3名专业化网络技术人员组成的犯罪团伙,几乎没有留下线索,悄无声息地盗取了高达6亿元的虚拟币!
近日,西安破获了一起特大网络黑客盗窃虚拟货币案,随着案件办理的深入,新型网络黑客犯罪的手段和路径逐渐浮出水面。
上亿元市值虚拟货币被盗,查案似入不断变化的“迷宫”
3月30日,西安市局经开分局接到受害人张某报警,称其个人电脑疑似被非法入侵,大量比特币、以太坊等虚拟货币被洗劫一空,市值达上亿元。西安市局迅速成立专案组开展侦破工作。
然而,面对的是一个颇为复杂的局面:经初步调查,受害人没有进行过任何操作,犯罪嫌疑人以高超的网络黑客技术远程控制,盗取安全性较高的虚拟货币账户,几乎没有留下任何作案痕迹。
Kannagi Rug Pull地址收到匿名沟通信息,限盗取者48小时退还资金:7月31日消息,链上数据显示,zkSync Era 上 DeFi 项目 Kannagi Finance Rug Pull 地址于约 3 小时前收到匿名沟通信息,具体内容如下:
你好,Kannagi 项目负责人。关于你 rug 事件,我们代表 60 万美元的国内受害团体与你沟通。
1.你所 rug 的资金是很多人一生的积蓄,毁掉许多家庭,相关的国内受害者已经组织了一个强大和齐心协力的社群。
2.我们已经采集取证了许多 KOL 及知名平台推广这个项目的信息及相关人士助查,并且梳理了你过往多个项目操作以及所有关联钱包的操作痕迹及路径。
3.我们同时联系了国内外的安全公司介入追踪;与相关中心化交易所取得联系,还有你项目所做的审计公司及相关合作的链上平台都在全力配合调查。
4.目前,我们已经梳理出案件的全部资料,并掌握了你明显的操作痕迹漏洞。我们社群成员将在全国各地报警立案,届时这将是一个在全国多地多部门联合并案处理的集体案件。
5.我们给予你 48 小时的时间联系,商讨退还你不法盗取的资金,否则一旦执法机构接手,将后无退路。如果期限过后无任何回复,我们还将设立 20% 涉案资金的赏金池,奖赏提供线索让你落网或追回所有资金的举报者。
6.你真的确信你多年来做的所有操作行为没有任何的漏洞么?
此前报道,7 月 29 日,zkSync Era 上 DeFi 项目 Kannagi Finance 发生 Rug Pull,截止发稿时 TVL 仅剩 24 美元(昨日为 213 万美元),其官方推特账户已注销。[2023/7/31 16:08:36]
“这种新型网络技术犯罪案在全国范围内都很罕见。”西安市局经开分局副局长杨世英介绍。
预警:黑客利用远程控制软件向日葵漏洞盗取加密钱包资产,建议卸载:4月3日消息,据推特用户@0xAA_Science披露,这两天很多人因为领取空投使用向日葵(远程桌面软件),加密钱包被盗了。黑客可以利用这个漏洞,远程控制用户的钱包转钱。该用户表示,电脑用过远程桌面软件的,包括向日葵、todesk、TeamViewer等,建议卸载。
根据其分享的资料,向日葵远程控制软件是一款远程控制软件,2022年2月互联网披露向日葵远程控制软件旧版本中存在远程命令执行漏洞,向日葵远程控制软件会监听高端口 (默认40000以上),攻击者可构造恶意请求获取Session,从而通过身份认证后利用向日葵远程控制软件相关API接口执行任意命令。[2023/4/3 13:41:29]
专案组成员、西安市反中心民警卫元祥第一时间对被盗走的虚拟货币展开追踪,发现犯罪嫌疑人的技术能力十分“了得”:犯罪嫌疑人将盗取的虚拟货币分为三等份,再分别经由不同的虚拟货币交易平台反复拆分、转移,以此增加迷惑性,最终再汇集到一个账户中,准备变卖转换成人民币提现。
安全团队:一黑客从使用Profanity生成的以太坊地址中盗取95万美元的加密货币:9月26日消息,据派盾(PeckShield)监测,0x9731F开头的地址从使用Profanity工具生成的以太坊“靓号地址”中窃取了95万美元的加密货币,攻击者已将将732枚以太坊转移至Mixer。
此前消息,1inch发布报告称,通过Profanity创建的某些以太坊地址存在严重漏洞。[2022/9/26 7:21:17]
办案民警介绍,以比特币为例,由于其账号只是一串基于区块链生成的编码,称为“地址”,一般情况下并不能通过该地址直接追溯到个人。虚拟账户的匿名性特征,大大增加了办案难度。
“打个形象的比喻,由于服务器都在国外,且数据链随时在变化,我们面对的是一个不断变化的迷宫。想要破案,必须守住‘变现’这个唯一的‘出口’。”西安市局经开分局凤城路派出所民警左桐说。
成都链安:国内天穹数藏宣称遭黑客攻击,黑客利用虚假余额购买盗取用户的藏品:5月17日消息,据成都链安“链必应-区块链安全态势感知平台”安全舆情监控数据显示,天穹数藏宣称遭黑客攻击,藏品售价异常高达近千万元。根据平台公告称:平台数据遭遇大量恶意攻击,黑客利用虚假余额购买盗取用户的藏品,导致数据异常,目前已恢复,平台已第一时间报警处理。成都链安安全团队初步分析,导致本次攻击的原因猜测为:攻击者通过传统网络安全攻破了平台方数据库,恶意篡改账户余额,导致大量用户高价挂单仍可成交,最终导致数据异常。成都链安安全团队建议:
1、 国内数字藏品平台方在设计、实现和部署的过程中,要关注通信与网络安全、主机安全、数据库安全、移动安全等传统安全领域,做好安全防护;
2、 国内数字藏品平台方在运维的过程中,要做好金融风控的设计和实施,避免出现大规模资金异动而不自知的情况;
3、 数字藏品消费者在选择交易平台时,需要关注平台合规风险,注意保障自身财产安全;
4、 数字藏品消费者警惕炒作风险和市场泡沫,避免泡沫破裂时造成财产损失。[2022/5/17 3:22:51]
为攻破“迷宫”,专案组派出多路干警奔赴国内多个省市。在一些知名互联网公司协助下,历经3个月、摸排3万余条线索信息后,犯罪嫌疑人周某浮出水面。随后,专案组围绕周某开展调查工作,最终锁定了分别在北京、长春活动的两名同伙崔某和张某。8月15日,在湖南、吉林、北京配合下,专案组3个抓捕组同时展开行动,将3名犯罪嫌疑人抓获。
据了解,这个团伙窃取了多个账户,总案值保守估计达6亿元。
披露破案细节:黑客高智商犯罪特征明显
经调查,3名犯罪嫌疑人均为高级黑客,都曾在国内一些知名互联网科技公司工作。他们普遍具有高超的互联网技术,且反侦查能力极强。
匿名性是各类虚拟货币最显著的特性之一,较好地保护了交易者的隐私,但也在一定程度上为非法交易提供了掩护。本案中,被盗取的虚拟财产全部在服务器设在国外的交易平台上进行转手和交易,更增添了办案的难度。
“3名犯罪嫌疑人堪称‘专家’。我们是一边办案、一边学习,他们用一个星期去转手和交易,我们往往需要花费更长时间才能理清其中的脉络。”卫元祥说,在不同的交易平台,不同币种虚拟货币的转移和支付规则不相同,在向国外公司征询、调取相关数据之前,必须搞清楚相应规则,只有说内行话才能顺利得到对方配合。
西安市局经开分局凤城路派出所民警杨龙说,本案犯罪嫌疑人反侦查能力很强。3人绝大多数时间都分处三地活动,用服务器设在国外的社交软件和网络电话联络,如有人回复信息稍晚,另外2人便有所警觉。
即使在线下,犯罪嫌疑人也具备极高的警惕性。嫌疑人之一周某生活在湖南一个小县城,尽管犯罪所得数额巨大,他却没有任何奢侈性消费,日常穿着与普通年轻人无异。一次,周某在网吧打游戏时,看到一旁有便衣警察抓人,便迅速离开。直到数小时后搞清楚抓捕与自己无关才返回家中,并通知两名同伙“警报解除”。
尽管在抓捕前半个多月就已经锁定了周某,但并没有立即实施抓捕。“我们要确定他作案的电脑和他本人是不是在同一个地方。”左桐说,如果抓捕时机不成熟、研判信息不准确,嫌疑人就可能迅速毁掉所有交易资料,或拒不交出相关账户密钥。一旦如此,所有努力便前功尽弃。
黑客犯罪并非无法防御,“物理储存”信息是关键
一位计算机技术专家告诉记者,在“互联网+”时代,一些互联网、物联网终端的安全问题逐渐暴露出来。联网的打印机、智能家电、手机甚至运动手环等,都可能成为被黑客利用的“后门”,借以窃取个人隐私和商业资料。
办案民警表示,尽管黑客技术水平高超,但并非无法防御。比如,在管理虚拟货币钱包地址和密钥时,采取“冷钱包”或是物理储存的方式,将虚拟货币的相关信息写在记事本上、记录在不连接互联网的电脑或相关设备上,就能有效切断黑客的“黑手”。
西安市局刑侦局三处副处长林檀建议,在处理虚拟财产的电脑或手机上不要乱点来历不明的链接、下载来历不明的软件,对相关查杀“木马”病的软件经常更新和升级。此外,在支付和转移虚拟货币时,尽量设置“多签密钥”,即由几个人或是几个处在不同网络的终端共同授权签署密码。“这样一来,就能极大增加黑客进行网络犯罪的成本和难度,最大限度保障自身权益不受侵害。”林檀说。
业内人士建议,在处理虚拟财产时除物理储存密钥或采用“多签密钥”之外,还应强化对身边物联网设备的安全排查及日常监控。特别是要重点排查相关设备是否存在漏洞、过往是否曾被攻击等相关情况。同时要关闭不必要的远程服务端口和相关软硬件权限,定期自评自估网络安全风险,提高防护水平。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。