Nexus Mutual 创始人亲笔：37 万 NXM 代币是这样被黑客窃走

币圈资讯 4 年前 5.3K

首码项目微信群，加微信：WX-93588 （加微信时备注散户/团队长）⬅️此处为全站广告位，与正文项目无关
注册并登录App即可领取高达 60,000 元的数字货币盲盒：点击此处注册OKX

时刻布景

国际标准时刻 12 月 14 日星期一上午 9 点 40 分，我被骗同意了一笔总计 37 万枚 NXM 代币的买卖。我原认为这笔买卖是自己挖矿奖赏的钱，但成果却直接发送给了黑客，这位黑客随后将窃取的 NXM 代币清算兑换成了比特币和以太坊，接着又把这些资金分散到不同的地址和买卖所。

Nexus Mutual 创始人亲笔：37 万 NXM 代币是这样被黑客窃走

我当时运用的是连接到 Ledger 的 Metamask 钱包，经过 Nexus Mutual 应用程序进行交互，电脑是 Windows 操作系统，现在 Ledger 上的私钥是安全的，Nexus Mutual 智能合约和资金也都没有受到影响，因而基本上能够判别这次应该仅仅一次个人进犯。

到现在为止的作业情节

在这次针对性进犯作业中，咱们大约知道以下几点状况：

国际标准时刻 12 月 11 日星期五 10：20 左右，我正在写一封电子邮件，突然计算机屏幕变黑了 2-3 秒钟，但很快就恢复了，当时我认为电脑可能仅仅产生一些奇怪的作业，因而并没有太介意。
大约一个小时之后，也便是国际标准时刻 12 月 11 日星期五 11：20 左右，我磁盘受到感染，其间 Metamask 钱包扩展程序被黑客版别所替代。有关细节信息能够参考此处和 background.js 文件。
实际上，我直到 12 月 14 日星期一才经过 Metamask 钱包扩展程序进行加密钱银买卖。
国际标准时刻 12 月 14 日星期一上午 9:40，我想去 Nexus Mutual 应用程序提取一些挖矿奖赏的代币。像平常一样，MetaMask 弹出提币申请承认信息，这其实没什么奇怪的，由于每次买卖都会弹出承认信息，全部看起来很正常。但问题是，这个承认信息里包括了发送到 Ledger 的一笔诈骗性买卖。成果，我点击了「承认」。
这笔买卖很快就呈现在 Ledger 上，我勾选买卖信息后点击了「同意」。实际上，假如我此刻检查一下「收件人」地址和其他买卖信息就可能发现其间的问题，可是由于 Ledger 还没有直接支撑 NXM，因而买卖信息中并没有默许带入收件人等相关可读信息。
接着，我收到了 MetaMask 通知提醒，奉告我买卖现已完结，但 Nexus Mutual 应用程序仍在等待承认买卖，此刻我发现状况不对，所以检查 Etherscan，成果发现这笔钱转到了黑客的地址。

回过头看，我犯错的地方产生在上述第 5 个过程，买卖时应该多加当心，能够说这次黑客盗窃作业完全是我自己的责任。但我要指出的是，除非你是一个很熟悉加密钱银技能的人，不然很难在转账时分细心检查相关信息，毕竟十六进制格式的信息是很难阅读的。就个人而言，我自己其实具有满足的技能知识，也理解这些信息代表的含义，但仍是犯错了，所以普通用户在这儿很容易栽跟头。

此外，我之前一向在自己信赖的网站获取加密钱银奖赏代币，比方 Nexus Mutual APP，由于我觉得在官方平台上买卖危险会比较低，但从本次黑客进犯作业中发现，不论是不是可信站点，也不论买卖价值是多少，每次承认买卖之前都必须细心检查信息。

现在，我计划启动查询本次黑客作业，并在社区的协助下追踪资金，感谢咱们支撑！在此，我想感谢很多人的支撑，尤其是 Sergej Kunz、Julien Bouteloup、Harry Sniko、Richard Chen、Banteg，还有些人我现在不太便利泄漏名字。

查询成果摘要

曩昔，大多数 MetaMask 黑客进犯都是诱运用户下载包括歹意代码的虚假程序版别，然后窃走用户私钥。但这次状况有所不同。我的计算机现已损坏，磁盘里的 MetaMask 应用程序被篡改，这意味着浏览器扩展程序呈现问题时不会呈现正告信息。
据了解，这个歹意扩展配置是从 coinbene.team 获取的，咱们从这个域名追踪到了一些 IP 地址，如下图所示：

Nexus Mutual 创始人亲笔：37 万 NXM 代币是这样被黑客窃走

我的浏览器已进入开发者模式，但我不是开发人员，因而这个操作很可能是由黑客执行的。
咱们发现有其他受害者也遭到了相似的进犯，并与之进行了联系。
本次进犯似乎具有很高的针对性，由于黑客没有拿走受害者可能具有的全部 NXM 代币，因而黑客似乎已为我专门部署了事先准备好的买卖负载。

下面我将列出相关性最高的几个黑客地址：

以太坊：

0xad6a4ace6dcc21c93ca9dbc8a21c7d3a726c1fb1
0x03e89f2e1ebcea5d94c1b530f638cea3950c2e2b
0x09923e35f19687a524bbca7d42b92b6748534f25
0x0784051d5136a5ccb47ddb3a15243890f5268482
0x0adab45946372c2be1b94eead4b385210a8ebf0b

比特币：

3DZTKLmxo56JXFEeDoKU8C4Xc37ZpNqEZN

Messaging (?) Channel

0x756c4628e57f7e7f8a459ec2752968360cf4d1aa

还有哪些作业咱们不知道？

首先，我不知道自己的计算机是如何被入侵的。

在曩昔的一周时刻里，我与杀毒软件提供商卡巴斯基的专家在被感染的计算机上花费了很多时刻允许完整确诊程序，但现在还没有任何成果，这项作业仍在进行中。

黑客是谁？

从咱们现在看到的状况，这个黑客十分凶猛，但也说明进犯作业很可能会继续产生，并且会影响越来越多人。能够说，这个黑客十分有才调，很可能是一个或多个来自大型技能团队的成员。咱们在 Telegram 上与一位黑客进行了简略对话，依据他们的买卖活动，咱们觉得这个黑客身处在亚洲时区。

现在查询作业仍在继续，假如有任何可用信息，咱们会及时分享、发布出来。

学到的经验

一些比较熟悉 DeFi 行业的用户总是不太信赖 MetaMask，他们甚至会专门拿出一台「洁净」的计算机来运行 MetaMask，这台设备只用来签署买卖，其他什么都不做。

MetaMask 的确是许多黑客进犯的方针，所以我一向十分谨慎地从正规渠道下载程序，但即便如此，我的电脑仍是被感染了。假如你想规避此类问题产生，能够尽量将资金分配到不同账户，这样能够最大程度减少丢失。此外，在签名之前必须检查一下硬件钱包的买卖信息（说起来容易做起来难，尤其是在与智能合约交互的时分）。

到现在为止，咱们还没有拿到有关黑客的开源情报，但现在现已在 Etherscan 上标记了黑客地址，尽管这是查询作业迈出的重要一步，但后续仍有许多作业要处理。