前言
近期空投圈不少人的帐号被盗,全链资产被转移,不法份子目前还在持续的盗取账户资产中……作为也在撸空投的小散的我,看着同行长期的心血化为乌有,带入自己,内心感觉很难受,所以想写一篇来梳理一下整个事件,也给出自己的一些不成熟的建议。
事件经过
8-26日
1)撸空投小圈子陆续有人反应自己账户被盗,大家开始排查原因;
2)最开始大家怀疑的是WPS泄露私钥,因为有人将助记词存储在WPS上,怀疑是WPS的云同步功能产生的问题;
3)有人提及了比特浏览器的问题,通过变量排除法,发现比特浏览器的问题可能性更大;
4)比特浏览器公告是wps的漏洞问题,相关消息在推特上开始发酵,有质疑wps的上升到质疑国产软件的,也有指出“这个漏洞是需要触发的”与当前被盗条件不符的;
注:我个人也是用的wps来记录交互行为,而且也把部分助记词用wps记录了,当时没有被盗,所以我请教了一些说wps问题的,发现有的朋友共享了wps vip帐号,如果是wps引起的这个可能是原因点。
5)群友继续深扒,发现比特升级貌似默认开启了“同步该窗口的扩展应用数据”,这个功能的作用是可以供多人同步使用的(比如几个人来操作这一批账户,这个在现实中确实是一个需求点)
6)随着事件持续发酵,比特浏览器发布紧急通知:申明节点服务器缓存数据被黑客拿走了,让用户立即采取措施转移钱包资产。至此,该事件的原因正式确定:比特浏览器的问题。
7)此后,群友开始监控被盗账户的资金流向,被盗用户开始思考如何处理事件、是否可以拿回资产等,暂时未被盗账户开始思考如何避免问题,这里就不一一表述了。
分析事件
在知道被盗事件之后,我也第一时间检查了自己的几个账户(用的adspower),资产暂时未有问题。之后就和要好的朋友们开始讨论这个事件。
我们向一个web2安全、逆向方面比较有经验的朋友描述了这个事故,请他分析一下可能的原因,得到的答复我整理如下:(有些人应该在一些群里看到过相关的信息,这只是我们交流推测的原因,不一定是真实情况)
1、黑客是怎么拿到钱包权限的?
黑客拿到了比特服务器的缓存,通过缓存数据暴库登录密码,如果成功就可以登录这个钱包,然后就可以导出私钥了,然后就可以开动脚本进行自动扫描转账。
2、黑客如何暴库获得密码的?
本地的暴力破解,因为没有限制,可以无限尝试。 密码的难易度大致从社会工程方面说下简单分析。
1)配置密码字典。 通用的有常用密码库,生日库,电话库,等等这些。 库可以自己生成,像这种小狐狸,直接写个脚本,跑这个密码txt就可以了。
2)**分析用户密码特征。**如果非公共的密码,一般人都带有私有特征,例:你叫dapang,那么我可以配一个字典库包含这个单词,然后加上推测生日,dapang19xx,xx,xx。来做二次匹配,通常这类组合相当小,也就几秒就分钟就跑完字典。 如果知道你叫什么姓名,那么就首字母缩写加生日,全拼加生日做为前后缀,或者首字母大写等,末尾是否带上几个!@#¥%类符号。
3)可能与个人无关的密码特征,那么根据来源。比如是游戏,还是什么网,他们会有个名字,你的账号也是特征,很多人密码跟账号也是有一定关系的。那么就配置这种字典来缩小范围。比如说用生日密码纯数字举例, 那么首先就是19,20开头了, 200岁的人不来玩了,没出生的也不来,月份只有01-12. 日期只有 01-31,如此一来,海量密码立马缩减只有区区几秒就能破解。那么同理,用特征码来生成字典,也是能快速定位的。
4)密码总是有一定规律性的情况。 不像一些自动随机密码,如果人因为要自己记住这个密码,那么规律就会存在。比如有单词, 有无年月的只要月份加日期的生日。 或者只要年份的, 或者这些要了之后,后缀上又加一些常用字典的密码什么就好比168 ,1314 , 888 666啥的,每一个规律带来的范围,就好比2块钱买双色球中500w,本来是数千万分之一变成了百分之一。很多规律就是自己都无法知道的规律,但是在大数据下是有规律的,好比键盘的布局,比如qwe, asd这种,只有键盘上是相邻的, 26字母表是没有这个规律的,那么常规高概率出现的密码,一样成了字典库。再比如小狐狸钱包,有人有多个钱包,要么同密码要么里面就xhl, fox 、meta、crypto啥的带上来,也可以加入一些 wallet , wt 什么的,这些组合下来少的可怜,再去混搭规律字典,就有可能变得很容易被破解。
5)**密码范围的推测。**比如猜你密码不可能低于3位,6位起,12以内 。 那么范围又将大幅缩小, 一系列操作下来,不够复杂的密码都是时间问题。在我早些年曾经分析过论坛的一些密码,基本暴库都能破解, 而且很多人的习惯,是一个密码杀通天下,就是你拿到一个密码,其他地方邮件啥的都是这个,要验证码还可以邮件验证。
6)**总结就是:**1. 纯数字秒破,很多情形下不超过分钟。 2.纯英文,小时破, 3.数字加英文,时间长, 4.大小写,英文,数字,特殊字符,长度够,无规律就很难了,基本就无法破解。
3、为什么认为是通过暴库得到密码的呢?
因为根据一般的理论来说的话,这种概率是最高的,而且你可以观察有账户是不断的在被盗,如果是直接拿到了明文密码,那么用脚本一会几万个号都能转的完,根本不会像现在呈现的这样。目前的态势就是最容易破解的已经被盗了,然后是有一定难度的(黑客可以通过加机器等方式提升暴库效率),然后就是更有难度的。
4、目前最好的处理方式是什么?
1)提现,尽快将资产转移;
2)放弃这一批帐号;
3)有的时候,你的帐号没有被盗,仅仅只是时间没到,这里说的时间没到有两层含义:一是还没破解掉你的密码,二是可能要养肥了再宰;
4)在不法份子拿到了你的缓存数据之后,主动权已经不在你的手上了,利用更换密码等方式属于掩耳盗铃;
5、针对目前采用其他指纹浏览器的用户有什么建议?
1)采用例如ads等指纹浏览器的用户建议将登陆密码更改为复杂难度
重置密码的操作,在登陆的时候点击“忘记密码”,然后通过助记词重置密码,密码可以用一些密码检测器来检测一下强度;
2)关于助记词的保存,很多人用本子手写保存,但是也存在丢失、损毁、火灾等风险,可以采用winrar的加密方式来保存(这种加密是直接加密文本内容的),然后通过复杂密码来提升安全等级,不建议通过含有云端同步类软件来保存。(当然,每个人都有自己的保存方式,这里仅仅是提供一个思路)
6、虚拟机会更加安全吗?
1)原则上来说,虚拟机会更加的安全;
2)但是,虚拟机方案需要远超过目前指纹浏览器+ip的技术储备,如果处理不好,反而可能得不偿失。这里提醒一下,虚拟机一定要装杀毒软件,防止虚拟机中毒导致问题。
我的看法
1、悲观预期
说心理话:我对这种事件的处理是极度悲观的,基本没有多少能够处理的可能性,被盗的用户很大概率最后只能独自舔舐伤口。太多这种事件作为例证了,最近的multichain好像也已经杳无音信了。也许只能靠时间来冲淡这一切!
2、不要有侥幸心理
一定还有人目前抱着侥幸心理,觉得自己没有被盗,应该不会被盗。我能明白那种不愿意放弃的心理,但是“君子不立危墙”,很多时候人就是一念之差,抱有侥幸心理可能会让你损失惨重。
3、安全很重要,安全也是相对的
在crypto中,安全真的尤为重要,如果没有体会过资产被钓鱼、被盗,是很难真的从内心中尊重安全的。当然,安全也是相对的,要根据自身的情况选择安全保护的方式,凡事“过犹不及”!
4、风控意识
写的时候看到群友好几张截图,有些人失去了全部的心血,有的人心生死意,心理一阵唏嘘,挺难受的,我们在人生的投资中要做好风控,希望这些朋友都能挺过去!
5、最后谈一下对于空投的预期
目前对我来说,空投的预期已经降低到了很低,我认为赔率不大够了。一个行业在发展,在卷,这也是必然的过程,利润会降低到跟大多数人的付出相匹配。当然,赔率这个东西又是因人而异的,有的人觉得10倍都不能接受,有的人觉得2倍就可以,仁者见仁吧。
因为赔率的降低,所以选择就显得尤为重要,我其实不大认同“想办法去选择赔率高、参与人数少的交互项目”这样的观点的,因为这两点是有矛盾的,参与人少说明共识很可能不够,为什么能有高赔率呢?!
我目前做交互一方面也是作为对于公链、项目的体验和了解,来充实自己对于项目的认知,改变以往仅仅是根据数据来分析项目这样一个毛病。
--以上,为一篇随感,记录与2023/8/28