栏目简介:
GoPlus「Web3鬼故事」是一档聊天栏目,每期分享一个 Web3 资产被盗的“鬼故事”,通过抽丝剥茧地挖掘故事细节,让听众对 Web3 世界的魑魅魍魉、幽灵鬼怪产生更深刻的了解,从而祛魅,并且在遇到故事中类似的风险时,能够成功躲避。
Space 主题:惊魂14天!是什么让巴拿马人民最终退还了我被盗的20多个ETH
主持人:
GoPlus 中文社区:代表Web3 “小白”提问。
Speaker:
堡哥:鬼故事分享人,Web3 创业者,8年 Web3 老炮儿
IsabelShi:Bitrace CEO
Box:安全专家
信息捕获手:知名KOL
Biubiu:知名KOL
GoPlus 方头仔
堡哥钱包被盗的曲折经历
一个多月前,黑客A假冒成 Web3 某投资公司的投资经理,在堡哥朋友的引荐下找到了堡哥,表达了对堡哥所创业项目的投资意向,于是两人约定进行线上会议深入沟通,黑客 A 在堡哥的 Calendly(Web3 常用的预约会议的软件)上预约了会议时间,但到了会议当天,黑客 A 却说进不了会议室,并给了堡哥一个带着自己公司域名的会议链接,邀请堡哥上会。堡哥没有多想就点击了链接,作为一名 Web3 老炮儿,堡哥马上意识到情况不妙,赶紧断网,逐个转移电脑里的40多个钱包里的资产,前前后后共花了12个小时。
就在堡哥疲惫不堪地觉得自己战胜了黑客A时,他发现还有一笔钱存在一个defi协议里,但这时候协议已经不允许提出了,于是堡哥进入该协议的官方discord寻求帮助,在这里他遇见了黑客B。
黑客B看到堡哥在群里发出的求助信息,冒充客服DM堡哥,并借着帮助他提款的名义套走了钱包私钥。意识到被骗之后,堡哥马上联系了 GoPlus 寻求帮助,GoPlus 第一时间联系了自己的安全合作伙伴 Bitrace,在大家的帮助下开始了被盗的 20 多个 ETH 的救援行动。
通过链上信息发现黑客将资产转进了某交易所后,安全公司第一时间帮助堡哥联系交易所进行了冻结,同时出具必要的信息证据帮助堡哥在多地警方立案。堡哥尝试给交易所提供的邮箱发送了邮件,告知自己已经拿到了警方的立案文书,警告对方尽快归还。幸运的是,对方是黑客找的一个Token置换服务,得知是赃款,就如数退回了。
至此,堡哥成功找回了被盗的大部分资产,鬼故事有了 happy ending。
精彩对话分享
- 黑客A事件
堡哥:我事后复盘思考,这场钓鱼就是冲着我来的,他们事先调查了我的身份信息,处心积虑的设计出这么一个硅谷投资人的形象,先接近我的朋友,但目标始终是我。
其实很多人都会遇到类似的钓鱼,黑客会以各种理由提供给你各种链接,诱导你点击。
主持人:类似的情况我们也遇见过,有一个人自称是 Coindesk 的记者,在 X 后台私信我们想要合作,但毕竟我们本身就是做安全的,运营同学也是身经百战的,所以最终并没有上当。
IsabelShi:现在Web3的犯罪分子前期准备工作非常充分,不再像原来那样广撒网了。他们会研究“大客户”的朋友圈等人际关系网络,做出只针对目标对象的陷阱。比如我们遇到过的一个case,事主只是点击了一篇关于他在业内的竞争对手的文章,就被盗走了tg。然后犯罪分子登录他的tg,联系他公司的财务,要求转钱到一个钱包。财务察觉不对,便要求语音沟通,却被犯罪分子利用AI模仿事主本人的声音又骗过了财务,最后损失了1000万美金。
GoPlus 方头仔:这太可怕了,自从AI诞生以后,在tg里已经出现了诸如此类的个性化攻击。我们以前有一个投资人,会经常与我沟通安全问题。某一天他又找到我沟通安全问题,给我提供了安全事件的链接,在沟通的过程中他就和往常一样,但实际上他的tg已经被盗走了,与我沟通的是黑客。
- 黑客B事件
堡哥:被黑客B骗走私钥这件事,我希望大家能记住一个点。事后我觉得再发生100次我都不会去点这个钓鱼链接的,但当时的我处于极度疲惫的状态,大脑一瞬间的宕机就让局势变得不可挽回了。
Box:我觉得在dc群里钓鱼是非常常见的。前段时间ENA dc群的一个mod被盗了,发了一个钓鱼链接,我的一个朋友没有过多思考,就点击了钓鱼链接,被盗了。这不是币圈第一个被盗的mod了,大家还是要提高注意力。
GoPlus 方头仔:我觉得堡哥这件事给我们敲响了警钟,就是这些犯罪分子已经出现在每个环节中了。他们在每个环节都有不同的钓鱼方式,我希望用户可以保持冷静的状态,在每个环节都保持警惕。
- Happy Ending
IsabelShi:其实很多受害人没有堡哥的意识,不会立刻发现自己被盗了。就算发现自己被盗了,也不明白自己被盗的原因。所以我们在帮助用户找回被盗资产时,往往第一步是去帮他回忆被盗的原因。另外在跟当地执法机关去沟通时,也需要你可以将事件的全貌完完整整的呈现在纸面上,所以一定要能还原被盗的过程,还有资金的流通路径。对于资金的监控一定要快,因为黑客不会让资金在一个地方停留太久,他们需要尽快进行资金的清洗和变现。这就是我们帮助受害人拦截和追回资金的最关键的一个节点,当资金进入可以被拦截的地方,我们就要及时出手,将钱拦住。
所以当钱被盗时,对于受害人来说,第一是要理清事情的来龙去脉;第二是找到当地的执法机构,尽快的报案和立案;第三是对自己的资金的流向做密切的监控。
堡哥:FBI和国内立案还是有蛮大区别的,只需要填一张表就会给你受理,不会出现国内那种不受理的情况。我后来复盘,这个还是很重要的,为我拖延了很多时间,让国内的警察去受理我这个事件,FBI的立案文书帮我让交易所将被盗资金延长冻结了14天,后续我又拿着大陆的立案文书,冻结了更长的时间。FBI还有一个专门的经侦部门,去专门受理虚拟资产的案件,所以FBI是有破案能力的。所以美国是有很完备的处理能力的,但是他们的处理速度极慢,慢到我的钱都找回来了,FBI这边还没有什么实质的调查动作。
GoPlus 方头仔:这里我要提醒大家,堡哥能追回资产是很依靠运气的。如果钱被盗了,是十分被动的一件事,过程中一旦有一个链路断了,钱就大概率追不回来了。有几个重要的点,第一是能拿到资金的链路和攻击者的信息等;第二是能拿到FBI的文书,把钱冻结在交易所账户里。
外传 / 悲惨故事
信息捕获手:我前段时间有发一个推特,讲述了我身边很亲近的朋友被盗的故事。这个主角是我的大学同学,也是我入圈以来现实生活中的好朋友。他毕业之后跟两个朋友一起开了个电商公司,不幸的是两个月前,公司倒闭了,另外两个合伙人把他坑了,把钱卷走了。为了开公司他还贷了款,最后的钱,只剩钱包里的几百个Solana。他创建了一个新钱包,把所有的钱都放了进去。某天早上,他发现钱包里的钱都被黑客盗走了。
他给我发消息说:我的钱包被盗了,明年这个时候记得给我烧纸。第二天,他真的跳楼了。
那几百个Solana,成了压倒他的最后一根稻草。
主持人:听到这个故事,我越发觉得我们「Web3 鬼故事」这个栏目非常有意义。通过这个分享每一个故事,让大家知道怎么小心资产被盗,被盗之后怎么去挽救资产,说不定真的能挽救一条性命。
GoPlus 方头仔:GoPlus 帮助过很多 Web3 用户,大多数在四五十岁,对市场不甚了解,最后被盗走了全部资产,甚至有些是自己的退休金,最后只能靠几张信用卡拆东墙补西墙来勉强维持。这也是我们一直坚持走在 Web3 用户安全这条路上的原因之一,希望能帮到更多的普通用户吧。