吴说作者 | Colin Wu

事情要从 2022 年 5 月说起,当时 Huobi 钱包宣布更名为 iToken,获得了 Huobi 集团 2 亿美元投资,自称将致力于成为去中心化的投资平台,帮助用户访问 DeFi 和 dAPP。iToken 将把火币集团 2 亿美元投资中的一半用于风险准备金,用于其新推出的财富管理功能,另一半用于日常运营。

2022 年 10 月,孙宇晨十多亿美金高价收购火币。今天看来,这是一笔溢价的交易。但他没想到的是,李林留给他的火币,竟然还有更多麻烦。

2023 年 9 月,吴说独家获悉,由于前员工设置木马,iToken(原火币钱包)部分用户助记词或私钥已泄露。据用户反馈,本周 iToken 系统提示用户部分钱包地址存在安全风险,由安全机构提交由 Refundyourcoins 实施了资产保护,将部分用户地址中的资金转移到安全地址。refundyourcoins 将上线找回功能,以方便取回资产,涉及 BTC ETH TRX XRP 四条链。已由 Huobi 改名的 HTX 回应吴说称与 HTX 无关,为收购前、原火币员工个人行为设置木马,盗取他人助记词与私钥,目前已遭到调查。HTX 将积极配合,打击犯罪。

随后仍不断有用户反馈其 iToken 钱包被盗。

直到 2024 年 7 月,上海市徐汇区政法委公众号平安徐汇才披露了这期离奇的案件详情:

2023 年 5 月,市民欧某在咖啡店里打开 A 公司开发的虚拟币钱包软件(此处 A 公司应为火币,钱包为 iToken),想查看一下自己的虚拟币(时值数百万人民币)是否增值时,发现账户中的虚拟币全都不见了。欧某自行排查后发现,竟是一个月前有人将自己的虚拟币一转而空。

通过对程序进行分析,欧某注意到虚拟币钱包软件中存在会自动获取虚拟币钱包地址、私钥的后门程序,并据此追踪到可疑的用户信息。2023年8月,欧某带着自己搜集到的证据前往徐汇公安分局报案。几天后,犯罪嫌疑人,同为 A 公司员工的张某、董某、刘某陆续到案。

三人到案后交代,2023 年 3 月初,三人经商议,决定在某虚拟币钱包软件中加入后门程序以获取用户私钥。三人分工合作,由刘某负责编写后门程序,董某负责购买服务器和域名并对获取的私钥加密,张某甲负责搭建服务器和数据库。当用户首次安装带有后门程序的软件,后门程序就会在 5 天后自动运作,将私钥、助记词等信息上传至域名下的数据库内。运行一定时间后,后门程序就会自行停止窃取相关信息。

为逃避侦查,2023 年 5 月底,三人在保存好窃得的私钥及解析出的对应数字钱包地址后,就把服务器和数据库销毁了,并约定两年后方可使用这些私钥来非法获取用户的虚拟币,结果三个月后就被公安机关抓获归案。但对于欧某的损失,三人均供述称并未打破“约定”,提前非法获取虚拟币。经鉴定,三人共计非法获取助记词 27000 余条、私钥 10000 余条,成功转换数字钱包地址 19000 余个。

2024年4月,经徐汇区人民检察院依法提起公诉,徐汇区人民法院依法以非法获取计算机信息系统数据罪,分别判处被告人刘某、张某甲、董某有期徒刑三年,并处罚金人民币三万元。

承办检察官认定,刘某、张某甲、董某并未转走欧某的虚拟币,那么真凶是谁?

原来,在欧某使用的另一个平台上的虚拟钱包软件中,也被曾就职于火币公司的张某乙植入了后门程序。张某乙到案后交代,2021 年 7 月,他利用自己的专业知识以及对虚拟币的了解,在客户端代码中编写了一段收集用户私钥和助记词的代码。当用户交易虚拟币时,代码就会自动获取用户进行签名操作所使用的助记词或私钥,并通过邮件形式发送到张某乙的邮箱。

2023 年 4 月,张某乙因个人经济压力,就通过自己非法获取的助记词和私钥得知了欧某的虚拟钱包地址,将其中的虚拟币尽数转到自己的钱包地址中,并立刻转换成其他数字财产或虚拟币。经鉴定,张某乙共计非法获取用户私钥及助记词 6400 余条。2024 年 4 月,经徐汇区人民检察院依法提起公诉,徐汇区人民法院依法以非法获取计算机信息系统数据罪,判处被告人张某乙有期徒刑三年,并处罚金人民币五万元。

孙宇晨表示,我司配合上海徐汇警方成功侦办一起非法获取计算机信息系统数据犯罪,法院最终判处被告人有期徒刑并处罚金。该起案件侦办伊始,我司积极配合有关部门开展各项调查取证工作,清晰的链上数据让犯罪分子无处遁形,协助警方迅速侦破此案。

HTX 表示,涉案人员均为火币被收购前的老员工。2023 年,HTX 进行了大规模全面审计,并发现相关问题。 火币 HTX 已迅速采取必要措施保障用户资产安全,并全力配合相关部门调查,最终将涉案人员绳之以法。未来,火币 HTX 将持续加强内部管理,完善风险控制机制,不断提升安全措施。

不过孙宇晨回应中说,“由于我们及时发现并且打击犯罪,用户资产得到了完整保护,并没有出现任何用户资产的损失”,引发了一些用户的质疑。在 iToken 被盗用户群中,仍然十余名用户表示其被盗资产没有收到任何回应。上述四名黑客盗取的数万条助记词与私钥是否泄露,目前也没有更多的信息。

平安徐汇全文:

https://mp.weixin.qq.com/s/mPvlKzE-3cXNnmP2dmMlSw

孙宇晨回应:

https://www.wublock123.com/index.php?m=content&c=index&a=show&catid=47&id=30225

THE END