比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

ELE:CertiK:Github用戶1400枚比特幣被盜事件分析

Author:

Time:1900/1/1 0:00:00

有天,你在支付寶操作轉賬時,彈窗提示你因版本過低而導致轉賬失敗。

如果彈窗內不僅僅提示你交易失敗,還附上支付寶更新鏈接,大部分人可能都會順手點擊鏈接進行更新。如果這個鏈接是個釣魚鏈接,直接獲取了你的轉賬權限,那么代表你賬戶內的錢也會被無情轉移。這次,就有一個用戶遭遇了類似的情況。

新加坡金管局公布最新國際技術咨詢委員會成員,CertiK聯創受邀加盟:金色財經報道,新加坡金融管理局(MAS)于近日公布了最新國際技術咨詢委員會委員。新加坡金融管理局(MAS)成立于1971年,其職能綜合了對于貨幣、銀行、證券、保險諸多金融領域及部門的管理和監管。據悉,該委員會成立于2016年,由世界頂級金融機構的首席創新科學家、金融科技企業領導者、風險資本家以及技術和創新領域的領袖組成,旨在為金融科技的國際發展以及新加坡如何利用新技術來加強金融服務提供建議。

本屆新任15位成員均為行業領軍人物,除了微軟、萬事達、摩根大通、亞馬遜、倫敦證交所組織機構等高管,Web3.0領域內的安全專家——CertiK聯合創始人顧榮輝教授也受邀加盟。這也是繼香港成立Web3.0發展專責小組后又一引入Web3.0業內領軍人物加入咨詢小組的政府行為。[2023/7/3 22:14:25]

Tracer DAO完成450萬美元融資,Framework Ventures參投:6月29日,Tracer DAO宣布完成450萬美元融資,本輪融資由Framework Ventures、DACM、Maven11、Apollo Capital、Distributed Global Ventures、Paperclip Fund、Supernova、GSR,以及Efficient Frontier參投。本輪融資資金將用于引入新的開發人員加入團隊。Tracer DAO是一個去中心化交易平臺,為用戶提供高杠桿永續交易服務。[2021/6/29 0:15:11]

北京時間8月31日,CertiK天網系統(Skynet)檢測到,Github用戶“1400BitcoinStolen”1400枚比特幣被盜事件的代幣,已開始被輸送到多個不同的地址當中。受害者在electrum的Githubissue中講述了自己丟失了1400個比特幣并貼出了自己的比特幣錢包地址.

Seaweed Finance:因審計機構Certik對Seaweed的二次審計,Dapp上線時間將推遲:據Seaweed Finance官方消息,為進一步確保Seaweed Dapp鏈上數據安全性,Seaweed 已邀請審計機構Certik,對其進行二次審計,目前審計流程已開啟。

此前Seaweed已通過Armors關于solidity合約的審計。Seaweed CTO Coke表示,Dapp上線時間推遲的決定,是Seaweed開發團隊在權衡未來用戶交易資金安全性后做出的慎重決策,相信Seaweed社區廣大用戶會理解,并支持“Seaweed將維護用戶交易資金安全進行到底”所采取的一切措施。Seaweed Dapp上線時間將于近期在其官網公示。

Seaweed Finance 是基于HECO鏈上的期權衍生品交易平臺,通過利用BSM定價模型和AMM流動性池,Seaweed旨在為DeFi生態系統建立一個金融衍生平臺。[2021/3/18 18:56:48]

算法穩定幣MITH.CASH超過Balancer躋身鎖倉量排名前十:據DeBank數據顯示,本文撰寫時算法穩定幣MITH.CASH鎖倉量達7.358億美元,超過自動化做市商Balancer,目前位列DeFi協議/項目鎖倉量排行第9位。不過,MITH.CASH鎖倉量距離13.74億美元最高點已有所下跌。MITH.CASH 是派生自Basis Cash算法穩定幣,包括錨定價1美元系統內部穩定幣MIC (Mithril Cash) 和MIS (Mithril Share) ,MIS (Mithril Share) 代幣持有者將成為系統中堅力量,為協議提供資源和指導。作為回報,Mithril Share 代幣持有者將獲得任何進入系統的新貨幣供應。[2021/1/4 16:23:35]

在區塊鏈瀏覽器(參考鏈接3)中可以看到8月30日一共1404枚BTC從他的錢包中被取出,存入了黑客的錢包中。

事件還原與分析

該用戶使用的是Electrum比特幣錢包,上次使用是在2017年。此后Electrum已經發布了安全更新,但該用戶一直沒有安裝。用戶在使用Electrum進行交易時,錢包會向服務器廣播一筆交易,如果這筆交易出現了問題,服務器將返回錯誤信息并以彈窗的形式展現給用戶。3.3.2版本之前的Electrum錢包不會對服務器返回的錯誤信息進行驗證,甚至還會對返回的信息進行html渲染。值得一提的是,任何人都可以去搭建一個Electrum節點服務器。如果一個用戶連接到了攻擊者的服務器并發起了一筆交易,服務器可以返回任何設計好的錯誤信息。比如返回一個讓用戶去更新Electrum錢包的錯誤信息,如下圖所示。

然而,圖中的鏈接指向了攻擊者自己寫的惡意軟件,一旦用戶下載安裝該軟件并把自己的錢包導入其中,錢包里所有的比特幣就會被攻擊者轉走。這其實本質上是一種釣魚攻擊,但由于攻擊者發出的釣魚信息是通過Electrum官方錢包展示出來的,很多人都會信以為真。在本次事件中,受害者的錢包連接上了攻擊者所控制的服務器,導致其收到了服務器發出的釣魚信息,進而被攻擊者轉走了自己的所有比特幣。Electrum錢包存在的該問題早在2018年底就引起了廣泛討論(參考鏈接4)。Electrum官方在2019年,錢包版本3.3.4中對該問題進行了修復,后續版本的Electrum錢包不再會將服務器返回的內容直接展示給用戶,也不會對其進行html渲染。此外,由于舊版本的錢包仍然存在這個問題,因此所有的正常的服務器會對3.3版本之前的錢包進行拒絕服務攻擊,以強制用戶進行更新。CertiK安全團隊建議

用戶在使用錢包進行交易的時候,需確保錢包為最新版本,已防舊版本的錢包可能存在可被黑客利用的漏洞。用戶在下載錢包更新的時候要注意驗證下載URL是否與官方一致,在下載完成后要對錢包的簽名進行驗證。對于錢包開發團隊,需要尋找專業團隊做好測試工作,以免項目出現漏洞給用戶帶來損失。參考鏈接:1.https://github.com/spesmilo/electrum/issues/50722.https://zhuanlan.zhihu.com/p/539206883.https://www.blockchain.com/4.https://github.com/spesmilo/electrum/issues/49685.http://twitter.com/electrumwallet/status/1106479573917724672

Tags:ELETRUELECRUMCelestialtrue幣未來價值ELEC幣serum幣變成10億

以太坊價格今日行情
以太坊:利好加密行業?美國SEC使“合格投資者”定義更現代化

編者按:本文來自金色財經,Odaily星球日報經授權轉載。2020年8月26日,華盛頓特區,美國證券交易委員會宣布對《證券法》進行修訂,以定義“合格投資者”.

1900/1/1 0:00:00
FIL:太和觀察:Filecoin太空競賽開啟之后的35個小時

經歷數次跳票之后,8月25日早6點,獎勵高達410萬FIL的Filecoin激勵測試網啟動了。這次激勵測試是主網上線前的最后一次測試,不僅是主網上線前的壓力測試,更是對于主網上線環境的模擬,謹防.

1900/1/1 0:00:00
FID:POFID DAO在現實世界的價值捕獲遠超Maker DAO?

文|王也編輯|郝方舟出品|Odaily星球日報 在被瘋狂炒作的同時,火爆的DeFi也引起了美國證券交易委員會的注意.

1900/1/1 0:00:00
DZI:一文速覽波場上的DeFi挖礦項目

編者按:本文來自DeepChain深鏈,作者:六六,Odaily星球日報經授權轉載。今天,大盤暴跌,被孫宇晨孫哥稱作“波場比特幣”的SUN太陽幣要開始創世挖礦.

1900/1/1 0:00:00
RES:6000多人被騙上億元,都是養貓惹的禍?

昨天一條名為#6000多人被網上養貓平臺騙得血本無歸#的熱搜吸引了鑒叔的注意。  點進去一看,竟然已經有了2.5億的閱讀.

1900/1/1 0:00:00
EFI:少數派觀點:寡頭控制的DeFi治理代幣不過是再中心化ReFi,或導致更嚴重的中心化

編者按:本文來自鏈聞ChainNews,星球日報經授權發布。撰文:MohamedFouda,加密貨幣投資機構VoltCapital合伙人,TokenDaily研究團隊成員DeFi爆炸式增長的核心.

1900/1/1 0:00:00
ads