App入金地址與電腦網頁端不一樣?兩起交易所用戶釣魚事件
近期出現兩起離奇盜幣事件,用戶透過交易所 App 轉帳卻將加密資產轉至駭客地址,共通點在於兩者皆未從交易所官方網站下載 App,而是透過瀏覽器搜索引擎下載,資安機構慢霧表示假 App 版本、功能皆正常,僅出入金地址被植入惡意代碼。
假 App 使用半年未察覺
幣安用戶、推特用戶「幣圈小胡」提到自己被盜幣的經過:
10/24 準備自 MetaMask (Chrome 擴充應用) 轉 5ETH 到幣安 App (華為手機),由 APP 生成 QR Code 並以 MetaMask 掃碼。以上與以往操作皆相同。
新年快樂!下方有限時紅包可以領取
而幣沒有入帳,他在幾個小時後聯繫客服,但客服表示該地址並不屬於幣安任何用戶。
客服指出可能安裝到假的 App,請他對比幣安電腦網頁端的入金地址與 App 是否相同,結果兩個地址並不一樣。
他強調幣安 App 在這部手機上已使用超過半年,非常難以置信。
从丢币到现在已经过去三天了,但是这三天我却像煎熬的30年,三天时间里几乎没有睡觉,关在出租屋里靠之前剩下的几个面包和自来水维持生命,整个人就像陷进了无底的深渊,彷徨,无助,恐惧,万念俱灰……也多次想过结束自己的生命,但是想到年迈的父母,特别是身患尿毒症的母亲,又于心不忍丢下他们。
— 币圈小胡 (@hu94286743) October 27, 2022
慢霧團隊介入
慢霧團隊 (SlowMist) 創辦人余弦指出:
許多人有疑問,為什麼假的幣安App 許多功能都正常… 其實直接在目標App 裡植入一段特定功能的惡意代碼是很成熟的技術技巧,在黑色產業鏈裡司空見慣。另外,現在無論是 iOS 還是 Android 都更安全了。如果不是被釣魚安裝了假的App,一般不容易遭遇這類威脅。一些特級手法也不會針對普通人下手。
受害者幣圈小胡轉述幣安官方針對此事件的建議:
-
建議以谷歌無痕模式訪問官網
-
入金時,比較 App上顯示的入金地址和網頁端的入金地址是否相同。
-
出金時,確認出金地址和 Email 通知的地址是否相同。
-
確認地址無誤後,可以先以小額出入金進行測試。
感谢慢雾团队的帮助,调查结果显示我的APP被修改过了,原因可能是我不小心点击了虚假的币安APP升级按钮,导致原来的真app被修改,大家一定注意安装和升级app都要到正规渠道,避免悲剧再次发生。@evilcos @IM_23pds @SlowMist_Team pic.twitter.com/RVqpZovnSS
— 币圈小胡 (@hu94286743) October 28, 2022
幣安官方並未對此做公開說明,且幣安在此事件上並不存在安全疑慮,問題在於用戶並未從官方管道下載 App,進而導致了盜幣事件。
慢霧經查發現,真假 App 版本、功能皆相同,僅入金地址被植入惡意代碼,一位推特用戶也曝光另一起盜幣事件。
用戶僅應從交易所官方網站下載 App,幣圈小胡的 5ETH 已被轉移數個地址,最終地址尚有 106.7 ETH。
風險提示
加密貨幣投資具有高度風險,其價格可能波動劇烈,您可能損失全部本金。請謹慎評估風險。
