登录
注册
据 Woofun AI 消息,Gate 交易所用户“第一美少女(@jheioff)”于 7 月 8 日在 X 平台披露其账户遭遇盗刷,约 170 万美元资产被瞬间提空。Gate 华语官方账号随后确认,该账户在 7 月 7 日确实完成了 5 笔提现操作,涉及 49.96 枚 ETH、746,475 枚 HSK 与 1,565,982 枚 USDT,总价值折合 170 万美元。
尽管用户声称从未进行视频验证或提供手持证件,平台后台却显示所有安全步骤均已'验证通过',这一核心矛盾迅速引爆社区对安全机制的质疑。
Gate 方面随后公布了详尽的操作时间线,试图还原事件全貌。记录显示,7 月 4 日有'新设备'发起密码与安全项重置,经活体人脸验证、短信验证码及邮箱验证码三重校验后完成;7 月 5 日,账户凭一段 2019 年支付宝 C2C 订单的付款录屏成功解绑手机;7 月 6 日,登录密码、资金密码及 Google 验证被重设;7 月 7 日,账户通过一台'历史老设备'的 Mac 网页端登录,随后向新地址发起提现。该笔提现单独经过了活体人脸验证、Google 验证码与资金密码的完整验证流程,随后该地址被加入免验证白名单,最终导致 5 笔提现合计约 170 万美元流出。平台强调,后台日志显示每一步均符合安全规范,初步判定为个别案例而非系统性漏洞。
@jheioff 随即发布长文逐条否认,双方证据链出现尖锐对立。用户指出,其当前使用 iPhone 16 Pro,旧设备为 iPhone 13,均非 Gate 记录中的 iPhone 14;7 月 4 日 19 时 44 分(UTC+8)的人脸识别发生时,她本人并未操作;7 月 5 日凌晨 3 时许提交的'手持证件与手写文稿'视频,因当时已入睡而绝无可能由本人完成;2019 年 10 月 9 日 22 时 28 分的支付宝 C2C 订单录屏,她对此完全不知情。
值得注意的是,用户承认 7 月 7 日 Mac 网页端的登录可能确系本人浏览器,因其习惯常驻网页,但强调登录行为不代表后续解绑、重置及提现操作由本人执行。她进一步要求 Gate 解释日志中显示的 10.0.10.9 内网私有 IP 以及未公开的设备指纹与真实公网 IP,并质疑为何客服人工核实身份后操作会显示为内网 IP。Gate 回应称,部分信息属核心风控涉密,无法对外提供,且内网 IP 系客服代操作所致。
针对支付宝记录能否追溯至 2019 年的质疑,经实测及查证支付宝官方帮助中心,账单记录可永久查询,即便删除仍可通过'开具交易流水证明'调取。7 月 9 日,Gate 给出关键进展:那段 2019 年支付宝录屏经交叉核验确认属实,理论上仅账户实名人本人登录支付宝方可录制。次日凌晨,Gate 就社群流传的'账户邮箱被篡改'传闻作出澄清:涉事账户显示的 @mail.bter.com 与 @mail.gate.io 后缀邮箱,实为平台为纯手机号注册用户自动生成的占位邮箱,仅用于后台信息填充,无法独立登录收发,并非遭第三方篡改绑定。
这一细节虽解释了邮箱异常,却未能消除用户对资金转移路径的疑虑。
事件发酵后,社区对漏洞成因提出多种相互冲突的推测。@hebi555 认为,攻击者可能利用泄露的 KYC 资料结合 AI 换脸技术,伪造出足以通过活体检测的人脸视频;@ChzhshchAI 与 @datiezi 则从内网 IP 这一异常点切入,怀疑操作系交易所内部人员配合完成;@dajingou1 的长文分析指出,这更像是终端被长期植入木马、信息被持续窃取的结果。另有猜测认为,账户的实名 KYC 信息本就不属于 @jheioff 本人,而是借用他人身份注册,对此用户尚未正面回应。Gate 将事件定性为'个别案例',但鉴于目前尚无独立第三方介入核实,调查仍由 Gate 主导,结论的公信力面临挑战。
活体检测被攻破在传统金融领域早有先例。2022 年,北京警方通报一起交通银行储户资金被盗案:攻击者在掌握受害人手机验证码的同时,6 次通过银行的人脸活体检测完成大额转账与密码重置,储户本人对此毫不知情,同类受害者至少 6 人,涉案金额超过 200 万元人民币。清华大学 RealAI 团队 2021 年的测试显示,利用对抗样本可在 15 分钟内攻破 19 款安卓手机的人脸识别系统,并成功绕过部分金融类 App 的活体检测。资金正在用脚投票,事件公开当天,@xiaomustock 与 @0xfengxun 等账号的预警帖迅速扩散,部分用户选择第一时间从 Gate 提币避险;@forevergalxy 等则质疑交易所在社交平台上组织正面声音、回避核心证据。
Woofun AI 整理数据显示,Gate 过去 24 小时净流出约 8658 万美元,明显高于其他交易所同期数据,市场恐慌情绪显著蔓延。
对 Gate 而言,这不只是一起个案纠纷,更是一次危机披露能力的公开检验。交易所选择分阶段发布声明、给出操作时间线,试图用透明度对冲信任流失,但时间越久,罗生门越难打破。抛开责任认定不谈,这起个案为普通用户留下几条实用提示:大额提现前,应为'免验证地址白名单'单独设置延时到账或人工复核,而非默认放行;二次验证工具尽量关闭云同步,并为其单独设置强密码;多留意日常使用的交易所官方验证短信/邮箱的实际显示抬头,避免把关键验证码误当成营销信息忽略,并设置自己能够记忆的防钓鱼码;定期检查账户绑定的邮箱是否为本人正在使用的真实邮箱,尤其是手机号快捷注册的老账户,容易被系统自动生成的占位邮箱掩盖真实风险。
同时应尽量避免在社交平台或公开场合暴露具体持仓规模,高调'晒单'、'露富'本身就会把自己变成社会工程学攻击的目标;此外,人脸识别已被证明存在被换脸、伪造绕过的可能性,尽量减少清晰多角度的脸部照片、视频在社交媒体和陌生第三方渠道的留存与传播,这类素材一旦被收集,可能被用来训练或合成足以骗过活体检测的换脸材料。