本文由CertiK供稿,授權金色財經首發。
北京時間12月14日晚5點40分,CertiKSkynet天網監控發現一筆來自NexusMutual創始者HughKarp賬戶的巨額交易,該交易轉移共37萬NXM代幣到不明賬戶中。
CertiK安全驗證團隊迅速展開調查分析,認為該次交易是針對HughKarp賬戶的黑客攻擊。
順便給大家計算了一下
37萬NXM=833萬美金
事件經過
整個攻擊流程如下:
攻擊者賬戶地址為:
LBank藍貝殼于5月3日20:00首發 CSPR(Casper),開放USDT交易:據官方公告,5月3日20:00,LBank藍貝殼上線 CSPR(Casper),開放USDT交易,同時并開放充值,資料顯示,Casper網絡是基于CasperCBC規范構建的第一個實時權益證明區塊鏈。Casper旨在加速當今企業和開發人員對區塊鏈技術的采用,同時確保隨著網絡參與者需求的發展,其在未來仍能保持高性能。[2021/5/3 21:19:51]
0x09923e35f19687a524bbca7d42b92b6748534f25
首發 | 區塊鏈技術及軟件安全實戰基地正式成立:金色財經報道,今日,中軟協區塊鏈分會、人民大學、菏澤市局相關部門聯合共建的區塊鏈技術及軟件安全實戰基地正式成立。同時聘任中軟協區塊鏈分會副秘書長宋愛陸為區塊鏈技術及軟件安全實戰基地特別專家。
區塊鏈技術及軟件安全實戰基地主要涉及領域為:非法數字貨幣交易與洗錢、區塊鏈傳銷與電信詐騙、網絡賭博、四方支付、冒用商標注冊等,聯合社會治理、城市安全、前沿技術領域的行業專家,進行警協合作。
據公開報道,近期菏澤市下屬機關剛破獲一起特大電信網絡詐騙案,打掉多個涉嫌以網貸和投資“比特幣”為名的詐騙團伙,抓獲犯罪嫌疑人83名,扣押凍結涉案資金2700萬元。[2020/7/21]
部分攻擊獲得代幣已經通過交易
動態 | 可信教育數字身份在廣州白云區首發 采用區塊鏈等技術:12月25日,可信教育數字身份(教育卡)廣東省應用試點首發儀式與應用研討在廣州市白云區舉行。
據介紹,可信教育數字身份融合采用國產密碼、區塊鏈等核心技術,創新簽發“云計算、邊緣計算、移動計算”網絡環境下的一體化數字身份,實現一體化密鑰管理,構建“可信教育身份鏈”。(中國新聞網)[2019/12/25]
0xfe2910c24e7bab5c96015fb1090aa52b4c0f80c5b5c685e4da1b85c5f648558a
在1inch.exchange進行交易。
首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊,近日,DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞,攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息,嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件,DVP安全團隊在收到該漏洞后,第一時間通知該平臺進行修復,但未收到回應。DVP提醒相關用戶關注個人信息安全,以免造成損失。[2019/8/13]
攻擊交易地址:
0x4ddcc21c6de13b3cf472c8d4cdafd80593e0fc286c67ea144a76dbeddb7f3629
圖一:攻擊交易細節截圖
根據官方披露細節,攻擊者通過獲得HughKarp個人計算機的遠程控制后,對計算機上使用的Metamask插件進行修改,并誤導其簽署圖一中的交易——這筆交易最終將巨額代幣轉移到攻擊者的賬戶中。
CertiK團隊根據目前已有信息,推測Hugh在日常使用Metamask時,被攻擊者修改后的插件生成了這筆巨額代幣的轉賬請求,隨后Hugh使用他的硬件錢包簽名了這筆交易。
作為一個應用,瀏覽器插件和普通網站的前端組成是相似的,它們都由HTML和JavsScript搭建而成。瀏覽器插件的代碼會存在用戶的電腦中。
關于黑客是如何修改的Metamask插件的,CertiK團隊做出以下猜測:
1.黑客在獲得了在HughKarp的個人電腦的控制權后,通過遠程桌面打開瀏覽器,直接安裝了修改過后的Metamask插件。
2.黑客在HughKarp的個人電腦上找到了Metamask插件的安裝路徑,對其中代碼進行了修改,在修改完成后,將修改后的插件加載到瀏覽器中。
3.黑客利用瀏覽器自帶的的命令行工具,修改瀏覽器安裝的插件。
官方披露的細節中提到了HughKarp使用的是硬件錢包,但并未說明是哪款硬件錢包。
應是Trezor或者Ledger之一,因為Metamask只支持以上兩個硬件錢包。
在使用硬件錢包的情況下,Metamask中的交易需要在硬件錢包中進行確認并使用存在硬件錢包中的私鑰簽名。
目前上面兩款硬件錢包在硬件的確認交易時,硬件屏幕上都會顯示轉賬接受地址,以供使用者進行最終確認。
此次攻擊中,黑客應該無法修改硬件屏幕中交易確認界面顯示的地址,由此推測HughKarp在硬件錢包上進行最終確認時,并未留意到交易的對象是黑客的地址。
圖二:Ledger確認交易時的屏幕顯示
來源:?https://www.youtube.com/watch?v=9_rHPBQdQCw
安全建議
區塊鏈保險平臺創始人賬號被攻擊,更是說明了保險的重要性。
高密度爆發的黑客事件是一個警示。
在區塊鏈的網絡世界中無論你是什么人,擁有怎樣的角色身份,黑客不會因為你的僥幸心理就繞過你,安全事故造成的損失可能會發生在每個人身上。
而且就算使用硬件錢包,人也不可能一輩子百分之一百不犯錯誤。
CertiK安全驗證團隊根據此次攻擊,提出如下安全建議:
1.任何安全系統和操作環境不僅需要程序安全驗證,更加需要專業的滲透測試來對整體產品安全進行驗證。
2.為了確保數字資產不因任何非技術原因遭受損失,項目方應及時為項目產品購買保險,增加項目方和投資者的安全保障方案,確保其因受到攻擊所造成的損失可以被及時補償。
Tags:區塊鏈TAMHUGKAR區塊鏈幣幣交易metamask小狐貍錢包官網3.2版Hugo FinanceZillion Aakar XO
?期貨市場充滿了風險、充滿了變數,辨證地看,挑戰與機遇同在,風險與收益并存。自有期貨歷史以來,沒有任何一個人能百戰百勝,也沒有任何一種分析工具能次次靈驗!在這個市場上,既沒有常勝的將軍,也沒有常.
1900/1/1 0:00:00在17000至18000美元間波動了5天后,比特幣于12月13日重新站上19000美元。OKEx上,當日,BTC的24小時最高價達19381美元,恰巧和11月24日首破今年19000美元關口時的.
1900/1/1 0:00:00要論2020年最受期待的項目,Filecoin必然名列前茅。近期,不少礦工朋友來咨詢關于Fileoin挖礦的問題,想要了解Filecoin所帶來機會和參與門檻等問題.
1900/1/1 0:00:00親愛的用戶: BigONE全力支持波卡生態長期穩定的發展,為迎接2020年12月17日波卡平行鏈測試網RococoV1發布會的到來,BigONE將DOT礦池額度增至500,000枚DOT.
1900/1/1 0:00:00近兩月,區塊鏈/加密貨幣行業大事不時,支付巨頭PayPal進入加密貨幣市場、OKEx迸發黑天鵝事情、Filecoin主網上線等。這些事情中,最受人關注、最重磅的無疑是Filecoin主網上線.
1900/1/1 0:00:00蓬勃發展的期權市場 作為一種相對復雜的金融工具,普通投資者對期權可能并不十分熟悉。但是在傳統金融市場,期權早已被大量應用在不同的投資策略組合中,用以緩解風險、提高收益.
1900/1/1 0:00:00