前天的一篇夏立克的文章,惊动了火币的官方。
火币大事件:一个二维码就能转走账户所有资产,有人被骗125个eth!多名受害者已报警|灰度再加比特币
我在看手机的时候半夜从被窝中爬起来。决定说说这个事情。
我不去评判币乎夏克立先生文章是否真的有考虑不周到的。但是火币这个事情,做的也太牛叉了。
夏克立在微信群发了这个截图。
可能是夏兄弟出于好奇同意这个加好友吧。
这个微信有时候真的不太好确定身份,很容易上当受骗。还记得币安的丝袜门么。
( 上面是夏立克&号称火币公关总监的对话 )
( 被盗ETH的伙伴&夏立克的对话 )
( 真假火币官方的回复 )
( 这是要连币乎一起被告 )
这个发律师函发币乎就发吧,如果真的有不妥的地方,用法律的手段这是非常正确的一件事情。
当然最牛逼的是下面这段对话。
因为文章哪些观点是错误的要删文?我没有看太懂。
合情合理为什么要补?
还是真假公关自乱阵脚了,你到说说给人家几个比特币啊。什么都不说,让人家删文,这是商量吗?
这个都是客观陈述,如果是编的我觉得倒是需要思考。
我们先来看看夏立克先生这篇文章到底写了啥。
我大致理解为,外面不法分子通过制作一个假的空投,让用户扫描二维码。
( 我好奇的用微信扫描了一下,原来是一个钓鱼网站 )
( 这个明显不是火币地址 )
我测试扫描之后得到是这个地址,是伪造火币的官方地址,从制造这个二维码的人来说,确实用心良苦在钓鱼用户。
( 苹果手机获取的是系统私有路径的一个path )
这个时候千万别授权,一但授权他能拿到你手机安全目录权限,在苹果手机下面可能会好点,android可能一不小心你按了授权,你就被吊打了。
这个图片中有个查看此证书,我们点开之后会有一个页面。
( 域名控制认证,估计可以拿到域名信息 )
当你在访问的时候,由于你的用户信息没有被加密,可能就会被这个授权的木马所获取。
就这个问题我们分析下,作恶的源头来自于这个木马始作俑者。
在互联网很多的防范体系下,都是防君子不防小人。
用户信息被截取然后被利用导致资产损失,是谁的锅呢。当然一方面用户有一定责任,不要去点击不法地址来源,千万不要去扫描来源不明的二维码。
第二点,资产被盗跟原网站安全体系是否有关呢,答案是肯定的。当你安全体系不够强大的时候漏洞就越多。举例说明,至今攻克支付宝系统的寥寥无几。
有安全漏洞不可耻,如果是真的因为黑客利用用户的无知,盗取用户信息,盗取****,从而轻而易举拿到用户相关信息来非法获利,只能说明平台在多维度防范体系下做的还不够好。还需要承认隐患,努力加强自己的系统安全防范。
综上所述,黑客利用网站本身漏洞体系,拿到用户授权窃取到用户资产。 火币有什么需要解释的么,如果官方可以做一个正向的回答,我觉得这个态度会非常的好。
我仔细看了夏立克的文章,从他的文章中我得到几个信息点,并没有说火币坑用户,但是确实火币在这个方面的安全需要加强。同时也是对用户的警醒,不要随便去扫一扫贪个小便宜,除非你的对互联网的认知到达一定的水准,否则什么时候别人给你下套你就中枪了。安全第一,资金账户不要随意操作,输入手机验证码,google auth!
同时我记得火币也是有人脸认证,如果认为这个来源具备风险,会对用户进行身份重新认证,交易的时候都是需要双重认证保护(短信验证码 + 邮箱验证码),不知道这次的钓鱼是否有这样的提醒。
我觉得火币应该好好review上面这个场景,看自己是否真的具有安全隐患,无责勉之,有责改之。
PS: 精评 ( 评论 & 转发 )
红包提示 这 500KEY
红包提示 我 500KEY
红包提示 你 1000KEY
红包提示 币 500KEY
红包提示 多 500KEY
红包提示 一 1000KEY
版权声明:项目均采集于互联网, 空投币 无法审核全面,且希望大家能赚钱,请谨慎切勿上当受骗!
温馨提示:★★★天上真会掉馅饼!天道酬勤,都是机会!不错过每个空投糖果!真假难以辨认,尽量0撸!
