在加密货币的世界里,交易所是我们通往数字财富的桥梁,当这座桥梁本身出现裂痕时,用户的资产安全便岌岌可危。“抹茶交易所(MEXC)”和“找币”这两个词,对于许多用户来说,并非代表着便捷与机遇,而是充满了惊魂、困惑与愤怒的“惊魂记”。

噩梦的开端:登录即“失踪”,资产凭空蒸发

故事的开始,往往和往常一样,老王(化名)像往常一样打开手机,习惯性地登录抹茶交易所,准备查看自己的持仓,当他输入账号密码后,屏幕上弹出的不是熟悉的资产界面,而是一行冰冷的提示:“账户异常,请联系客服”。

起初,老王以为是网络问题或系统维护,他刷新页面,重试登录,甚至换了一台设备,结果都一样,一种不祥的预感涌上心头,他立刻尝试通过邮箱找回密码,却发现密码被恶意修改,收件箱里也多了一封陌生的登录确认邮件,那一刻,老王的心沉了下去——他的账户,被黑了。

更让他崩溃的是,当他通过客服渠道艰难地申诉,并最终找回账户控制权后,他惊恐地发现,自己账户里价值数万元的USDT、BTC等主流币种,竟然不翼而飞!只剩下一些无人问津的“山寨币”,这起“凭空蒸发”事件,并非个例,在各大社交平台和投诉网站上,关于抹茶交易所账户被盗、资产失窃的帖子层出不穷,而其中最核心的谜团,都指向了一个共同的步骤——“找币”。

“找币”迷局:是功能漏洞,还是黑客陷阱?

“找币”(Find/Recover Assets)功能,本是许多交易所为方便用户找回因遗忘助记词、私钥而丢失的资产而设计的一项服务,用户只需在指定页面输入丢失资产的链上地址,交易所便会在其链上钱包中帮助用户定位并找回。

在抹茶交易所的这次大规模安全事件中,“找币”功能却从一个“救生圈”变成了一个“陷阱”,据多位受害者描述,他们的账户在被黑客盗取后,黑客并没有直接将资产提现到自己的地址,而是利用了抹茶交易所“找币”功能的逻辑漏洞。

具体操作流程疑似如下:

  1. 账户接管:黑客通过撞库、钓鱼等手段获取用户账户密码,或利用更高级的API密钥盗取等方式,控制用户账户。
  2. 内部转账:黑客将用户账户内的所有主流资产,快速转移到交易所内部的另一个地址。
  3. 启动“找币”:黑客利用“找币”功能,在抹茶的后台系统里“找回”了这些被转移的资产,并将其提现到自己的外部钱包。

这个过程巧妙地绕过了常规的提现风控,因为“找币”提现通常被认为是用户本人的合法操作,对于用户而言,他们的资产在交易所内部“消失”了,而黑客则通过“找回”的方式,将这些资产光明正大地提走,这种操作方式,不仅让用户的资产追回变得异常困难,也暴露了抹茶交易所内部账户安全与“找币”风控体系之间存在的巨大裂痕。

曝光与追问:抹茶交易所的责任何在?随机配图