栏目简介：

GoPlus「Web3鬼故事」是一档聊天栏目，每期分享一个 Web3 资产被盗的“鬼故事”，通过抽丝剥茧地挖掘故事细节，让听众对 Web3 世界的魑魅魍魉、幽灵鬼怪产生更深刻的了解，从而祛魅，并且在遇到故事中类似的风险时，能够成功躲避。

Space 主题：惊魂14天！是什么让巴拿马人民最终退还了我被盗的20多个ETH

主持人：

GoPlus 中文社区：代表Web3 “小白”提问。

Speaker：

堡哥：鬼故事分享人，Web3 创业者，8年 Web3 老炮儿

IsabelShi：Bitrace CEO

Box：安全专家

信息捕获手：知名KOL

Biubiu：知名KOL

GoPlus 方头仔

堡哥钱包被盗的曲折经历

一个多月前，黑客A假冒成 Web3 某投资公司的投资经理，在堡哥朋友的引荐下找到了堡哥，表达了对堡哥所创业项目的投资意向，于是两人约定进行线上会议深入沟通，黑客 A 在堡哥的 Calendly（Web3 常用的预约会议的软件）上预约了会议时间，但到了会议当天，黑客 A 却说进不了会议室，并给了堡哥一个带着自己公司域名的会议链接，邀请堡哥上会。堡哥没有多想就点击了链接，作为一名 Web3 老炮儿，堡哥马上意识到情况不妙，赶紧断网，逐个转移电脑里的40多个钱包里的资产，前前后后共花了12个小时。

就在堡哥疲惫不堪地觉得自己战胜了黑客A时，他发现还有一笔钱存在一个defi协议里，但这时候协议已经不允许提出了，于是堡哥进入该协议的官方discord寻求帮助，在这里他遇见了黑客B。

黑客B看到堡哥在群里发出的求助信息，冒充客服DM堡哥，并借着帮助他提款的名义套走了钱包私钥。意识到被骗之后，堡哥马上联系了 GoPlus 寻求帮助，GoPlus 第一时间联系了自己的安全合作伙伴 Bitrace，在大家的帮助下开始了被盗的 20 多个 ETH 的救援行动。

通过链上信息发现黑客将资产转进了某交易所后，安全公司第一时间帮助堡哥联系交易所进行了冻结，同时出具必要的信息证据帮助堡哥在多地警方立案。堡哥尝试给交易所提供的邮箱发送了邮件，告知自己已经拿到了警方的立案文书，警告对方尽快归还。幸运的是，对方是黑客找的一个Token置换服务，得知是赃款，就如数退回了。

至此，堡哥成功找回了被盗的大部分资产，鬼故事有了 happy ending。

精彩对话分享

• 黑客A事件

堡哥：我事后复盘思考，这场钓鱼就是冲着我来的，他们事先调查了我的身份信息，处心积虑的设计出这么一个硅谷投资人的形象，先接近我的朋友，但目标始终是我。

其实很多人都会遇到类似的钓鱼，黑客会以各种理由提供给你各种链接，诱导你点击。

主持人：类似的情况我们也遇见过，有一个人自称是 Coindesk 的记者，在 X 后台私信我们想要合作，但毕竟我们本身就是做安全的，运营同学也是身经百战的，所以最终并没有上当。

IsabelShi：现在Web3的犯罪分子前期准备工作非常充分，不再像原来那样广撒网了。他们会研究“大客户”的朋友圈等人际关系网络，做出只针对目标对象的陷阱。比如我们遇到过的一个case，事主只是点击了一篇关于他在业内的竞争对手的文章，就被盗走了tg。然后犯罪分子登录他的tg，联系他公司的财务，要求转钱到一个钱包。财务察觉不对，便要求语音沟通，却被犯罪分子利用AI模仿事主本人的声音又骗过了财务，最后损失了1000万美金。

GoPlus 方头仔：这太可怕了，自从AI诞生以后，在tg里已经出现了诸如此类的个性化攻击。我们以前有一个投资人，会经常与我沟通安全问题。某一天他又找到我沟通安全问题，给我提供了安全事件的链接，在沟通的过程中他就和往常一样，但实际上他的tg已经被盗走了，与我沟通的是黑客。

• 黑客B事件

堡哥：被黑客B骗走私钥这件事，我希望大家能记住一个点。事后我觉得再发生100次我都不会去点这个钓鱼链接的，但当时的我处于极度疲惫的状态，大脑一瞬间的宕机就让局势变得不可挽回了。

Box：我觉得在dc群里钓鱼是非常常见的。前段时间ENA dc群的一个mod被盗了，发了一个钓鱼链接，我的一个朋友没有过多思考，就点击了钓鱼链接，被盗了。这不是币圈第一个被盗的mod了，大家还是要提高注意力。

GoPlus 方头仔：我觉得堡哥这件事给我们敲响了警钟，就是这些犯罪分子已经出现在每个环节中了。他们在每个环节都有不同的钓鱼方式，我希望用户可以保持冷静的状态，在每个环节都保持警惕。

• Happy Ending

IsabelShi：其实很多受害人没有堡哥的意识，不会立刻发现自己被盗了。就算发现自己被盗了，也不明白自己被盗的原因。所以我们在帮助用户找回被盗资产时，往往第一步是去帮他回忆被盗的原因。另外在跟当地执法机关去沟通时，也需要你可以将事件的全貌完完整整的呈现在纸面上，所以一定要能还原被盗的过程，还有资金的流通路径。对于资金的监控一定要快，因为黑客不会让资金在一个地方停留太久，他们需要尽快进行资金的清洗和变现。这就是我们帮助受害人拦截和追回资金的最关键的一个节点，当资金进入可以被拦截的地方，我们就要及时出手，将钱拦住。

所以当钱被盗时，对于受害人来说，第一是要理清事情的来龙去脉；第二是找到当地的执法机构，尽快的报案和立案；第三是对自己的资金的流向做密切的监控。

堡哥：FBI和国内立案还是有蛮大区别的，只需要填一张表就会给你受理，不会出现国内那种不受理的情况。我后来复盘，这个还是很重要的，为我拖延了很多时间，让国内的警察去受理我这个事件，FBI的立案文书帮我让交易所将被盗资金延长冻结了14天，后续我又拿着大陆的立案文书，冻结了更长的时间。FBI还有一个专门的经侦部门，去专门受理虚拟资产的案件，所以FBI是有破案能力的。所以美国是有很完备的处理能力的，但是他们的处理速度极慢，慢到我的钱都找回来了，FBI这边还没有什么实质的调查动作。

GoPlus 方头仔：这里我要提醒大家，堡哥能追回资产是很依靠运气的。如果钱被盗了，是十分被动的一件事，过程中一旦有一个链路断了，钱就大概率追不回来了。有几个重要的点，第一是能拿到资金的链路和攻击者的信息等；第二是能拿到FBI的文书，把钱冻结在交易所账户里。

外传 / 悲惨故事

信息捕获手：我前段时间有发一个推特，讲述了我身边很亲近的朋友被盗的故事。这个主角是我的大学同学，也是我入圈以来现实生活中的好朋友。他毕业之后跟两个朋友一起开了个电商公司，不幸的是两个月前，公司倒闭了，另外两个合伙人把他坑了，把钱卷走了。为了开公司他还贷了款，最后的钱，只剩钱包里的几百个Solana。他创建了一个新钱包，把所有的钱都放了进去。某天早上，他发现钱包里的钱都被黑客盗走了。

他给我发消息说：我的钱包被盗了，明年这个时候记得给我烧纸。第二天，他真的跳楼了。

那几百个Solana，成了压倒他的最后一根稻草。

主持人：听到这个故事，我越发觉得我们「Web3 鬼故事」这个栏目非常有意义。通过这个分享每一个故事，让大家知道怎么小心资产被盗，被盗之后怎么去挽救资产，说不定真的能挽救一条性命。

GoPlus 方头仔：GoPlus 帮助过很多 Web3 用户，大多数在四五十岁，对市场不甚了解，最后被盗走了全部资产，甚至有些是自己的退休金，最后只能靠几张信用卡拆东墙补西墙来勉强维持。这也是我们一直坚持走在 Web3 用户安全这条路上的原因之一，希望能帮到更多的普通用户吧。