吳說作者 | Colin Wu
你的幣安安卓APP 的一切都是真實的,可以正常登錄、交易,只有一個地方是假的:那就是USDT 的轉賬地址。當你想向幣安轉入一筆USDT 時,這筆錢已經轉入了黑客的錢包。
這並非天方夜譚,近期類似的事件已經出現。安全起見,建議用戶請快速檢查你的所有涉及財產的幣圈安卓APP,如非官網下載的務必刪除。
“幣圈小胡”10月27日描述了事情的全過程:2022年10月24日,我準備從狐狸錢包轉5個ETH到幣安APP出金,打開幣安APP(手機是華為榮耀) ,調出收款地址二維碼(ERC20),使用小狐狸錢包(電腦版chrome插件)掃碼,核對地址,轉賬。幾分鐘後,我查看幣安APP,發現沒有到賬,心想可能是網絡擁堵了,又過了幾個小時,還是沒有到賬,我有點懷疑了。於是我聯繫客服,客服讓我提交了轉賬的hash,我提交了,但是客服說我的充值地址並不屬於幣安的任何用戶。
https://twitter.com/hu94286743/status/1585505751325634560
另一名用戶kongkong 描述:朋友從OK提U到幣安,第一筆到賬了,第二筆5000多U,等了半個多小時都沒到賬。最後聯繫幣安App客服,說收U的trc20地址不是幣安用戶的地址,U找不回了。
https://twitter.com/crptokongkong/status/1585831217681018880
吳說分析發現,根據鏈上數據統計,虛假幣安APP 的黑客地址之一TN9L…NUz9 近一個月來共收款超過50 萬USDT,收款交易數量近400 筆。
https://tronscan.org/#/address/TN9LTR5Yn63ha8undsJgQEKmnx9w9uNUz9/transfers
幣安官方人員回复,1.建議訪問使用谷歌無痕模式訪問官網2. 進行資產充值時,比較app上顯示的充值地址和電腦網頁端顯示的充值地址是否相同3. 進行資產提幣時,確認提幣輸入的地址和郵件通知的地址是否相同4. 確認地址無誤後,可以先進行一筆小額充提。
安全人士指出,核心原因是惡意代碼被精準植入了幣安APP。幣安方面應該大範圍要求用戶去官網重新下載最新的APP,尤其是安卓用戶。而類似的問題也很有可能發生在下載其他交易所APP 的用戶上。與其他盜幣方式不同,這種盜幣方式不需要進行例如身份驗證器、短信、郵箱等驗證。由於中文世界全面打擊相關APP,導致難以在傳統渠道如應用市場下載,很容易下載到虛假APP。
慢霧安全團隊對吳說區塊鏈解釋:APP 在重新打包後,再把幣安APP 上架相關的下載站,用戶一旦安裝假幣安APP,假幣安APP 在用戶登錄等功能並沒有改變,惡意代碼功能位於用戶充值時。當用戶切換到充值時,觸發惡意代碼規則,替換用戶充值地址為惡意地址。慢霧安全團隊表示,切忌使用搜索引擎尋找安卓APP,例如在百度搜索“幣安APP下載”,基本全是虛假APP,一定要在官網網站下載APP。上述兩位用戶的共同特徵就是:通過搜索下載APP,使用安卓手機。