划重点： 朝鲜黑客有关的木马程序 SilentSiphon 能够从苹果备忘录、Telegram、浏览器扩展程序中获取数据，还能从浏览器和密码管理器中获取凭证，以及从与众多服务相关的配置文件中获取机密信息： GitHub, GitLab, Bitbucket, npm, Yarn, Python pip, RubyGems, Rust cargo, NET Nuget, AWS, Google Cloud, Microsoft Azure, Oracle Cloud, Akamai Linode, DigitalOcean API, Vercel, Cloudflare, Netlify, Stripe, Firebase, Twilio, CircleCI, Pulumi, HashiCorp, SSH, FTP, Sui Blockchain, Solana, NEAR Blockchain, Aptos Blockchain, Algorand, Docker, Kubernetes, and OpenAI. 获取 OpenAI 权限是方便看目标用户问答隐私，更近一步了解该用户？😂

看了下提交给我们的几十条与 GMGN 有关的被盗情报，共性：用户的私钥没有泄露，但 SOL BNB 都被买入了貔貅盘（即只能买不能卖），这些貔貅盘来自下面两个地址创建： BSC: 0xF130B08341F9e305894bE3618EE55eedcccD2ee0 Solana: 88tpuCQchoyABszFDbrcD7hvkaUS3CAoJb94nFRT1MHU 黑客主要通过将貔貅盘撤池子方式卷走用户资金，获利超 70 万美金。 能造成这种情况的（又不是私钥泄露），大概率是较高级的钓鱼方式导致。由于 GMGN 已经修复相关问题，复现不容易，我猜与 GMGN 账号模式有关，用户访问钓鱼网站，钓鱼网站获取用户 GMGN 账号模式的登录签名信息，比如得到 access_token 与 refresh_token 值，接管用户账号权限，但是没有用户的 2FA，没法直接导出私钥或提币，于是通过貔貅盘来实现用户资金的“对敲”攻击，间接盗走用户资产。这种较高级的钓鱼利用模式我在某平台实践过，某平台很感谢并修复了。但针对 GMGN 这次事件，具体利用方式只有 GMGN 自己清楚，我这只是做了个推测。 时间有限，找时间再深入看看新利用。