朝鲜也玩加密货币

区块链安全团队 MistTrack 发推称,朝鲜黑客正在清洗 Atomic Wallet 被盗资金。

这样的消息并不新鲜,朝鲜黑客几乎每月都能登上几次加密行业的新闻头条,每当有金额巨大的攻击事件发生,Lazarus Group 这个神秘朝鲜黑客组织大名总是牵涉其中。根据今年4月美国国家安全委员会发布的一份年度报告,朝鲜黑客窃取的虚拟资产总额超过 30 亿美元。

而在中文互联网的世界里,朝鲜这个名字总伴随着落后、封闭以及诸如“天降伟人”“大浦洞炮决”此类百玩不厌的梗,似乎东边的邻居已经躲进小楼成一统——在全球网民热衷于冲浪的今天,大部分朝鲜人民依旧找不到自己的steam账号,更别说钱包地址了。

当然,朝鲜人民还是有一些属于自己的娱乐的,尽管《平壤赛车》发售于2012年,但仍然让我感觉到了一丝跨越千禧的怀旧感。

但某种层面上来说,朝鲜的CS技术并不逊色,号称“朝鲜小清华”的金策工业大学ACM队不仅是ACM WorldFinal的常客,还在2019年的WF现场和南边首尔大学来的朋友进行了一场“决战三八线”(组委会在转播摄像头给到的时候很贴心的把这两支队伍分南北位置放了一下),虽然最终在罚时上比首尔大慢了一点银牌垫底,但代码功底可见一斑。

求人还是求己?

事实上,朝鲜对于加密货币的热情相比起“南傀”可谓是有增无减,只不过这种热情更多的来自于官方——2017年平壤科技大学就开设了区块链的相关课程,并邀请了相关从业人员前往教授课程,从2018年开始,平壤每年都会举行加密货币和区块链大会,以太坊基金会的Virgil Griffith也曾前往朝鲜参加区块链会议,化身虚拟”千里马“的朝鲜黑客们频频出现在交易所失窃的事故报告中(韩国交易所居多),甚至还有以朝鲜太空计划为主题的meme币,尽管官方推特的最后一条更新停留在了2021年。

虽然外界一直盛传朝鲜在进行大规模的挖矿活动,但可以确定的是,朝鲜在这场web3.0的新浪潮之中并非是以矿工的身份加入——尽管朝鲜拥有丰厚的煤炭资源,但其化工和能源产业的根基却深受苏联时期经互会的影响——以石油体系为主。苏联解体后,石油资源的匮乏和技术的短缺使得朝鲜只能依靠水力和火力发电。

至今仍未突破1990年发电量水平的朝鲜更倾向于将电力花在重要领域如工业、医疗以及各地的主题思想塔这种重要领域上,这使得国内老板在丰水期包下电力过剩水电站挖矿的现象在朝鲜没可能也没有必要复制,劳动党中央也不可能以这种方式去支持“亲爱领袖领导下的加密世界伟大事业”。

夺人以渔不如夺人以鱼,据区块链数据平台 Chainalysis 统计,仅2021一年,朝鲜黑客就通过对加密货币网点的攻击窃取了价值约 4 亿美元的加密货币,其中被盗资金中只有 20% 是比特币,而 22% 是山寨币/隐私币,而以太坊占被盗资金的大部分,占 58%。被盗取的币通过混币器和Defi平台等进行清洗,其中一部分在各种换手之后最终在交易所或线下变为法币,一部分则储存在冷钱包中备用,有意思的是,尽管黑客大多只针对交易所下手,但也不排除他们通过社会工程学的方式来骗/来偷袭NFT,数据也印证了朝鲜在2017年开始对比特币“产生了非常大的兴趣”。

进击的“大主教”

其中最为人所熟知的非Lazarus莫属,这个隶属于侦查总局121局下、将《暗黑破坏神》中大主教名字作为自己代号的黑客组织,一手策划了2014 年的索尼影业黑客事件、2016 年的孟加拉国银行抢劫案、“WannaCry”勒索病毒、“暗之首尔”……等等,而他们的名字也没少出现在项目方被攻击的新闻播报里:Harmony、Kucoin、Ronin……当然,还有这几天的Atomic。

而纵观历次攻击行动,韩国交易所无疑成了最受重视的“靶子”。

早在2017年初,Bithumb就被他们的北边邻居盗走了700万美元。而2019年初,联合国援引Group IB的报告,指控Lazarus制造了五起加密货币窃案,攻击目标分别为Yapizon(韩国,损失3816 BTC,合530万美元)、Coinis(韩国,损失不详)、YouBit(韩国,损失17%资产)、Coincheck(日本,损失5.23亿NEM,合5.34亿美元)、Bithumb(韩国,损失3200万美元),五次攻击获利总额高达5.71亿美元。

这种方式已经成为2006年朝鲜受到制裁以来重要的经济来源,去中心化在面对西方的围追堵截时发挥了巨大的作用——尽管实体的交易所可以因为“相关地区法律规定”而冻结有嫌疑的账户(就像Coinbase等公司对俄罗斯做的一样),但很显然,并不是所有的交易所都在美国,并且私下的交易从一开始就没有停止过。

结合半岛局势和劳动党八届六次政治会议的表态来看,这些重要的外汇收入很大一部分将投入“立即加强和发展更强有力的物质手段以切实压制美国对朝敌对行为的任务”,“及时研讨是否需要重启其间暂停的一切活动”,其核心思想则依然秉持了八大新路线中“对外以军事、外交为保障”这一条。

而至于未来一段时间的动态,则取决于可能于本月中旬召开的劳动党八届八中全会。此次会议将决定朝鲜在五年计划剩下时间里的走向,包括是否重申加强国防力量立场、再次发射“万里镜-1”军事侦察卫星等,而朝鲜黑客们的行动频率也将会因此次会议而做相对应的调整。

区块里的美朝关系

摆脱朝鲜在世界中的孤岛地位并不是一件容易的事,由于半岛地缘政治的复杂性,一切行动的核心指导思想均是从”安全“这一角度出发。保证自身存在的情况下尽力使政治生活正常化,使权力从军队转还给劳动党,同时推动经济发展,这是金正恩在位期间的主要政治诉求,而能否实现这一目的的关键,则依然在美朝关系上。

但就目前来看,至少在关于加密货币的事上,双方的态度从来就没有缓和过——2021年2月,美国司法部起诉了三名隶属于朝鲜人民军侦察总局的朝鲜黑客,指控他们”窃取超过十三亿美金的现金和加密货币“。而就在两个月前,美国财政部制裁了三名支持Lazarus的朝鲜人,他们负责为Lazarus“提供便利”。

无论如何,对于朝鲜而言,Crypto确实帮助他们规避了敌对政权的制裁,同时也为国内提供了新的经济援助,虽然目前并没有任何消息指出朝鲜参与到任何一级市场的投资中(毕竟直接拿还是比投资要快),但在未来很有可能会出现来自官方背景的机构组织,也许不久之后我们会看见一群胸带领袖头像的年轻人们与项目方坐而论道,聊诸如DA、链上生态以及其他的行业相关话题。

尹锡悦在竞选的最后阶段,曾通过发行NFT的方式来获取韩国年轻人的选票,虽然北韩并不能直接效仿这种行为,但也许在opensea无数条交易数据的背后,白头山的天降伟人已经私下购入猴子头像,让自己踏入了alpha俱乐部?

也许南北对话重启的那一天,两人能在青瓦台讨论如何省Gas费的问题。

作者:星球日报

币圈常见15种诈骗套路

Crypto诈骗有很多种类型,最常见的Crypto诈骗类型分为以下15类:

冒充型诈骗

骗子可以冒充可信来源,如政府机构、企业、技术支持、同事或朋友,以获得受害者的信任。他们会要求受害者提供敏感信息或要求受害者将资金转移到他们的数字钱包中。如果一个“受信任的”实体出于任何原因请求Crypto,它很可能是一个骗局。

网络钓鱼诈骗

网络钓鱼诈骗的目标是Crypto钱包(可联网的热钱包)。这个骗局背后的个人或组织正在寻找你钱包的私钥,这可以让任何人访问存储在钱包里的资金。

通常,骗子会发送带有虚假网站链接的电子邮件,并要求持有者输入他们的私钥。一旦他们有了这些信息,他们就可以窃取Crypto。网络钓鱼诈骗是诈骗者最常用的诈骗手段之一。

假冒APP和Crypto交易网站

欺诈者有时会创建假的Crypto交易平台或Crypto钱包来欺骗毫无戒心的受害者。这些网站的域名通常与他们试图模仿的网站极其相似,因此很难区分它们。

假冒的Crypto网站通常以两种方式运作——网络钓鱼网站或盗窃。

在网络钓鱼页面上,你会被要求输入访问你的密码所需的数据,比如你的钱包密码、恢复短语和其他财务信息,这些信息最终会落入骗子手中。

其他网站只是窃取你的资金,这些网站在最初的互动中运作正常,甚至可能让你一开始提取少量的钱。

当你的投资看起来不错时,你可能会决定在网站上投入更多的钱。然而,当你稍后试图取款时,网站要么关闭,要么拒绝你的请求。

诈骗者用来欺骗投资者的另一种常用手段是在应用商店上创建假应用。即使这些虚假应用程序被迅速发现并删除,它们仍然可以影响许多用户的财务状况。

赠品诈骗

赠送诈骗是指欺诈者保证将发送给他们的Crypto数量增加或增加一倍。

他们使用巧妙的信息,通常看起来来自合法的社交媒体账户,来制造一种合法性和紧迫感。

这种所谓的“千载难逢”的机会可以诱使人们迅速转移资金,以期立即获利。

投资骗局

投资骗局包括承诺“巨额收益”以换取Crypto存款。骗子可以扮演不同的角色,比如即将启动的新Crypto项目的“投资经理”,并做出毫无根据的承诺,增加你的初始投资。

拉盘骗局(Pump-and-dump

拉盘骗局Pump-and-dump是另一种类型的投资骗局。一个骗子说服你以较低的价格购买一种不太知名的Crypto,并承诺其价值将很快飙升。

你一买,价格就上涨,骗子就以更高的价格卖出。这会导致价值崩溃,让您和其他受害者蒙受损失。

寻求快速获利的投资者被短时间内难以置信的虚假收益报告弄得眼花缭乱。这些骗局通常是从社交媒体开始的,所以要小心任何意外联系你的人。

注意那些在Reddit或Twitter等社交媒体平台上炒作特定Crypto资产的人,因为这些被称为社会工程骗局。

约会杀猪盘骗局

诈骗者经常利用约会网站欺骗毫无戒心的目标对象,让他们以为自己正在谈一场轰轰烈烈的恋爱。

一旦建立了信任,对话通常会转向利润丰厚的Crypto机会,导致硬币或账户身份验证凭证的转移。

根据美国联邦贸易委员会的数据,用Crypto支付杀猪盘骗子的人在2021年总共损失了1.39亿美元,超过了任何其他支付金额。

敲诈勒索

诈骗者还使用勒索邮件作为一种常见的社会工程技术。

在这些电子邮件中,他们声称有用户访问成人或非法网站的记录,并威胁要曝光这些记录,除非他们交出私钥或向骗子发送Crypto。

这些企图构成犯罪勒索,应向执法机构报告。

升级诈骗

Crypto平台像任何其他软件一样更新。骗子可以利用这一事实,并试图说服你给他们你的Crypto钱包的私钥。

诈骗者可以利用合法的迁移,比如最近的以太坊合并。以太坊基金会警告用户要警惕升级骗局。

SIM卡骗局

SIM卡交换诈骗是最新的Crypto诈骗之一。在这里,骗子获得了你SIM卡的副本,允许他们访问你手机上的所有数据。

骗子可以在你不知情的情况下,利用这些数据接收和使用两步身份验证码来访问Crypto钱包和其他账户。因此,受害者的Crypto账户可以在不被告知的情况下被黑客入侵并清除。

云挖矿诈骗

云挖矿是由公司提供的一项服务,允许用户以固定的费用租用他们的挖矿硬件,并分享所谓的收入。这使得人们无需购买昂贵的挖矿硬件就可以远程挖矿。

然而,许多云采矿公司是骗局或无效的,用户经常损失金钱或赚得比他们相信的要少。

欺诈性ICO

基于Crypto的投资,包括首次ICO和NFT骗局,为骗子利用你的钱提供了额外的机会。

初创的Crypto公司利用ICO从未来的用户那里筹集资金,通过提供新的Crypto的折扣来换取比特币等活跃的Crypto。然而,许多ICO被证明是欺诈行为。

例如,骗子可能会为ICO创建假冒网站,并要求用户将Crypto转移到受损的钱包中。在其他情况下,ICO本身可能是罪魁祸首。

创始人可能会分发不受监管的通证,或通过虚假广告误导投资者对其产品的看法。

必须认识到,尽管基于Crypto的投资或商业机会似乎有利可图,但事实并非总是如此。

名人代言骗局

名人代言是另一种流行的Crypto骗局。开发者付钱给著名演员或网络名人,让他们宣传一种通证或平台,以吸引投资者,然后突然放弃这个项目。在某些情况下,这些骗局可能是网络钓鱼计划,骗子使用伪造的图像,视频或网站来声称公众人物已经支持他们的欺诈计划。

骗一票就跑(Rug pulls

Rug pulls,以“pull the Rug out”一词命名,指的是开发商吸引投资者进入一个新的Crypto项目,通常是在DeFi或NFT中,然后在项目完成前放弃,给投资者留下一文不值的货币。

在2021年市场爆发后,NFT成为了这类骗局的温床。许多骗子在PFP项目中承诺提供价值,并在以后整合实用程序,而这些不切实际的路线图从未交付。

有时候,骗人的把戏可能还涉及庞氏骗局的变体,即投资者以不诚实的财务保证吸引其他用户,从而获利。

即使在权益证明项目中,也可能发生不同的情况,这些项目可能会说服您将他们的令牌押在主节点上。

“黑吃黑”诈骗

骗子声称你的账户有欺诈行为,或者你的钱有风险,并指示你购买Crypto并将其发送给他们来解决问题。

另一些则要求你在欺诈网站上输入你的详细信息。点击他们信息中的链接或拨打弹出窗口上的电话号码将使你与骗子联系起来。

通常,这些骗子可能会试图欺骗人们购买一家著名公司刚刚发行的新币。有必要在网上进行研究,以确认一家公司是否发行了货币,或者已经发行了空投。

此外,骗子可能会冒充政府机构、执法部门或公用事业公司,声称存在法律问题或你欠钱。他们指示你购买一种Crypto,并将其发送到他们提供的钱包地址进行保管。

或者,他们会引导你到CryptoATM机,并给你一步一步的指导,把钱转换成Crypto。

最后,骗子在求职网站上列出与Crypto相关的假工作,提供帮助招募投资者、出售或挖掘Crypto或将现金转换为Crypto的工作。

他们要求你支付一笔Crypto费用,然后寄给你一张假支票,存入你的银行账户。然后,他们会指示你提取一些钱,为一个虚构的客户购买Crypto。到这个时候,钱就没了,但你必须偿还银行。

骗子变得越来越精明,在网上很容易上当受骗。避免Crypto诈骗应该是你在Web3中的首要任务。随着Crypto的普及,诈骗也越来越普遍。任何与Crypto互动的人都必须确保他们保持警惕,了解如何识别Crypto骗局,以减少被骗的机会。

作者:区块链骑士

Steam盗号产业链揭秘

Steam账号被盗已经成了高发事件,基本上每天都能在贴吧中看到几个因账号被盗而求助的玩家,我身边的不少同事、朋友也都中了招。有些人费尽力气找回了账号,可号上已经挂着红色的VAC或开发者封禁字样。

账号中出现VAC或开发者封禁后,不管这些违规行为是不是在账号被盗情况下发生的,封禁都无法申诉,也无法解除,会永久性地显示在玩家的个人资料页面中,不仅一些联网游戏玩不了,好友也没人加,基本上等于废了。有的人因此放弃了旧号建新号,但经常是新号没过几天又被盗走,重蹈覆辙。

这就是本文的主题,为什么盗号者如此猖獗,Steam盗号又怎么防范呢?要说明这些问题,首先要从Steam盗号这一现象的背后产业链谈起。

Clipboard Image.png

为什么要盗取Steam账号?

Steam账号的安全性一直被诟病,在2015年以前账号是没有任何保护措施的,只靠用户名和密码就能登录,当时因为黑客瞄准了《CSGO》和《Dota 2》的饰品库存,被盗号的案例数不胜数,直到Steam出台了“邮箱验证交易”以及“市场交易暂停7天”等措施后,盗号现象才有所收敛。随后,Steam又推出了“手机令牌验证市场交易”和“保护登录”等措施,即便如此,在2015年末Steam官方发布的声明中,还是提到了平均每个月有7.7万个账户被盗。

总的来说,在2017年之前,盗号者的首要目标都是《CSGO》和《Dota 2》的库存,同时也瞄准Steam余额,盗号者会用挂第三方网站的手段将余额和库存变现,谋求经济利益。

不幸中的万幸是,这种盗号一般都只让账号的原拥有者蒙受经济损失,一般情况下,盗号者也不会为了在游戏中享受作弊快感而去盗号,因为如果账户被VAC封禁,会导致这个账户中的虚拟财产无法交易,这对盗号者有百害而无一利。这个时期,盗号者和被盗对象主要都是外国人或外服玩家,因为相比后来的《绝地求生:大逃杀》,《CSGO》和《Dota 2》在中国区的热度只能说一般,中招者相对来说就不算多了。

Clipboard Image.png

事情在《绝地求生》走红之后出现了变化。2016年末,中国区Steam活跃账号数量为1150万,但伴随着《绝地求生》在中国区的畅销,活跃账号数量开始飙升,2017年7月已经达到2000万,2018年1月更是达到4000万,跃居世界首位。与此同时,盗号、黑号的数量开始疯狂增长,在短短半年之内,这个黑色产业形成了组织严密的产业链。

Clipboard Image.png

从2017年年中开始,盗号的风向开始转变,从倒卖账号里的财产变为和外挂绑定进行贩卖。也就是说,盗号者的目标是盗取游戏库中添加了《绝地求生》游戏的账号,尤其是没有手机令牌的弱密码账号,修改邮箱、手机等密保手段之后,捆绑上外挂,转手当做黑号,以低廉的价格卖掉,赚取利润。

这样,购买黑号的玩家既避免了开挂时自己的账号被封,又能以低廉的价格玩到价值98元的《绝地求生》,盗号者更是没有任何风险,怎么看都是双赢的交易。

Clipboard Image.png

所谓黑卡,玩手游的朋友们应该很熟悉,就是被盗刷的信用卡,因为从盗刷到信用卡公司或卡主发现并拒付这笔支出,一般会有1到3天的时间差,因此在这段时间内,通过盗刷购买的《绝地求生》还是可以正常游玩的,当然在这短短几天内,被盗账号往往就会因为开挂而被封。

从2017年12月开始,由于Steam社区在国内无法访问,给了很多盗号者新的可乘之机,因为国内新的“吃鸡”玩家大多不能方便地注册新账号,所以自然会寻求购买账号游玩。此外,开挂又被封号的人需要新账号继续开挂,许多人花不起98块但还想玩“吃鸡”,加之还有蓝洞误封等原因,导致国内黑号的市场需求源源不断,自然就造成了Steam盗号现象频繁发生。显然,在这一波盗号潮当中,也以国内盗号者盗取中国区账号的情况更为猖獗。

必须指出的是,Steam的运营目前并不受到国内法律的保护。如果对象是在国服的网络游戏,比如《魔兽世界》或《地下城与勇士》,都是不太可能有如此巨大的盗号市场的,因为一旦发现,很快就会被有关部门处理。相反,Steam的盗号者没有任何顾忌,也不会受到惩罚,所以这也同样促成了盗号行为的极度泛滥。

盗号者是如何盗取Steam账号的?

前面已经提到了,Steam账号的安全性十分薄弱,2015年以前,最常见的盗号方式是使用钓鱼链接。像流传甚广的“加一下我们领队,她会告诉你更多”这种“bot”发言,就是盗号机器人加好友之后群发消息,再给出一个钓鱼链接,诱导玩家输入自己的Steam账号和密码来完成盗号。当然,这种骗术一般都针对《CSGO》和《Dota 2》,也多数都是外国盗号者所为。

Clipboard Image.png

目前这类骗术仍旧存在,最常见的钓鱼链接主打“《绝地求生》老兵回归”——在腾讯官方出了“老兵回归”活动之后,这种钓鱼邮件层出不穷。其原理也是一样的,盗号者群发钓鱼邮件到QQ邮箱,诱骗用户输入Steam的账号和密码,甚至顺便还能把QQ号一并盗走。

以上这两种钓鱼都是比较基础的骗术,稍微有些网络经验的人都不会中招。

Clipboard Image.png

接下来是稍微复杂一些的手段,但也同样容易防范,这就是“挂马”。不法分子会通过外挂、加速器等软件传播盗号木马,挂马盗取的除了Steam账号之外,还有玩家电脑里的其他许多账号,危害很大。

防范恶意网站、恶意文件等挂马是比较容易的,尤其是在免费杀毒软件普及的今天,但有一个地方是没有杀毒软件防护,甚至是很容易被记录键盘数据的,那就是网吧。

如今网吧中Steam客户端被魔改的程度超乎常人想象,诸如“吃鸡”助手、“吃鸡”加速器、5元空号、1元租号之类的置入广告层出不穷。由于国内“吃鸡”玩家对新号的需求量极大,网吧Steam上展示的小广告自然而然地成了一些玩家的选择,这可能会是你迈向被盗号和买黑号的第一步。

Clipboard Image.png

要注意的是,Steam账号的最高权限属于初始邮箱,也就是说,光有账号和密码的人只是得到了使用权而已。许多用5元空号购买《绝地求生》的玩家经常会发现,自己的账号再也登不上去了,那是因为拥有初始邮箱的盗号者把密码改掉,转手再把这个买了“吃鸡”的账号卖出去,空手套白狼。

此外,如果你有自己的Steam账号,在没有杀毒软件保护的网吧里也会经常遇到诸如“键盘记录器”等恶意软件的侵害,一些魔改的Steam客户端也注入了许多恶意进程,Steam账号的安全仍然会受到很大威胁。

Clipboard Image.png

最后要说最有效的盗号手段——盗取邮箱。由于Steam账号的最高权限属于初始邮箱,无论之后如何更改邮箱和手机号,初始邮箱拥有者凭借初次购买的截图永远可以发起申诉,找回账号。这也意味着,如果邮箱被盗,盗号者可以绕过账号、密码,直接获得账号的所有权限,此时手机令牌也毫无作用。

通常,盗号者的操作神不知鬼不觉,他会将申诉以及解绑手机密码、更换邮箱等步骤的所有邮件都删掉,再将恢复账号的次数尝试到上限,这样,玩家就无法在12小时内快速恢复账号。玩家发现自己无法登录Steam时已经为时已晚,等到这12个小时过去,找回的账号多半早就因为开挂被封了。

至于盗号者是如何盗取邮箱的,最常见的方法是直接撞库。因为网易邮箱在2015年有一次大规模的数据库泄露事件,波及账号接近5亿个,很多盗号者直接用这些数据进行比对,盗取邮箱。此外,其余的国内邮箱也有不同程度的数据泄露,如果你恰好使用这些邮箱进行注册,且事后没有改过密码,那么很容易通过简单的比对就被盗号。

另外,目前针对单密码保护的邮箱,尤其是弱密码邮箱,暴力破解并非难事。当然也有盗号者会用泄露的数据库直接撞Steam账号,因而一些习惯用单个账号、密码的玩家就难免会中招。其次就是通过各种渠道挂木马,引导用户中病毒来盗窃账号,这种方法就不再赘述了。

Clipboard Image.png

总的来说,Steam账号本身安全措施就比较薄弱,手机令牌在关键时刻作用有限,也没有现代App常用的诸如手机验证码、扫描二维码或推送一键登录等功能。再加上很多用户对于Steam账号的权限和处理不甚明了,也没有查阅邮箱的习惯(甚至连邮箱推送都没有),无法在第一时间发现账号被盗,这些都给了盗号者可乘之机。

玩家如何防止被盗号?

明白了原理,接下来谈谈如何保护个人的Steam账号。对于较为简单的钓鱼网站和键盘记录等盗号手段而言,采用手机令牌还是有效的,它生成的动态密码可以有效地阻拦盗号者。但很多人因为怕麻烦,或不知道如何绑定Steam手机App,也就没有绑定令牌,甚至不知道手机上还有Steam客户端,就很容易导致账号被盗。目前使用Steam手机令牌的简便方法是使用网易UU加速器手机版,可以免费加速手机Steam客户端从而连上手机令牌。

Clipboard Image.png

对于邮箱密码的保护,目前最好的办法就是绑定相关的手机App安全中心。无论是网易、QQ还是新浪邮箱,都有对应的安全中心可以使用,采用扫二维码或者两步验证的方式,都可以有效地阻止异地以及新设备的访问,进而保护自己Steam账号的安全。更保险的方法是用境外邮箱,如Gmail等,注册Steam账号,可以有效避免邮箱被破解,但是如果已经使用了国内邮箱进行注册,也没必要强行换成境外邮箱地址。

Clipboard Image.png

由于很多人没有查阅邮件的习惯,为手机安装邮箱客户端并及时更新推送是十分有必要的,这样可以第一时间获知是否有异常邮件或异常登录出现,可以有效地将损失降到最低。

写在最后的话

综上所述,我们可以绘制出一幅Steam盗号过程的流程图(黑色部分为盗号者行为,红色部分为玩家行为):

Clipboard Image.png

不难看出,这条产业链不同于一般有头有尾的流程图,而是一种循环:只要黑号的市场需求持续存在,玩家又没有足够的账号保护意识,这个产业链就会永远地循环下去。由于Steam不受我国法律保护,盗号者也很难被追究法律责任,所以这条巨大的黑色产业链仍然会长时间地存活下去。

对于玩家来说,不仅需要了解Steam账号的安全措施,不让自己购买的游戏付之东流,也要拒绝Steam账号交易,因为这种交易不仅安全性低,且会损害其他玩家的利益。套用一句老话,“没有买卖,就没有杀害”,如果人人都不购买Steam账号,那么相关的黑色产业也会逐渐萎缩乃至消失。

目前,Steam社区在国内无法访问,如果你没有其他方法注册Steam账号,推荐使用Steamcommunity_302软件来进行设置,一键即可登入Steam社区进行注册。请牢记:Steam账号不需要付费,注册完全免费,购买游戏也不需要代充值,更不要把账号、密码交给他人。

如果自己的账号已经被盗,那么可以尝试用以下方式进行找回:

Clipboard Image.png

最后提醒各位,VAC和开发者封禁都是无法消除的,会永久以红色字体显示在个人的Steam页面上,所以请各位爱惜自己的Steam账号,也珍惜自己购买的每个游戏,不仅要注意保护自己的邮箱和Steam账号安全,也不要开挂和进行账号买卖。最后的最后,衷心希望大家能远离盗号,享受游戏。

作者:灰产特工

微博如何泄露隐私数据

3月19日上午,有微博名为“安全_云舒”的用户转发微博时称:“很多人的手机号码泄露了,根据微博账号就能查到手机号……已经有人通过微博泄露查到我的手机号码,来加我微信了。”

随后,该网友在微博下的留言中进一步表示,他通过技术查询,发现不少人的手机号已被泄露,当中涉及不少微博认证的明星、官员、企业家。“来总的手机号也被泄露了,我昨晚查过。”(“来总”代指微博CEO 王高飞)

本文作者在19日下午亲自体验了一把泄露数据的灰产产品,已验证密码、个人敏感信息确实被暴露!虽然不确定是否是从微博暴露的,但是通过微博这一公开平台,可以微博ID查出手机号。从而通过手机号关联到更多密码、个人身份信息。

我们总结了一些内容,希望能让大家对个人隐私保护及密码管理产生警惕,也希望大家能按图索骥,查出背后团体的真凶。

概述

本次数据泄露据说是由微博而来,在小道消息的引导下,我们找到了购买隐私数据其中一个根据地:电报(Telegram),通过电报按图索骥、购买服务,摸清了灰产的整个服务架构。

交易流程概述

  • 加入电报
  • 找到售卖机器人
  • 机器人分享报价和交易方式
  • 选择交易
  • 机器人给出比特币/ETH数字货币地址
  • 打款后,机器人为电报账号充值积分
  • 利用积分查询

该系统是“积分机制”,即你通过数字货币为该灰产充值,则电报账号在灰产的账户中会多一些积分。使用积分可以查询各种服务:

揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据

作者亲测, 0.358  ETH = 260积分,10积分可以做一次普通查询,则相当于 0.0138 ETH一次,约等于10元一次

服务流程概述

  • 选择批量查询→机器人批量输出名单(每次100个左右)。包括:微博账号、邮箱、密码 等信息
  • 选择根据微博账号查询→给机器人输入微博主页的Oid→机器人输出结果。包括:绑定QQ、绑定手机、微博主页地址
  • 输入绑定QQ,机器人输出真实姓名、老密信息(密码)、姓名、手机、邮箱、QQ关联账号、QQ密码
  • 输入绑定手机,机器人输出真实姓名、老密信息(密码)、姓名、手机、邮箱、微博账号、微博绑定手机
  • 直接查询真实姓名:机器人输出老密信息(密码)、身份证姓名、性别、其他信息、地址
  • 直接查询身份证号:机器人输出身份证号和真实姓名

总结

揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据

这次的灰产产品有如下几个特征:

1、可信性极强:整个流程中,历史上被撞库的密码,通过身份证、真实姓名、邮箱、手机号、QQ号被关联,因此准确程度比以往的库都要强大一些

2、工具链齐全,人人可被查:本次引爆点是通过微博公开的OID查询到个人手机号和身份证,因此任何人都可以再通过手机号查询到他人密码,从而完成对任何人的资产攻击!下文将介绍实例。

3、自动化强:在流程中,灰产作者很好的利用了以下三个工具完成了身份匿名——

  • Telegram,匿名通讯
  • Telegram的自制机器人,完成自动交易
  • BTC/ETH等数字货币,且为每个用户单独生成地址,便于洗钱和反侦察

详述

交易详述

先在Telegram找到社工群

揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据

与电报机器人聊天

揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据

获取通过数字货币给机器人充值的地址:希望对执法分析有所帮助

https://etherscan.io/address/0xc6fa2e1911d11712cb4e2d802663c35daca58c76

充值成功

揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据
揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据

交易流程

贴吧/QQ/微博/LOL查绑(每次30-80分)

输入手机/贴吧ID/微博ID/QQ/LOL 互相查询对应绑定信息。

此灰产工具宣称自己是“全网独家数据”,外面的查绑基本都是在机器人查询的。请注意该查询非实时绑定信息。

支持QQ查手机/手机查QQ,微博uid查手机/手机反查微博,贴吧账号查手机/手机查贴吧账号,LOL昵称查对应QQ、手机、姓名等。

微博ID就是微博用户主页后面的数字,有些用户是个性域名,可以进入主页右键查看源码,如下图oid即为微博ID。

比如:查名人微博

1、我们先去李X乐老师微博,打开他的主页,通过chrome右键打开“源码”模式,获取到李老师的OID:

揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据

2、根据李老师的OID,去查询具体信息

李老师的手机号、QQ号已经被查到了

揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据

3、拿到了手机号,就可以通过【精准查询】查询密码了。此处作者使用自己的手机号查询:

揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据

可以看到,通过手机号查询得知,我已经暴露了自己的多个密码、真实姓名!

猎魔查询

猎魔查询即列表模糊查询,据该灰产宣称是“来自公安网的一种业务”,现在在机器人也可以查询了。

该功能旨在寻找知道姓名,性别及大概位置的人的身份证号码。灰产宣称自己机器人已覆盖全国50%以上优质人口数据(以社会知名人士测试综合命中率已高达70%以上),

猎魔查询分为三种查询模式:模糊查询,精准查询,占位符查询

模糊查询

查询方式为输入真实姓名,根据提示点击按钮进行查询。输出结果后,可以选择性别/省份,这两个选项为必须项,不选择无法查询,也不会扣分。如果该省内重名少于50结果,将直接显示全部结果并扣费,如果命中人数过多,你需要继续选择年龄,月份。

揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据

精准查询

查询方式为输入真实姓名以及身份证内任意连续的数字,机器人出现猎魔查询按钮。点击按钮进行查询(查到结果扣分,未查到前不扣)

通过精准查询,灰产可以根据你的其他信息(出入地等),锁定个人身份,从而查出你的更多信息。

信息查询(每次1-10分)

大部分信息在这都可以查到,结果包含【密码查询】、【同密码】以及【贴吧绑定】,可以查询快递,开房,户籍,地址,身份证,手机,邮箱,账户,密码等等

  • 身份证自动提示归属地,年龄等信息
  • 手机号自动提示归属地&机主姓名
  • 地址自动匹配高精度定位结果
  • Hash自动破解成功率更高
  • 去掉只有一条结果的信息

通过连续的Join(关联),还可以查出来:

  • QQ/手机查名
  • 输入手机/QQ号码查询号主姓名
  • 群关系

隐私保护功能

这是最为搞笑的:一个售卖公民隐私数据的产品,居然还主打“隐私功能”!!

揭秘微博灰产:一个QQ号就能扒光你的所有隐私数据

你花钱使用了屏蔽功能后,本功能会匿名存储该关键字, 非删除数据。屏蔽功能仅支持在本机器人中隐藏私人账户,屏蔽后任何人都无法查询。屏蔽后仍会模拟正常查询流程,其他人无法察觉已被屏蔽,正因如此,由于群关系随处可查,故群关系数据不在屏蔽列表中。

总结

  • 我们相信目前所有互联网服务,基于目前中心化的架构,出现数据泄露问题是必然的,是个概率性事件。
  • 充耳不闻并不管用,你的账号还在,不说明你的安全做的好,只能说对黑客还没有价值——因为很多已经暴露的信息永远暴露了,且可通过关联技术指数级增强确定性!
  • 废话少说,大家都去改密码吧!

作者:Marvin

USDT的灰产圈子

USDT等加密货币,正在变成收取毒资的“绿色通道”。

“相比于微信支付宝转账,加密货币的流动没有可完全证实的信息可查。买卖双方都安全。“一涉毒人士在自建博客网站上写道。

加密货币,金融史上的一个伟大实验。它的发明始于2009年名为“中本聪”的账号写的一篇论文《比特币:一种点对点的电子现金系统》,天生带着去杠杆和硬通货的使命,也埋下了一颗定时炸弹——由于匿名化特点,如今逐渐沦为犯罪分子的最爱,其中USDT(泰达币)最受欢迎。

不只限于买卖毒品,USDT还被应用至网络赌博、洗钱、资金外逃等黑色产业。

深潮TechFlow采访、调研加密货币黑色产业链当事人,试图呈现USDT隐秘的角落。

用USDT买大麻

“相比于微信支付宝转账,加密货币的流动没有可完全证实的信息可查。买卖双方都安全。”周晓(化名)在自建的博客网站上写道。

周晓称,因为比特币,找自己买“飞叶子”的人不用担心,在交易所购买比特币需要实名认证,但这只能证明你买过比特币(投资过比特币),至于比特币去了哪儿,为什么去哪里,“你不主动说,没人知道”。

“你可以说自己看比特币今年涨势喜人,投资了一些比特币玩。然后转去自己另外的比特币钱包了。另外的钱包密码啥的我写在纸上,不见了,这几天我还在找呢。”他介绍。

周晓经营着一家毒品线上交易平台,主要帮国内玩家代购大麻、LSD等新型毒品。

像周晓这样用加密货币买卖毒品、“拿命赚钱”的人不在少数。

据正义网报道,长春市一夫妻用比特币地址来收取、转移毒资。

妻子刘某将自己的比特币账号交给了丈夫马某。马某利用该账户收取毒资,并提现至刘某银行卡转移毒资,共计10 万余元。

检察官审查案件后认为,刘某在明知马某贩卖毒品的情况下,仍将比特币账户提供给马某用于收取毒资并提供银行卡转移毒资,行为符合洗钱罪的构成要件。

今年 1 月 20 日,法院当庭采纳检察机关的量刑建议,马某构成贩卖毒品罪,被判处有期徒刑三年二个月,刘某构成洗钱罪,被判处有期徒刑六个月。

周晓之所以逍遥法外,是因为其比特币地址难以被追踪。他表示,自己的比特币地址通过椭圆加密算法批量离线生成,随意生成地址和相应密钥,无限制随便生成。

周晓曾选择3种加密货币用于转账:比特币、USDT和其自己发行的E-RMB。

他一开始选择比特币,后来,因为遭遇熊市BTC价格下跌,卖家要求保值交易,于是采用稳定币USDT转账。

USDT是Tether公司推出的一种与法定货币美元挂钩的加密货币,1USDT=1美元, 即每发行1个 USDT 代币,其银行账户都会有1美元的资金保障。

近期他还预备推出电子人民币E-RMB。他介绍,该币安全、隐私度高度提高,币值稳定,始终与人民币1:1价格锚定,仅限于买过的老用户使用。

像周晓这样精通加密货币并灵活运用的人,在灰产世界越来越多。他们游走在法律边缘,在加密货币的隐匿之下,“用命赚钱“。

加密货币的灰色世界

“我账户上有九十万U(USDT)。”艾巴(化名)在缅甸勐拉经营一家线下赌场,他告诉笔者,每天需要将现金换成现汇或者USDT。

Chainalysis报告数据显示,从2019年7月到2020年6月,有超过500亿美元加密货币从位于东亚地址转移到海外地址。其中超过180亿美元是USDT。

加密货币在灰色产业主要呈现3种用途:贩毒、网赌和资金外逃。这是一条隐秘的灰色产业链,鱼龙混杂。

以跨境转账为例,一知乎用户在2016年介绍自己跨境转账的操作:在国内交易所购买比特币,转移至Bitfinex,提现之前,平台要认证个人信息,按照提示填上身份证,护照,住址证明。在提现后,平台会收取0.1%的手续费,最低20美金。这样整个比特币跨境汇款流程完成。

知情人士告诉深潮TechFlow,以上具备实操性,自己试过将中国地址打到美国交易所,兑换美元转到美国账户,“但这只是个例”。

如果上述操作仅限于个人摸索,需要自己承担风险,那随着数字货币的普及和发展,如今已经出现用加密货币跨境汇款的产业链。

“我们做美元和澳元。”纪楠(化名)称,自己提供收U(USDT)出法币(现汇)服务,只需要“告知我们收款银行,是私户还是公户,是哪个银行注册,在哪个地区注册的,一个工作日即可到账”。如果客户是个户,就以借款、欠款名义,如果客户是公户,就以劳务报酬名义。

纪楠介绍,相比于传统银行电汇长至数周、高达5%的手续费,USDT转账的手续费更低(接近0)、转账即时到账。

“最低5000(USDT),上不封顶,单笔超过100万(USDT),提前告诉我就好。“纪楠称,客户转账用途一般是做美股交易或者买房、移民。

相比起上述用于跨境转账的“简单”操作,加密货币的专业跑分团伙则更加隐秘而庞大。

“跑分”这个词,源于电脑或者手机的性能检测,但支付领域的跑分,却有新的含义。

以往,网络博彩平台会收购大量银行卡来收钱。但这样做,成本很高——收一张银行卡,成本成百上千。一旦银行卡被封,这些钱就打了水漂。

2018年后,跑分模式开始兴起。市场上出现了很多跑分平台,它们用众包的方式,让洗钱成本大大降低。这些跑分平台宣称“只要一张二维码,在家躺着都能赚钱”。

跑分玩家在跑分平台缴纳押金(比如说1万元),并上传自己的微信和支付宝收款二维码。而充值玩家通过支付方的对接,将钱打给跑分玩家,收满1万元后,跑分结束。跑分平台会给跑分玩家一定比例的收款佣金,并将一万元押金转给博彩平台。

“类似于运送资金的滴滴打车,滴滴打车运的是人,我们运的是钱。”跑分人士介绍,整个过程中,博彩平台不参与资金流动,跑分玩家们成了洗钱工具。

USDT跑分是用数字货币跑分支付的新模式。传统跑分,跑的是人民币;USDT跑分,跑的则是USDT。

上述跑分人士介绍,USDT跑分最大的优势是去中心化交易,“都是客户与我们的司机(承兑商)在发生交易,中间没有资金池,有效的防止资金被大面积冻结。而且中间有USDT作为阻断,整个过程都是无痕交易,不会被追踪到去向。我们的交易量够大够分散”。

“我们是为博彩平台提供出入金服务的。”QQ上一跑分人士称,以加密货币USDT交易,“用本金赚取佣金,一单一结,一万本金挣150~200元佣金,直接回你银行卡上”。

据深潮TechFlow了解,这类跑分团伙在QQ群、百度贴吧、闲鱼等平台引流,然后于蝙蝠、电报、纸飞机等通讯软件沟通交易细节,并于交易所买入加密货币,最后将币转入跑分平台,最常用的加密货币是USDT。

“跑U的有是有,U进Y(人民币)出。那种特别少,90%以上都是坑人的资金盘或者骗子。”艾巴表示,就算见面交易,也有突然消失的。

法网恢恢,疏而不漏,一场针对加密货币洗钱的严打正在来袭。

严打来袭

“不能像以前那么猖狂了。”艾巴介绍,最近风声紧了,他不再接受USDT业务,而是采用现金换现汇,比例是100:105。

9月24日,在北京举行的第九届中国支付清算论坛上,公安部国际合作局局长廖进荣指出,每年自中国境内流出涉赌资金超出一万亿元,特别点名加密货币被用于转移赌资。

“在近期的案件当中,发现部分涉赌团伙利用虚拟货币收集转移赌资,甚至在缅甸部分地区以虚拟货币投资为由,行网络赌博之实。这类新型的数字货币通道不可冻结,匿名难以溯源,给我们打击治理工作带来了很大的挑战。”

今年以来,全国上下开展了如火如荼的“反洗钱”和断卡行动。

10月10日,国务院打击治理电信网络新型违法犯罪工作部际联席会议部署在全国范围内开展“断卡”行动,严厉打击整治非法开办贩卖电话卡、银行卡违法犯罪。

而加密货币毫无疑问是打击的重点区域。部分加密货币OTC商也受此波及,被冻卡甚至调查。

根据刑法关于洗钱罪立案标准,为洗钱行为“提供资金账户”,提供账户的人会被立案追诉,最高刑罚是“”处五年以上十年以下有期徒刑,并处洗钱数额百分之五以上百分之二十以下罚金”。

今年 6 月 8 日,惠州警方打掉了一个利用USDT数字货币经营第四方支付平台的犯罪团伙,共抓获涉案犯罪嫌疑人76名,查处涉案网络支付工作室4家,捣毁网络赌博团伙2个。

该案是全国侦破的首例利用USDT数字货币为违法犯罪活动提供网络支付服务的案件。经初步核实,该平台运营近15个月,为境外120个赌博网站以及70家投资诈骗平台提供资金结算服务,涉案金额达1.2亿元。

深潮 TechFlow 发现,USDT因为价值稳定、同样具备隐匿性,越来越受到犯罪分子的喜爱。上述的无论贩毒、网赌还是跨境转账,所使用的,无一例外皆是USDT。

USDT成罪魁祸首?

与大众观念不太一样的是,最受中国人欢迎的加密货币不是比特币,而是USDT。

根据Chainalysis报告,USDT在今年 6 月击败比特币,成为东亚最受欢迎的加密货币。而其中,中国所占比例最高。报告称,“Tether已成为中国加密货币用户事实上的法币替代品,并且是向比特币和其他标准加密货币过渡的主要手段”。

根据谷歌趋势,USDT热度在中国大陆是最大的,辐射至整个华人区

当前 USDT 的总市值超过 191 亿美元,但 2017 年,这个数字也就差不多 1 亿的规模。短短 3 年,USDT市值实现了 191 倍的跨越式增长。

这些被迅速增发的USDT应用场景在哪里呢?

早在 2019 年 7 月,Coindesk就报道过USDT被用于俄罗斯跨境贸易的案例,“销售额里20%是比特币,80%是USDT”,一位俄罗斯OTC商人表示,“中国企业购买的USDT一天购买的总量可达到 1000 万至 3000 万美元”。

事实上,USDT已成为最“出圈”的加密货币,和灰产联系也最紧密。围绕USDT的犯罪事件愈演愈烈。中国检察网数据显示,今年来已经有85例USDT关联犯罪案件,而在2020年之前,只有5 例。

这一趋势已为各国监管所察觉,立法正在逼近。

欧盟在 9 月正式提出加密资产和稳定币的监管框架,明确表示将欧盟现有金融类法律未涵盖的所有加密资产纳入监管中。

日前英国财政部发表声明,正在起草规范私人稳定币,也在研究央行数字货币作为现金替代品的可能性。

回到国内,2020年10月23日公示的《中国人民银行法》修订意见稿第二十二条规定:“任何单位和个人不得制作、发售代币票券和数字代币,以代替人民币在市场上流通。”

据上文所述,USDT在跨境转账、洗钱灰产等领域已经取代人民币法币的地位,并且还是中国加密货币用户事实上的法币替代品。

USDT会暴雷吗?何时暴雷?这恐怕是悬在每个加密货币用户头顶的问题。

在一些极客眼里,技术是无罪的,只是为不怀好意的人所用。但越来越多的加密货币犯罪案件出现也在提醒我们,技术并不能为人性之恶完全洗脱责任。

“The Genie is out of the Bottle”(妖怪已经放出了瓶子)。比特币钱包公司Xapo 总裁 Ted Rogers这样形容BCH分叉内战。这句谚语源自《一千零一夜》里阿拉丁神灯的故事,意思是妖怪一旦放出瓶子,就会对世界产生不可逆的负面影响。如今这句话依然可以用在USDT等加密货币身上。

“比特币天生带有去杠杆和硬通货的使命,USDT是现在交易所高杠杆之源。一种货币有更多人用理论上是好事,但如果用途仅限于黑产和投机,是不是该审视一下加密货币的初心呢?”MakerDAO中国区负责人潘超曾如此评论道。

作者:深潮DeepFlow

Web3项目是怎么洗钱的

张三在刚刚过去的春节中,获得了上百万元的“压岁钱”🧧,正愁不知道怎么洗白。看到身边朋友在投区块链项目,于是想着自己也可以以创业为由,将手里几百万的压岁钱“投入”到项目中,变成“正经”所得。

Web3世界由于监管政策的建立并未100%完善,于是衍生了比特币洗钱、贸易洗钱、聚合支付平台洗钱等各类货币洗钱的非法行为。此类行为对Web3项目构成了直接威胁。

CertiK团队调研后发现,不少犯罪组织正在利用这一计划将非法资金转化为看似合法的Web3初创公司投资,并获得高额回报。在此篇文章中,CertiK的专业调查人员分享了他们的调查结果以及“办案”经验,并就如何保持Web3企业财务的完整性提供了实用的经验和见解。

Web3洗钱是如何运作的?

Venture-Based Money Laundering (VBML),利用风险投资进行洗钱(后文我们将统一简称为VBML),在Web3中则表现为对创业公司种子资金生态系统的操纵。犯罪分子通过对企业早期的种子投资,将犯罪所得转化为合法业务和收入来源。

CertiK的专业调查团队对272家区块链和Web3初创企业进行了研究,发现了犯罪分子利用VBML渗透到Web3行业的手段。
正如本文文首的小故事,当个人或组织实施犯罪并积累非法利润时,他们需要使用一种方式来“清洗”他们的资金,以便在不引起怀疑的情况下自由使用这些钱。VBML就是这样一个对犯罪分子来说“绝佳”的方案。

在Web3的背景下,VBML包括犯罪分子用“肮脏”的资金为一个新的Web3项目提供种子资金。这笔最初的种子资金被用来雇佣开发人员及市场营销人员等。犯罪分子将全部非法资金用于这些投资,作为回报,他们会拥有或共同拥有一个颇具前途且富有收益的Web3项目。也是从这里开始,他们将有一个公开的企业来为他们显示资金来源,也就顺理成章地将钱“洗干净”了。

在项目的整个生命周期中,“干净的钱”可以通过多种渠道被多次提取。例如在接下来的融资轮、token销售、工资支付、项目分红以及犯罪分子出售其项目所有权时等多个渠道提取。

调研范围及样本

本Web3企业利用风投进行洗钱的犯罪学研究,是以2022年推出的272个Web3项目为样本进行的。

研究人员特别关注非法所得被作为初始股权注入新的Web3企业的风险。因为“创始”或种子轮融资通常被认为是“个人投资”,对犯罪经营者特别有吸引力。加之受到的审查、控制和反洗钱(AML)法规较少,使其不太可能被执法部门发现。此外,这一轮投资有可能获得非常诱人的投资回报。

由于后续的融资轮次资金往往来自更大更专业的投资公司,而这些公司本身会受到更彻底的尽职调查,因此有更小的可能接触到犯罪和洗钱。故而本研究尚未评估非法所得被注入后续融资轮次的风险。

调研方法

除了外部攻击的风险外,Web3行业还面临着恶意欺诈团队和合法项目被内部威胁破坏从而产生的风险。为了解决这个问题,CertiK创建了KYC徽章计划。该计划主要是验证和审查项目背后的团队,只有同意接受全面背景调查的项目团队才会被授予徽章。这就把那些经过验证的、透明的、且更加负责的团队与其他项目区分了开来。

在加强尽职调查的过程中,以及对团队和项目管理的彻底审查中,CertiK的专家调查团队能够识别种子资金来源存在隐性问题的项目,并通过差异化分析、比对风险数据和已知的具有不良记录的Web3项目数据库,来多层检验项目的安全和可靠性。

此外,CertiK的调查员也曾有过调查大规模洗钱案件的经验。通过与高风险申请人直接交谈,调查员可以进一步评估并确定这些问题。
在某些情况下,真正的项目创始人和所有者会使用欺骗手段隐藏在前台团队的背后,并与犯罪活动有直接的联系,如各种诈骗,甚至是国际贩毒活动。

下文将为大家介绍CertiK的研究成果。

VBML在Web3行业的普遍性

在272个项目的匿名样本中,CertiK预估有3.68%至7.72%的Web3项目面临VBML风险。这表明,有3%甚至高达7%的新Web3项目可能是由犯罪分子提供的“黑钱”而开始运作的

如果我们将这一比例推演到2022年资金最充足的1500个Web3项目中,并估计一项Web3企业至少需要15万美元的种子资金用于初始研发和营销,那么VBML风险相关的资金将达到每年800万至1700万美元
值得注意的是,这一预测是针对种子资金的,并不包括其他融资轮。此外,这一预测还不包括其他已知的洗钱方法。

与全球洗钱规模比较

全球洗钱的规模与全世界犯罪产生的现金数额成正比,因此了解该数字十分有意义。联合国毒品和犯罪问题办公室(UNODC)估计,全球每年洗钱的总额相当于全球GDP的2%到5%,这表明犯罪分子目前每年都会清洗1.9万亿至4.8万亿美元的犯罪收益。
相比之下,Web3犯罪收益估计为每年37亿美元(约占全球犯罪收益的0.15%),而本文研究的Web3风投洗钱,预计每年可清洗约800万至1700万美元

Web3风投洗钱,为犯罪分子提供了一种非常有效、有利可图且风险较低的途径。然而,每个公司初始种子资金规模较小,这种风投机会数量也有限,因此该方法和规模不足以满足全球洗钱的需求。

猫鼠游戏的发展

洗钱(ML)和反洗钱(AML)是在20世纪的过程中逐步发展起来的犯罪学概念。最初,洗钱不被认为是一种独立的犯罪,而是作为一种战略来破坏犯罪活动,如贩毒、抢劫银行和腐败等。针对犯罪分子的财富从而破坏犯罪,比起诉他们原来的犯罪活动更有效。

因为洗钱本身就是一种犯罪,这种策略被采用后,自然造成了很多负面影响。在短期来看,或许可以产生一些积极的影响,如为企业、城市和国家带来急需的资本;但从长远来看,它对国家和经济有着严重且不可逆转的负面影响:如长期不加控制,洗钱会增加腐败和有组织的犯罪,降低企业的商誉、生产力和竞争力,破坏对法律和机构的信任,并威胁到社会稳定。

监管部署反洗钱措施

监管机构试图通过系统性反洗钱措施来减少犯罪和腐败。除了针对洗钱的罪犯,现在还有第二层反洗钱措施,即针对任何参与帮助罪犯洗钱以及该系统内的人员(包括非罪犯)。这一层额外的反洗钱法规意味着,当犯罪分子被逮捕时,他们不仅可以因其原来的罪行而被指控和定罪,还可以因不遵守反洗钱法规而被指控和定罪,从而利于刑事起诉。

魔高一丈 洗钱策略的提升

尽管全球每年用于反洗钱的成本高达2740亿美元左右,并且目前已对诚实的零售用户和合法组织施加了严苛的限制,但魔高一丈,仍有犯罪组织在继续适应新的反洗钱政策,并且在不断创新洗钱策略。

目前,犯罪分子每年仍然能够清洗约1.9万亿至4.8万亿美元的犯罪所得,而利用贸易的洗钱行为是最经常使用的洗钱方法之一,毕竟它很容易被隐藏在每年28.5万亿美元的庞大全球贸易市场中。而利用房地产行业进行洗钱对犯罪分子也很有吸引力,因为它合法、安全、有利可图,而且是迄今为止最大的财富储备行业,总市场规模估计为326万亿美元

下图显示了犯罪分子使用的各种洗钱渠道。

保护Web3财务完整性

与其他洗钱类型相比,Web3中利用风投的洗钱比例似乎相对较小,但它仍是Web3企业的一个严重威胁。Web3行业因存在利用风投洗钱,从而使被黑钱波及到的项目面临着运营、声誉和法律风险。对犯罪所得视而不见的经济体系,或许在短期内会受益,但从长远来看,会有严重的负面影响。

除了遵守法律之外,Web3行业的经济健康取决于其在金融诚信方面的努力。CertiK研究证实,用不法渠道获得的资金秘密提供种子资金用以支持Web3项目,对其用户和投资者来说可谓是风险最高的项目,而其导致的项目失败、欺诈和诈骗的比率也相应更高。

三点重要启示

以下是CertiK专家团队从调查角度,对Web3中的洗钱行为总结的三点启示:

一、永远不要打擦边球,即使是软性洗钱。如不遵守反洗钱法规而转移合法赚取的钱财,也是一个严重的合规问题。

危险的犯罪分子,如贩毒者、小偷和腐败官员,不难清洗大量的犯罪所得,而一辈子勤恳诚实的百姓或小企业,若因涉及转移资金而成为被针对的目标,将得不偿失。

值得注意的是,与Web3有关的犯罪收益(2022年为37亿美元)只占全球洗钱(估计每年为1.9至4.8万亿美元)的极小部分(0.15%),而国际贸易和房地产仍是洗钱占比最大的有利工具。


二、区块链不是问题,而是解决方案。区块链经常被指责为犯罪和洗钱提供便利,但区块链技术提供了透明度和可追溯性,可以帮助经济和政治系统建立其完整性。当该技术被广泛采用时,它可以帮助检测和调查洗钱和欺诈行为,以及直接预防和打击核心犯罪活动。


三、尽职调查对于Web3金融完整性至关重要。由于该行业相对较新,与其他行业相比,标准和准则较少,导致一些项目低估了尽职调查的重要性,进而损害了项目的安全性和完整性。

为了降低Web3企业中利用风投洗钱的风险,CertiK专家建议对新Web3项目的主要投资者、核心团队成员和所有者进行尽职调查,以降低项目初始资金被犯罪分子用来洗钱的风险。而犯罪经营者往往隐藏在中介机构背后,因此需要进行彻底的背景调查。


使用第三方安全审计进行尽职调查评估,可以大大增强Web3项目的安全性和完整性。在犯罪和背景调查方面受过专门培训并有经验的安全专家,则更善于发现欺诈行为并有效评估犯罪风险。

作者:CertiK

加密钱包暴雷事件汇总

据统计,2022年黑客从Web3.0协议中盗取了价值超过37亿美元的资产,这个数字比2021年的13亿美元损失增加了189%

这些资产被盗的原因大部分是由于网络钓鱼攻击中的私钥泄露或智能合约中的漏洞,但也有相当数量的资金是被盗于数字货币钱包。

这些钱包事件既影响了个人用户,如Fenbushi Capital的Bo Shen:4200万美元的数字货币资产被盗;也影响了大批用户群体,如Slope及Bitkeep钱包事件,影响了超过9000个用户账户

然而这些事件中的一部分原本是可以避免的——因为这些漏洞可以在钱包安全评估中被发现。

CertiK在过去几年中已经保障了数百个钱包应用的安全。

在本文中,我们将重新审视2022年发生的与数字货币钱包相关的主要安全事件,并探讨其技术细节。

此外,我们将对我们在为客户的钱包应用程序进行研究和安全评估时发现的常见安全漏洞进行总结。文末我们将列出一些可供钱包用户参考的安全建议,以降低被黑风险。

~2022年主要的加密货币钱包相关事件~

Slope钱包

2022年最著名、影响最大的加密货币钱包安全事件源于Slope钱包对私钥的不当处理。

Slope钱包是一个非托管的数字货币钱包,适用于iOS和Android、Chrome浏览器的扩展。

它支持多个区块链,但主要活跃于Solana区块链。

2022年8月2日晚,价值约410万美元的资产在大约四个小时的时间里被从9231名用户的钱包地址中盗取。

在事件发生的前几个小时,当根本原因不明时,用户就已出现了恐慌,Solana区块链被黑的谣言也开始不胫而走。

在攻击发生的几小时后,一名推特用户发布了一张截图,显示了来自Slope移动钱包的HTTP流量(其中包含了该用户的助记词)。CertiK发现在导入钱包账户时,用户的助记词将被发送到Slope的Sentry日志服务器,任何有权访问日志的人都可以接管该账户并从该地址转移所有资产

该攻击事件发生两周后,Slope钱包发布了“取证和事件响应报告”。

从报告中我们可以得知,2022年7月28日起,用户私钥就已经会被记录于数据库中,然而这一漏洞风险在经过安全审计或是内部审查后其实非常容易被发现

发布报告后至今,Slope钱包团队未于社交媒体上再发表任何回应。

Profanity

Profanity是一个基于GPU的Vanity地址(靓号地址)生成工具,允许用户生成自己喜欢的Vanity自定义外部账户(EOA)和智能合约地址。

Profanity使用一个随机的种子数来将其扩展为初始私钥,并通过GPU根据初始私钥计算数百万个帐户,以此暴力创建满足用户要求的地址。

从技术上讲,Profity并不是一个钱包应用程序,但它确实有一个与几乎所有数字货币钱包通用的功能:生成钱包账户

这就是由风险账户导致了恶劣后果的完美案例。

2022年9月15日,1Inch团队发表了一篇文章《以太坊vanity地址工具Profanity中披露的一个漏洞》,讲述Profanity工具使用不安全的种子,该工具生成账户的私钥可以被轻易破解。此后该漏洞首次引起了人们的注意。

五天后,即9月20日,最大数字资产做市商之一的Wintermute的一个钱包账户被黑,攻击者利用该账户从一个智能合约中提取了约1.625亿美元

10月11日,QanxBridge的部署者账户被黑,攻击者利用该账户从Bridge上提取$Qanx并出售。多个攻击者同时也在区块链上积极寻找有漏洞的账户并窃取资金。

这类问题的根本原因在于,种子总数也许只有2^32(40亿)。不安全的种子和可逆的暴力过程使恢复使用该工具生成账户的私钥成为可能。CertiK成功开发了一个概念验证程序,并能够恢复Wintermute和Qanx部署者账户的私钥。

这样的事件并非独例。

2013年,Android系统的随机数生成器中,一个类似的漏洞被发现,影响了比特币钱包的创建。

密码学是一个复杂的领域,因此很容易犯下损害安全的错误。一条金科玉律就是“don’t roll your own crypto”(不要从头开始建立一个加密函数。因为新的函数没有经过足够长时间的检验,它可能会存在诸多漏洞)。

幸运的是,大多数数字货币钱包在处理创建钱包账户时,都会使用如 “bip39″这样的既定的库。

MetaMask的iCloud备份

4月17日,被3000多万人用来存储和管理数字资产的主流加数字币钱包MetaMask警告其iOS用户,在Apple iCloud中存储钱包秘密存在潜在风险。

如助记词这样的钱包敏感信息在上传到iCloud时是加密的,但如果其所有者的Apple账户被泄露,且使用了低强度的密码,那他们的数字资产很可能会面临风险。

这一警告是由一次代价高昂的钓鱼攻击换来的。

在这次攻击中,推特账号为@revive_dom的用户Domenic Iacovone损失了大量的数字货币和非同质化token,总计价值约65万美金

骗子假装是Apple公司的支持人员,借此获得了Iacovone的iCloud账户的访问权,并使用存储的MetaMask凭证耗尽了他的钱包,让他成为了这场社会工程攻击的受害者。
钱包应将包含助记词的保管库存储于不会被iCloud备份的位置,如果这一点无法实现,应用程序也应警告用户:在创建账户时禁用iCloud备份以确保钱包安全。

SeaFlower

一个安全研究小组发现,有一个组织SeaFlower正在传播合法数字货币钱包的恶意版本(包括Coinbase Wallet、MetaMask、TokenPocket和imToken),会导致用户的助记词被通过后门窃取。这些修改过的钱包会按照预期运行,但允许攻击者通过使用窃取的助记词来获取用户的数字货币。

SeaFlower向尽可能多的用户传播数字货币钱包应用程序的木马版本是通过包括创建山寨网站和攻击搜索引擎优化(SEO)等各类方式实现的,或是通过社交媒体渠道、论坛和通过恶意广告推广这些应用程序,但其主要传播渠道是通过搜索服务

研究人员发现,百度引擎的搜索结果尤其会受到SeaFlower的影响,将大量流量引向恶意网站。

在iOS设备上,攻击者可以通过滥用配置文件绕过安全保护以对恶意应用进行side-load——这些配置文件可将开发人员和设备链接到授权的开发团队,并允许设备用于测试应用程序代码,因此攻击者可以利用它们向设备添加恶意应用程序。

数字货币钱包应用的常见安全问题

  • 钱包敏感信息被上传到服务器,或在服务器端生成钱包

最关键的风险之一是将钱包敏感信息上传到服务器或在服务器端生成钱包。对于非托管钱包,钱包敏感信息应存储于用户的设备中——即使它们是以加密的形式存在,这种高度敏感的数据仍可能会在传输过程中被截获,或者被泄露给能够访问服务器的数据库或日志的人。

  • 不安全的存储

当敏感信息(如钱包密码和其它机密)以纯文本或在设备上的不安全位置存储时,就会出现安全风险。

这种情况包括Android上的外部存储或iOS上的“UserDefaults”。

当使用不安全的密钥派生函数来生成加密密钥时,或者当使用不安全的加密算法来保护数据时,也可能发生这种情况。

  • 缺少对操作和运行环境的安全检查

除了安全地存储数据外,钱包应用程序还应该确保其运行的安全和底层运行环境的安全。这一类的一些常见问题包括缺乏root和越狱检测,无法阻止用户对钱包敏感信息进行截图、应用程序在后台运行时未能隐藏敏感信息,以及允许在敏感输入字段使用自定义键盘。

  • 扩展钱包中缺乏对恶意网站的防范

大多数DApp都是Web应用程序,使用浏览器扩展钱包是最常见的交互方式。

然而,扩展钱包的一个共同问题是缺乏对恶意网站的防范。例如,一个不安全的钱包可能允许恶意网站获取用户的钱包账户信息,或在用户同意将其钱包连接到该网站之前接受交易签名请求;当从恶意网站接收恶意数据时,钱包可能会出现故障。

对钱包用户的建议

采取预防措施以保护你的数字资产并确保钱包使用安全非常重要。数字货币领域充满了黑客及欺诈者带来的风险。

下文是一份用户可以参考或遵循的建议清单,以减少被黑客攻击的可能性。

选择符合安全标准的钱包。一些钱包可能存在漏洞,容易受到黑客攻击或其他安全漏洞的影响。请只使用经过安全公司安全测试、彻底检查潜在的漏洞且认为符合安全标准的钱包。

② 从官方的iOS商店和Google Play商店下载应用程序有助于确保你获取该应用程序的合法版本

保持设备更新十分重要,因为软件更新通常包括对已发现的漏洞的安全修复。
④ 使用专门的手机或个人电脑来安装钱包应用程序,请勿使用日常工作的设备,这有助于降低被意外安装的恶意应用程序破坏的风险。
⑤ 如果你持有大量的数字货币,并希望确保其尽可能安全,可以考虑使用硬件钱包

写在最后

新Layer 1和Layer 2区块链正在持续发展,鉴于许多现有的钱包与这些新的区块链并不兼容,市场上将会推出更多的数字货币钱包。

尽可能地降低钱包的安全风险需要用户和钱包开发者共同的努力:用户需要遵循最佳实践并保持警惕以防止被黑客入侵;开发团队则需要编写安全的代码,并对其钱包应用进行安全审计。

作者:CertiK