V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
hour2015
V2EX  ›  信息安全

Metamask 钱包被掏了,损失 100 多 U,不指望能追回来,希望 V 友们分析下到底是哪个环节泄露了私钥 or 助记词?

  •  
  •   hour2015 · 189 天前 · 8044 次点击
    这是一个创建于 189 天前的主题,其中的信息可能已经有所发展或是发生改变。

    悲催,币安网的 USDT 和 BNB 被黑客盗走了,好在金额不多,大概 120 刀左右,大概情况如下: 1 )我用印象云笔记存储了助记词,大概有 4~5 个月了,平常交易都是用 Metamask 浏览器插件; 2 )前几天手机上安装了 tokenPocket ,然后用电脑微信把云笔记的助记词复制后,发给了手机微信,导入了 tokenPocket 钱包,手动生成了比较靠后的钱包地址(被盗地址),2~3 天后就被盗了…… 3 ) tokenPocket 是 Google Play 上下载的官方 App ,手机是华为 P30 Pro ,OS 是 Win10 ,常用软件:搜狗输入法、WPS 、有道云笔记(免费版)、Chrome 最新版 117 、uTools

    黑客钱包:0xf604219210963e144d4A145a2462824B412598fa ,这个钱包除了在 goerlia 网上参与过空投外,其他网上都没有记录。

    对应的 2 笔交易 https://www.bscscan.com/tx/0xf25bb031466019f643b41dbb905b16a0a47a40de414c1e8745f9c28766d6ace9

    https://www.bscscan.com/tx/0xeb3823143c82fc40077328545b081118fdb36dd373631a362f7f3d42031a68b3

    可能的分析: 1 、黑客读取印象云笔记得到助记词 2 、黑客读取了粘贴板

    至于具体细节或原因,希望 V 友给点指导和分析~

    81 条回复    2023-11-06 01:43:43 +08:00
    EagerTo
        1
    EagerTo  
       189 天前 via iPhone   ❤️ 13
    华为 P30 尤为亮眼 .
    ryan4yin
        2
    ryan4yin  
       189 天前 via Android
    就这俩原因了吧,建议就是助记词千万别复制粘贴,也别明文存储在任何地方。

    加密保存,密码只放脑子里。
    pengjay
        3
    pengjay  
       189 天前
    手抄吧,太多 app 监控粘贴板了
    Hilong
        4
    Hilong  
       189 天前
    有没有可能是 tokenPocket 的信息泄露呢
    zooo
        5
    zooo  
       189 天前   ❤️ 3
    你这个助记词经历有点多呀,经过好多环节,任何环节都有可能被泄露

    甚至微信,都可能有后台人看到你这个助记词,盗走了..

    根本分析不出来

    提醒下,你用的任何一款 APP 包括手机都有可能收集你的信息,被这些公司的打工人看到,有意之人就盗去了..
    liqiuqiu
        6
    liqiuqiu  
       189 天前
    @zooo 除了 tokenPocket 不了解,其他 app 也不是什么小众软件了,能接触到这些生产环境用户数据的打工人感觉也不会缺这点钱吧,冒这么大风险干这事儿明显不太划算啊🤣
    zooo
        7
    zooo  
       189 天前   ❤️ 2
    @liqiuqiu 错了

    这个是零风险的事

    可能做信息审核的人,看到就盗走了,最关键是没法找到谁盗走了,公司也找不到,这也是加密币最大的特点。
    zooo
        8
    zooo  
       189 天前
    无意看到或者有刻意爬着助记词都可能
    886133
        9
    886133  
       189 天前
    印象云笔记
    多半是它
    DIO
        10
    DIO  
       189 天前
    我现在多端敏感信息传输都用 telegram 。2FA 和重要的密码等信息本地存储用 obsidian 云同步到 nas 。其实笔记这样不太安全,但是我懒。
    lee82014312
        11
    lee82014312  
       189 天前
    印象云笔记、电脑微信、手机微信、搜狗输入法、WPS 、有道云笔记(免费版)
    Cherchez
        12
    Cherchez  
       189 天前
    token pocket 本身就不太那啥
    MFWT
        13
    MFWT  
       189 天前
    助记词千万不要放到第三方云服务商,不然丢失概率是非常大的
    如果要跨设备转移,建议:

    1. 可信的移动存储设备,比如自己的 U 盘和硬盘
    2. 如果手头有 VPS 的,可以放到 VPS 上的一个文件上(也不要直接放/home 什么的,可以放在隐藏目录等地方)
    3. E2E 加密通信软件,比如 tg 的端到端加密+阅后即焚
    4. 最笨但最保密的,手抄手打

    不管放在哪都好,切记切记转移后及时删除,否则干啥安全措施都没用
    MFWT
        14
    MFWT  
       189 天前
    我是建议用手抄手打的,反正也就那十来个词,而且软件一般有自动补全什么的,不必完整打入
    ncepuzs
        15
    ncepuzs  
       189 天前
    tokenPocket 没用过
    Solael
        16
    Solael  
       189 天前
    槽点太多了,这被盗只是时间问题。
    testonly
        17
    testonly  
       189 天前
    大概率是 TokenPocket 自己做的。
    YOU ARE NOT ALONE.请看 YT 视频 G3Xk3vzLjt4 或搜 TokenPocket 官方人员回应用户资产被盗问题,TP 是否还安全?
    许多用这个的都这样,就算不是他们自己做的也铁定是他们有漏洞,但我倾向是他们自己做的。
    streamrx
        18
    streamrx  
       189 天前 via iPhone   ❤️ 2
    炒币还是用苹果的手机和电脑,windows 和安卓连复制粘贴都有可能被窃取
    liuhai233
        19
    liuhai233  
       189 天前
    qmj (网友)也是被搜狗输入法,复制粘贴盗的,10w 刀
    vwo50
        20
    vwo50  
       189 天前   ❤️ 2
    你这 1 、2 、3 ,每一步都有可能被盗
    1. 用云笔记存储,虽说不一定被盗,但是正经人没这么存的
    2. 复制助记词、发给微信,槽点太多
    3. 华为、win 、搜狗输入法,助记词别到处露

    建议看看黑暗森林手册再入圈 https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md
    Terry166
        21
    Terry166  
       189 天前
    任何交易(包括转账)一定是要用你的私钥签名交易的,所以肯定是私钥泄漏了。
    chinaguaiu
        22
    chinaguaiu  
       189 天前
    信息时代,密码之类的东西还是写纸上安全一些
    gam2046
        23
    gam2046  
       189 天前
    矬子里面拔大个子,相比较而言,最有可能的是 TokenPocket
    xmh51
        24
    xmh51  
       189 天前
    大概率知道密钥是干啥的干的,对于微信和云笔记或者粘贴板而言,密钥和助记词反向定位这个单词是币安的而言是非常困难的,也不显示。
    xmh51
        25
    xmh51  
       189 天前
    @zooo 前提是知道这个随机串是啥,一个随机串,反向定位知道他是币安的,基本不现实。
    Hakuku
        26
    Hakuku  
       189 天前
    后面几位记本子上,脑子里都可以。
    不要让任何人有机会看到你完整的私钥或者助记词。
    qbqbqbqb
        27
    qbqbqbqb  
       189 天前   ❤️ 1
    @xmh51 助记词一般指的是 BIP39 助记词,不是随机串,是 12 个英文单词,其中每个英文单词都是在一个 2048 词的词典里选取的。

    你说的“反向定位非常困难”这个根本不成立。懂行的人看到这样 12 个单词,一眼就看出是什么东西了。
    qbqbqbqb
        28
    qbqbqbqb  
       189 天前
    @gam2046 TokenPocket 反而是这么多可能性中相当低的一个。TP 钱包是中国大陆币圈相当普及的一款主流链上钱包软件(根本就不是什么小众软件) 20 、21 年国内炒币大火的时候基本币圈人手一个,有被盗的情况,但总体上还是非常少见。

    最有可能的原因的还是助记词电子存储、随意拷贝。虽然不知道具体泄密原理和途径,但是应验的案例非常多,我身边就有一个朋友因为用微信传输助记词,很快就被盗。
    电子存储传输助记词必被盗,基本上是“百试百灵”,不要有任何侥幸心理。

    根本办法还是要杜绝助记词拍照、截屏、网上传输等等一切非端到端加密电子存储传输手段。
    如果自己不太了解相关安全技术的,尽量只用纸笔抄写助记词。
    对自己电脑手机本地环境安全性有信心(保证无木马后门)的,也可以考虑用密码管理器加密保存,端到端加密传输。
    albert91
        29
    albert91  
       189 天前 via Android
    你手机的粘贴板就是个公共厕所知道吗?你还敢粘贴,你看他们交剪切板权限在你手机中有多说软件有权限读取?别说常用的软件,只要你复制之后,数据会一直在剪贴板中,后续你开启的软件都会有读取权限的!,大概率是输入法,还有微信,wps ,有道云
    kkwa56188
        30
    kkwa56188  
       188 天前
    排除法的话 我会 1.首先排除 已经存了 几个月的云笔记.
    2. tokenPocket :Google Play 上下载的官方 App: 如果 这一百几十刀都被盗的话, 早炸锅了
    2. 有问题的是近几天的那几位.
    e3c78a97e0f8
        31
    e3c78a97e0f8  
       188 天前 via iPhone
    你电脑有病毒木马
    geniussoft
        32
    geniussoft  
       188 天前 via iPhone
    你这五毒俱全……
    PlsDontStop
        33
    PlsDontStop  
       188 天前 via iPhone
    无力吐槽 你这哪一步都不安全 云笔记存助记词 微信复制 竟然还是搜狗输入法 华为手机
    bianhui
        34
    bianhui  
       188 天前
    看着,应该都不是,在想想其他场景吧,自己忽略的。
    ovtfkw
        35
    ovtfkw  
       188 天前 via iPhone
    我助剂词一直存 googlekeep 上 然后用的是 tp 两年多了没啥问题
    hour2015
        36
    hour2015  
    OP
       188 天前
    @vwo50 发现个宝贝,感谢!
    lisxour
        37
    lisxour  
       188 天前
    圈内人表示什么剪切板小偷啥的可能性并不大,根据以往案例更大的可能性是:
    1. 钱包本身就有问题
    2. 装了恶意软件
    3. 访问了恶意网站
    mcdull619
        38
    mcdull619  
       188 天前
    TP 是国人项目 , 尽量少用 。
    lisxour
        39
    lisxour  
       188 天前   ❤️ 2
    @qbqbqbqb #28 我不知道你为什么说 TokenPocket 是主流钱包,我圈内人 18 年玩到现在,只认识 imtoken 、metamask ,而且我刚刚也搜索过 TokenPocket 钱包,有曝光过爆雷事件。
    haohh
        40
    haohh  
       188 天前
    知道用小狐狸和 tp 不应该不知道私钥应该怎么保存啊
    钱不多
    求助大 V
    监控地址 冲交易所后要求冻结
    webcape233
        41
    webcape233  
       188 天前 via iPhone
    诸位现在还能买卖币啊? 什么渠道能买点呢
    dif
        42
    dif  
       188 天前
    @webcape233 我用的欧易
    woooooOOOO
        43
    woooooOOOO  
       188 天前
    光是剪切板这一步,就不知道有多少软件在监测。
    而且就算印象云没有刻意去盗你,他自己的安全措施也未必很强,那么多大公司库都被脱了。
    raycool
        44
    raycool  
       188 天前
    助记词分开,少一两个 或者有个故意写错 自己知道正确的就行。
    uYuki
        45
    uYuki  
       188 天前   ❤️ 1
    你搁这养蛊呢是吧

    华为,搜狗,WPS ,微信

    你丢才是正常,不丢才是奇迹

    而且按你的软件使用习惯,你肯定还有其他很多你根本没有意识到的风险操作

    120 刀那个这样的教训真的太便宜你了
    Kinnice
        46
    Kinnice  
       188 天前
    扫过二维码,或者授权过钱包登录吗
    62742a40
        47
    62742a40  
       188 天前
    你用 chrome 有装什么插件吗,其实我觉得搜狗、wps 、微信并没有什么问题,因为你丢的并不是什么特别明显有指向性的东西,剪贴板无法知道它复制来源是什么
    dongtingyue
        48
    dongtingyue  
       188 天前   ❤️ 1
    我觉得是小狐狸的 chrome 插件有问题。我也是以太币存里面后就没有交易过了。词记录在印象笔记。一两年了都,今年被转走了。
    kloudmuka
        49
    kloudmuka  
       188 天前
    玩币最好用 iPhone 和 macOS ,另外手写助记词看起来虽然很傻,但确实比电子手段保存安全了几个档次
    62742a40
        50
    62742a40  
       188 天前
    chrome 上面有问题的插件不要太多,safari 目前也有往这个趋势靠拢的感觉。其实这种东西你不应该直接复制
    pkwenda
        51
    pkwenda  
       188 天前
    有没有可能是离开工位忘锁屏,被老王看到了
    bing1178
        52
    bing1178  
       188 天前
    变量太多了。你说的这些软件 都是大品牌 比如 wps 微信 云笔记 , 是有风险但是也不一定。 因为这个可以单独测试出来,

    你单独给他们一个助记词看会不会泄露。如果有,我觉得会被网曝出来。 也就是说可以单独测试这个事。

    这是第一个点。第二个点是 你系统中有恶意程序 win 或者 android 都有可能
    NoNewWorld
        53
    NoNewWorld  
       188 天前
    P30 ,肯定是华为泄露了
    hokori
        54
    hokori  
       188 天前
    搜狗输入法这一步就开始了
    morutong
        55
    morutong  
       188 天前
    @NoNewWorld #53 不是的话,你会道歉吗
    Tengdw
        56
    Tengdw  
       188 天前
    大概率剪切板泄露,助记词私钥设备间传输不要一次性发过去,分段发送或者发一部分另外一部分手动输入或者扫二维码输入
    fluffyfoxxo
        57
    fluffyfoxxo  
       188 天前 via iPhone   ❤️ 2
    搜索关键词 搜狗输入法 Citizen Lab
    BwNVlwSq
        58
    BwNVlwSq  
       188 天前
    助记词明文保存在笔记软件上,如果电脑上有病毒就能扫出来吧
    话说不少钱包都支持云备份,至少是加密保存的
    要妥善保管助记词的话,还是得考虑用离线设备来记录
    chippai
        59
    chippai  
       188 天前
    最大概率是小狐狸插件,可以去搜索小狐狸丢币,有前科的。
    JohnChang
        60
    JohnChang  
       188 天前
    这个我知道准确答案:1
    而且大概率不是扫描你电脑,是你的交易所账号密码被卖了,然后拿去扫印象笔记。

    至于我怎么知道的?同样的方式我去年被盗了 40 万 U 我会说吗?
    herozzm
        61
    herozzm  
       188 天前
    牛 B ,助记词既然联网发来发去,不是应该应该冷存储不联网吗?鬼知道在哪个联网环节泄露了
    Ephzent
        62
    Ephzent  
       188 天前
    买个教训,这学费可以忽略不计了
    IDKAFK
        63
    IDKAFK  
       188 天前
    浏览器扩展也能够读取、篡改剪贴板
    akaxiaok339
        64
    akaxiaok339  
       188 天前
    不用分析了,每一步都是高血压操作
    polobug
        65
    polobug  
       188 天前
    如果大公司有泄漏,单纯一个 token 值,对于他们大量不关联的数据,也没法知道你是要做啥(除非你明确写了 token 用处)。而且暗网大可能有消息传出的。而且就为了你这 100 去扫描数据库也不实际。如果有的话,盗号应该是日经帖

    在我看来,可能性最大的是圈内软件
    lxzxl
        66
    lxzxl  
       188 天前 via Android
    wps 前段时间出出过一个漏洞,很多人被盗了
    SoyaDokio
        67
    SoyaDokio  
       188 天前
    @ryan4yin #2 用大脑存储不现实吧,钱包助记词一般都 10 个单词上下,且还有排序要求,这得过几天背一下才能持续记住...
    SoyaDokio
        68
    SoyaDokio  
       188 天前   ❤️ 1
    金额小说明可能不是针对性作案,而是广撒网。
    “2~3 天后就...”这个时间节点参考意义不大。
    既然未加密数据在 Win10 这种用户基数庞大的系统上流动过,那么再介绍常用软件已没有意义,因为每个都有嫌疑。
    我的观点是大概率是在 Win10 上获知你有这个币,然后标记为目标,最后检测个剪贴板等鱼上钩就好。
    ryan4yin
        69
    ryan4yin  
       188 天前
    @SoyaDokio #67 注意我的表述是「加密保存,密码只放脑子里。」
    joyhub2140
        70
    joyhub2140  
       188 天前
    用盗版软件也有被盗的可能性,总之太多了。
    walgery
        71
    walgery  
       188 天前
    想问一下,自建服务器 bitwarden 安全性如何?
    neptuno
        72
    neptuno  
       188 天前
    助记词分成几部分,放在不同地方,然后留一个词人脑记忆或者写下来,然后找一个地方记一下顺序,是不是好一点。
    zbowen66
        73
    zbowen66  
       188 天前
    流程这么多,生怕别人不知道是吗
    realpg
        74
    realpg  
       188 天前
    让我再笑一会儿

    用电子手段直接存助记词的大聪明 hhhhhhhhhhhhhh
    91pornshanghai
        75
    91pornshanghai  
       188 天前
    我助记词还有一些两步认证的恢复密钥我都是打印出来放家里的
    dya
        76
    dya  
       188 天前
    几百天前有个帖子:metamask 账户被盗了
    https://v2ex.com/t/947627
    kumiko
        77
    kumiko  
       188 天前
    @91pornshanghai 方便条子上门时一窝踹了
    imtianx
        78
    imtianx  
       188 天前
    输入法之类的,只是工具,没必要用同步功能,可以禁止此类能离线使用软件的网络访问功能
    uYuki
        79
    uYuki  
       188 天前
    @walgery 绝大多数都不会比官方更安全

    因为自建最大的问题不是你选择的服务安全与否

    是你的服务器本身的安全与否,以及你自己的安全水平及格与否。


    简单的说就是从物理安全的角度来说

    你把金条存在家里并不会比存在银行更安全

    因为你家的门最多几千块钱一条,银行保险库的门起步几万块钱一条

    存家里只是你自己看到自己的金条,心理上觉得安全,物理上反而是最不安全的。
    byzod
        80
    byzod  
       188 天前
    不是,你传文件随便 7z 压一下然后手写个临时密码不就好了
    一次性密码本是不可能被破解的
    Chris008
        81
    Chris008  
       165 天前
    我随便搜了一下 “印象笔记(Evernote)” + “stolen” or “hacked” 关键词,发现受害者无数啊...
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   957 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 21:23 · PVG 05:23 · LAX 14:23 · JFK 17:23
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.