撸毛工具引发安全事故，“另类基础设施”更要防

上周末，一款看似与加密世界关联甚远的产品走入了加密社区的视野。常被用来“多开”、“群控”的比特浏览器引发了大规模的钱包被盗，受损金额达到数十万美元。

而再之前，随机数生成器、智能合约编程语言、iOS/安卓的系统风险等，均引发过大规模的安全事件。随着加密世界的成熟与复杂化，安全形势愈发险峻，在许多人们难以察觉的地方，风险悄然出现……

什么是比特浏览器？

对于大多加密用户，“比特浏览器”这款产品的名字或许有些陌生。

其全名为“比特指纹浏览器”。通过其官网信息可知，该产品的主要作用为环境模拟，类似“沙盒”功能，可在每个窗口模拟不同的用户追踪信息，包括IP、设备信息、浏览器信息等等。

而这一系列功能主要服务于一个目标：模拟多个用户，让每个“用户“”均可拥有独立的信息。浏览器甚至还提供了群控功能。

比特浏览器的市场受众，更多是外贸电商（如Amazon、Shopee等）及社媒运营（Facebook、Tiktok等）。其官网的广告语点明——“一个比特浏览器轻松管理您的跨境大生意”。

尽管该产品并不专为加密世界用户所设计，但其一系列功能，恰好贴合了羊毛党的诉求。因此，为数不少的“撸毛”者都使用了该产品。

被盗原因众说纷纭

近日，一批“撸毛”社区的成员发现，自己的撸毛钱包惨遭盗币。而经过自行排查，受害者均认为被盗或因使用比特指纹浏览器所致，直接原因系私钥泄露。

比特指纹浏览器官方在社群中第一时间回应：WPSForWindows部分版本存在远程代码执行漏洞，攻击者可利用该漏洞在受害者目标主机上执行任意代码，控制主机等。（WPS又和比特浏览器的用户有什么关系呢？比特浏览器的解释是，由于这个漏洞比较好触发，所以在点击不明链接之后可能就会被黑客攻击。）

而由于该软件与加密世界距离较远，一时间更是给出了令人啼笑皆非的回应。

最初的回应被加密社区当做梗广泛传播

比特浏览器的解释，无疑没能让用户信服。8 月 26日，比特浏览器对这一事件进行跟进，并发布公告称，“服务端缓存数据遭到黑客入侵。开启了“扩展数据同步”功能的用户钱包有被盗风险。建议转移钱包资产。”

安全事故，谁之过？

在事件最初之时，对于被盗的原因众说纷纭。

在我们经常使用的MetaMask插件中，私钥并不会被明文保存。因此，黑客仅仅依靠用户本地的缓存数据，并不能获得用户资产的控制权。

在钱包转移中，除了最常见的“导出”功能，“备份”功能是一个更少人使用的功能。

MetaMask的“备份”功能

需要注意，MetaMask 所提供的“备份”功能，与导出私钥/助记词是截然不同的功能。备份后用户可获得一个json文件，该文件也被称为keystore。（Odaily星球日报注：更简单的解释则是：私钥=助记词=钱包控制权=keystore+密码）

本地缓存数据也是同理，那用户的钱包又是如何被盗的呢？

在经过两日的各方分析后，最终案件原因终被查明。黑客系通过入侵服务器获取到了用户的扩展缓存。（Odaily星球日报注：这样黑客就拥有了钱包的本地数据，但却无法登陆。）然后，黑客通过“尝试常用网址平台密码碰撞”暴力破解钱包密码，进而得到钱包权限。

服务器记录显示，存储着扩展缓存的服务器在8月初（日志记录最晚至8 月 2日）有被下载的痕迹，并已锁定了数个IP，除一个江苏地址外均为海外地址。据社群人士称，目前此案已在北京公安局昌平分局受理。

而当我们复盘这一事件，却发现这一事件很难厘清各方责任。

首先是第一个风险点：缓存数据泄露。

有用户质疑，为何不对缓存数据进行加密？比特浏览器指出，在同步“扩展数据”之时，对数据的传递进行了加密。但该软件但主程序 EXE 文件若被黑客破解，黑客是可能得到扩展数据的。

但仅仅依靠缓存数据，并不能获得用户资产。“缓存数据+密码”的组合才可掌握钱包控制权。在用户的日常使用中，多账户共用密码是常态。我们常用的 Web2 网站的密码也常遭泄露。黑客可能获取到其他 Web2 网站的密码，并在用户的 Web3 钱包上试着“撞库”。

此外，暴力破解也是一个可能性。因为解锁密码的潜在组合数量远少于私钥的组合，因此暴力破解解锁密码是完全可行的。（假设产品不引入最大尝试失败次数锁定等防范措施。）

从用户角度来说，比特浏览器将插件的缓存数据拿走，并最终引发泄露，诚然负有不可推卸的责任。可是钱包访问密码的防护失效，也来自于长久以来网络安全环境的恶化。

另类基础设施

对软件开发方来说，我们不清楚“比特指纹浏览器”的“比特”之名因何而来，但有一点是明确的，这一产品并不是为加密世界而创造的，仅是恰好满足加密用户的需求。

一个系统越是复杂，潜在的风险点则越多，任何一个单点失误都有可能带来被入侵的风险。

回忆加密蛮荒时代，人们只使用最基础的比特币钱包，彼时还没有DeFi、跨链等诸多交互环节。只要保存好自己的私钥，便足够安全。

但现在，各种链下辅助工具、链上资金池，都增加了额外风险。越来越多像比特浏览器一样的产品，正成为加密世界新的另类“基础设施”。大量“非加密”的安全隐患危及着加密世界：

• 8月21日，黑客窃取313万USDT。安全人员认为，本次被盗系安卓系统相册被攻破，黑客获取了用户私钥截图。
• 8月初，Curve出现巨额被盗案。而时候的分析发现，Curve合约安全并没有问题，被盗原因来自于其编程语言vyper的漏洞。因此aleth、peth、mseth、crveth池被利用。
• 5月，AppleID的同步功能也引起了超千万美金的盗窃案。很多用户会购买或使用他人的美区Apple ID，账号所有者可以将钱包的本地数据同步，仅需攻破钱包访问密码，即可获得钱包控制权。这与比特浏览器的被盗事件如出一辙。受害用户被盗资金累计超过1000万美元。
• 而在开发者这一侧，安全形势更为复杂。在去年的Solana钱包盗窃案中，风险点则来自于更底层的助记词生成相关的随机代码。

随着加密世界的复杂化，可能未来将有越来越多的、人们难以察觉到的工具、软件、服务被纳入加密世界，风险也由此扩张。

我们在此提醒，勿将钱包的本地数据交予他人或过度授权。此外，因为风险的隐蔽性，请谨慎使用电子手段保存私钥/助记词。经常进行加密操作的电脑，不要安装过多的未知软件。