[蔚藍] 小雪之亂原因推測及可能要注意的事

chejps3105 發表於 2025/9/1 下午8:40:36

看板C_Chat標題[蔚藍] 小雪之亂原因推測及可能要注意的事作者

(氋氃)時間Sep 1 20:40:36 2025推噓17 推:17 噓:0 →:22

更新一下，根據最新公告這篇的推測幾乎完全命中，非常有參考價值

在看韓國wiki看到的相關資訊，感謝chatgpt我完全沒學過韓文也能翻譯，搬運給大家
https://bbs.ruliweb.com/community/board/300143/read/72123507

事件概述：

1. 攻擊者入侵了 CloudFront 的 CDN 伺服器（d2vaidpni345rp.cloudfront.net），
並將《碧藍檔案》的伺服器位址：
原本是：https://nxm-ios-bagl.nexon.com:5100/api/

替換為：http://45.94.31.77:5100/（一個位於荷蘭的伺服器）

被替換後的這個伺服器，處理了除了帳號 SDK 認證以外的所有遊戲資料。

---

2. 最早的舉報時間是 9點07分45秒。
因為荷蘭伺服器對韓國玩家來說延遲超過1000ms，理論上不可能不被察覺。
但在此之前完全沒有出現「延遲」相關的討論，這篇舉報算是第一篇相關貼文。

在 9點06分50秒時，就有玩家回報疑似 MITM 攻擊造成的異常現象。

雖然直到9點30分左右才開始出現「延遲」的回報，但這更可能代表：

攻擊是從晚上9點左右才開始了，不是在長期秘密竊取資料。

---

3. 官方維護時間是晚上 10點26分。

---

4. 根據推測，這台 CDN 所影響的客戶端包含：

* Google Play 商店的 15歲/19歲版本
* Galaxy Store 的 19歲版本
* iOS 的 19歲版本

---

總結：

1. CDN伺服器被入侵，導致晚上9點～10點26分之間，《碧藍檔案》的所有遊戲資料（封包）都被轉送到攻擊者位於荷蘭的伺服器。

2. 因為《碧藍檔案》的封包可以被解密，攻擊者可能透過中間人攻擊保存了所有封包內容。雖然攻擊者可能掌握這些資料，但只要Nexon重新初始化用戶的認證憑證（Token），基本上可以避免後續風險。

3. 因為是從荷蘭連線，就算是中間人攻擊也會導致明顯的延遲，這讓玩家立刻察覺異常，再加上舉報貼文一出，攻擊就被迫中止。而且從攻擊手法來看，使用了裸露的 HTTP 協議、解密了封包，但卻是貼在論壇上，感覺不像是嚴肅的攻擊行動，反而像是惡搞或炫耀。

4. 所以，只要不是在那段時間內進行付款操作的玩家，基本上不用太擔心。

---

(上面的時間是韓國時間)
簡單來說就是駭客明明能假裝沒事讓遊戲正常進行默默偷資料，但他卻在駭入後不久就搞出小雪之亂，應該是樂子人而已，加上封包沒有帳密資訊，對資料外洩應該不用太擔心

但是當時有課金的仍要小心一點，注意一下信用卡之後有沒有被盜刷。當時有沒有課金應該很好分辨，當下課金應該會失敗，這是當時韓國有人刷卡失敗的回報
https://arca.live/b/bluearchive/146679695

※ PTT留言評論

※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.8.29.220 (臺灣)

※ PTT 網址

※ 編輯: chejps3105 (101.8.29.220 臺灣), 09/01/2025 20:42:06 ※ 編輯: chejps3105 (101.8.29.220 臺灣), 09/01/2025 20:42:27

推

CactusFlower09/01 20:42裡裡外外都完全是小雪行為笑死

→

CactusFlower09/01 20:43好吧小雪可能會順便ㄎㄧㄤ一點錢啦

推

super094909/01 20:43AWS又是你你好爛

→

chejps310509/01 20:44你怎麼知道這個駭客沒ㄎㄧㄤ錢，有人課金他可以知道

→

chejps310509/01 20:44刷卡資訊

推

starsheep01309/01 20:46小雪本人也會偷錢啊

→

graywater09/01 20:49國際服這期卡池會特別課的人不會多吧，除非他這次當小

→

graywater09/01 20:49雪測試一下，但下次哈蜜瓜雙子卡池就來認真的了

推

Lisanity09/01 20:49https://i.imgur.com/L1mG9yW.jpeg

推

Rain022409/01 20:51而且會用小雪惡搞，至少這攻擊的駭客中有人對檔案是有相

→

Rain022409/01 20:51當程度的了解

→

graywater09/01 20:54還知道昨天是初音生日

推

billkingFH09/01 20:55難怪當時登入一般大廳就卡到爆，不過真的是樂子人欸

推

vhik459609/01 20:55敢在遊戲明顯有問題的情況下課金，也太勇敢

推

NozoxEli09/01 20:55這攻擊對玩家資料沒造成影響，基本只影響到登入獎勵，

→

NozoxEli09/01 20:55估計是愉悅犯

推

Andyet0409/01 21:01那可以期待明年會不會再來一次

→

FSHAY09/01 21:17如果是找樂子的話，那也可能是因為金P的50歲生日

推

Alexander109/01 21:36點開來看到那個寬臉小雪還儲值也太勇了吧w

→

mapulcatt09/01 21:38看駭客是白的還黑的吧白的惡作劇大概沒事

→

mapulcatt09/01 21:39黑的可能就順便幹一點資料走

推

air100709/01 21:41小雪增值後我才登入的，我去開學生還有戰鬥是正常的，如

→

air100709/01 21:41果api被替換根本玩家資料根本對不上吧，代表有部分資料

→

air100709/01 21:41其實是正常運作的，除非檔案不同功能的db有分散不然這說

→

air100709/01 21:41詞感覺怪怪的

→

mapulcatt09/01 21:42不過還會順便幫咪哭慶生的駭客我想是沒問題才對(?

推

d610200309/01 21:42等一下我還以為是在玩梗欸原來是真的出事嗎

→

TUTOTO09/01 21:45就中間人攻擊吧

→

spfy09/01 22:07原來CF的CDN這麼好攻的嗎...?

推

away61210109/01 22:30是伺服器好攻還是單蠢管理帳號洩漏？

→

away61210109/01 22:31照這種說法，用到CDN的服務一堆

→

away61210109/01 22:31使用者隨時都會被導去中間人欸…

→

away61210109/01 22:31CF都不用表態些什麼嗎？

→

graywater09/01 22:39那個被鎖定的小雪頻道有簡單說明一下

→

graywater09/01 22:39https://youtu.be/FZas48IOx48?si=Ft_DJ6GOf007lcXY

※ 編輯: chejps3105 (101.8.29.220 臺灣), 09/01/2025 23:54:38

推

inte629l09/02 00:13推整理

推

feedingdream09/02 08:38是說Miku增值是原本的活動嗎？

推

WindSucker09/02 13:09ba比aws更可能有問題

推

fmp123409/04 08:19原來如此

其他人也閱讀了

PTT 熱門相關