这是一个创建于 766 天前的主题,其中的信息可能已经有所发展或是发生改变。
8 月 10 日的时候,突然提示 google 账号异常登录,马上查看了下,一台 windows 终端登录了我电脑,立马改密码,踢掉,发现用 google 账号关联登录了几个交易所账号,当时没在意以为是密码泄露。
前两天登录自己的 chrome 插件的 metamask 钱包,晴天霹雳、损失惨重,发现钱包里的 usdt8 月 xx 日被转走了,立即重装了系统。
刚复了下盘,用的 win11 自带杀毒软件,平常也没乱装什么软件,电脑里装了一小部分破解软件。
而且 google 账号保护应该很强,也开启了 2FA 验证(验证码使用了 chrome 的身份验证器扩展和手机 APP )
不知道黑客是怎么登录的,有 3 个怀疑的地方,技术能力有限,大家帮忙分析下。
1 、chrome 扩展。是否装了某些含恶意代码的扩展,获取了钱包、验证码扩展。 问题 1:chrome 扩展是否能获取其他扩展的数据?
2 、路由器小米 AX6000 ,恩山上找了个 openwrt 固件(现在不知道是那个固件),打算重新换个知名点的固件,是否固件中置入了木马,获取了我所有流量。 问题 2:如果有这类木马,能否精准识别钱包数据,或者给电脑植马?。
3 、路由器装了 openclash ,订阅了机场,已经稳定使用了三年了。 问题 3:机场能否精准识别流量?
 | 1 Kinnice 2023-09-08 17:20:06 +08:00 2,3 如果你没安装他们的根证书 ,都不可能 |
 | 2 arfaWong 2023-09-08 17:23:09 +08:00 参考这个 UP 主油管频道被盗的情况 |
 | 3 zzznow 2023-09-08 17:25:15 +08:00 今天刚看到说是浏览器恶意插件可以获取明文密码 |
 | 7 DJCNMHG 2023-09-08 17:59:37 +08:00 “电脑里装了一小部分破解软件” |
 | 8 aiqinxuancai 2023-09-08 18:05:50 +08:00 很有可能是#2 发的这种,cookie 盗用,你系统里任何在运行的 exe 都可以做到这点。 |
 | 9 hefish 2023-09-08 18:07:49 +08:00 我觉着当时屏幕搞不好都被外人看到了。所以 2FA 才能登上去。 |
 | 10 ReZer0 2023-09-08 18:10:45 +08:00 嗯,大概率 cookie 盗用了,可以绕过 2 次验证的。 |
 | 11 googlefans 2023-09-08 18:32:15 +08:00 我就非常不信任 chrome 的任何插件 |
 | 12 guisheng 2023-09-08 18:50:26 +08:00 via iPhone 我使用 chrome 都不登录账号的。。。 |
 | 14 collo OP |
 | 15 lykhero 2023-09-08 19:48:02 +08:00 有点好奇,像 windows defender 这种,能防止本地的恶意程序进行的 session cookies 盗取么? |
 | 16 Hyschtaxjh 2023-09-08 20:08:47 +08:00 via iPhone  2 哎 大额资金一定要离线不触网。。 区块链黑森林自救手册 https://github.com/slowmist/Blockchain-dark-forest-selfguard-handbook/blob/main/README_CN.md |
 | 17 learningman 2023-09-08 20:31:41 +08:00 via Android @lykhero defender 不怎么做行为审计的,如果你想要你应该装个 360 |
 | 18 MegatronKing 2023-09-08 20:34:02 +08:00 VPN 和 Web 代理之类的,想要精准识别流量很难,虽然安装了 CA 证书能够解密流量,但是痕迹特征太明显,所以基本上不会用 MITM 这种方式。由于 SNI 的存在,代理软件对于你访问了哪些域名还是能够知道的,但这个还不足以黑掉你的账户。 |
 | 19 MatthewLuky 2023-09-08 20:43:09 +08:00 1 我也中招过,和 op 一样的情况,第一时间是发现谷歌账号被锁定了,改完密码重新登陆任然提示设备上有病毒,所有电脑下载火狐查杀发现某个 chrome extension 文件夹提示 TrojanSpy/JS.Stealer.w 病毒,删除后定位到是 Chrome 一个插件 Tree Style Tab 可能被其他病毒篡改了,拿到了 Chrome 上保存的所有密码。 不过我没有直接的经济损失,就是短时间内修改了接近 800 个密码,然后还有申诉解封部分网站账号 |
 | 20 xxbing 2023-09-08 21:12:42 +08:00 1 肯定是机器中了木马. 使用 https://github.com/moonD4rk/HackBrowserData 这种工具导出了所有保存的密码,cookie 和 session |
 | 21 yinmin 2023-09-08 21:21:21 +08:00 via Android 大概率是 chrome 插件盗窃 cookie 。现在有黑产会伪装成正规企业去投资/收购流行的插件,做免费插件的作者禁不住诱惑就会卖掉。 |
 | 22 justjy 2023-09-08 21:27:55 +08:00 固件和机场无法给你种木马,除非你装了根证书或者用了不加密的协议(如 HTTP, FTP )。大概率是楼主 Session/Cookie 数据被盗,黑客绕过 2FA 直接访问账号了。最好不要再用破解软件了,有可能潜伏着拉取木马远程控制电脑。 |
 | 23 cctv6 2023-09-08 21:28:02 +08:00 应该是电脑中了木马,有后门,拿到权限之后,导出浏览器上的 cookie 和保存的密码很容易。 |
 | 25 oldshensheep 2023-09-08 21:51:12 +08:00 很明显是中了木马了,MetaMask 就算是拿到本地数据也没用,数据是加密的。一个可能是弱密码,或者你解密之后木马读内存。 4 万 USTD ??? |
 | 26 rabbbit 2023-09-08 21:52:52 +08:00 chrome 都装了哪些扩展? |
 | 27 amlee 2023-09-08 21:59:28 +08:00 4w USTD ,老哥牛逼哦 |
 | 28 lwjef 2023-09-08 22:22:12 +08:00 via iPhone 先用低价值手段广撒网寻找目标,再用高价值手段实施,所以原因只能说未知。 |
 | 29 820xR094p6MVvKIn 2023-09-08 22:32:43 +08:00 电脑说实话,很不安全,只要哪个软件作恶,后果都不堪设想。最稳妥的办法,还是不要将资金放在上面。 |
 | 30 chxxpeng 2023-09-08 22:59:02 +08:00 是授权出了问题, 还是私钥泄漏? 私钥泄漏一般是 eth 也被盗. 如果只有 usdt 被盗, eth 没被盗, 可能是授权. 授权的话, 平时乱点某个网页, 或者之前授权过被黑的智能合约, 都有可能. |
 | 31 oIMOo 2023-09-08 23:05:23 +08:00 @xxbing #20 从这个工具的介绍来看,Windows “最安全”的 IE (怀疑是懒得适配了?),然后 macOS 除了 Safari 之外,其他还有额外一步的安全措施。 本来想问多装几个浏览器,每个浏览器做不同的事情能不能隔离开,看了工具发现不行…… |
 | 33 Ericcccccccc 2023-09-08 23:28:31 +08:00 最有可能的就是 chrome 的扩展. |
 | 34 ltfree 2023-09-08 23:35:09 +08:00 google 关联 metamask 钱包?这是什么操作 |
 | 35 woyuzhuanyiyi 2023-09-09 00:32:32 +08:00 OP 也太粗心了,装着 4 万 U 的钱包电脑上竟然敢装破解软件,安全知识急需加强。重资产设备不说一定要冷钱包吧,至少不安装破解软件,不安装野鸡浏览器插件。又或者可以浏览器多用户,钱包插件的那个用户环境是干净的 |
 | 36 anzu 2023-09-09 01:15:16 +08:00 看了一下 2 楼的视频,大小不到 2MB 的安装文件我是不会直接运行的,相当可疑。如果要一定要运行,断网+沙盘。 另外我登录交易所时会新建无痕窗口并关闭浏览器上所有插件。 |
 | 37 kkk9 2023-09-09 02:14:15 +08:00 > 登录自己的 chrome 插件的 metamask 钱包 看到这里就笑了,OP 先去看下是不是信任了关联网站,并且授予了合约,人家直接操作合约就可以转账了。 几年前的盗 U 合约就是这样运作的。 |
 | 38 artieo 2023-09-09 05:32:59 +08:00 火绒安全,高级防护里面的自定义防护,把谷歌安装目录添加到保护中 C:\Program Files\Google\*,创建读取修改删除都选上,屏蔽火绒上网权限,基本上就没问题了,别乱下一些乱七八糟的东西,火绒驱动 kill 会导致防护所有失效 |
| 39 collo OP 哎,昨天借酒消愁去了,感谢楼上各位大佬。大学没认真听课,还得补强自己的知识。 |
 | 40 F4NNIU 2023-09-09 11:46:07 +08:00 做好安全,想办法补仓。 |
 | 41 csznet2023 2023-09-09 16:45:20 +08:00 @arfaWong 哥,你知道他这个抓包软件是什么吗 |
 | 42 Cambrian07 2023-09-09 19:34:31 +08:00 建议联系一下 余弦 大佬,可能追回来不太可能,但是最好也搞清楚这次被盗究竟是怎么发生的 |
 | 43 dode 2023-09-09 21:30:53 +08:00 chrome 的身份验证器扩展 是什么东西,看起来不靠谱 |
| 44 dode 2023-09-09 21:34:13 +08:00 电脑里装了一小部分破解软件 哎 |
 | 45 go233 2023-09-11 09:44:23 +08:00 估计是 chrome 插件的问题 |
 | 46 1d074bfa18d34f6c 2023-09-11 15:42:20 +08:00 4w usdt ? 有没有可能是内鬼?也太精准了吧? |
Select Language