當加密貨幣錢包被入侵,會發生什麼
當有人獲得了你錢包的控制權,無論是通過助記詞、私鑰、惡意授權還是被入侵的設備,他們不一定會立刻清空它。他們擁有的是時間,以及完整的可見性。
從攻擊者的角度來看,一個被入侵的錢包就是一份庫存清單。他們能看到每一個代幣餘額、每一個 NFT、每一個活躍的 DeFi 倉位、你授予每一個合約的每一個授權。他們評估什麼流動性最高、價值最大,優先轉移最有價值的資產,通常是轉到一個沒有交易歷史的全新地址。從那裡,資產可能被兌換、橋接到另一條鏈、通過混幣服務,或拆散到幾十個地址中。目標是盡快讓追蹤變得困難。
整個過程可能在幾分鐘內完成。在犯罪市場上廣泛流通的自動化提款工具,能夠以比大多數用戶察覺到異常更快的速度,完成多資產的清空。等到錢包持有人看到一筆意料之外的支出交易並明白發生了什麼,資產已經離原始地址幾個步驟遠了。
為什麼資金無法追回
區塊鏈的公開性經常被誤解。鏈上數據對任何人都是可見的:你可以清楚地看到被盜資金去了哪裡,追蹤它們流經的每一個地址,實時觀察它們的移動。區塊鏈分析公司以此為業,執法機構也使用這些工具。
但可見不等於可追回。沒有任何機構可以撤銷一筆已確認的區塊鏈交易,沒有針對鏈上轉帳的 Visa 爭議流程,沒有可以標記一個地址並阻止它消費的中央數據庫。當資金轉移到一個新地址,控制那個地址的人就控制了那些資金,原始持有者在鏈上沒有任何索償依據。
從攻擊者的角度看,被盜加密貨幣的實際路徑是成熟的:橋接到另一條鏈、兌換成隱私保護資產、使用混幣器、分散到許多地址。每一步都在增加與原始盜竊事件之間的距離。等到調查人員識別出一個終點地址,資金往往已經再次移動了。在攻擊者被識別並起訴的案例中,資產追回是罕見的,而且緩慢。大多數受害者什麼都沒追回。
你能立即做的事
如果你認為你的錢包已經被入侵,速度很重要,但恐慌會製造新的錯誤。最重要的立即行動是有限且具體的。
如果錢包裡還有剩餘資產,把它們轉移到在乾淨設備上生成的新錢包地址。在此之後不要再用那個被入侵的錢包做任何事,不要把資金發回去,把它視為永久暴露的地址。
撤銷與被入侵錢包相關的所有有效授權。Revoke.cash 等工具可以讓你查看記錄在案的每一個合約授權並移除它們。如果還有剩餘餘額,這樣做可以限制惡意合約繼續提取資金的能力。被入侵的錢包上的授權,可能就是攻擊的入口。即使錢包現在已經空了,撤銷授權也是控制損害的一部分。
記錄你能找到的所有信息:涉及的錢包地址、交易哈希、時間戳、事件發生前你收到的任何通信。這是向執法機構或交易所合規團隊報案所需的信息,以防被盜資金到達受監管的交易所並觸發審查。
你無法做的事
沒有辦法撤銷一筆已完成的區塊鏈交易。任何聲稱可以做到這一點的服務都是詐騙。這一點需要清楚地理解,因為錢包被入侵後的那段時間,是受害者最容易成為二次詐騙目標的時候。
交易所無法凍結已離開其平台、在鏈上移動的資產。有些交易所可以標記與已知盜竊相關的地址並阻止存款,這偶爾會干擾洗錢嘗試,但這不是一種將被盜資金歸還給受害者的機制。這是一個合規工具。
基於智能合約的恢復服務不以任何合法形式存在。如果你看到聲稱可以撤銷交易、恢復被清空錢包或以預付費用追回被盜加密貨幣的廣告,這些都是設計來從已經是受害者的人身上榨取更多資金的詐騙。
二次攻擊
錢包被入侵讓受害者成為第二輪攻擊的目標。攻擊者和相關網絡知道,剛剛損失了資金的人處於恐慌狀態,正在積極尋找解決方案。這製造了一個開口。
虛假恢復服務出現在搜尋結果、社交媒體中,有時直接出現在關於加密貨幣盜竊的公開帖子的評論裡。他們假扮成區塊鏈調查員、法律追回專家或錢包支援團隊,收取預付費用或要求訪問新錢包以進行所謂的恢復。沒有恢復,只有第二次盜竊。
這個模式足夠一致,有一個固定的名稱:恢復詐騙。運作這些詐騙的人往往專門監控錢包提款活動,以識別新的受害者。如果你公開發布過有關入侵的帖子,或者你的錢包地址與已知的盜竊事件相關聯,你應該預期會收到自稱可以幫助你的陌生人的主動聯繫。
沒有任何合法服務可以從已完成的鏈上交易中追回資金。這個提議本身就是詐騙。
入侵是怎麼發生的
大多數錢包入侵可以追溯到少數幾個根本原因。
助記詞暴露是最常見的。無論是通過假冒錢包應用程式、提示輸入的釣魚網站、存儲在雲端的截圖,還是發送給他人保管的訊息,助記詞落入了錯誤的手中。任何持有助記詞的人,都可以在任何設備上重建錢包,在任何地方,擁有完整且永久的控制權。
私鑰被盜遵循相同的邏輯。設備上的惡意軟體、被入侵的瀏覽器擴充功能或不安全的存儲位置,都可以直接暴露私鑰。結果與助記詞暴露完全相同。
惡意授權以不同的方式運作。錢包本身沒有以傳統意義上被入侵,受害者簽署了一筆交易,授予惡意合約移動其代幣的權限。這個授權一直存在,直到它被撤銷。攻擊者可以在授權被授予後的任何時間執行提款,有時是幾天或幾週後,這就是為什麼授權和盜竊之間的聯繫並不總是顯而易見的。
假冒應用程式在 ZenRealm 另一篇文章中有詳細介紹。簡短版本是,一個令人信服的假冒錢包應用程式在設置過程中提示用戶輸入助記詞,將其直接傳送給攻擊者。
理解入侵是怎麼發生的,比理解入侵後怎麼辦更重要,因為入侵後的選項是嚴重有限的。採取行動的時機是在助記詞被暴露之前,在惡意授權被簽署之前,在假冒應用程式被安裝之前。
一旦交易被確認,區塊鏈就記錄了結果。那個結果不會改變。
延伸閱讀: