防人之心不可无，警“群友”盗币威胁！

保持警惕，防备盗贼威胁：不可轻忽防范之心

防人心必要，警告“群友”偷币威胁

作者：Bitrace

「群友」是当前流行在加密货币投资者之间的一个社交meme，对加密货币有着共同爱好的人们在网络群组与现实世界中建立起社群关系，彼此互相了解对方的生活习惯、地址信息、持仓明细等，在进行观念分享、场外交易或业务合作的过程中，建立起了丰富有趣的社区。

喂喂喂！别误会，我可不是要在这篇文章中进行严肃的社会学考察，而是要通过揭示真实案例，向大家发出一个警告——有时候，盗币并不需要太高的技术含量。

贼喊捉贼

2022年6月，Bitrace收到A省某丢币受害人的报告，声称自己遭到了假钱包盗币，刚刚通过线下面对面OTC方式购买到的价值20万美元的泰达币不翼而飞。

• 【头条】USTC暴涨超200%？Mint Cash如注入其他生命，还是一纸空投？
• GlassNode：盈利地址达83%，比特币迈向香甜阶段
• 中科大一天翻倍，稳定币项目“薄荷现金”为何让市场如此FOMO疯狂？

在沟通中，受害人表示自己是在OTC过程中亲手当场下载的钱包软件，并且按照钱包软件的提示备份了助记词，当天测试金额安全到账，所有的交易都能够快速进行，只是没想到第二天资金就被转走了。原来OTC服务商提醒受害人可能下载到了假钱包，需要找数据分析公司进行追踪调查，于是受害人联系到了我们。

刚开始，Bitrace的分析人员也以为这只是一起常见的假钱包盗币案件——毕竟几乎所有受害者都认为搜索引擎的钱包关键词第一行结果就是官网，但很快奇怪的事情接二连三地发生了。

原来钱包公司反馈受害人下载的文件确实是正版钱包软件；同时链上资金分析也显示，被盗的资金没有像其他假钱包赃款那样快速转入网赌平台热钱包地址，或是进入为非法资金清洗提供服务的第三方担保交易平台地址，而是绕了一个大圈；仿佛盗币者知道这笔资金并不需要清洗似的，最后甚至有部分资金流回了OTC服务商的资金关联地址。

就当疑惑升温之际，调查人员还发现，这起案件的资金与Bitrace正在协助B省某地执法单位调查的另一起案件的地址资金有交集。这两起案件的受害人经历几乎完全一致——线下面对面OTC交易、当场下载钱包、交易完成后被盗、被盗后以假钱包盗币名义报案。

是不是有一种大胆的想法涌上心头了呢？

经过后续的配合侦查与警方执法过程，嫌疑人供述的结果出乎意料：他们只是在受害人抄写备份钱包助记词的过程中，安排人偷偷在受害人背后用手机拍下了屏幕，并在整个过程中暗示或明示受害人，他可能下载的是带后门的钱包，把锅甩给钱包公司。

至此真相大白，这起案件居然有些黑色幽默。

三人成虎

2023年11月21日，有KOL在社交媒体中发文表示，自己在TP钱包中存放的两种价值11000美元的加密货币被盗，考虑到自己的助记词都是离网存储，被安全地抄写在自己的密码本中，只有钱包公司有权限接触到他的助记词，于是认为是该钱包公司监守自盗。

这一言论立刻引发了大量其他投资者的共鸣，纷纷提到自己使用该钱包也遭遇盗币的经历，热度之高令人瞠目结舌，许多网友也纷纷转发声援，对TP钱包口诛笔伐，仿佛这家公司已成业界毒瘤。

得益于受害人公开了自己的地址，Bitrace 的调查人员得以对这起事件展开初步分析。

受害人地址中同时有两种资产丢失，首先排除授权盗币可能，因为针对波场钱包的授权盗币往往只以泰达币为目标，且不会盗取主链代币；接着排除假钱包盗币可能，因为这不符合假钱包团伙的「一键划转」和「吃干抹净」的工作原则，况且这个钱包使用了很久都没有被盗过，盗币者也没用专业盗币团伙常用的资金清洗手法；受害人的地址资金交互情况复杂，在被盗前与大量不同对手方发生交易，且资金规模庞大，因此我们推测其中交易对手方或合作伙伴盗币等熟人作案可能性较高。

综上，Bitrace通过两个地址的链上活动便大致判断出了后续调查的方向，并主动联系加入了包括受害人与TP钱包在内的三方调查群组。

最后的调查结果不出所料，的确是熟人作案。受害人的朋友趁受害人不备，偷偷抄写了他的密码本，进而完成了盗币动作与业余的资金清洗活动。TP钱包也勉强摆脱了嫌疑。

但是我们不能完全排除坏人团伙的存在，他们的规模之大，以至于有些无辜的钱包公司会一次又一次地受冤枉。即使这一次的解释很清楚，下一次也可能发生，再下一次也可能……

区分群友盗币与假钱包盗币

群友盗币与假钱包盗币在形式上多有一致，例如：都是地址管理权限丢失，会有同时多种带笔资产被非法转移；都不会在链上看到可疑的授权交易，转账方式也不是「transferFrom」；都存在一定的养鱼期，在获取钱包权限的初期不会贸然转移资产，以防打草惊蛇。

但在大同之中仍有小异，以下是Bitrace在过去数千起丢币案件分析中总结出来的规律，只要具备基础区块链知识的投资者都能了解：

1. 假钱包盗币的产业化与自动化程度极高，在获取受害人钱包权限后，他们从后台一键划转获取资金，所以几乎不可能出现留一部分偷一部分的情况。相反，群友盗币多为手动操作，存在许多疏漏，多笔资产转移间隔较长；
2. 假钱包盗币的洗钱渠道要么是网赌平台地址，要么是第三方担保交易平台，这些机构缺乏KYC机制，是犯罪分子的洗钱天堂。而群友盗币往往没有充分准备，得手后要么囤币发呆，要么就近使用第三方去中心化交易平台，甚至直接向中心化交易平台转账，十分业余；
3. 假钱包盗币会使用多重签名进行养鱼，被多签控制的受害人地址只能存入不能转出，受害人在不知情的情况下可能持续存入。而群友盗币不可能使用这样的方法。

最后

不管是熟人场景下的群友盗币，还是针对不特定对象的假钱包盗币，都对我们行业构成巨大危害。在打击这类非法活动的过程中，投资者本人、钱包公司、加密基础设施以及政府部门都不能置身事外。

所以，朋友们，一定要保护好自己的资产，加强安全意识。别让不法分子以假货夺走你的财富。在这个充满诱惑和奇遇的数字世界里，防人之心不可无啊！

你有类似的经历吗？欢迎在评论区分享，我们一起交流讨论！

We will continue to update 算娘; if you have any questions or suggestions, please contact us!