巴位元
服務於區塊鏈創新者
“進入幣圈,大大小小虧了很多,我也認了,因為行情不好,加上自己購買了許多山寨幣,這都怪自己,怪自己進場的時機不對。但就在昨天,本人在火幣的賬號被盜了。”
1月14日,巴位元論壇使用者“一無所有的韭菜”發貼稱,1月13日上午,其火幣賬號被盜,最終,賬戶裡僅剩的5.4枚比特幣不翼而飛。炒幣賠錢也就認了,結果賬號還被盜,這讓他頗感氣憤,質疑交易所火幣存在安全漏洞。
2018年,數字貨幣投資者經歷了悲慘的一年,他這一聲聲的哭訴立刻讓巴位元論壇炸開了鍋。有人表示同情,希望火幣能幫助使用者挽回損失。也有使用者跳出來指責,賬號竟然沒有繫結郵箱和谷歌身份驗證器(GA),近乎裸奔。
火幣官方也很重視,經多部門調查後很快就發了官方說明:“疑似因訪問釣魚網站,並配合了相關驗證操作而發生。建議使用者儘快向警方報案,火幣將積極配合,盡全力幫助使用者爭取挽回損失的機會。”
5.4枚比特幣不見了
名為“一無所有的韭菜”的使用者姓丁,他的故事是這樣子的,據他自述,2019年1月13日上午,他手機收到一條簡訊,是火幣提醒他賬號正在設定谷歌身份驗證器,這讓他一驚,有人動了賬號。他嘗試登入平臺,卻已無法登入。感覺出了問題的他想到了聯絡火幣,經過百度,他終於聯絡到了火幣線上客服。客服確認其賬號透過異地IP登入,然後限制了該賬號的提幣功能,但為時已晚,其賬戶裡的數字貨幣被兌換成了總計5.4枚比特幣,並順利提幣。
之後,火幣客服建議丁先生立刻報警。丁先生說他有向屬地派出所報案,接警民警瞭解大致情況後表示此類情況比較棘手,警方也難以透過公鑰地址追查被盜資金,建議他向交易平臺維權。
賬戶被盜後,丁先生一直鬱鬱寡歡,他說,維權的事情不敢跟老婆說。“雖然老婆知道我炒幣一年多虧了70多萬,但是我一直告訴她,錢會回來的,三年之後會回來的。然而現在什麼都沒了。”
“我投入70多萬,賬戶上也曾擁有百萬以上,最後只剩下5.45個比特幣,差不多14萬。我只想拿回屬於我的錢,因為自己操作失誤我不會怪任何人,我買山寨幣虧成傻子我也認了,然而你們不能平白無故說我的幣被盜走,然後再也不管我了。”按照丁先生的想法,他希望火幣可以先行賠付他的損失。
火幣:疑似使用者訪問了釣魚網站
1月21日,火幣官方針對使用者的帖子在巴位元論壇釋出了《關於巴位元論壇網友關心的丟幣情況說明》一文,文章裡說,火幣第一時間啟動了調查,經完整調取相關記錄,證實該使用者的賬戶內比特幣被轉走過程中火幣未遭到技術攻擊。整個過程中,該賬戶使用了正確的賬號、密碼進行登陸,賬戶所繫結的手機也都收到了火幣發的簡訊驗證碼,進行了完整的簡訊驗證碼驗證。也就是說,火幣疑似丁先生訪問了釣魚網站,並配合了相關驗證操作。
巴位元採訪了火幣跟進該事件的工作人員,他說:“火幣多個部門進行了核查,確實平臺本身是安全的。根據後臺資料顯示,使用者登入時使用了新裝置,因此觸發了簡訊驗證碼,且驗證碼驗證透過後賬戶才成功登入。後續的谷歌驗證器繫結、提幣等步驟中,火幣確認向使用者傳送了簡訊驗證碼,後臺亦顯示驗證碼提交無誤,整個過程符合安全驗證流程。”
火幣工作人員還表示,他們已經掌握了一些資訊。如使用者仍有疑問,他建議使用者儘快報警,火幣會協助警方處理案件,並提供相關步驟的日誌和資料。
火幣的理由其實讓丁先生比較氣憤,因為他堅稱手機沒有被偷,也沒有點選未知連結,雖然他接收到了簡訊通知,但他沒有操作,也沒有洩露簡訊驗證資訊。
雙方各執一詞,哪一個才是真相?在巴位元發帖後,身經百戰的巴位元使用者發現,丁先生的賬戶沒有繫結郵箱和谷歌身份驗證器,安全級別非常低。這一點,丁先生也承認,他說,“我的的確確不知道,真的不懂。”
針對這種情況,有使用者分析,丁先生可能遭遇了偽基站的簡訊劫持。事情發生後,一家安全機構也聯絡了丁先生,並給出了自己的判斷,丁先生轉述稱,可能不法分子對安全等級較低的賬戶進行了攔截,原因是資訊洩露,驗證碼被劫持,但這是初步判斷,具體還不能確定。雖然,可以看到5.4個比特幣正躺在一個地址裡,倘若該地址將比特幣轉入交易所,那麼可以凍結,如果不是,追回相當麻煩。
目前,安全服務機構降維安全實驗室已正式介入並展開分析,其運營負責人龐蟹告訴巴位元,他們已經初步掌握了相關資訊,但介於事件還沒處理完,他們不方便給出最終結果,一有結果,他們會和媒體聯絡。
按照丁先生的說法,火幣在事件發生後以“賬號被釣魚”的理由處理該事件讓他心寒。“我沒有被釣魚,火幣給我的答覆只有如需要配合警方他們會配合,可這種低安全等級的賬號火幣該怎麼辦?火幣有沒有責任?”困惑、傷心甚至是憤怒讓丁先生開始在巴位元論壇持續發帖,希望透過曝光引起關注。
年關將近,如何安全交易?
如何保證交易安全?火幣在其官網的新手幫助一欄有四篇與安全相關的文章,其操作在不同交易所是通用的。
巴位元將重點摘錄如下:
1、密碼,最好設定得複雜且唯一,長度至少8位,密碼建議包含大寫小寫字母、數字或特殊符號,且無明顯規律等。
2、設定雙重身份驗證,即繫結谷歌身份驗證器(GA),這是谷歌推出的一款動態口令工具,繫結成功後,每次登入交易所賬戶都需要輸入谷歌身份驗證器上顯示的6位驗證碼。
3、注意釣魚攻擊,往往,駭客會偽冒成交易所傳送郵件、簡訊等,誘騙使用者登入仿冒的交易所網站,從而盜取使用者賬戶資訊。因此登入交易所賬戶前務必確認連結是交易所官方網址。
撇開這起事件的真實原因不談。實際上,沒有繫結郵箱,沒有設定谷歌身份驗證,丁先生並非虛擬貨幣投資者中的個例。這些低安全的賬號可能還有很多。
降維安全實驗室運營負責人龐蟹也給出了他的安全建議,他說,目前常見的安全原因是使用者操作上安全性不足,人為失誤較多,他建議使用者做好KYC認證。同時,從安全形度講,他建議小白使用者儘量不要將錢存在交易所,交易完後第一時間將資產轉移至冷錢包內。
從本次事件可以發現,像火幣,其有一項使用者資金保護機制——“安全備付金機制”,安全備付金總額為20000BTC,專項用於應對可能出現的極端突發安全事故。對於任何非使用者自身原因造成的使用者資產損失,火幣會從安全備付金中提取資金對使用者實施全額先行賠付。而一旦火幣認定系統本身沒有問題,使用者資產被盜就不在賠付範圍內。而目前情況看,警方在數字貨幣資產被盜和追回中也無法提供有效的措施。因此,自我保護,提高安全意識是所有投資者的必修課。
文章為作者獨立觀點,不代表巴位元立場。
【話筒交給你】
你有沒有賬號被盜的經歷?你怎麼看巴位元論壇用的“5.4個比特幣不翼而飛”?你有沒有繫結GA?歡迎留言。
如果你有勁爆的料要報,“論壇有料爆”歡迎爆料,讓訊息來得更猛烈些吧。巴位元論壇:https://bbs.8btc.com
