震撼揭露:Crypto.com再爆巨资被盗,总金额狂升至3370万美元!
区块链安全团队ErgoBTC近期发现,Crypto.com再次遭受资金盗窃——新增444枚BTC,价值约1870万美元。这导致Crypto.com的总被盗金额直线飙升,高达惊人的3370万美元,令其迅速跻身DeFi/CEX黑客攻击排行榜第15位。
令人愤怒的是,Crypto.com至今仍未承认任何资金损失。他们在撒谎。
ErgoBTC深入调查,逐步揭开这场蓄意隐藏的盗窃真相。新增损失使事件升级,Crypto.com的“谎言”也承受巨大压力:真相何时能大白于天下?
讽刺的是,在用户资产被盗、损失不断扩大之际,Crypto.com的CEO却在社交平台悠闲地“摸鱼”。
Crypto.com真的应该停止空洞的言辞,向用户坦诚资金去向?
一、时间线揭秘:从“全员安全”到“偷偷被盗”,谎言被一步步揭穿
这场盗窃案的诡异之处,不在于黑客的高明手段,而在于Crypto.com的“自欺欺人”——一边声称“资金安全”,一边任由用户资产被盗。直到第三方团队曝光,谎言才被彻底戳穿。
📌 关键时间线(UTC时间)
✅ 2022年1月17日 04:44:Crypto.com首次发声,称“用户资产安全,无损失”;
✅ 同日 12:17:8小时后,Crypto.com再次强调“资金安全”,试图安抚用户情绪;
✅ 同日 18:44:谎言被戳破,数百名用户钱包被洗劫,资金瞬间蒸发;
✅ 后续:ErgoBTC初步调查发现1500万美元损失,随后挖出新增1870万美元损失,总损失达3370万美元。Crypto.com始终沉默,未承认任何损失。
二、核心疑点:黑客如何突破“双重防线”?内鬼疑云再起
这场攻击让人细思极恐的是:黑客竟然轻松绕过了Crypto.com的双重安全防护,令人不禁怀疑,攻击是否来自内部。
📌 两大致命突破:2FA验证和白名单形同虚设
- 绕过2FA验证:用户开启的双重身份验证被黑客轻松突破;
- 绕过提现白名单:许多用户设置了提现白名单,但黑客依然能将资金转移出去。
一个灵魂拷问:能同时绕过这两大防线,难道真是外部黑客所为?还是Crypto.com内部存在内鬼,为黑客打开了方便之门?
📌 第三方溯源:损失远超预期,资金已被洗白
根据两大安全机构的调查,攻击损失的细节逐渐浮出水面:
- Peckshield:总损失约1500万美元,至少4600枚ETH被从数百个用户钱包中盗走;
- Certik:未明确具体损失金额,但确认攻击已成功突破多重安全防护;
- 资金流向:被盗ETH全部被转入Tornado Cash(混币服务),掩盖资金痕迹,黑客地址自2022年1月18日起便处于休眠状态,难以追溯。
📌 审计失效:德勤SOC2审计也挡不住攻击
讽刺的是,Crypto.com此前还获得了德勤的SOC2审计认证。但事实证明,这份认证形同虚设,根本未能防范此次攻击。正因为如此,Crypto.com最初被列入黑客攻击排行榜第29名,随着损失翻倍,排名一路上升至第15名。
三、荒诞名场面:一边隐瞒损失,一边岁月静好
Crypto.com的一系列操作,堪称加密行业“甩锅+摆烂”的典范——一边是用户维权、损失不断扩大,一边是平台刻意隐瞒、CEO岁月静好。
📌 平台的“冷处理”:否认一切,拒绝回应
截至目前,Crypto.com始终未发布关于“3370万美元被盗”的官方声明,既不承认损失,也不解释攻击原因,更没有提出任何补偿方案。
甚至用户反馈“ETH被盗”、第三方机构曝光损失后,Crypto.com依然选择沉默,仿佛什么都没发生过。
📌 CEO的“迷惑操作”:岁月静好,无视用户损失
就在用户资产被盗、平台陷入信任危机时,Crypto.com的CEO Kris HK(@Kris_HK)不仅没有出来道歉或解释,反而在社交平台表现得“十分开心”,仿佛这场3370万美元的损失与他无关。
更离谱的是,他此前还公开宣称“所有资金都是安全的”——如今谎言被彻底戳穿,却连一句回应都没有。
📌 用户的绝望:集体维权,却求告无门
数百名被盗用户纷纷在社交平台发声,控诉自己的ETH被偷,却得不到Crypto.com的任何回应。有人晒出自己的提现记录、被盗截图,却只能眼睁睁看着资产流失,求告无门。
四、灵魂拷问:Crypto.com到底在隐瞒什么?
3370万美元,不是一笔小数目。为何Crypto.com宁愿背负“撒谎”的骂名,也要刻意隐瞒损失?背后可能有两个原因:
- 担心引发挤兑:作为中心化交易所,用户信任是核心。一旦承认大额资金被盗,可能引发用户恐慌性提现,导致平台资金链断裂;
- 内部存在问题:若攻击涉及内鬼或审计失效的责任在平台自身,公开真相会让平台声誉崩塌,甚至面临监管追责。
但无论如何,隐瞒都不是解决问题的方法——与其假装什么都没发生,不如正视损失,推出补偿方案,至少能挽回部分用户信任。
毕竟,1500万美元的补偿(最初的损失金额),远比“撒谎被戳穿”的代价小得多;即便不公开补偿,悄悄为受影响用户退款,也比全程冷处理、消耗用户信任要好。
五、行业警示:巨头失责,受伤的是整个加密行业
Crypto.com作为全球知名的加密交易所,此次的失责不仅是自身的危机,更是整个加密行业的“信任危机”。
中心化交易所的核心竞争力,就是“用户信任”——用户把资产交给平台,本质上是相信平台能守护好自己的资金。而Crypto.com的隐瞒行为,无疑给所有用户泼了一盆冷水:连头部交易所都无法保证资金安全,普通用户的资产还能托付给谁?
更值得警惕的是:
- 审计不是“遮羞布”:即便获得顶级机构的审计认证,也不代表绝对安全,平台不能依赖审计,更要做好自身的安全防护;
- 冷处理只会加剧危机:出现安全事件后,隐瞒、沉默只会让用户更加恐慌,最终导致信任崩塌,不如及时发声、主动承担责任;
- 用户需警惕“巨头光环”:不要因为平台知名度高,就放松警惕,分散投资、做好资产备份,才是保护自己的核心方式。
尾声:我们还在等Crypto.com的一句真话
截至目前,Crypto.com依然没有任何公开回应,也没有发布官方复盘报告(post-mortem)。我们不知道他们还要隐瞒多久,也不知道被盗用户的资产能否被追回。
但可以肯定的是:谎言终有被戳穿的一天,而Crypto.com因为这次的隐瞒行为,已经失去了大量用户的信任——这种信任的崩塌,远比3370万美元的损失更致命。
后续,我们将持续追踪ErgoBTC的调查进展、Crypto.com的官方回应,以及被盗资金的流向,第一时间为大家更新最新动态。
也提醒所有加密用户:无论平台多知名,都不要将所有资产集中存放,做好安全防护,才能避免成为“巨头失责”的受害者。