V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
hour2015
V2EX  ›  信息安全

Metamask 钱包被掏了,损失 100 多 U,不指望能追回来,希望 V 友们分析下到底是哪个环节泄露了私钥 or 助记词?

  •  
  •   hour2015 · 2023-10-12 19:36:13 +08:00 · 8930 次点击
    这是一个创建于 408 天前的主题,其中的信息可能已经有所发展或是发生改变。

    悲催,币安网的 USDT 和 BNB 被黑客盗走了,好在金额不多,大概 120 刀左右,大概情况如下: 1 )我用印象云笔记存储了助记词,大概有 4~5 个月了,平常交易都是用 Metamask 浏览器插件; 2 )前几天手机上安装了 tokenPocket ,然后用电脑微信把云笔记的助记词复制后,发给了手机微信,导入了 tokenPocket 钱包,手动生成了比较靠后的钱包地址(被盗地址),2~3 天后就被盗了…… 3 ) tokenPocket 是 Google Play 上下载的官方 App ,手机是华为 P30 Pro ,OS 是 Win10 ,常用软件:搜狗输入法、WPS 、有道云笔记(免费版)、Chrome 最新版 117 、uTools

    黑客钱包:0xf604219210963e144d4A145a2462824B412598fa ,这个钱包除了在 goerlia 网上参与过空投外,其他网上都没有记录。

    对应的 2 笔交易 https://www.bscscan.com/tx/0xf25bb031466019f643b41dbb905b16a0a47a40de414c1e8745f9c28766d6ace9

    https://www.bscscan.com/tx/0xeb3823143c82fc40077328545b081118fdb36dd373631a362f7f3d42031a68b3

    可能的分析: 1 、黑客读取印象云笔记得到助记词 2 、黑客读取了粘贴板

    至于具体细节或原因,希望 V 友给点指导和分析~

    81 条回复    2023-11-06 01:43:43 +08:00
    EagerTo
        1
    EagerTo  
       2023-10-12 19:46:42 +08:00 via iPhone   ❤️ 13
    华为 P30 尤为亮眼 .
    ryan4yin
        2
    ryan4yin  
       2023-10-12 19:53:29 +08:00 via Android
    就这俩原因了吧,建议就是助记词千万别复制粘贴,也别明文存储在任何地方。

    加密保存,密码只放脑子里。
    pengjay
        3
    pengjay  
       2023-10-12 19:54:21 +08:00
    手抄吧,太多 app 监控粘贴板了
    Hilong
        4
    Hilong  
       2023-10-12 19:54:58 +08:00
    有没有可能是 tokenPocket 的信息泄露呢
    zooo
        5
    zooo  
       2023-10-12 20:03:34 +08:00   ❤️ 3
    你这个助记词经历有点多呀,经过好多环节,任何环节都有可能被泄露

    甚至微信,都可能有后台人看到你这个助记词,盗走了..

    根本分析不出来

    提醒下,你用的任何一款 APP 包括手机都有可能收集你的信息,被这些公司的打工人看到,有意之人就盗去了..
    liqiuqiu
        6
    liqiuqiu  
       2023-10-12 20:08:40 +08:00
    @zooo 除了 tokenPocket 不了解,其他 app 也不是什么小众软件了,能接触到这些生产环境用户数据的打工人感觉也不会缺这点钱吧,冒这么大风险干这事儿明显不太划算啊🤣
    zooo
        7
    zooo  
       2023-10-12 20:10:10 +08:00   ❤️ 2
    @liqiuqiu 错了

    这个是零风险的事

    可能做信息审核的人,看到就盗走了,最关键是没法找到谁盗走了,公司也找不到,这也是加密币最大的特点。
    zooo
        8
    zooo  
       2023-10-12 20:10:39 +08:00
    无意看到或者有刻意爬着助记词都可能
    886133
        9
    886133  
       2023-10-12 20:14:08 +08:00
    印象云笔记
    多半是它
    DIO
        10
    DIO  
       2023-10-12 20:19:13 +08:00
    我现在多端敏感信息传输都用 telegram 。2FA 和重要的密码等信息本地存储用 obsidian 云同步到 nas 。其实笔记这样不太安全,但是我懒。
    lee82014312
        11
    lee82014312  
       2023-10-12 20:22:19 +08:00
    印象云笔记、电脑微信、手机微信、搜狗输入法、WPS 、有道云笔记(免费版)
    Cherchez
        12
    Cherchez  
       2023-10-12 20:27:05 +08:00
    token pocket 本身就不太那啥
    MFWT
        13
    MFWT  
       2023-10-12 20:27:55 +08:00
    助记词千万不要放到第三方云服务商,不然丢失概率是非常大的
    如果要跨设备转移,建议:

    1. 可信的移动存储设备,比如自己的 U 盘和硬盘
    2. 如果手头有 VPS 的,可以放到 VPS 上的一个文件上(也不要直接放/home 什么的,可以放在隐藏目录等地方)
    3. E2E 加密通信软件,比如 tg 的端到端加密+阅后即焚
    4. 最笨但最保密的,手抄手打

    不管放在哪都好,切记切记转移后及时删除,否则干啥安全措施都没用
    MFWT
        14
    MFWT  
       2023-10-12 20:28:47 +08:00
    我是建议用手抄手打的,反正也就那十来个词,而且软件一般有自动补全什么的,不必完整打入
    ncepuzs
        15
    ncepuzs  
       2023-10-12 20:30:11 +08:00
    tokenPocket 没用过
    Solael
        16
    Solael  
       2023-10-12 20:30:44 +08:00
    槽点太多了,这被盗只是时间问题。
    testonly
        17
    testonly  
       2023-10-12 20:57:13 +08:00
    大概率是 TokenPocket 自己做的。
    YOU ARE NOT ALONE.请看 YT 视频 G3Xk3vzLjt4 或搜 TokenPocket 官方人员回应用户资产被盗问题,TP 是否还安全?
    许多用这个的都这样,就算不是他们自己做的也铁定是他们有漏洞,但我倾向是他们自己做的。
    streamrx
        18
    streamrx  
       2023-10-12 21:15:25 +08:00 via iPhone   ❤️ 2
    炒币还是用苹果的手机和电脑,windows 和安卓连复制粘贴都有可能被窃取
    liuhai233
        19
    liuhai233  
       2023-10-12 23:09:58 +08:00
    qmj (网友)也是被搜狗输入法,复制粘贴盗的,10w 刀
    j7915kj220ry590U
        20
    j7915kj220ry590U  
       2023-10-12 23:15:18 +08:00   ❤️ 2
    你这 1 、2 、3 ,每一步都有可能被盗
    1. 用云笔记存储,虽说不一定被盗,但是正经人没这么存的
    2. 复制助记词、发给微信,槽点太多
    3. 华为、win 、搜狗输入法,助记词别到处露

    建议看看黑暗森林手册再入圈 https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md
    Terry166
        21
    Terry166  
       2023-10-12 23:20:27 +08:00
    任何交易(包括转账)一定是要用你的私钥签名交易的,所以肯定是私钥泄漏了。
    chinaguaiu
        22
    chinaguaiu  
       2023-10-12 23:32:16 +08:00
    信息时代,密码之类的东西还是写纸上安全一些
    gam2046
        23
    gam2046  
       2023-10-12 23:40:29 +08:00
    矬子里面拔大个子,相比较而言,最有可能的是 TokenPocket
    xmh51
        24
    xmh51  
       2023-10-12 23:41:08 +08:00
    大概率知道密钥是干啥的干的,对于微信和云笔记或者粘贴板而言,密钥和助记词反向定位这个单词是币安的而言是非常困难的,也不显示。
    xmh51
        25
    xmh51  
       2023-10-12 23:42:29 +08:00
    @zooo 前提是知道这个随机串是啥,一个随机串,反向定位知道他是币安的,基本不现实。
    Hakuku
        26
    Hakuku  
       2023-10-13 00:01:25 +08:00
    后面几位记本子上,脑子里都可以。
    不要让任何人有机会看到你完整的私钥或者助记词。
    qbqbqbqb
        27
    qbqbqbqb  
       2023-10-13 01:34:20 +08:00   ❤️ 1
    @xmh51 助记词一般指的是 BIP39 助记词,不是随机串,是 12 个英文单词,其中每个英文单词都是在一个 2048 词的词典里选取的。

    你说的“反向定位非常困难”这个根本不成立。懂行的人看到这样 12 个单词,一眼就看出是什么东西了。
    qbqbqbqb
        28
    qbqbqbqb  
       2023-10-13 01:48:20 +08:00
    @gam2046 TokenPocket 反而是这么多可能性中相当低的一个。TP 钱包是中国大陆币圈相当普及的一款主流链上钱包软件(根本就不是什么小众软件) 20 、21 年国内炒币大火的时候基本币圈人手一个,有被盗的情况,但总体上还是非常少见。

    最有可能的原因的还是助记词电子存储、随意拷贝。虽然不知道具体泄密原理和途径,但是应验的案例非常多,我身边就有一个朋友因为用微信传输助记词,很快就被盗。
    电子存储传输助记词必被盗,基本上是“百试百灵”,不要有任何侥幸心理。

    根本办法还是要杜绝助记词拍照、截屏、网上传输等等一切非端到端加密电子存储传输手段。
    如果自己不太了解相关安全技术的,尽量只用纸笔抄写助记词。
    对自己电脑手机本地环境安全性有信心(保证无木马后门)的,也可以考虑用密码管理器加密保存,端到端加密传输。
    albert91
        29
    albert91  
       2023-10-13 03:19:27 +08:00 via Android
    你手机的粘贴板就是个公共厕所知道吗?你还敢粘贴,你看他们交剪切板权限在你手机中有多说软件有权限读取?别说常用的软件,只要你复制之后,数据会一直在剪贴板中,后续你开启的软件都会有读取权限的!,大概率是输入法,还有微信,wps ,有道云
    kkwa56188
        30
    kkwa56188  
       2023-10-13 06:23:58 +08:00
    排除法的话 我会 1.首先排除 已经存了 几个月的云笔记.
    2. tokenPocket :Google Play 上下载的官方 App: 如果 这一百几十刀都被盗的话, 早炸锅了
    2. 有问题的是近几天的那几位.
    e3c78a97e0f8
        31
    e3c78a97e0f8  
       2023-10-13 07:09:45 +08:00 via iPhone
    你电脑有病毒木马
    geniussoft
        32
    geniussoft  
       2023-10-13 07:48:59 +08:00 via iPhone
    你这五毒俱全……
    PlsDontStop
        33
    PlsDontStop  
       2023-10-13 08:15:14 +08:00 via iPhone
    无力吐槽 你这哪一步都不安全 云笔记存助记词 微信复制 竟然还是搜狗输入法 华为手机
    bianhui
        34
    bianhui  
       2023-10-13 08:19:14 +08:00
    看着,应该都不是,在想想其他场景吧,自己忽略的。
    ovtfkw
        35
    ovtfkw  
       2023-10-13 08:32:29 +08:00 via iPhone
    我助剂词一直存 googlekeep 上 然后用的是 tp 两年多了没啥问题
    hour2015
        36
    hour2015  
    OP
       2023-10-13 09:03:45 +08:00
    @vwo50 发现个宝贝,感谢!
    lisxour
        37
    lisxour  
       2023-10-13 09:22:59 +08:00
    圈内人表示什么剪切板小偷啥的可能性并不大,根据以往案例更大的可能性是:
    1. 钱包本身就有问题
    2. 装了恶意软件
    3. 访问了恶意网站
    mcdull619
        38
    mcdull619  
       2023-10-13 09:23:19 +08:00
    TP 是国人项目 , 尽量少用 。
    lisxour
        39
    lisxour  
       2023-10-13 09:27:30 +08:00   ❤️ 2
    @qbqbqbqb #28 我不知道你为什么说 TokenPocket 是主流钱包,我圈内人 18 年玩到现在,只认识 imtoken 、metamask ,而且我刚刚也搜索过 TokenPocket 钱包,有曝光过爆雷事件。
    haohh
        40
    haohh  
       2023-10-13 09:34:22 +08:00
    知道用小狐狸和 tp 不应该不知道私钥应该怎么保存啊
    钱不多
    求助大 V
    监控地址 冲交易所后要求冻结
    webcape233
        41
    webcape233  
       2023-10-13 09:54:15 +08:00 via iPhone
    诸位现在还能买卖币啊? 什么渠道能买点呢
    dif
        42
    dif  
       2023-10-13 09:58:46 +08:00
    @webcape233 我用的欧易
    woooooOOOO
        43
    woooooOOOO  
       2023-10-13 10:10:54 +08:00
    光是剪切板这一步,就不知道有多少软件在监测。
    而且就算印象云没有刻意去盗你,他自己的安全措施也未必很强,那么多大公司库都被脱了。
    raycool
        44
    raycool  
       2023-10-13 10:13:17 +08:00
    助记词分开,少一两个 或者有个故意写错 自己知道正确的就行。
    uYuki
        45
    uYuki  
       2023-10-13 10:18:17 +08:00   ❤️ 1
    你搁这养蛊呢是吧

    华为,搜狗,WPS ,微信

    你丢才是正常,不丢才是奇迹

    而且按你的软件使用习惯,你肯定还有其他很多你根本没有意识到的风险操作

    120 刀那个这样的教训真的太便宜你了
    Kinnice
        46
    Kinnice  
       2023-10-13 10:21:25 +08:00
    扫过二维码,或者授权过钱包登录吗
    62742a40
        47
    62742a40  
       2023-10-13 10:54:52 +08:00
    你用 chrome 有装什么插件吗,其实我觉得搜狗、wps 、微信并没有什么问题,因为你丢的并不是什么特别明显有指向性的东西,剪贴板无法知道它复制来源是什么
    dongtingyue
        48
    dongtingyue  
       2023-10-13 10:57:27 +08:00   ❤️ 1
    我觉得是小狐狸的 chrome 插件有问题。我也是以太币存里面后就没有交易过了。词记录在印象笔记。一两年了都,今年被转走了。
    kloudmuka
        49
    kloudmuka  
       2023-10-13 10:58:26 +08:00
    玩币最好用 iPhone 和 macOS ,另外手写助记词看起来虽然很傻,但确实比电子手段保存安全了几个档次
    62742a40
        50
    62742a40  
       2023-10-13 11:02:07 +08:00
    chrome 上面有问题的插件不要太多,safari 目前也有往这个趋势靠拢的感觉。其实这种东西你不应该直接复制
    pkwenda
        51
    pkwenda  
       2023-10-13 11:11:49 +08:00
    有没有可能是离开工位忘锁屏,被老王看到了
    bing1178
        52
    bing1178  
       2023-10-13 11:18:57 +08:00
    变量太多了。你说的这些软件 都是大品牌 比如 wps 微信 云笔记 , 是有风险但是也不一定。 因为这个可以单独测试出来,

    你单独给他们一个助记词看会不会泄露。如果有,我觉得会被网曝出来。 也就是说可以单独测试这个事。

    这是第一个点。第二个点是 你系统中有恶意程序 win 或者 android 都有可能
    NoNewWorld
        53
    NoNewWorld  
       2023-10-13 11:22:09 +08:00
    P30 ,肯定是华为泄露了
    hokori
        54
    hokori  
       2023-10-13 11:23:26 +08:00
    搜狗输入法这一步就开始了
    morutong
        55
    morutong  
       2023-10-13 11:24:39 +08:00
    @NoNewWorld #53 不是的话,你会道歉吗
    Tengdw
        56
    Tengdw  
       2023-10-13 11:42:46 +08:00
    大概率剪切板泄露,助记词私钥设备间传输不要一次性发过去,分段发送或者发一部分另外一部分手动输入或者扫二维码输入
    fluffyfoxxo
        57
    fluffyfoxxo  
       2023-10-13 11:51:15 +08:00 via iPhone   ❤️ 2
    搜索关键词 搜狗输入法 Citizen Lab
    BwNVlwSq
        58
    BwNVlwSq  
       2023-10-13 12:08:09 +08:00
    助记词明文保存在笔记软件上,如果电脑上有病毒就能扫出来吧
    话说不少钱包都支持云备份,至少是加密保存的
    要妥善保管助记词的话,还是得考虑用离线设备来记录
    chippai
        59
    chippai  
       2023-10-13 12:17:42 +08:00
    最大概率是小狐狸插件,可以去搜索小狐狸丢币,有前科的。
    JohnChang
        60
    JohnChang  
       2023-10-13 12:17:43 +08:00
    这个我知道准确答案:1
    而且大概率不是扫描你电脑,是你的交易所账号密码被卖了,然后拿去扫印象笔记。

    至于我怎么知道的?同样的方式我去年被盗了 40 万 U 我会说吗?
    herozzm
        61
    herozzm  
       2023-10-13 12:42:16 +08:00
    牛 B ,助记词既然联网发来发去,不是应该应该冷存储不联网吗?鬼知道在哪个联网环节泄露了
    Ephzent
        62
    Ephzent  
       2023-10-13 12:53:20 +08:00
    买个教训,这学费可以忽略不计了
    IDKAFK
        63
    IDKAFK  
       2023-10-13 14:27:44 +08:00
    浏览器扩展也能够读取、篡改剪贴板
    akaxiaok339
        64
    akaxiaok339  
       2023-10-13 14:37:25 +08:00
    不用分析了,每一步都是高血压操作
    polobug
        65
    polobug  
       2023-10-13 15:05:18 +08:00
    如果大公司有泄漏,单纯一个 token 值,对于他们大量不关联的数据,也没法知道你是要做啥(除非你明确写了 token 用处)。而且暗网大可能有消息传出的。而且就为了你这 100 去扫描数据库也不实际。如果有的话,盗号应该是日经帖

    在我看来,可能性最大的是圈内软件
    lxzxl
        66
    lxzxl  
       2023-10-13 15:09:50 +08:00 via Android
    wps 前段时间出出过一个漏洞,很多人被盗了
    SoyaDokio
        67
    SoyaDokio  
       2023-10-13 15:18:30 +08:00
    @ryan4yin #2 用大脑存储不现实吧,钱包助记词一般都 10 个单词上下,且还有排序要求,这得过几天背一下才能持续记住...
    SoyaDokio
        68
    SoyaDokio  
       2023-10-13 15:27:33 +08:00   ❤️ 1
    金额小说明可能不是针对性作案,而是广撒网。
    “2~3 天后就...”这个时间节点参考意义不大。
    既然未加密数据在 Win10 这种用户基数庞大的系统上流动过,那么再介绍常用软件已没有意义,因为每个都有嫌疑。
    我的观点是大概率是在 Win10 上获知你有这个币,然后标记为目标,最后检测个剪贴板等鱼上钩就好。
    ryan4yin
        69
    ryan4yin  
       2023-10-13 15:29:46 +08:00
    @SoyaDokio #67 注意我的表述是「加密保存,密码只放脑子里。」
    joyhub2140
        70
    joyhub2140  
       2023-10-13 15:32:55 +08:00
    用盗版软件也有被盗的可能性,总之太多了。
    eXEuuAJ67ZyUA1CB
        71
    eXEuuAJ67ZyUA1CB  
       2023-10-13 16:10:30 +08:00
    想问一下,自建服务器 bitwarden 安全性如何?
    neptuno
        72
    neptuno  
       2023-10-13 16:27:01 +08:00
    助记词分成几部分,放在不同地方,然后留一个词人脑记忆或者写下来,然后找一个地方记一下顺序,是不是好一点。
    zbowen66
        73
    zbowen66  
       2023-10-13 17:30:50 +08:00
    流程这么多,生怕别人不知道是吗
    realpg
        74
    realpg  
       2023-10-13 17:47:31 +08:00
    让我再笑一会儿

    用电子手段直接存助记词的大聪明 hhhhhhhhhhhhhh
    91pornshanghai
        75
    91pornshanghai  
       2023-10-13 18:07:43 +08:00
    我助记词还有一些两步认证的恢复密钥我都是打印出来放家里的
    dya
        76
    dya  
       2023-10-13 18:20:06 +08:00
    几百天前有个帖子:metamask 账户被盗了
    https://v2ex.com/t/947627
    kumiko
        77
    kumiko  
       2023-10-13 18:30:23 +08:00
    @91pornshanghai 方便条子上门时一窝踹了
    imtianx
        78
    imtianx  
       2023-10-13 18:31:52 +08:00
    输入法之类的,只是工具,没必要用同步功能,可以禁止此类能离线使用软件的网络访问功能
    uYuki
        79
    uYuki  
       2023-10-13 19:03:45 +08:00
    @walgery 绝大多数都不会比官方更安全

    因为自建最大的问题不是你选择的服务安全与否

    是你的服务器本身的安全与否,以及你自己的安全水平及格与否。


    简单的说就是从物理安全的角度来说

    你把金条存在家里并不会比存在银行更安全

    因为你家的门最多几千块钱一条,银行保险库的门起步几万块钱一条

    存家里只是你自己看到自己的金条,心理上觉得安全,物理上反而是最不安全的。
    byzod
        80
    byzod  
       2023-10-13 23:58:16 +08:00
    不是,你传文件随便 7z 压一下然后手写个临时密码不就好了
    一次性密码本是不可能被破解的
    Chris008
        81
    Chris008  
       2023-11-06 01:43:43 +08:00
    我随便搜了一下 “印象笔记(Evernote)” + “stolen” or “hacked” 关键词,发现受害者无数啊...
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2870 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 42ms · UTC 14:12 · PVG 22:12 · LAX 06:12 · JFK 09:12
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.