当加密货币钱包被入侵,会发生什么
当有人获得了你钱包的控制权,无论是通过助记词、私钥、恶意授权还是被入侵的设备,他们不一定会立刻清空它。他们拥有的是时间,以及完整的可见性。
从攻击者的角度来看,一个被入侵的钱包就是一份库存清单。他们能看到每一个代币余额、每一个 NFT、每一个活跃的 DeFi 仓位、你授予每一个合约的每一个授权。他们评估什么流动性最高、价值最大,优先转移最有价值的资产,通常是转到一个没有交易历史的全新地址。从那里,资产可能被兑换、桥接到另一条链、通过混币服务,或拆散到几十个地址中。目标是尽快让追踪变得困难。
整个过程可能在几分钟内完成。在犯罪市场上广泛流通的自动化提款工具,能够以比大多数用户察觉到异常更快的速度,完成多资产的清空。等到钱包持有人看到一笔意料之外的支出交易并明白发生了什么,资产已经离原始地址几个步骤远了。
为什么资金无法追回
区块链的公开性经常被误解。链上数据对任何人都是可见的:你可以清楚地看到被盗资金去了哪里,追踪它们流经的每一个地址,实时观察它们的移动。区块链分析公司以此为业,执法机构也使用这些工具。
但可见不等于可追回。没有任何机构可以撤销一笔已确认的区块链交易,没有针对链上转账的 Visa 争议流程,没有可以标记一个地址并阻止它消费的中央数据库。当资金转移到一个新地址,控制那个地址的人就控制了那些资金,原始持有者在链上没有任何索偿依据。
从攻击者的角度看,被盗加密货币的实际路径是成熟的:桥接到另一条链、兑换成隐私保护资产、使用混币器、分散到许多地址。每一步都在增加与原始盗窃事件之间的距离。等到调查人员识别出一个终点地址,资金往往已经再次移动了。在攻击者被识别并起诉的案例中,资产追回是罕见的,而且缓慢。大多数受害者什么都没追回。
你能立即做的事
如果你认为你的钱包已经被入侵,速度很重要,但恐慌会制造新的错误。最重要的立即行动是有限且具体的。
如果钱包里还有剩余资产,把它们转移到在干净设备上生成的新钱包地址。在此之后不要再用那个被入侵的钱包做任何事,不要把资金发回去,把它视为永久暴露的地址。
撤销与被入侵钱包相关的所有有效授权。Revoke.cash 等工具可以让你查看记录在案的每一个合约授权并移除它们。如果还有剩余余额,这样做可以限制恶意合约继续提取资金的能力。被入侵的钱包上的授权,可能就是攻击的入口。即使钱包现在已经空了,撤销授权也是控制损害的一部分。
记录你能找到的所有信息:涉及的钱包地址、交易哈希、时间戳、事件发生前你收到的任何通信。这是向执法机构或交易所合规团队报案所需的信息,以防被盗资金到达受监管的交易所并触发审查。
你无法做的事
没有办法撤销一笔已完成的区块链交易。任何声称可以做到这一点的服务都是诈骗。这一点需要清楚地理解,因为钱包被入侵后的那段时间,是受害者最容易成为二次诈骗目标的时候。
交易所无法冻结已离开其平台、在链上移动的资产。有些交易所可以标记与已知盗窃相关的地址并阻止存款,这偶尔会干扰洗钱尝试,但这不是一种将被盗资金归还给受害者的机制。这是一个合规工具。
基于智能合约的恢复服务不以任何合法形式存在。如果你看到声称可以撤销交易、恢复被清空钱包或以预付费用追回被盗加密货币的广告,这些都是设计来从已经是受害者的人身上榨取更多资金的诈骗。
二次攻击
钱包被入侵让受害者成为第二轮攻击的目标。攻击者和相关网络知道,刚刚损失了资金的人处于恐慌状态,正在积极寻找解决方案。这制造了一个开口。
虚假恢复服务出现在搜索结果、社交媒体中,有时直接出现在关于加密货币盗窃的公开帖子的评论里。他们假扮成区块链调查员、法律追回专家或钱包支持团队,收取预付费用或要求访问新钱包以进行所谓的恢复。没有恢复,只有第二次盗窃。
这个模式足够一致,有一个固定的名称:恢复诈骗。运作这些诈骗的人往往专门监控钱包提款活动,以识别新的受害者。如果你公开发布过有关入侵的帖子,或者你的钱包地址与已知的盗窃事件相关联,你应该预期会收到自称可以帮助你的陌生人的主动联系。
没有任何合法服务可以从已完成的链上交易中追回资金。这个提议本身就是诈骗。
入侵是怎么发生的
大多数钱包入侵可以追溯到少数几个根本原因。
助记词暴露是最常见的。无论是通过假冒钱包应用程序、提示输入的钓鱼网站、存储在云端的截图,还是发送给他人保管的消息,助记词落入了错误的手中。任何持有助记词的人,都可以在任何设备上重建钱包,在任何地方,拥有完整且永久的控制权。
私钥被盗遵循相同的逻辑。设备上的恶意软件、被入侵的浏览器扩展或不安全的存储位置,都可以直接暴露私钥。结果与助记词暴露完全相同。
恶意授权以不同的方式运作。钱包本身没有以传统意义上被入侵,受害者签署了一笔交易,授予恶意合约移动其代币的权限。这个授权一直存在,直到它被撤销。攻击者可以在授权被授予后的任何时间执行提款,有时是几天或几周后,这就是为什么授权和盗窃之间的联系并不总是显而易见的。
假冒应用程序在 ZenRealm 另一篇文章中有详细介绍。简短版本是,一个令人信服的假冒钱包应用程序在设置过程中提示用户输入助记词,将其直接传送给攻击者。
理解入侵是怎么发生的,比理解入侵后怎么办更重要,因为入侵后的选项是严重有限的。采取行动的时机是在助记词被暴露之前,在恶意授权被签署之前,在假冒应用程序被安装之前。
一旦交易被确认,区块链就记录了结果。那个结果不会改变。
延伸阅读: