上週發生一起黑客攻擊事件,比特瀏覽器的許多用戶於社群反應其私鑰被盜,有猜測稱該情況因使用比特指紋瀏覽器所致,開啟了擴展數據同步的用戶錢包有被盜風險,建議立即採取措施,轉走錢包資產。比特瀏覽器是一款多賬戶管理工具,允許用戶輕易建立多個IP 的瀏覽器視窗分頁。
目前單一用戶最高被盜資產高達6 萬美金,並有超過3,000 個錢包遭到資產損失,總損失高達41 萬美元。比特瀏覽器官方表示目前比特服務端緩存數據遭到黑客入侵導致用戶的私鑰外洩和資產被不法轉移,已經報案,並聯繫MetaMask 凍結黑客錢包。然而,由於缺乏透明度和即時的危機處理,部分用戶對其採取的措施表示質疑和不信任。
而根據昨日8/29 最新消息,慢霧首席信息安全官23pds 在推特上表示:“關於比特瀏覽器大量用戶被盜的情況,目前我們已經聯合合作夥伴成功攔截了一部分在洗的資金。比特瀏覽器正在立案,立案成功慢霧會正式介入。”
指紋瀏覽器與空投獵人
對於空投獵人來說,如何防止多賬號關聯一直是重點研究的一件事,除了最基礎的隔離鏈上地址之間的關聯外,IP 隔離也是很多人在意的點,而指紋瀏覽器便是為了這需求誕生的產品。指紋瀏覽器可以模擬不同的瀏覽器指紋,防止賬號關聯和被封禁,這對於多賬戶操作如跨境電商、社交媒體、廣告投放等業務來說相當有用。
瀏覽器與錢包安全問題
但同時需要注意的是,無論是比特瀏覽器還是其他第三方修改的瀏覽器,或是其他類似的多賬戶管理工具,用戶都需要高度警覺以下幾個安全問題:
-
瀏覽器或插件本身的安全性:由於此類型為了特殊需求衍生的瀏覽器大多在Chrome 核心基礎上修改,但在版本更新上可能因此會無法第一時間便更新至最新版本,以至於黑客能利用和新版本與第三方版本不同步的更新時差,在這段時間內找出漏洞攻擊。因此,用戶應選擇信譽良好和安全性高的工具,並定期更新到最新版本。
-
用戶自身的操作安全:私鑰管理是大多是加密貨幣使用第一堂便需要學習的課程,但久而久之有許多用戶因為被黑這件事自己從未遇過便忽視了其重要性,私鑰是必須備份且絕對不建議聯網儲存的或與他人分享的,儘管許多平台皆保證皆會加密處理,但將自己財務風險暴露在其他人的軟件上,仍不是個明智之舉。
-
與第三方服務的互動:在鏈上與Dapps 互動時需特別注意,是否為官方管道避免被仿冒的釣魚網站騙走資產,而在與新協議互動式需要花費更多的時間來確保此項目是否有人背書或是團隊是否正規,切勿一股腦上頭便急忙的操作。
筆者觀點
這次比特瀏覽器的黑客攻擊事件是一個警鐘,提醒所有涉足加密貨幣的個人和機構,特別是管理眾多帳戶地址的空投獵人或工作室,必須更加嚴格地註意自己的資訊安全和私鑰管理,在這類型的第三方服務器下最好是使用無私鑰的AA 錢包,或是使用wallet connect / coinbase wallet 等利用手機掃碼操作的錢包,避免私鑰直接曝露在第三方公司運營的平台上。
從比特瀏覽器官方的回應便可以知曉其團隊對於區塊鏈安全的了解有待提高,竟表示聯繫MetaMask 凍結黑客錢包令人啼笑皆非。當資料洩漏一事發生在其他Web2 使用者佔多數的平台可能後果不是如此巨大,但當你的使用者大多是Web3 用戶時便不是這麼一回事了。而對於用戶來說只有建立全面的安全機制和緊急應對計劃,才能在這個高風險但高報酬的領域中長期生存,畢竟為了空投獎勵而損失本金便有些本末倒置了。
免責聲明
本研究報告內的信息均來自公開披露資料,且本文中的觀點僅作為研究目的,並不代表任何投資意見。報告中出具的觀點和預測僅為出具日的分析和判斷,不具備永久有效性。
