一个美国退休人员声称在10月15日发现他在Ellipal的移动应用程序中的余额和价值超过300万美元的XRP消失了。这个发现引起了匿名分析师ZackXBT进行链上追踪的行动。
CoinDesk 尚未独立核实该投资者的身份、余额或完整的链上路径。该账户来自 Ellipal 自 10 月 15 日以来发布的几段 YouTube 视频,Ellipal 的公开陈述10 月 18 日,以及 ZackXBT 10 月 19 日X 螺纹.
受害者讲述的事件经过
这位自称布兰登的投资者表示,他住在北卡罗来纳州,今年 54 岁,他的妻子 60 岁,也已退休。他表示,XRP 仓位几乎是他们全部的退休储蓄,他们原本计划在拉斯维加斯买房。
他表示,自己自 2017 年以来一直在积累 XRP,之前持有的 XRP 数量更多,但为了生活开销卖掉了一些。他在 YouTube 视频中表示,自己在 10 月 15 日星期三查看 Ellipal 应用程序时发现了 XRP 被盗,随后确定 XRP 被盗发生在之前的星期日,也就是 10 月 12 日。
他描述了美国东部时间上午 11:15 左右进行的两次 10 XRP 测试提取,随后约 1,209,990 XRP 被转移到一个新创建的地址,然后迅速分散到数十个钱包,最终分散到数百个钱包。他表示,还有一些其他资产的较小余额,包括约 1,000 美元的 XLM 和约 900 美元的 FLR。
他说,他向联邦调查局互联网犯罪投诉中心提交了申请,并联系了当地政府,但未能迅速联系到专门的网络部门。他表示,他不清楚这些资金是如何从热钱包中被盗走的。
Ellipal 的解释和冷热混淆
Ellipal 于 10 月 18 日表示,其审查表明用户已将硬件钱包的种子短语导入 Ellipal 移动应用程序,该应用程序将在连接互联网的设备上重新创建钱包。
Ellipal 在给用户的电子邮件中解释说,如果在手机或平板电脑上使用冷钱包的种子,种子和生成的私钥将存储在该设备上,这实际上使其成为热钱包并大大降低安全性。
布兰登说,他在 iPhone 和 iPad 上都安装了 Ellipal 的应用程序。他提到,iPhone 应用程序显示蓝色背景,Ellipal 告诉他这表示连接了冷钱包;而 iPad 应用程序显示橙色背景,Ellipal 告诉他这表示连接了热钱包。
Ellipal 强调,其硬件设备采用物理隔离,并表示尚未发现源自硬件本身的盗窃行为。该公司的说法指向用户操作失误,但这本身并不能证明入侵是如何发生的。
根据 ZackXBT 的调查,这些资金的去向
在10月19日的一条帖子中,ZackXBT表示,他通过匹配视频中的时间和金额确定了被盗地址。他报告称,攻击者于10月12日使用Bridgers(一种以前称为SWFT的掉期服务)创建了超过120个瑞波币到波场币的订单。他指出,一些区块浏览器将这些跳转标记为“币安”,因为Bridgers使用该交易所获取流动性。
他表示,这些资金在 TGF3hP5GeUPKaRJeWKpvF2PVVCMrfe2bYw 的波场内进行整合,并于 10 月 15 日分散到 Huione 附近的场外交易经纪商手中。Huione 是一家东南亚在线交易平台,近期已被美国当局公开指控。CoinDesk 尚未独立复制完整的追踪记录,也未确认最终的收款人。
恢复几率和用户收获
ZackXBT 警告称,大多数“追回”公司都是掠夺性的,经常提供肤浅的报告,同时收取高额费用。他表示,向可靠的调查人员和合规平台快速报告可以提高被标记或冻结的几率,但一旦资金通过跨链交换和场外交易平台转移,追回的可能性就很小。
对于用户来说,核心教训很简单:如果目标是冷存储,请勿在移动或桌面应用程序中输入硬件钱包的种子。对于任何热钱包,请使用不同的种子,并考虑使用 BIP39 密码来存储高价值的冷存储。
布兰登说,这场损失让他夫妇的退休计划化为乌有。他说,他分享自己的经历是为了警示他人并寻求指导,同时也承认康复的可能性很小。