)。经笔者查看adspower官推公布的四个黑客地址0x16199891430886782b3413f0a2b24d593b787346,0xf772be79bd6d1f4316e938c6c40cf68cf6911c81,0x4e8f3340eFbC48EC36d043F11a5f23D457dB51ea,0xD3d5aF11A482A89D4BbfE4880C3D71D1dE5F155f,25号之后确实基本没有被盗款项入账。
二、 adspower官方是否存在过错的法律分析
(一)安全防护方面可能存在漏洞
黑客能够利用MD5校验漏洞修改服务器端JS代码及MD5校验值,绕过文件完整性检测,还通过API远程操作漏洞,利用AdsPower的API接口批量提取MetaMask钱包访问权限,进而发起资金转移操作。
( 因adspower官方尚未公布调查结果,推测都是来自于群友或者twitter网友,也仅仅是推测出来的结论,要看adspower公布的调查结果)
如果上述原因属实,可以表明AdsPower在技术安全防护上存在缺陷,未能有效防止黑客对其系统的攻击和利用。
(二)未及时通知可能存在过错
adspower官推明确表明:2025年1月24日,AdsPower安全团队发现,部分加密钱包被恶意替换(见附图)。而当天,AdsPower部分用户发现MetaMask 钱包被删除,恐怕正是adspower内部紧急封堵漏洞(未经adspower证实)。但直到1月25日下午1点adspower客服才通知部分客户。而在12点开始,黑客转移资产的行为即已开始。
因此,adspower未通过邮件、短信等多种有效渠道及时向所有用户进行通知(大部分),导致大量用户未能及时采取防范措施,错过保护资产的最佳时机,扩大了用户的损失。这种不及时通知的行为,对用户损失的扩大存在一定过错。
不过值得一提的是,本案中adspower采取措施应该还是及时的,1月25日下午2点,黑客停止盗号行为,可能因adspower采取了漏洞封堵或 API 访问权限限制等措施(虽然adspower并未声明其采取了上述措施)。
(三)潜在内部管理问题(需等待相关调查结果)
因黑客入侵云端服务器并获得API访问权限实施盗号,不排除存在内部人员故意开放权限的可能。
三、法律责任
(一)刑事责任
国内:黑客盗取用户虚拟货币的行为,涉嫌触犯刑法。此次AdsPower浏览器用户虚拟货币被盗事件中,损失金额高达500万美元,涉案金额巨大,若黑客被抓获,将面临严重的刑事处罚。但司法实践中,虚拟货币被盗案件对于罪名的认定存在争议,究竟是构成盗窃罪还是非法获取计算机信息系统数据罪尚无统一标准。如果法院认为虚拟货币具有刑法意义上的财物属性,黑客的行为可能被认定为盗窃罪;若法院倾向于将虚拟货币视为计算机信息系统数据,黑客则可能被认定为非法获取计算机信息系统数据罪。不同罪名的量刑标准不同,盗窃罪最高可判无期徒刑,非法获取计算机信息系统数据罪最高判7年。目前,国内大部分类似判例均判决为“非法获取计算机系统数据罪”(不将虚拟货币作为财物属性)。同时,如果刑事责任成立,则犯罪嫌疑人应退赔相关财物。
新加坡:AdsPower官方已向新加坡执法部门报案,有助于查明案件事实,追究黑客及相关责任人的刑事责任。这点AdsPower倒是对的,因为在国内,这种案件基本无法立案。
(二)民事责任
在无法抓获黑客的情况下,adspower是否应承担法律责任,关键看其是否具有过错。
依据《民法典》第一千一百八十二条、一千一百九十五条等相关规定,网络服务提供者应当保障用户的人身、财产安全,若因网络服务提供者的过错导致用户遭受损害,应承担侵权责任。AdsPower作为浏览器服务提供商,有义务保障用户在使用其服务过程中的资产安全,由于其存在上述安全防护漏洞、通知不及时及可能的内部管理问题等过错,导致用户加密货币被盗,用户有权依据《民法典》要求其承担侵权赔偿责任。
四、难点
难点1
虚拟货币在国内的法律定性导致其很难被保护。
2013年12月《关于防范比特币风险的通知》2017年94公告《关于防范代币发行融资风险的公告》,特别2021年924通知《关于进一步防范和处置虚拟货币交易炒作风险的通知》,认为虚拟货币是一种特定的虚拟商品,但首先,不具有与货币等同的法律地位,不能且不应作为货币在市场上流通使用。其次,虚拟货币相关业务被认定为非法金融活动,因此,在司法实践中,导致虚拟货币很难被定性为财产,且利用adspower从事虚拟货币相关业务很容易被认定为非法金融活动而不受法律保护,相关与adspower发生的协议可能认定为无效协议,等等。
难点2
证据收集难度,用户需要证明自己的损失与AdsPower的过错之间存在直接因果关系,还需证明自身无过错,如未泄露账号密码等信息。但网络攻击的复杂性使得用户在获取相关证据方面存在较大困难,难以获取AdsPower系统漏洞、黑客攻击路径等关键证据,这有有赖于adspower公司的调查结果,也影响到案件的胜诉结果。
五、adspower的运营公司是不是广州标品软件有限公司
可以很明确的说,无论adspower是否是在新加坡报案,无论其注册新加坡公司sunflower Tech Pte. Ltd.,香港公司Hongkong Adspower Information Techology Limited,,adspower在国内的运营方就是广州标品软件有限公司(原名广州散步去信息科技有限公司),这是adspower的国内运营主体,除了图片2这个证据之外,还有很多很多其他证据可以表明如果真出问题,广州标品软件有限公司就是国内adspower的运营主体和责任承担者。
六、关于adsPower后续维权,想对黑客,adspower以及广大受害者说几句:
一、对广州标品软件公司:
**只要企业在国内,合法维权有很多种方式,民事刑事行政等多种方式都是可以的(不展开了)。**因此,真心希望不要回避问题,并尽快以公告方式回复受害者:
1.告知出具调查结果的时限;2. 还原事实真相,尽快公布调查结果,建议应当由慢雾等第三方机构共同出具;3.及时告知刑事案件进展,在无法抓获黑客的情况下,给受害者一个合理的处理结果。
二、对黑客
互联网不是法外之地,区块链也一样不是。法网恢恢疏而不漏。虽然通过混币器你可以变现,但魔高一尺道高一丈,你还出来现(不知道真假),迟早是要还的。另外,盗亦有道,你拿走你的现金,凭你的技术手段去找下一个漏洞好了,既然你能把NFT退还,何必死盯着辛苦撸毛人的三瓜两枣呢?
三、对广大adspower受害者
很喜欢余弦老师的区块链黑暗森林安全自救手册(虽然看不太懂),在区块链黑暗森林两大安全法则零信任+持续验证。在使用adspower使用了其便捷性的同时,明知其有一定的风险,对其带来的风险也应有心理准备,之前比特币浏览器发生的被盗事件也一样。
最后说一句:虽处黑暗森林,还请相信有光。
感谢小志老师推文,对本法律报告的事实了解有较大帮助
x.com/shut_nice1/status/1883421664412840196
<100 subscribers
<100 subscribers
No comments yet