让删文给补偿&这是火币吗?&用户至上还是利益至上&安全第一大家不要去随便扫

前天的一篇夏立克的文章，惊动了火币的官方。

火币大事件：一个二维码就能转走账户所有资产，有人被骗125个eth！多名受害者已报警｜灰度再加比特币

我在看手机的时候半夜从被窝中爬起来。决定说说这个事情。

我不去评判币乎夏克立先生文章是否真的有考虑不周到的。但是火币这个事情，做的也太牛叉了。

夏克立在微信群发了这个截图。

可能是夏兄弟出于好奇同意这个加好友吧。

这个微信有时候真的不太好确定身份，很容易上当受骗。还记得币安的丝袜门么。

（ 上面是夏立克&号称火币公关总监的对话 ）

（ 被盗ETH的伙伴&夏立克的对话 ）

（ 真假火币官方的回复 ）

（ 这是要连币乎一起被告 ）

这个发律师函发币乎就发吧，如果真的有不妥的地方，用法律的手段这是非常正确的一件事情。

当然最牛逼的是下面这段对话。

因为文章哪些观点是错误的要删文？我没有看太懂。

合情合理为什么要补？

还是真假公关自乱阵脚了，你到说说给人家几个比特币啊。什么都不说，让人家删文，这是商量吗？

这个都是客观陈述，如果是编的我觉得倒是需要思考。

我们先来看看夏立克先生这篇文章到底写了啥。

我大致理解为，外面不法分子通过制作一个假的空投，让用户扫描二维码。

（ 我好奇的用微信扫描了一下，原来是一个钓鱼网站 ）

（ 这个明显不是火币地址 ）

我测试扫描之后得到是这个地址，是伪造火币的官方地址，从制造这个二维码的人来说，确实用心良苦在钓鱼用户。

( 苹果手机获取的是系统私有路径的一个path )

这个时候千万别授权，一但授权他能拿到你手机安全目录权限，在苹果手机下面可能会好点，android可能一不小心你按了授权，你就被吊打了。

这个图片中有个查看此证书，我们点开之后会有一个页面。

（ 域名控制认证，估计可以拿到域名信息 ）

当你在访问的时候，由于你的用户信息没有被加密，可能就会被这个授权的木马所获取。

就这个问题我们分析下，作恶的源头来自于这个木马始作俑者。

在互联网很多的防范体系下，都是防君子不防小人。

用户信息被截取然后被利用导致资产损失，是谁的锅呢。当然一方面用户有一定责任，不要去点击不法地址来源，千万不要去扫描来源不明的二维码。

第二点，资产被盗跟原网站安全体系是否有关呢，答案是肯定的。当你安全体系不够强大的时候漏洞就越多。举例说明，至今攻克支付宝系统的寥寥无几。

有安全漏洞不可耻，如果是真的因为黑客利用用户的无知，盗取用户信息，盗取****，从而轻而易举拿到用户相关信息来非法获利，只能说明平台在多维度防范体系下做的还不够好。还需要承认隐患，努力加强自己的系统安全防范。

综上所述，黑客利用网站本身漏洞体系，拿到用户授权窃取到用户资产。 火币有什么需要解释的么，如果官方可以做一个正向的回答，我觉得这个态度会非常的好。

我仔细看了夏立克的文章，从他的文章中我得到几个信息点，并没有说火币坑用户，但是确实火币在这个方面的安全需要加强。同时也是对用户的警醒，不要随便去扫一扫贪个小便宜，除非你的对互联网的认知到达一定的水准，否则什么时候别人给你下套你就中枪了。安全第一，资金账户不要随意操作，输入手机验证码，google auth！

同时我记得火币也是有人脸认证，如果认为这个来源具备风险，会对用户进行身份重新认证，交易的时候都是需要双重认证保护（短信验证码 + 邮箱验证码），不知道这次的钓鱼是否有这样的提醒。

我觉得火币应该好好review上面这个场景，看自己是否真的具有安全隐患，无责勉之，有责改之。

PS: 精评 （ 评论 & 转发 ）

红包提示 这 500KEY

—-

编译者/作者：www当下

玩币族申明：玩币族作为开放的资讯翻译/分享平台，所提供的所有资讯仅代表作者个人观点，与玩币族平台立场无关，且不构成任何投资理财建议。文章版权归原作者所有。