登錄
註冊
據 Woofun AI 消息,Gate 交易所用戶“第一美少女(@jheioff)”於 7 月 8 日在 X 平臺披露其賬戶遭遇盜刷,約 170 萬美元資產被瞬間提空。Gate 華語官方賬號隨後確認,該賬戶在 7 月 7 日確實完成了 5 筆提現操作,涉及 49.96 枚 ETH、746,475 枚 HSK 與 1,565,982 枚 USDT,總價值摺合 170 萬美元。
儘管用戶聲稱從未進行視頻驗證或提供手持證件,平臺後臺卻顯示所有安全步驟均已'驗證通過',這一核心矛盾迅速引爆社區對安全機制的質疑。
Gate 方面隨後公佈了詳盡的操作時間線,試圖還原事件全貌。記錄顯示,7 月 4 日有'新設備'發起密碼與安全項重置,經活體人臉驗證、短信驗證碼及郵箱驗證碼三重校驗後完成;7 月 5 日,賬戶憑一段 2019 年支付寶 C2C 訂單的付款錄屏成功解綁手機;7 月 6 日,登錄密碼、資金密碼及 Google 驗證被重設;7 月 7 日,賬戶通過一臺'歷史老設備'的 Mac 網頁端登錄,隨後向新地址發起提現。該筆提現單獨經過了活體人臉驗證、Google 驗證碼與資金密碼的完整驗證流程,隨後該地址被加入免驗證白名單,最終導致 5 筆提現合計約 170 萬美元流出。平臺強調,後臺日誌顯示每一步均符合安全規範,初步判定爲個別案例而非系統性漏洞。
@jheioff 隨即發佈長文逐條否認,雙方證據鏈出現尖銳對立。用戶指出,其當前使用 iPhone 16 Pro,舊設備爲 iPhone 13,均非 Gate 記錄中的 iPhone 14;7 月 4 日 19 時 44 分(UTC+8)的人臉識別發生時,她本人並未操作;7 月 5 日凌晨 3 時許提交的'手持證件與手寫文稿'視頻,因當時已入睡而絕無可能由本人完成;2019 年 10 月 9 日 22 時 28 分的支付寶 C2C 訂單錄屏,她對此完全不知情。
值得注意的是,用戶承認 7 月 7 日 Mac 網頁端的登錄可能確係本人瀏覽器,因其習慣常駐網頁,但強調登錄行爲不代表後續解綁、重置及提現操作由本人執行。她進一步要求 Gate 解釋日誌中顯示的 10.0.10.9 內網私有 IP 以及未公開的設備指紋與真實公網 IP,並質疑爲何客服人工覈實身份後操作會顯示爲內網 IP。Gate 回應稱,部分信息屬核心風控涉密,無法對外提供,且內網 IP 系客服代操作所致。
針對支付寶記錄能否追溯至 2019 年的質疑,經實測及查證支付寶官方幫助中心,賬單記錄可永久查詢,即便刪除仍可通過'開具交易流水證明'調取。7 月 9 日,Gate 給出關鍵進展:那段 2019 年支付寶錄屏經交叉覈驗確認屬實,理論上僅賬戶實名人本人登錄支付寶方可錄製。次日凌晨,Gate 就社羣流傳的'賬戶郵箱被篡改'傳聞作出澄清:涉事賬戶顯示的 @mail.bter.com 與 @mail.gate.io 後綴郵箱,實爲平臺爲純手機號註冊用戶自動生成的佔位郵箱,僅用於後臺信息填充,無法獨立登錄收發,並非遭第三方篡改綁定。
這一細節雖解釋了郵箱異常,卻未能消除用戶對資金轉移路徑的疑慮。
事件發酵後,社區對漏洞成因提出多種相互衝突的推測。@hebi555 認爲,攻擊者可能利用泄露的 KYC 資料結合 AI 換臉技術,僞造出足以通過活體檢測的人臉視頻;@ChzhshchAI 與 @datiezi 則從內網 IP 這一異常點切入,懷疑操作系交易所內部人員配合完成;@dajingou1 的長文分析指出,這更像是終端被長期植入木馬、信息被持續竊取的結果。另有猜測認爲,賬戶的實名 KYC 信息本就不屬於 @jheioff 本人,而是借用他人身份註冊,對此用戶尚未正面回應。Gate 將事件定性爲'個別案例',但鑑於目前尚無獨立第三方介入覈實,調查仍由 Gate 主導,結論的公信力面臨挑戰。
活體檢測被攻破在傳統金融領域早有先例。2022 年,北京警方通報一起交通銀行儲戶資金被盜案:攻擊者在掌握受害人手機驗證碼的同時,6 次通過銀行的人臉活體檢測完成大額轉賬與密碼重置,儲戶本人對此毫不知情,同類受害者至少 6 人,涉案金額超過 200 萬元人民幣。清華大學 RealAI 團隊 2021 年的測試顯示,利用對抗樣本可在 15 分鐘內攻破 19 款安卓手機的人臉識別系統,併成功繞過部分金融類 App 的活體檢測。資金正在用腳投票,事件公開當天,@xiaomustock 與 @0xfengxun 等賬號的預警帖迅速擴散,部分用戶選擇第一時間從 Gate 提幣避險;@forevergalxy 等則質疑交易所在社交平臺上組織正面聲音、迴避核心證據。
Woofun AI 整理數據顯示,Gate 過去 24 小時淨流出約 8658 萬美元,明顯高於其他交易所同期數據,市場恐慌情緒顯著蔓延。
對 Gate 而言,這不只是一起個案糾紛,更是一次危機披露能力的公開檢驗。交易所選擇分階段發佈聲明、給出操作時間線,試圖用透明度對沖信任流失,但時間越久,羅生門越難打破。拋開責任認定不談,這起個案爲普通用戶留下幾條實用提示:大額提現前,應爲'免驗證地址白名單'單獨設置延時到賬或人工複覈,而非默認放行;二次驗證工具儘量關閉雲同步,併爲其單獨設置強密碼;多留意日常使用的交易所官方驗證短信/郵箱的實際顯示抬頭,避免把關鍵驗證碼誤當成營銷信息忽略,並設置自己能夠記憶的防釣魚碼;定期檢查賬戶綁定的郵箱是否爲本人正在使用的真實郵箱,尤其是手機號快捷註冊的老賬戶,容易被系統自動生成的佔位郵箱掩蓋真實風險。
同時應儘量避免在社交平臺或公開場合暴露具體持倉規模,高調'曬單'、'露富'本身就會把自己變成社會工程學攻擊的目標;此外,人臉識別已被證明存在被換臉、僞造繞過的可能性,儘量減少清晰多角度的臉部照片、視頻在社交媒體和陌生第三方渠道的留存與傳播,這類素材一旦被收集,可能被用來訓練或合成足以騙過活體檢測的換臉材料。