值得信赖的区块链资讯!
比推数据  |  比推终端  |  比推英文  |  比推 APP  | 

下载比推 APP

值得信赖的区块链资讯!
iPhone
Android

Gate 大户 170 万美金被盗:谁在撒谎?

BitpushNews

这几日加密社区里讨论最热的事,莫过于Gate用户 170万美元的“被盗案”了。

7月8号,一位X ID 叫“第一美少女”(@jheioff)的用户发推说,自己Gate账户里的钱没了——49.96个ETH、74万多HSK、156万多USDT,加起来大概170万美元。但TA说自己从头到尾没收到任何验证码,也没做过人脸识别,钱就这么消失了。

Gate.io官方很快确认了这笔提现确实发生了,但给出的说法完全不同:平台说所有操作都经过了完整验证,包括人脸识别、邮箱验证码、资金密码,一步都没少。

双方各甩出一堆证据,似乎各自都占理。这件事到现在也没有第三方结论,但各种疑点和猜测已经炸开了锅。

时间线

先简单过一下双方各自的时间线,你会发现这件事最诡异的地方在于——两边讲的故事细节都很具体,但就是哪里不对劲。

Gate官方在7月8日发了一份详细说明,按时间线梳理了整个过程:

7月4日,有新设备发起重置手机和邮箱的请求。Gate要求活体人脸验证、短信验证码、原邮箱验证码,全部通过后完成了重置。

7月5日,账户方要求解绑手机。客服再次做了人脸活体验证,还要求对方提供一段2019年的历史交易录屏(支付宝付款记录),确认后才执行解绑。

7月6日,Google验证器被重设,登录密码和资金密码也被修改——每一步都验证了邮箱验证码和原资金密码。

7月7日,一台历史老设备(Mac网页端)通过旧的passkey登录,然后向一个新地址发起提现。Gate又要求了一遍活体人脸、Google验证码、资金密码,全部通过。随后这个地址被设为“免验证地址”,5笔提现完成。

7月8日,用户才第一次联系客服说“资金遗失了”。

image.png

Gate的结论是:这不是系统漏洞或平台安全问题,所有操作都可溯源,属于个别案例,可能与用户自身信息泄露有关。

受害者那边的版本则完全不同:

TA说自己从头到尾没有主动做过任何安全项重置或提现操作。

Gate声称用户用iPhone完成了活体人脸验证,但TA直接甩出了一段家庭监控视频——画面里 @jheioff 抱着孩子在客厅玩,全程没碰过手机,更别说做什么人脸识别了。@jheioff 强调这段视频可以提交警方和司法机关核验。

image.png

用户称,自己根本没有iPhone 14(Gate记录里提到的设备),也没收到过任何相关的通知邮件或验证码异常提醒,其他交易所的账户一切正常,偏偏只有Gate出了问题。

随着双方第二轮交锋,更多细节被抖了出来,但反而让事情更扑朔迷离了。

Gate进一步披露:7月4日那次人脸识别的IP是42.200.39.1XX,设备是iPhone 14,活体检测结果“非活人风险低”,而且和KYC存档的人脸“高度一致”。7月5日凌晨3点左右,账户方还提交了一段手持证件和手写文稿的视频用于解绑核验。当天晚上21:26,又提交了2019年支付宝录屏,Gate说已经和自己的交易记录交叉核验过,精确到了“2019年10月9日22时28分”的收款金额。

受害者对这些全部否认:用的是iPhone 16 Pro,旧设备是iPhone 13,根本没有iPhone 14;凌晨3点早就睡了,不可能提交任何视频;2019年的支付宝录屏压根不知道。

但有一个细节TA承认了——7月7日那台Mac网页端登录,很可能确实是自己的浏览器,因为习惯把交易所页面常驻在浏览器里。但TA强调,登录是本人,不代表后面那些操作也是本人做的。

最有可能的原因是什么?

现在社区讨论最集中的,就是三个可能性。

第一个可能是AI换脸绕过了人脸识别。 这不是什么科幻情节了,2026年的Deepfake技术已经非常成熟,只要你有对方的KYC照片甚至一段公开视频,就能生成足以通过活体检测的伪造视频。Gate自己也承认,人脸验证是“模型自动审核”的,没有人工复核。如果攻击者手里有受害者的全套身份资料,完全有可能做到。之前OKX就出过类似的AI换脸盗币案例。

第二个可能是受害者的电脑或手机被植入了木马,信息被长期窃取。 攻击者可能通过钓鱼邮件、恶意软件拿到了浏览器cookie、邮箱权限,甚至支付宝的访问权限。Gate在后续调查里也提到,那段2019年的支付宝录屏,“只能由客户本人或可以访问客户支付宝账户的人录制”——所以他们研判“客户信息存在严重泄露或设备被控制”。

image.png

第三个猜测就有点敏感了——内部人员配合。 部分社区成员注意到Gate后台出现了一个“10.0.10.9”的内网IP,怀疑是内部人干的。Gate解释那是客服人工核实身份时代为操作留下的记录,但有人反驳说,这不正好说明人工审核环节存在被利用的空间吗?还有匿名爆料说“这不是第一次了”,怀疑KYC数据泄露和内部人员有关。不过Gate在后续声明中明确否认了内部信息泄漏。

这三种可能,目前没有任何一种能被证实,但也没有一种能被排除。

回到一个更根本的问题:到底谁的话更可信?

image.png

从证据层面看,Gate手里握着完整的技术日志——设备指纹、IP地址、时间戳、每一步验证通过的记录。这些数据是客观存在的,理论上很难造假。但问题是,这些记录只能证明“有人”完成了这些操作,证明不了那个人就是账户的主人。

受害者手里的监控视频,如果真实且时间戳准确,确实很有说服力。但视频本身也可以被质疑:时间戳能不能改?画面有没有剪辑过?

image.png

Gate还有一个让很多人觉得“有道理”的点——2019年的支付宝录屏。实测过的人都知道,支付宝账单虽然可以删除,但通过“开具交易流水证明”功能依然能查到全部历史记录。Gate说这类记录“理论上只有账户实名人本人登录支付宝才能获取”,如果这个判断成立,那意味着攻击者要么攻破了TA的支付宝,要么TA本人在某种程度上参与了——无论哪种情况,“完全不知情”的说法都会受到挑战。

对普通人的警示

不管这起事件最终真相如何,有几个教训是实打实的,对每一个持有加密资产的人都有参考价值。

首先,资产分散是基础。大额资金不要长期全仓在交易所,优先使用硬件钱包(Ledger、Trezor等)自托管,或采用多签钱包。交易所只留日常交易所需的小额资金,定期将利润转出。

其次,终端安全要做到极致。最好用一台专用设备管理大额资产,别跟日常刷剧、下软件的混着用;警惕任何让你点链接、下App、提供验证码的消息,不管对方自称是客服还是朋友;敏感资料比如交易截图、录屏,别长期放在云端或容易被访问的位置。

账户层面,开启所有可用2FA,优先硬件密钥而非仅短信或邮箱。设置提现白名单和延迟生效(如果平台支持),定期检查登录日志和设备列表,发现异常立即冻结。历史交易记录、KYC资料不要长期保存在容易泄露的地方。

更重要的是,培养安全习惯。不要在公共平台暴露资产规模;警惕任何要求你重置安全项的“客服”或异常通知;一旦发现问题,第一时间报警 + 联系平台官方 + 律师,保留所有原始证据(时间戳、聊天记录、视频文件)。

最后,选择平台时,多看真实社区反馈和安全历史,而非单纯看交易量。关注平台是否定期公开储备证明(PoR),风控是否足够严格。

这场170万美元的争议,目前仍是一场罗生门。

无论结果如何,它都再次提醒我们:在AI飞速进化时代,没有绝对安全的平台,只有更强的自我保护意识。保护好你的私钥、设备和隐私,这才是最可靠的财富守护方式。

截至本文发稿时,事件还在持续发酵,建议持续关注官方更新,理性看待每一次风波。

作者:Seed.eth


Twitter:https://twitter.com/BitpushNewsCN

比推 TG 交流群:https://t.me/BitPushCommunity

比推 TG 订阅: https://t.me/bitpush

说明: 比推所有文章只代表作者观点,不构成投资建议

比推快讯

更多 >>

下载比推 APP

24 小时追踪区块链行业资讯、热点头条、事实报道、深度洞察。

邮件订阅

金融科技决策者们都在看的区块链简报与深度分析,「比推」帮你划重点。