撸毛圈传来噩耗，资金集体飞升黑客星球 ——记 Ads Power 指纹浏览器之殇

少年，听说你想用 0 撸剑开天门？

可曾想过，长老送你的这把利剑有「后门」！

1月25日，Web3 撸毛圈已经沉浸在年前的氛围中，等着年后分享 Bera、Linea 等空投喜悦。  

殊不知，一场大劫来临。

黑客在 1 月 17 日就已摩拳擦掌。他注册登记了作案用的域名 logcollection[.]info，入侵了比特浏览器服务器，替换了 Ads Power 指纹浏览器的插件，让更新这个版本的插件的用户私钥全部泄露。  

诡异的是，东窗事发之时，Ads Power 居然是先通过微信等私人方式联系部分用户告知被盗风险，没有选择立刻大范围警告。  

当慢雾创始人余弦于 25 日 11:15 分在社交媒体发出警告时，超过 20,000 个地址、近 500 万美元的资产已在被无声收割，多少工作室养了几年的地址集群一朝作废。  

只有少部分消息快的人和黑客赛跑成功，抢救回了资产。

中心化黑箱工具就 TM 是定时归零炸弹

这一灾难般的场景，何其眼熟？  

就在 3 个月前，知名顶级 meme 交易工具 Dexx 用户的私钥尽数被盗，一觉醒来资产清零。

就在一年多前，同类工具比特浏览器发生盗窃，最后不了了之。（甚至还甩锅给了 WPS）

更眼熟的是，不久之前 Ads Power 还在投放推广 KOL 邀请注册返佣。翻翻 Ads Power 的推特历史，还能看到其 1 月 3 号刚以 90+ 分【高分】通过了 Certik 的安全认证审计，而 Certik 的推文已经悄悄地删除了，留下一个空荡荡的不可见引用推文。  

更多的作案细节，安全机构仍在跟进调查中。无论是监守自盗还是外部入侵，都无一不说明了这种中心化的、不开源的黑箱工具的恐怖。

这种可能暴雷的工具往往有两个特点：

1）有能力作恶。这些工具往往能够直接接触到用户的钱包私钥缓存，甚至直接就能托管你的私钥——并且处在联网动态更新环境、对于用户不开源。  

2）有动机作恶。托管/接触的资金的量和增长的速度，都远远超过了其商业模式收入，内部人员有 ROI 极大的盗窃跑路诱惑，成功了一辈子荣华富贵，谁看了不迷糊？

当然，也有第三种情况，就是安全防御能力匹配不上用户的增长，成为黑客的目标，被入侵拿下。  

大道至简，请离线隔离你的私钥

不要嫌 OneKey 啰嗦….我们一遍一遍地强调过：只要你在联网电脑上的钱包，私钥助记词是缓存在电脑、并且签名操作在电脑操作的，都有可能导致资产被盗！！！  

当签名环境与网络连接共存于同一内存空间时，再复杂的加密算法也抵不过一行被注入的恶意代码。

就比如你下载的随便一个视频播放器，突然哪天被黑客入侵。有能力的黑客，直接上传你的私钥缓存暴力破解，没能力的，记下你的 PIN 直接远程操作你的钱包转账。

那为什么指纹浏览器成为了目标？因为它是币圈撸毛精准用户——有钱可偷呀！毕竟 Web3 还是小众的，随便入侵一个软件，Web3 用户可能都不到 0.1%。  

这一次被盗事件，你大可以打听一下，使用硬件钱包（OneKey、Ledger、Trezor 等）的工作室，都没有被盗。

为什么？  

这些硬件钱包的目的就是帮助用户更好地离线地保护自己的私钥，保证私钥锁定在 EAL6+ 加密芯片中，没有任何利益方接触。它要确保的是——私钥从生成、备份到储存都永远不和网络连接。  

以 OneKey 为例， OneKey 的硬件钱包和软件钱包更是从第一天就【完完全全】地在 Github 开源公开代码并被慢雾审计。物理的隔离，代码的限制，让被入侵的可能性降到最低。OneKey 有 Coinbase、Dragonfly 等知名机构的大额融资，不会发币，更不托管用户的私钥。  

老实说，安全和便利有时候有些冲突。

需要抄写助记词、手动确认每次交互、甚至使用硬件钱包来保存私钥、作转账签名。

或者你有技术能力/钞能力，花时间做个自己的多开操作脚本，而不是使用中心化不开源第三方，用着放心。（目前第三代的撸毛工作室基本都有这种技术能力了）

但这本身是有点反人性的，因为人都是懒惰的。

大部份人都想着「这种事情不会发生在我的身上吧？」，但只要发生一次，就归零，回归原点。

总结

最聪明的大脑，最美丽的叙事，却最多的人倒在牛市。  

打听打听过去的中心化暴雷事件吧，哪一个不震撼人心？  

那些门头沟、FTX 以及一众项目方的烟花好看吗？  

用户的亿万级真金白银换的。  

万千财富灰飞烟灭，仅在一刻之间。  

希望你不要继续做侥幸者，学会隔离私钥自托管，适当出金，守护住你的大结果。