比特幣行情 比特幣行情
Ctrl+D 比特幣行情
ads

RUM:首發 | Github用戶1400枚比特幣被盜事件分析

Author:

Time:1900/1/1 0:00:00

有天,你在支付寶操作轉賬時,彈窗提示你因版本過低而導致轉賬失敗。

如果彈窗內不僅僅提示你交易失敗,還附上支付寶更新鏈接,大部分人可能都會順手點擊鏈接進行更新。

如果這個鏈接是個釣魚鏈接,直接獲取了你的轉賬權限,那么代表你賬戶內的錢也會被無情轉移。

這次,就有一個用戶遭遇了類似的情況。

北京時間8月31日,CertiK天網系統 (Skynet) 檢測到,Github用戶“1400BitcoinStolen”1400枚比特幣被盜事件的代幣,已開始被輸送到多個不同的地址當中。

百度Apollo首發 “Apollo 001”系列紀念數字藏品:金色財經報道,據百度Apollo智能駕駛官方公眾號,百度Apollo全網首發首款 “Apollo 001”系列紀念數字藏品,以百度汽車機器人為主體形象,每款對應一個百度Apollo自動駕駛重要里程碑事件。據悉,該數字藏品將于2022年7月8日 09:55發布汽車機器人家族全家福空投款。[2022/7/7 1:58:19]

受害者在electrum的Github issue中講述了自己丟失了1400個比特幣并貼出了自己的比特幣錢包地址.

LBANK藍貝殼于3月22日18:00首發 DORA,開放USDT交易:據官方公告,3月22日18:00,LBANK藍貝殼首發DORA(Dora Factory),開放USDT交易,現已開放充值。

資料顯示,Dora Factory 是基于波卡的 DAO 即服務基礎設施,基于 Substrate 的開放、可編程的鏈上治理協議平臺,為新一代去中心化組織和開發者提供二次方投票、曲線拍賣、Bounty 激勵、跨鏈資產管理等可插拔的治理功能。同時,開發者可以向這個 DAO 即服務平臺提交新的治理模塊,并獲得持續的激勵。[2021/3/22 19:07:06]

在區塊鏈瀏覽器(參考鏈接3)中可以看到8月30日一共1404枚BTC(價值1670萬美元)從他的錢包中被取出,存入了黑客的錢包中。

首發 | 火幣集團全球業務副總裁:監管將決定區塊鏈技術和加密貨幣的落地速度:1月21日,火幣集團全球業務副總裁Ciara Sun在達沃斯世界經濟論壇上表示,對區塊鏈和數字貨幣的監管態度,2019年是重要的一年。在美國,到2019年底,針對加密貨幣和區塊鏈政策有21項法案,這些法案包括稅收問題,監管結構,跟蹤功能和ETF批準,哪些聯邦機構監管數字資產等。歐盟(EU)在2020年1月10日實施了一項新法律,要求加密貨幣平臺采取更嚴格的反洗錢做法。瑞士,日本,立陶宛,馬耳他和墨西哥通過法律,要求交易所必須根據KYC和AML準則獲得許可。中國,土耳其,泰國等國家正在計劃自己的中央銀行數字貨幣(CBDC)。而監管將決定區塊鏈技術和加密貨幣的落地速度。[2020/1/22]

首發 | 百度推動246家博物館線上藏品上鏈:金色財經訊,近日,百度超級鏈聯合百度百科,基于區塊鏈技術創建 “文博藝術鏈”,推動百科博物館計劃中的246家博物館線上藏品上鏈。基于“文博藝術鏈”,百度將與博物館共同推動線上藏品版權的確權與維護,同時探索線上藏品版權數字化交易方式,為合作的博物館提供更全面的服務和更多的權益。據介紹,此項目將分階段進行,一期將完成線上藏品的入鏈確權,為每一件藏品生產專屬的版權存證證書。讓每一名用戶可以在百度百科博物館計劃的PC端和WAP端的藏品頁查看證書。后續,百度還將推動AI與區塊鏈技術在文博領域的結合應用,用來保障上鏈數據與藏品相匹配,為后續進行藏品圖像版權數字化交易奠定基礎。[2019/1/30]

該用戶使用的是Electrum比特幣錢包,上次使用是在2017年。此后Electrum已經發布了安全更新,但該用戶一直沒有安裝。

用戶在使用Electrum進行交易時,錢包會向服務器廣播一筆交易,如果這筆交易出現了問題,服務器將返回錯誤信息并以彈窗的形式展現給用戶。

3.3.2版本之前的Electrum錢包不會對服務器返回的錯誤信息進行驗證,甚至還會對返回的信息進行html渲染(參考鏈接4)。

值得一提的是,任何人都可以去搭建一個Electrum節點服務器。如果一個用戶連接到了攻擊者的服務器并發起了一筆交易,服務器可以返回任何設計好的錯誤信息。比如返回一個讓用戶去更新Electrum錢包的錯誤信息,如下圖所示。

然而,圖中的鏈接指向了攻擊者自己寫的惡意軟件,一旦用戶下載安裝該軟件并把自己的錢包導入其中,錢包里所有的比特幣就會被攻擊者轉走。

這其實本質上是一種釣魚攻擊,但由于攻擊者發出的釣魚信息是通過Electrum官方錢包展示出來的,很多人都會信以為真。

在本次事件中,受害者的錢包連接上了攻擊者所控制的服務器,導致其收到了服務器發出的釣魚信息,進而被攻擊者轉走了自己的所有比特幣。

Electrum錢包存在的該問題早在2018年底就引起了廣泛討論(參考鏈接4)。

Electrum官方在2019年,錢包版本3.3.4中對該問題進行了修復,后續版本的Electrum錢包不再會將服務器返回的內容直接展示給用戶,也不會對其進行html渲染。

此外,由于舊版本的錢包仍然存在這個問題,因此所有的正常的服務器會對3.3版本之前的錢包進行拒絕服務(DoS)攻擊,以強制用戶進行更新(參考鏈接5)。

用戶在使用錢包進行交易的時候,需確保錢包為最新版本,已防舊版本的錢包可能存在可被黑客利用的漏洞。

用戶在下載錢包更新的時候要注意驗證下載URL是否與官方一致,在下載完成后要對錢包的簽名進行驗證。

對于錢包開發團隊,需要尋找專業團隊做好測試工作,以免項目出現漏洞給用戶帶來損失。

參考鏈接:

1. https://github.com/spesmilo/electrum/issues/5072

2. https://zhuanlan.zhihu.com/p/53920688

3. https://www.blockchain.com/btc/tx/2db616f5b4545805dc1de59bc65b21b548c0d553ab187fa1625ef73c727f1e54

4. https://github.com/spesmilo/electrum/issues/4968

5. http://twitter.com/electrumwallet/status/110647957391772467

Tags:RUMELECTRUECTRserum幣變成10億BelecX ProtocolTRUST幣SpectrumCash

火幣下載
數字貨幣:數字貨幣緊鑼密鼓籌備中 專家認為將顯著提高監管效能

日前,“數字人民幣”再次成為輿論的焦點。8月29日,有部分用戶在建設銀行App中發現,其增加了“數字錢包充值”以及“數字貨幣”兩個子菜單.

1900/1/1 0:00:00
SWAP:絕密 火幣掃黑辦公室的日常

凍卡風波沸沸揚揚 女俠作為親歷者對此恨之入骨 打擊黑產 必須搞起來 ETH 2.0存款合約總價值達523億美元創歷史新高:金色財經報道.

1900/1/1 0:00:00
SDT:金色說明書 | 視頻:手把手帶你零基礎玩轉流動性挖礦

DeFi流動性挖礦火爆一時,吸引了大量投資者參與。為了方便投資者及時了解DeFi挖礦項目的相關信息和挖礦流程,金色財經推出了“金色說明書”系列挖礦教程。本期由金色財經和Bitouq聯合推出.

1900/1/1 0:00:00
SYN:隨著DeFi投資者的興趣增加 Synthetix(SNX)總鎖定價值超過10億美元

在Compound和Aave等其他DeFi協議之后,Synthetix的鎖定價值已達到10億美元里程碑.

1900/1/1 0:00:00
ETH:ETH上錨定BTC量超3.8萬枚 1周增長73% 成BTC最強側鏈

最近一周,DeFi 帶來的市場熱度,可謂不減,反而更加瘋狂。從YAM挖礦,在CRV挖礦,且一個玩笑的memes項目都能有日成交量達75萬美金.

1900/1/1 0:00:00
AMM:什么是自動化做市商(AMM)?

AMM又稱自動化做市商,它是去中心化交易所(DEX)最為關鍵的技術之一,已被證明是最具影響力的DeFi創新之一,它們能夠為一系列不同代幣創建和運行可公開獲取的鏈上流動性.

1900/1/1 0:00:00
ads