幣安用戶因插件Aggr 遭駭客攻擊，「百萬美元灰飛煙滅」

作者：小君Updated On 2024年8月16日

章節目錄

駭客的操作手法

無獨有偶

Nakamao 對幣安的不滿

問題解決

幣安對此次事件的回應

駭客的操作手法

這次安全漏洞主要源於一個惡意的Chrome瀏覽器擴充套件「Aggr」，該擴充套件偽裝成幣安的官方工具，誘導用戶安裝。安裝後，該惡意軟件會竊取用戶的登錄憑證，並將其轉發到駭客的伺服器，這樣就能在不需要密碼或 2FA 的情況下，控制用戶的帳戶。

此次事件中，用戶＠Nakamao 稱其帳戶被「Aggr」劫持。駭客利用劫持的網頁 Cookies 操控他的帳戶，並通過對敲交易盜取資產。

根據＠Nakamao的描述，駭客首先在流動性高的 USDT 交易對中購買 QTUM 和 DASH 等代幣，隨後在 BTC 和 USDC 等流動性低的交易對上掛出超過市價的限價賣單。最後，駭客利用他的帳戶進行槓桿交易，大量買入，完成對敲交易。

＠Nakamao指出，Aggr 是一款在海外 KOL 和某些 TG 頻道推薦的 Chrome 擴展套件。這個插件可以收集用戶的 Cookies 並將其傳送到駭客的伺服器。

駭客利用這些 Cookies 劫持用戶會話，繞過密碼和 2FA，直接控制用戶的帳戶。雖然他的資料保存在 1password 中，駭客無法直接提取資產，但仍能透過對敲交易盜取資產。

無獨有偶

早在今年 3 月 1 日，一名推特用戶 @doomxbt 就反映其幣安帳戶出現異常。最初，這一事件並未引起廣泛關注。

直到 5 月 28 日，Twitter使用者 @Tree_of_Alpha 分析指出，受害者 @doomxbt 疑似安裝了一個惡意的 Aggr 擴展套件，該插件可以竊取所有訪問網站的 Cookies，並且兩個月前有人付錢給一些有影響力的人來推廣它。

Nakamao 對幣安的不滿

受害者 Nakamao 表示，儘管他在發現問題後立即聯繫幣安客服，希望阻止黑客進一步行動，但幣安的處理速度緩慢，未能及時凍結帳戶，導致黑客順利提走資金。

更令他震驚的是，經過與一名曾推廣 Aggr 插件的 KOL 聯絡後得知，幣安早在幾週前就已掌握該插件的問題，但為了追查黑客，沒有立即通知用戶或停用該插件。

回顧整件事，如果駭客直接提走資金，我也無話可說，但是駭客在幣安隨意對敲交易和幣安後續的補救讓我無法接受，更別說幣安已經在調查這個駭客和擴展套件許久了，按照時間線總結來看：

1.幣安在已經知道該駭客和擴展套件存在問題的情況下，幾周不作為也不預防，任由該擴展套件被推廣，讓用戶資金損失擴大；

2.幣安已知被盜和對敲頻發的情況下，仍然不作為。駭客肆意操縱帳戶長達一個多小時，造成多個幣對極端異常交易而未有任何風控；

3.幣安未及時凍結平台內顯而易見的駭客單一帳戶對敲資金；

4.錯過最佳時機，時隔一天多，幣安才聯繫相關平台凍結駭客資金。

問題解決

事件發生後，幣安團隊與Nakamao進行了積極的溝通，根據Nakamao的貼文，雙方應該達成了某種共識，問題應該已經解決。

因为之前的内容有未经求证和误解的内容，避免再误导其他人，帖子准备都撤掉了。

这圈子比较乱，靠谱且真诚的社区和朋友们就显得更难能可贵。十分感谢在这个事情过程中帮我发声，安慰我，还有各个角度帮忙解决问题的各位朋友们，一并谢过🙏。

大家合理保管好自己的资产，争取富一次就够了。… https://t.co/TRhWtdit8S pic.twitter.com/tXo7mZcdcG
— Nakamao🫡 (@CryptoNakamao) June 8, 2024

幣安對此次事件的回應

根據幣安的說法，這次駭客攻擊是利用 Chrome 擴充功能 Aggr 盜取了受害者的帳戶登入狀態。駭客偽裝成用戶本人進行操作，並通過對敲交易耗盡了用戶的資產。這是一種針對個人設備的新型駭客攻擊方式。

用户您好，对于您的遭遇我们非常遗憾，在客服、安全和风控的同事经过案件分析，本着“公开透明”的原则在此复原场景：

1. 事件发生的原因是您的电脑本身被黑客攻破… https://t.co/ir75ThfkR0
— 币安Binance华语｜Web3钱包已上线 (@binancezh) June 3, 2024