近期,频繁发生的交易所账户盗窃事件再次敲响安全警钟。一推特用户因安装恶意 Chrome 扩展,导致其币安账户 100 万美金被盗取。另一起事件中,诈骗者利用非法渠道购得的用户个人信息及 AI 技术合成的虚假视频,非法篡夺了用户在某交易平台的账户,导致超 200万美元资产损失。这些事件,暴露了扩展程序潜在风险、交易所账户的安全隐患,引发了人们对加密资产安全的担忧。
恶意扩展与 Cookies 盗窃
Chrome 扩展,作为提升 Google Chrome 浏览器功能的实用工具,覆盖了从网页即时翻译、密码管理、AI 写作助手、广告拦截到插件钱包等众多功能。
然而,值得注意的是,这些扩展安装时可能请求访问多项敏感权限,例如读写网站数据、查看及修改浏览器 cookies、访问剪贴板内容、地理位置信息等。这意味着,尽管扩展带来了便利,但若权限被恶意利用,用户的重要数据与隐私就面临着泄露的风险。
在用户币安资产被盗的案例中,起初是该用户在社交平台上注意到有 KOL 推荐一款名为 Aggr 的 Chrome 扩展,可用于查看行情等数据,且在 Chrome 应用商店有很多好评,便下载安装使用。但是,此 Chrome 扩展暗藏玄机,通过恶意请求大量权限,窃取了用户的浏览器 cookies。诈骗者借此模拟用户身份,非法登录并控制其在币安的账户。
接着,诈骗者通过自身的币安账户设置远高于市场价的代币卖出挂单,例如当前 BTC 市场价为 7 万 USDT,但是诈骗者的卖出挂单为 8 万 USDT,由于价格远超正常交易范围,正常投资者通常不会接受。但此时用户的币安账户被诈骗者控制,被迫接了这些高价订单。换言之,诈骗者自己设定高价卖出,然后又用被盗账户里的资金去高价买入,完成了这笔不公正的交易。
这种行为被称为对敲交易,它本质上是一种自我交易的形式,目的就是为了迅速且非法地将用户账户内的资金转移到诈骗者的账户中。由于整个过程看似正常的市场交易,所以初期可能难以被察觉,直到受害者发现自己的账户资金莫名减少。
在撰写本文时,我们注意到币安已公开发声,承认当前账户安全机制存在的薄弱环节,并表示将持续提升和优化风控体系。
AI 合成视频篡改账户
有媒体报道称,一名社区成员遭遇诈骗,诈骗分子登陆其邮箱号点开忘记密码,通过 AI 合成的视频申请更换了手机号、邮箱号及谷歌验证器,导致其交易平台账户被非法篡夺,资产遭受重大损失。
尽管这一 AI 视频篡改账户的骗局细节尚未完全公开,但它反映出技术滥用的趋势,以及账户安全机制的不足之处。回顾我们在第 22 期钱包安全月报中探讨过的案例,诈骗者同样利用 AI 声音合成技术行骗,证实了技术工具被恶意利用的风险性。
随着大数据与 AI 技术的飞速发展,个人隐私的保护工作正面临着严峻的考验。个人信息一旦泄露,就可能为诈骗者提供实施精准诈骗的可乘之机。
imToken 安全团队提醒:
- 加强个人信息保护:务必谨慎管理个人敏感信息,减少社交网络曝光,以免成为诈骗的目标。
- 谨慎安装与授权:不可轻信他人推介,仅从官方渠道下载扩展,严格限制其权限。建议使用独立浏览器处理插件和交易,登录后及时退出,确保浏览器环境的纯净与安全。
- 分散资金存放:大额资金与重要代币,优先选择存放在去中心化钱包如 imToken 或 imKey 等硬件钱包,牢记 Not your key, not your coin! 。去中心化钱包由你自持助记词与私钥,拥有数字资产绝对控制权,可有效规避中心化系统潜在数据泄露、权限滥用及服务器故障等风险。imKey 等硬件钱包通过离线生成和存储密钥,进一步确保你的资产免受网络攻击,从根本上降低上述安全事件的威胁。
imToken 一直在行动
安全风控
五月份,imToken 共标记风险代币 820 个;封禁风险 DApp 网站 1095 个;标记风险地址 3128 个。详见风控数据。
另外,如果你发现了疑似风险的代币或者 DApp,请及时反馈给我们:support@token.im,帮助更多用户避免资产损失。
最后
诈骗手段层出不穷,对于普通用户来说,确实难以全面预防。imToken 致力于快速发现和找到解决方案,并向社区及时反馈和科普各种新型骗局,以降低用户损失,全面提升用户在加密货币领域的安全性,努力构建一个可信赖的数字代币管理生态系统。
我们诚邀你阅读并分享「imToken 钱包安全月报」,和 imToken 携手,保护每一份代币安全。
请注意,imToken 钱包目前仅支持 App 版本,并未推出任何 Chrome 扩展程序。近期出现了假冒的 imToken 插件钱包,这些欺诈行为已导致部分用户资产遭受损失。
因此,下载 imToken 时请务必认准官网 https://token.im。