37萬NXM 代幣被盜走!Nexus Mutual 創始人親筆闡述經過

事件背景:

世界標準時間 12 月 14 日星期一上午 9 點 40 分,我被騙批准了一筆總計 37 萬枚 nxm 代幣的交易。我原以為這筆交易是自己挖礦獎勵的錢,但結果卻直接傳送給了駭客,這位駭客隨後將竊取的 nxm 代幣清算兌換成了比特幣和以太坊,接著又把這些資金分散到不同的地址和交易所。

我當時使用的是連線到 ledger 的 metamask 錢包,透過 nexus mutual 應用程式進行互動,電腦是 windows 作業系統,目前 ledger 上的私鑰是安全的,nexus mutual 智慧合約和資金也都沒有受到影響,因此基本上可以判斷這次應該只是一次個人攻擊。


事件情節梳理:

在這次針對性攻擊事件中,我們大概知道以下幾點情況:

1.世界標準時間 12 月 11 日星期五 10:20 左右,我正在寫一封電子郵件,突然計算機螢幕變黑了 2-3 秒鐘,但很快就恢復了,當時我以為電腦可能只是發生一些奇怪的事情,因此並沒有太在意。

2.大約一個小時之後,也就是世界標準時間 12 月 11 日星期五 11:20 左右,我磁碟受到感染,其中 metamask 錢包擴充套件程式被駭客版本所替代。

3.實際上,我直到 12 月 14 日星期一才透過 metamask 錢包擴充套件程式進行加密貨幣交易。

4.世界標準時間 12 月 14 日星期一上午 9:40,我想去 nexus mutual 應用程式提取一些挖礦獎勵的代幣。像往常一樣,metamask 彈出提幣申請確認資訊,這其實沒什麼奇怪的,因為每次交易都會彈出確認資訊,一切看起來很正常。但問題是,這個確認資訊裡包含了傳送到 ledger 的一筆欺詐性交易。結果,我點選了「確認」。

5.這筆交易很快就出現在 ledger 上,我勾選交易資訊後點選了「批准」。實際上,如果我此時檢查一下「收件人」地址和其他交易資訊就可能發現其中的問題,但是由於 ledger 還沒有直接支援 nxm,因此交易資訊中並沒有預設帶入收件人等相關可讀資訊。

6.接著,我收到了 metamask 通知提醒,告知我交易已經完成,但 nexus mutual 應用程式仍在等待確認交易,此時我發現情況不對,於是檢查 etherscan,結果發現這筆錢轉到了駭客的地址。

回過頭看,我犯錯的地方發生在上述第 5 個步驟,交易時應該多加小心,可以說這次駭客盜竊事件完全是我自己的責任。但我要指出的是,除非你是一個很熟悉加密貨幣技術的人,否則很難在轉賬時候仔細檢視相關資訊,畢竟十六進位制格式的資訊是很難閱讀的。就個人而言,我自己其實擁有足夠的技術知識,也理解這些資訊代表的含義,但還是犯錯了,所以普通使用者在這裡很容易栽跟頭。

此外,我之前一直在自己信任的網站獲取加密貨幣獎勵代幣,比如 nexus mutual app,因為我覺得在官方平臺上交易風險會比較低,但從本次駭客攻擊事件中發現,不管是不是可信站點,也不管交易價值是多少,每次確認交易之前都必須仔細檢查資訊。

現在,我打算啟動調查本次駭客事件,並在社羣的幫助下追蹤資金,感謝大家支援!在此,我想感謝很多人的支援,尤其是 sergej kunz、julien bouteloup、harry sniko、richard chen、banteg,還有些人我現在不太方便透露名字。


調查部分結果:

過去,大多數 metamask 駭客攻擊都是誘使使用者下載包含惡意程式碼的虛假程式版本,然後竊走使用者私鑰。但這次情況有所不同。我的計算機已經損壞,磁碟裡的 metamask 應用程式被篡改,這意味著瀏覽器擴充套件程式出現問題時不會出現警告資訊。

據瞭解,這個惡意擴充套件配置是從coinbene.team 獲取的,我們從這個域名追蹤到了一些 ip 地址,如下圖所示:



我的瀏覽器已進入開發者模式,但我不是開發人員,因此這個操作很可能是由駭客執行的。

我們發現有其他受害者也遭到了類似的攻擊,並與之進行了聯絡。

本次攻擊似乎具有很高的針對性,因為駭客沒有拿走受害者可能擁有的全部 nxm 代幣,因此駭客似乎已為我專門部署了事先準備好的交易負載。

下面我將列出相關性最高的幾個駭客地址:

以太坊:

1.0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1

2.0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b

3.0x09923e35f19687a524bbca7d42b92b6748534f25

4.0x0784051d5136a5ccb47ddb3a15243890f5268482

5.0x0adab45946372c2be1b94eead4b385210a8ebf0b

比特幣:

1.dztklmxo56jxfeedoku8c4xc37zpnqezn

messaging (?) channel

2.0x756c4628e57f7e7f8a459ec2752968360cf4d1aa


事件疑問點:

首先,我不知道自己的計算機是如何被入侵的。

在過去的一週時間裡,我與防毒軟體提供商卡巴斯基的專家在被感染的計算機上花費了大量時間允許完整診斷程式,但目前還沒有任何結果,這項工作仍在進行中。

駭客是誰?

從我們現在看到的情況,這個駭客非常厲害,但也說明攻擊事件很可能會持續發生,而且會影響越來越多人。可以說,這個駭客非常有才華,很可能是一個或多個來自大型技術團隊的成員。我們在 telegram 上與一位駭客進行了簡短對話,基於他們的交易活動,我們覺得這個駭客身處在亞洲時區。

目前調查工作仍在繼續,如果有任何可用資訊,我們會及時分享、釋出出來。


教訓經驗:

一些比較熟悉 defi 行業的使用者總是不太信任 metamask,他們甚至會專門拿出一臺「乾淨」的計算機來執行 metamask,這臺裝置只用來簽署交易,其他什麼都不做。

metamask 的確是許多駭客攻擊的目標,所以我一直非常謹慎地從正規渠道下載程式,但即便如此,我的電腦還是被感染了。如果你想規避此類問題發生,可以儘量將資金分配到不同賬戶,這樣可以最大程度減少損失。此外,在簽名之前務必檢查一下硬體錢包的交易資訊(說起來容易做起來難,尤其是在與智慧合約互動的時候)。

到目前為止,我們還沒有拿到有關駭客的開源情報,但目前已經在 etherscan 上標記了駭客地址,雖然這是調查工作邁出的重要一步,但後續仍有許多事情要處理。


下一步該怎麼做:技術提升

我知道有很多團隊會從使用者體驗和安全性兩個角度來尋找最佳交易選擇,但是作為一個社羣,在這方面我們顯然還有很長一段路要走。我無法推薦其他解決方案,不過我會拿出一部分募集到的資金,並將其捐贈為賞金,用於支援使用者體驗和安全性提升工作。

後續我們將公佈賞金的細節資訊,相信這麼做可以鼓勵更多人開發個人錢包安全解決方案,並推動技術進步。


致駭客的公開信:

你使用了非常複雜的技術,不僅從我這裡盜走了資金,而且從以太坊社羣中的許多其他人那裡竊取大量資金。我知道你已經將部分資金髮送給了幕後老闆,因此我已放棄拿回這筆錢。

如你所知,以太坊社羣中有許多以匿名方式工作的白帽駭客,他們會透過賞金獲得豐厚的回報,而且會因為一些出色工作在圈內名聲大噪。根據你所展示的技能,我覺得你完全可以成為白帽駭客中的一員,這樣你可以透過合法途徑賺錢,而且不用把不義之財傳送給幕後老闆。

我想,你可以充分利用自己所掌握的這些技能,並出於正確的理由從加密貨幣社羣中獲得一些榮譽。


總結

經過上述事件的發展經過,重要體現了加密錢包的技術安全性問題,區塊鏈和整個加密領域都在不斷髮展,之後會出現更多的解決方案來幫助我們保證收入的安全。

無論我們使用哪個錢包,丟失的私鑰都會導致資金丟失。同樣,如果我們的錢包被駭客入侵,或者把錢寄給了騙子,也沒有辦法找回丟失的貨幣或逆轉交易。我們必須採取預防措施,並且始終保持警惕:

1.備份錢包

2.更新軟體

3.增加額外的安全層

4.保護私人鑰匙安全



免責聲明:

  1. 本文版權歸原作者所有,僅代表作者本人觀點,不代表鏈報觀點或立場。
  2. 如發現文章、圖片等侵權行爲,侵權責任將由作者本人承擔。
  3. 鏈報僅提供相關項目信息,不構成任何投資建議

推荐阅读