1. 最复杂的

·损失：3 万美元

·方法：木马化硬件钱包

加密货币易于窃取和套现，是攻击者最青睐的数字资产之一。因此，严谨的投资者经常使用硬件加密钱包来保护他们的加密投资。这种钱包将私钥存储在易受攻击的电脑和智能手机之外，使签署交易更加安全。但不幸的是，拥有一个硬件钱包并不能保证资金安全，正如下述客户所经历的那样。

2023 年 5 月，一名加密货币投资者购买了一款非常流行的硬件钱包 Trezor Model T.，它使用完全开源代码（软件和硬件方面）并且基于流行的 STM32F427 微控制器。Trezor Model T 供应商采取了广泛的安全措施，从理论上讲，应该可以可靠地保护设备免受攻击者的攻击。

然而，分析结果显示，这是一个非常狡猾的假货，带有网络犯罪分子知道的预闪私钥和密码弱化系统。当钱包里出现钱时，黑客们就会直接把钱取出来，这甚至是在钱包没有连接到电脑的情况下实现的。

【虚假硬件钱包更新模式屏幕】

2. 最大的

·损失：5.4 亿美元

·方法：服务器破解

很长一段时间以来，加密货币历史上最大的黑客攻击都是 Mt. Gox 交易所 4.6 亿美元被盗，导致该交易所在 2014 年倒闭。但在 2022 年，著名的边玩边赚（P2E）游戏 Axie Infinity 背后的开发团队 Sky Mavis 遭遇了一次巨大的黑客攻击。该团队负责管理支撑 Ronin 跨链桥（bridge）的基础设施，该跨链桥允许用户在以太坊和 Axie Infinity 的 Ronin 侧链之间来回发送加密货币。然而，该基础设施遭到黑客攻击，损失高达 5.4- 6.25 亿美元。

据悉，Ronin 侧链目前由 9 个验证者节点保护，为了识别 Deposit（存款）事件或 Withdraw （取款）事件，需要这 9 个验证者中的 5 个进行签名。但 2022 年 3 月 23 日，攻击者成功地控制了 9 个节点中的 5 个（包括 Sky Mavis 自己运行的 4 个验证者节点以及 1 个由 Axie DAO 运行的验证者节点），并盗取了私钥。然后，该攻击者使用这 5 个节点的签名从 Ronin 跨链桥取出 173,600 ETH 和 2550 万 USDC，预计价值约合 5.4- 6.25 亿美元。

直至 3 月 29 日，一名用户无法通过 Ronin 跨链桥取出自己的 5,000 ETH，这才使 Sky Mavis 团队意识到这些资金已经在上周从该跨链桥被窃走。

Sky Mavis 对此次攻击的回应是暂停了 Ronin 跨链桥和 Ronin 侧链上的 Katana 交易所，迁移了节点基础设施，并与执法部门、大型加密交易所和 Chainalysis 合作，以尽可能地捕获该攻击者。

3. 最执着的

·损失：未知

·方法：假冒 Chrome 扩展

这些攻击由 BlueNoroff 组织实施，并于 2022 年被卡巴斯基研究人员发现，主要针对使用加密货币的金融科技公司。在这一系列攻击中，黑客利用看似来自风险投资基金的网络钓鱼邮件渗透到目标公司的内部网络。当受害者打开恶意电子邮件附件时，一个木马会自动安装在计算机上，允许攻击者窃取信息并安装额外的恶意软件。如果攻击者对目标组织的电子邮件感兴趣，他们甚至会在该组织的网络中 " 潜伏 " 数月，耐心程度可见一斑。

与此同时，密码盗窃本身是通过一个名为 "Metamask" 的修改版 Chrome 扩展进行的。通过安装他们的 Metamask 版本而非官方版本，网络犯罪分子能够观察和修改受害者的合法加密货币交易。在这种情况下，即使使用硬件加密钱包也无法提供足够的保护。

4. 最费解的

·损失：3500 万美元

·方法：未知

2023 年 6 月 2 日，攻击者瞄准了去中心化的原子钱包（Atomic Wallet），这是一款移动端和桌面端的加密货币钱包应用，允许用户存储不同类型的加密货币。

6 月 3 日，Atomic Wallet 开发人员证实了此次黑客攻击事件，但尚不清楚攻击是如何实现的。值得庆幸的是，Atomic Wallet 的服务器上既没有存储密码，也没有存储私钥，因此攻击可能与用户计算机上发生的事情存在联系。

加密货币追踪专家表示，攻击者使用的作案手法类似于 Lazarus group。如果它是 Lazarus group，那么它很可能是通过假冒的 Atomic Wallet 木马版本（类似于 Lazarus group 针对 DeFi 的攻击）进行的攻击，或者是在官方应用程序中对开发人员本身进行的木马攻击。

作为响应，Atomic Wallet 在事件发生后便对事件进行了调查 ，并拦截了在加密货币交易所交易的被盗加密货币。因为其软件可能被黑，为防止受害者范围进一步扩大，Atomic Wallet 还下线了其下载服务器。

区块链安全公司 ZachXBT 收集了从 Atomic Wallet 受害者处窃取的资金交易，据初步估计，价值约 3500 万美元的加密货币被盗。截至目前，仍不知加密货币被盗的具体原因。

5. 最戏剧化的

·损失：400 万美元

·方法：面对面会议

为了窃取加密货币，一些网络犯罪分子设置了 " 猫鼠游戏（Catch Me If You can）" 式的骗局。" 投资基金 " 会与目标公司（寻找投资者的公司）接洽，讨论对该业务的潜在大笔投资。在几次电话和电子邮件之后，他们安排在一家豪华酒店与受害者——一般是初创公司的首席执行官——进行面对面的会谈。

面谈过程中，所有的法律和财务问题都会被详细讨论，然后，在一个巧妙的借口下，谈话转向投资和加密货币费用。这时候，诈骗者会偷看受害者的助记词（seed phrase，用于恢复钱包，以重新恢复对钱包的所有权），或者短暂地掌控他们的加密钱包，清空其中的所有资金。在一起案件中，受害者被骗了 400 万美元。

6. 最优雅的

·方法：虚假信件和钱包

这听起来像是侦探小说的情节：网络犯罪分子向购买 Ledger 硬件钱包的买家发送纸质信件。为了获得邮件列表，他们要么入侵了一个未具名的第三方（可能是 Ledger 的承包商），要么利用了之前泄露的用户数据。

这封信通知收件人，由于安全问题，他们的 Ledger Nano X 硬件钱包必须更换，并且将保修期内免费更换的钱包随意地附在信上。事实上，这个封闭的盒子里装着一个伪装成 Nano x 且被恶意软件感染的闪存盘。在第一次启动时，该程序要求受害者执行 " 密钥导入 " 并输入他们的秘密助记词来恢复对钱包的访问，这样做的后果显而易见。值得庆幸的是，许多收信人并没有上当：尽管包装令人信服，但这封信本身就有许多拼写错误。所以说，保持警惕是有好处的！

7. 最不起眼的

·方法：恶意软件

最不起眼的当属 " 地址替换攻击 "，这种攻击通常在剪贴板注入恶意软件的帮助下进行。在感染受害者的计算机后，恶意软件会默默地监控剪贴板上的加密钱包地址：当一个地址抵达时，恶意软件会用攻击者的钱包地址替换它。因此，通过在转账过程中简单地复制和粘贴地址，网络犯罪分子就可以很轻松地将资金转移到他们控制的钱包中。

8. 最伤人的

·损失：15,000 美元

·方法：情书

" 浪漫骗局 "（Romantic scam）仍然是欺骗私人加密投资者的最常见方式之一。让我们来看一个具体的例子。Kevin Kok 拥有多年的加密投资经验，但即使是他，也被一段攻势猛烈的恋情所蒙蔽。

他在一个约会网站上认识了一个女人，和她聊了几个月，在此期间，并未出现过任何有关投资的话题。后来有一天，她突然分享了一款方便的新型加密投资应用程序，并表示自己不会操作，也不清楚是否可靠，于是寻求帮助，这样她就可以把自己的钱存进去了。当然，Kevin 主动提出了要帮忙。在看到新情人的资产增值后，他确信这款应用程序运行良好。所以他决定用自己的钱投资，并期待获取高回报率。直到那个女人突然从所有的通讯软件中消失，不再回复他的信息，Kevin 才开始怀疑起来。但悔之已晚的是，他发现不可能从 " 投资系统 " 中提取资金。

结语

关于侵害用户权益行为的APP（SDK）通报

（2023年第4批，总第30批）

工业和信息化部高度重视用户权益保护工作，依据《个人信息保护法》《网络安全法》《电信条例》《电信和互联网用户个人信息保护规定》等法律法规，持续开展APP侵害用户权益专项整治行动。近期，我部组织第三方检测机构对群众关注的休闲娱乐、实用工具、出行服务等移动互联网应用程序（APP）及第三方软件开发工具包（SDK）进行检查。发现31款APP（SDK）存在侵害用户权益行为（详见附件），现予以通报。

上述APP及SDK应按有关规定进行整改，整改落实不到位的，我部将依法依规组织开展相关处置工作。

附件：工业和信息化部通报存在问题的APP（SDK）名单

工业和信息化部信息通信管理局

2023年7月7日

‍