image2.png

前文提到,我第一次处理盗币案件因经验不足以失败告终,但我依然肯定被盗的原因是使用「弱密码」导致的,而我能做这样的判断是因为,这起被盗事件,只是一系列案件的开始.....

案件背景

两年以上的数字货币投资人,一定对 2017 年 9 月 4 日这天记忆犹新。记得那天团队刚从封闭开发的状态下解禁,Ben 说大家最近忙着开发新版本,很辛苦,在家休整一天。原本计划开开心心地洗个澡、吃饱饭,躺在床上准备「挺尸」。突然手机震动此起彼伏,各种新闻推送、微信群消息接踵而至,再打开各大交易所,满屏红色仿佛血流成河的惨烈战场。

image1.png

根据国家相关规定,部分交易所被要求关闭。很多用户非常迫切地寻求一款简单方便、安全好用的数字钱包来管理自己的资产,imToken 开始进一步走进人们的视野,我们的用户量也在这段时间迅速扩张,随之而来的,还有整个数字钱包行业面临的问题 -大众对区块链认知的不足。

谁动了我的「奶酪」?

从 2017 年 9 月底至 10 月初,一周左右的时间,我连续接到了用户求助邮件,被盗的用户分布在全国各地,被盗的资产合计上千万,我昼夜不停寻找更多线索,随着案件的逐渐增多,真相也渐渐浮出水面。

通过对这些案件归纳整理,我发现了这些案件的共同点:

  1. 所有被盗案件竟然都是同一组盗币地址进行操作,也就是说,同一个人或组织作案
  2. 所有求助用户联系我的邮件都是 163 邮箱,通过进一步咨询,我发现他们都使用该邮箱传输或存储过私钥
  3. 这些用户的邮箱密码,几乎都可以从某些渠道上查到,完全处于「裸奔」状态
  4. 大部分用户都只做了一笔转账之后,钱包立即被盗,也就是说,他们的钱包地址早就被黑客「监听」了

经过上述分析,我基本确定了黑客的作案方法:

  1. 定位人群:一些小交易所或山寨币交易所在 9.4 之后「关门大吉」,但用户注册的邮件等信息没有妥善处理,遭到泄露(灰色产业,众人皆知),黑客可以轻而易举或付费得到,并可以确定这些人都是数字货币持有者
  2. 定位资产:拿到这些人邮箱之后,黑客开始「查缺补漏」,扫描所有曾经存储或传输过私钥的邮件 (私钥样式很特别,通过正则匹配就可以锁定)
  3. 放长线钓大鱼:黑客得到私钥之后,并不急于盗取资产,而是希望用户有更多代币转入进来。
  4. 收网:收网条件有两个,一是用户有代币转出,黑客担心你发现了钱包不安全,他们会通过程序比你更快地转移资产;二是你的钱包沉寂在那里,很久不使用,黑客会丧失耐心,直接收网。
  5. 销赃:盗取代币之后,黑客会迅速使用去中心化交易所销赃交易,让你无法再追寻资产流向。

同样很遗憾,由于黑客的作案非常谨慎,销赃也多使用海外的交易所,又因为区块链特有的匿名性,虽然我确定了黑客盗币的作案手法,但是还是没能帮助用户追回这些资产。让我难以忘却的一幕,是有一位中年男人,本来打算把币卖掉给孩子治疗白血病,却被黑客盗走他的最后一根「救命稻草」,我眼睁睁看着却无能为力,只能通过电话安慰这个快要绝望的父亲。

匿名性 or 人性

案子破了!

2017 年 8 月的一天,我接到了用户小顺(化名)打来的求助电话。小顺告诉我她的钱包被盗了,损失了当时价值大概 3 万人民币左右的资产,让我帮帮她。我让她详细地描述了盗币前后的经过:

小顺:我是属于家庭主妇这样类型的,平时除了买菜购物,就是在家带孩子,很少出门。我也不懂区块链数字资产这些知识,就是听朋友说玩儿这个可以赚钱,就投了一些钱。我也不懂备份钱包,代币就存储在我的华为手机里,我的手机也没安装什么软件,今天中午做完午饭,回到房间打开手机,就发现资产被盗了。

我:你的手机密码以及钱包密码有谁知道吗?

小顺:有,但都是家里人

我:家里有人懂数字货币吗?有人知道你玩儿这个赚钱了吗?

小顺:有,我妹夫!但是他不可能做这样的事啊...

我:在这个行业没什么不可能的,你还是客观回忆一下。

小顺:我想起来了,我的币被盗之后,家里人都安慰我,只有我妹夫没有说什么,自己出门去了,感觉怪怪的。而且他也知道我的手机密码...

我:和你妹夫好好谈谈吧,他的嫌疑很大。

第二天,我再次接到了小顺的电话,她告诉我,丢失的币已经追回了,是她亲妹夫悄悄拿走了手机,然后将资产转走,又把手机放回原处。她把全家人都叫到一起,和妹夫谈心,最终他迫于压力,承认了自己的行为。

挂了电话之后,我很开心地告诉团队破了一个案件,并讲述了前因后果。当大家听完后都唏嘘不已,我也突然感觉五味陈杂,毕竟他们是亲人啊。

 

(未完待续……)

下期预告

主题:不可能是他!

预计更新时间:2019 年 11 月 23 日