近期出现两起离奇盗币事件,用户透过交易所 App 转帐却将加密资产转至骇客地址,共通点在于两者皆未从交易所官方网站下载 App,而是透过浏览器搜索引擎下载,资安机构慢雾表示假 App 版本、功能皆正常,仅出入金地址被植入恶意代码。
假 App 使用半年未察觉
币安用户、推特用户「币圈小胡」提到自己被盗币的经过:
10/24 准备自 MetaMask (Chrome 扩充应用) 转 5ETH 到币安 App (华为手机),由 APP 生成 QR Code 并以 MetaMask 扫码。以上与以往操作皆相同。
而币没有入帐,他在几个小时后联系客服,但客服表示该地址并不属于币安任何用户。
客服指出可能安装到假的 App,请他对比币安电脑网页端的入金地址与 App 是否相同,结果两个地址并不一样。
他强调币安 App 在这部手机上已使用超过半年,非常难以置信。
从丢币到现在已经过去三天了,但是这三天我却像煎熬的30年,三天时间里几乎没有睡觉,关在出租屋里靠之前剩下的几个面包和自来水维持生命,整个人就像陷进了无底的深渊,彷徨,无助,恐惧,万念俱灰……也多次想过结束自己的生命,但是想到年迈的父母,特别是身患尿毒症的母亲,又于心不忍丢下他们。
— 币圈小胡 (@hu94286743) October 27, 2022
慢雾团队介入
慢雾团队 (SlowMist) 创办人余弦指出:
许多人有疑问,为什么假的币安App 许多功能都正常… 其实直接在目标App 里植入一段特定功能的恶意代码是很成熟的技术技巧,在黑色产业链里司空见惯。另外,现在无论是 iOS 还是 Android 都更安全了。如果不是被钓鱼安装了假的App,一般不容易遭遇这类威胁。一些特级手法也不会针对普通人下手。
受害者币圈小胡转述币安官方针对此事件的建议:
-
建议以谷歌无痕模式访问官网
-
入金时,比较 App上显示的入金地址和网页端的入金地址是否相同。
-
出金时,确认出金地址和 Email 通知的地址是否相同。
-
确认地址无误后,可以先以小额出入金进行测试。
感谢慢雾团队的帮助,调查结果显示我的APP被修改过了,原因可能是我不小心点击了虚假的币安APP升级按钮,导致原来的真app被修改,大家一定注意安装和升级app都要到正规渠道,避免悲剧再次发生。@evilcos @IM_23pds @SlowMist_Team pic.twitter.com/RVqpZovnSS
— 币圈小胡 (@hu94286743) October 28, 2022
币安官方并未对此做公开说明,且币安在此事件上并不存在安全疑虑,问题在于用户并未从官方管道下载 App,进而导致了盗币事件。
慢雾经查发现,真假 App 版本、功能皆相同,仅入金地址被植入恶意代码,一位推特用户也曝光另一起盗币事件。
用户仅应从交易所官方网站下载 App,币圈小胡的 5ETH 已被转移数个地址,最终地址尚有 106.7 ETH。
许多人有疑问,为什么假的币安App 许多功能都正常… 其实直接在目标App 里植入一段特定功能的恶意代码是很成熟的技术技巧,在黑色产业链里司空见惯。另外,现在无论是 iOS 还是 Android 都更安全了。如果不是被钓鱼安装了假的App,一般不容易遭遇这类威胁。一些特级手法也不会针对普通人下手。
