你们就当个故事听——黑客如何10秒钟盗走4.5万美金-CSDN博客

本文链接：https://blog.csdn.net/wangluo12138/article/details/140910073

去年底的某天，我在调整链上资产，我从一个借贷协议里取出了45000+美元，打算存到另一个交易所的lp里。

结果我发现自己存款的指令失败了，等我想再试一次的时候，发现钱包里的45000美元没了。

那一瞬间整个人一激灵，一股不好的预感涌现心头，我去后台查了一下钱包记录，发现在我取出45000美元后不到10秒，这笔钱就从我的钱包发送到了一个不明地址，等我想存款的时候钱已经没了。

当时脑瓜子感觉被duang了一下，嗡嗡的，因为那个转钱的命令不是我发出的，唯一的解释就是我被黑了。我先定了定神，发现情况还不是最糟糕，除了被转走45000美元外，我在其他协议里的投资都没事，似乎黑客只能偷我钱包里的现金。

我就去偷我钱的不明地址查看，发现就在同一天，陆陆续续有上百个地址给它转钱，加一起已经500多万美元了，这些应该都是和我一样的受害者。

我发现所有给它转账都是通过一个叫做LTA的协议中转，我认识那个LTA协议，很早之前我用过，然后经过半个小时左右的调查，我搞清楚了事情的来龙去脉。

……

LTA是一个被废弃的借贷协议，以前我在那里存过钱，交互的时候需要授权，我给过它关于我钱包里美元资产的授权，额度是无限。

可能有人觉得授权额度“无限”很危险，没办法我懒呗，图省事，不然每一次存钱都要重新授权，既浪费时间又浪费燃料。

以前那个LTA协议是一个被审计过的安全协议，很多资深用户都在用，我也就比较放心的在用。后来熊市来了，很多协议逐渐就荒废了，LTA也是其中之一。

本来大家渐渐就忘了，但是黑客想到了一个攻击的漏洞，它在市面上悄悄收购已经没什么人要的LTA治理币，等买到一定程度自己发起一个提案，把LTA协议替换成自己植入恶意程序的新协议，然后再用自己手里的治理币投票通过这个提案。

这一下当初给LTA授权过资产额度的账户都惨了，黑客写了一个程序，每隔10秒钟扫描一遍，一旦发现目标账户里有可转账的资产，就会光速抢走。

我的钱包当时授权过5-6种资产，其实在几个小时前黑客的第一遍扫描就已经把这5-6种资产都偷光了，只是这5-6种资产钱包里放的不多，加起来也就1000美元左右，钱太少我没发现。

这应该不难理解，你们的股票账户半夜悄悄少了两三千，你们肯定也不知道。等到我倒腾45000美元的时候，又被黑客一把抢走，这一下彻底警醒过来。

搞明白事情的原委后，我把在LTA协议的历史授权全部取消，之后黑客就无法攻击我的资产了。至于那45000美元…就这么踩雷了，但是往好处想，庆幸我当时倒腾的不是45万，不然也白给了。像这种坑似乎没办法提前发现，都是要亏一笔痛的才能觉察到。

就这样吧，心里恶狠狠的诅咒黑客全家不得好死，只能认栽了。

……

事后我忍不住又去浏览黑客的钱包地址，发现了好多大户也惨遭毒手，印象最深的是一个280万资产的钱包，授权了饼子无限额度，结果44个饼子全没了，当时饼子24000美元一个，加一起105万，37%的资产被偷，我寻思钱包主人那一刻绝对是五雷轰顶。

更糟心的是饼子现在涨到了70000，44颗的最新价值是300万美元，这钱眼下北京能买一套很不错的大平层了。

总之受害人陆陆续续在增加，因为理论上不被偷一次大的，曾经授过权的老用户都是意识不到危险的。就在今晚写文章之前我又去看了一眼，3月15日有人被偷了30.6万美元，3月10日有人被偷了18.7万美元，3月3日有人被偷了10个饼子（70万美元）。

这里说的都是大额，像那种万儿几千的就不提了，仅3月份就又给这宰种偷了差不多150万，总计早就超千万了。

可能有读者说你都能查到看到，就不能想办法追回来？还确实没什么办法，链上资产无法监管的另一面就是丛林社会，偷骗抢想管也管不了。

后来LTA的受害人建了个群，但除了互相哭惨也做不了别的，隔几天就会进来新群友汇报损失，我印象深刻的是一个土耳其还是希腊的老哥被偷了8万美元，一直惨号说这是他几乎所有的钱，求大家帮他找回来，我心想我们这一窝都是倒霉蛋，有能力帮你就不在这个群了

以上就是我经历的分享，其实还有一次黑客攻击事件我也是亲历的，那次更有意思，黑客破防后抢了第一波500万，但他没发现一处更大金矿，结果黑客走后有个机灵网友动作快，3分钟跟着捡漏哄抢了1500万，赚的比黑客还多两倍。普通人梦寐以求的一个小目标，那混蛋3分钟就到手了，但他后来犯了个致命错误，导致这钱也没落袋为安。

这个以后有机会再说吧。就这些，你们权当个奇闻逸事来听吧。
根据以上网络安全技能表不难看出，网络安全需要接触的技术还远远很多，常见的技能需要学习：外围打点能力、钓鱼远控能力、域渗透能力、流量分析能力、漏洞挖掘能力、代码审计能力等。

【----帮助网安学习，以下所有学习资料免费领！】

① 网安学习成长路径思维导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP客户端安全检测指南（安卓+IOS）

网络安全的知识多而杂，怎么科学合理安排？

一、基础阶段

★中华人民共和国网络安全法（包含18个知识点）
★Linux操作系统（包含16个知识点）
★计算机网络（包含12个知识点）
★SHELL （包含14个知识点）
★HTML/CSS （包含44个知识点）
★JavaScript （包含41个知识点）
★PHP入门（包含12个知识点）
★MySQL数据库（包含30个知识点）
★Python （包含18个知识点）
————————————————

入门的第一步是系统化的学习计算机基础知识，也就是学习以下这几个基础知识模块:操作系统、协议/网络、数据库、开发语言、常用漏洞原理。前面的基础知识学完之后，就要进行实操了。

因为互联网与信息化的普及网站系统对外的业务比较多,而且程序员的水平参差不齐和运维人员的配置事物，所以需要掌握的内容比较多。

二、渗透阶段

■SQL注入的渗透与防御（包含36个知识点）
■XSS相关渗透与防御（包含12个知识点）
■上传验证渗透与防御（包含16个知识点）
■|文件包含渗透与防御（包含12个知识点）
■CSRF渗透与防御（包含7个知识点）
■SSRF渗透与防御（包含6个知识点）
■XXE渗透与防御（包含5个知识点）
■远程代码执行渗透与防御（包含7个知识点）
■…（包含…个知识点）
————————————————

在这里插入图片描述