2024年恶意插件盗取币安Cookies对敲导致用户大额资金损失事件
2024年5月24日,被盗用户电脑、手机都在身边,毫不知情的情况下,币安账户内的资金被黑客通过“对敲交易”的方式盗走[1]。这位用户在事后与安全公司的调查中,发现黑客利用 Chrome 浏览器插件 Aggr,通过劫持网页 Cookies 来操纵用户的账户。黑客在流动性充沛的 USDT 交易对购买相应代币,同时在BTC、USDC等流动性稀缺的交易对挂出超市场价的限价卖单。通过这种方式,黑客在短短一个半小时内让用户的账户进行了大量交易,导致账户资金被盗。
整个过程中用户没有收到任何来自币安的安全提醒,也没有任何账户冻结的措施。在意识到账户被盗后,用户第一时间联系了币安客服,但黑客仍在继续操作账户。虽然币安在事发后通知了其他交易所冻结黑客的资金,但已经为时过晚。更让人费解的是,黑客仅用了一个账户进行如此明显的对敲交易,币安的风控措施竟然未能及时拦截。
用户发现币安早就知道这个恶意插件的存在,甚至鼓励这名KOL与黑客进一步获得更多的信息,币安至少在几周前就追查到了黑客的地址和插件信息,但为了继续追查黑客,币安选择没有及时通知用户暂停使用该插件,导致用户成为牺牲品。
用户对币安的失望达到了极点,用户对币安的信任彻底崩塌。币安在已知插件和黑客问题的情况下不作为,让损失不断扩大;黑客在币安随意对敲长达一个多小时却未触发任何风控措施;在意识到问题后,币安的反应迟缓,错过了最佳拦截时机,导致黑客顺利逃脱。
各方观点[编辑 | 编辑源代码]
当事人[编辑 | 编辑源代码]
Nakamao@CryptoNakamao[编辑 | 编辑源代码]
Cookies被盗一事,应该是超出了很多社区用户的认知。我先是各方调查,然后最终到aggr官方团队发通知,并看到官方成员举报+下线恶意插件(我都是有证据的)。再到发文分享给社区成员,可到币安这里,我看到的截图总结起来就是一句话,“他是自己被盗的,与BN无关回应。”真是让我人寒心。
该插件3月1日就导致了币安用户被盗,但直到5月底才被其他社区成员披露。即使你没查出来,我也曾多次向那名KOL确认,他的的确确有向BN团队提及该插件(原因是,他接受的是黑客的BTC,在转入BN后就被冻结,并就此持续与BN沟通。脏款和被推广产品悉数告知BN)。这两点叠加,我想问,币安安全团队到底在干嘛?
你说不好排查,我账户损失一百余万美金,提走50万美金的就那一个账户,而且小众交易对每天都是鸟不拉屎的,拉一下挂单和交易数据需要一天[2]?
2024年6月5日,当事人发推澄清,表示币安对这个插件毫不知情,KOL也不是币安卧底,表示是自己主观的意识,误导了社区,对币安造成了困扰,表示歉意[3]。
币安[编辑 | 编辑源代码]
币安官方@binancezh[编辑 | 编辑源代码]
对于此类跟币安无关的案件,没有办法进行赔偿。
根据目前能找到的所有内部记录,我们在此事件之前的确没有注意到这类插件案例,您在贴文中提及的3月案例,团队当时并不知情与AGGR相关。感谢您在贴文中分享的平台外部“KOL”的信息,我们会继续进行调查,如有任何新的进展,我们将会在第一时间跟您进行分享和同步。
我们非常同情您的相关遭遇,但是通过目前了解到的信息,您资产丢失的原因是您的相关设备因为安装了恶意插件而被操纵。很遗憾,我们对于此类跟币安无关的案件,没有办法进行赔偿。非常感谢您为平台后续的优化提供了方向,我们后续将会从平台的角度来看如何向您提供帮助[4]。
2024年6月5日,币安在推特回复本次事件受损用户,表示对用户的遭遇深表遗憾,也感谢用户帮忙澄清误解。平台会持续优化风控措施,鼓励漏洞报告,并向用户提供奖励。提醒用户保持警惕,加强安全验证环节。币安会持续投入保护用户资产安全。感谢用户理解和支持[5]。
何一@heyibinance[编辑 | 编辑源代码]
个人设备下载了有问题的插件,导致的对敲损失,币安确实没办法赔偿,我们会进一步提升风控标准,感谢建议🙏[6]。
币安目前对突发价格波动已经叠加大数据报警和人工双重确认,也会给用户增加提醒;在插件运行、cookie的授权上即将增加验证频率,在这个场景交易密码不适用,但币安会根据用户的差异增加安全验证环节[7]。
2024年6月13日,何一在「币安全球用户注册数破两亿」 Twitter Space 中表示[8],关于此前发生的对敲事件,产品上更多考虑了用户易用性,做得不是足够严格,这次的经验和教训后,会提高目前的风控标准与等级;当时抓到了价格波动,但风控觉得问题不大就放过了;不认为“友商”存在坚守自盗[9]。
Chrome 插件[编辑 | 编辑源代码]
AggrTrade@AggrTradeApp[编辑 | 编辑源代码]
已封锁虚假扩展程序。已向 Google 报告该扩展程序,并已将其从 Chrome 网上应用店中删除。不要使用该扩展程序。AggrTrade 正在积极与当局合作调查此案[10]。
社区KOL[编辑 | 编辑源代码]
孙宇晨@justinsuntron[编辑 | 编辑源代码]
建议币安设置定期自动登出机制,对涉及资金的App和网站,例如每几分钟没有操作就自动登出。尽量避免使用Cookies来保持登录状态。卸载可能存在安全风险的软件,尤其是小软件和来历不明的软件[11]。
凉粉小刀@liangfenxiaodao[编辑 | 编辑源代码]
百万美金被盗,在问题反映上去之后,依然用了一天多的时间才做出反应,给了黑客充足的时间提币…币安屡屡在安全事件中伸出援手,希望这次也可以给受害者一个交代[12]。
26x14@26x14eth[编辑 | 编辑源代码]
币安应该针对有问题的插件来及时报警,和类似当年360、猎豹的逻辑产品来合作[13]。
Colin Wu@WutalkWu[编辑 | 编辑源代码]
币安至少两处应该改进:1、交易锁功能 交易前 2fa;2、ip更换后 输入 2fa 验证。当然这也会影响用户体验,但金融产品,安全远比用户体验重要[14]。
大多数用户都支持增加交易锁/交易密码的功能。希望币安、OK 等不要做鸵鸟,尽快正视对敲盗币的问题,以及个人信息泄露导致密码重置的漏洞。希望尽快拿出解决方案一二三和安全至上的承诺!对于交易所来说也是最好的 PR[15]。
Cos(余弦)@evilcos[编辑 | 编辑源代码]
注意下这个浏览器扩展会偷用户交易所的 Cookies 等权限信息,有一些用户损失挺大。扩展叫「AggrTrade」,如果你安装了,尽快删除,并修改各平台账号密码及 2FA、重置交易 API 等… 安装使用扩展真要谨慎[16]。
参考链接[编辑 | 编辑源代码]
- ↑ https://x.com/CryptoNakamao/status/1797519128632381847
- ↑ X 上的 Nakamao🫡:“看到bn公告了,只能说不愧是币安。正好我的也刚写好,一并发了。 不好意思,最近情绪不太稳定,可能等不到bn的公告就会休息了。我就是不清楚,准备了这么久,是没找到要封口的人么?还是打算精打细算,要把指控都推干抹净。” / X
- ↑ https://x.com/CryptoNakamao/status/1798058103071740239
- ↑ X 上的 币安Binance华语|Web3钱包已上线:“用户您好,对于您的遭遇我们非常遗憾,在客服、安全和风控的同事经过案件分析,本着“公开透明”的原则在此复原场景: 1. 事件发生的原因是您的电脑本身被黑客攻破” / X
- ↑ https://x.com/binancezh/status/1798062510488289577
- ↑ https://x.com/heyibinance/status/1797668887112405077
- ↑ https://x.com/heyibinance/status/1798051999168250016
- ↑ https://x.com/i/spaces/1vAGRvALVXvGl
- ↑ 何一:不认为“友商”存在坚守自盗 - PANews (panewslab.com)
- ↑ https://x.com/AggrTradeApp/status/1795896255249265042
- ↑ X 上的 土澳大狮兄BroLeon | 2024 Reload:“本来想就小兄弟 @CryptoNakamao 这个事儿写个教程提醒风险的。刚好看到孙哥 @justinsuntron 讲的挺清楚,直接截图丢上吧。 1. 尽量不用网页端登录交易所 2. 不得不登录不用就马上登出 3.插件资金浏览器分开 https://t.co/d9fQT0xIyL” / X
- ↑ https://x.com/liangfenxiaodao/status/1797521696901222466
- ↑ https://x.com/26x14eth/status/1797669825399181388
- ↑ (1) X 上的 Colin Wu:“群友讨论,币安至少两处应该改进 1 交易锁功能 交易前 2fa 2 ip更换后 输入 2fa 验证 当然这也会影响用户体验,但金融产品,安全远比用户体验重要。 @heyibinance” / X
- ↑ https://x.com/WutalkWu/status/1798036891536961583
- ↑ X 上的 Cos(余弦)😶🌫️:“注意下这个浏览器扩展会偷用户交易所的 Cookies 等权限信息,有一些用户损失挺大。扩展叫「AggrTrade」,如果你安装了,尽快删除,并修改各平台账号密码及 2FA、重置交易 API 等… 安装使用扩展真要谨慎。” / X