2024年恶意插件盗取币安Cookies对敲导致用户大额资金损失事件

2024年5月24日，被盗用户电脑、手机都在身边，毫不知情的情况下，币安账户内的资金被黑客通过“对敲交易”的方式盗走^[1]。这位用户在事后与安全公司的调查中，发现黑客利用 Chrome 浏览器插件 Aggr，通过劫持网页 Cookies 来操纵用户的账户。黑客在流动性充沛的 USDT 交易对购买相应代币，同时在BTC、USDC等流动性稀缺的交易对挂出超市场价的限价卖单。通过这种方式，黑客在短短一个半小时内让用户的账户进行了大量交易，导致账户资金被盗。

整个过程中用户没有收到任何来自币安的安全提醒，也没有任何账户冻结的措施。在意识到账户被盗后，用户第一时间联系了币安客服，但黑客仍在继续操作账户。虽然币安在事发后通知了其他交易所冻结黑客的资金，但已经为时过晚。更让人费解的是，黑客仅用了一个账户进行如此明显的对敲交易，币安的风控措施竟然未能及时拦截。

用户发现币安早就知道这个恶意插件的存在，甚至鼓励这名KOL与黑客进一步获得更多的信息，币安至少在几周前就追查到了黑客的地址和插件信息，但为了继续追查黑客，币安选择没有及时通知用户暂停使用该插件，导致用户成为牺牲品。

用户对币安的失望达到了极点，用户对币安的信任彻底崩塌。币安在已知插件和黑客问题的情况下不作为，让损失不断扩大；黑客在币安随意对敲长达一个多小时却未触发任何风控措施；在意识到问题后，币安的反应迟缓，错过了最佳拦截时机，导致黑客顺利逃脱。

各方观点

当事人

Nakamao@CryptoNakamao

Cookies被盗一事，应该是超出了很多社区用户的认知。我先是各方调查，然后最终到aggr官方团队发通知，并看到官方成员举报+下线恶意插件（我都是有证据的）。再到发文分享给社区成员，可到币安这里，我看到的截图总结起来就是一句话，“他是自己被盗的，与BN无关回应。”真是让我人寒心。

该插件3月1日就导致了币安用户被盗，但直到5月底才被其他社区成员披露。即使你没查出来，我也曾多次向那名KOL确认，他的的确确有向BN团队提及该插件（原因是，他接受的是黑客的BTC，在转入BN后就被冻结，并就此持续与BN沟通。脏款和被推广产品悉数告知BN）。这两点叠加，我想问，币安安全团队到底在干嘛？

你说不好排查，我账户损失一百余万美金，提走50万美金的就那一个账户，而且小众交易对每天都是鸟不拉屎的，拉一下挂单和交易数据需要一天^[2]？

币安

币安官方@binancezh

对于此类跟币安无关的案件，没有办法进行赔偿。

根据目前能找到的所有内部记录，我们在此事件之前的确没有注意到这类插件案例，您在贴文中提及的3月案例，团队当时并不知情与AGGR相关。感谢您在贴文中分享的平台外部“KOL”的信息，我们会继续进行调查，如有任何新的进展，我们将会在第一时间跟您进行分享和同步。

我们非常同情您的相关遭遇，但是通过目前了解到的信息，您资产丢失的原因是您的相关设备因为安装了恶意插件而被操纵。很遗憾，我们对于此类跟币安无关的案件，没有办法进行赔偿。非常感谢您为平台后续的优化提供了方向，我们后续将会从平台的角度来看如何向您提供帮助^[3]。

何一@heyibinance

个人设备下载了有问题的插件，导致的对敲损失，币安确实没办法赔偿，我们会进一步提升风控标准，感谢建议🙏^[4]

社区KOL

孙宇晨@justinsuntron

建议币安设置定期自动登出机制，对涉及资金的App和网站，例如每几分钟没有操作就自动登出。尽量避免使用Cookies来保持登录状态。卸载可能存在安全风险的软件，尤其是小软件和来历不明的软件^[5]。

凉粉小刀@liangfenxiaodao

百万美金被盗，在问题反映上去之后，依然用了一天多的时间才做出反应，给了黑客充足的时间提币…币安屡屡在安全事件中伸出援手，希望这次也可以给受害者一个交代^[6]。

26x14@26x14eth

币安应该针对有问题的插件来及时报警，和类似当年360、猎豹的逻辑产品来合作^[7]。

参考链接