以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

金色觀察丨盜取45億美元女黑客的社會學工程課_ETH

Author:

Time:1900/1/1 0:00:00

近日驚爆加密貨幣圈的大新聞就是美國司法部成功追蹤并逮捕了2016年盜取bitfinex近12萬枚比特幣(目前市值約45億美元)的黑客Heather Morgan和IIya Lichtenstein。加密圈這兩天一直在猜測黑客是如何入侵bitfinex的,加密貨幣KOL Eric Wall 2年前曾在紐約聽過女黑客的社會工程學演講,他發長推講述了對女黑客演講的觀感和見聞。

我從HeaterReyhan處得到的主要收獲是在@tarunchitra的紐約沙龍的演講“如何將社會工程運用到任何事物”。

Heather解釋了社會工程如何利用人們的認知偏見:“觸發人們做他們已經編程好要做的事情”。

給出“白/灰帽黑客”的例子,例如AirBnB創始人在冷電子郵件/打電話預訂時假裝是自己的經紀人。

Heather顯然不是一個笨蛋。這顯然是一個聰明人給出的演講。

她說話的方式和關于她專業領域的推理表明,她有相當體面的社交技能、幽默感和謙遜感。

金色相對論 | 李自鵬:目前ETH2.0的設計,對于想參與ETH Staking的用戶來說,并不友好:11月27日消息,在今日舉行的金色相對論中,針對“可以預測的是階段0會持續較長的一段時間,這段時間投資者存入的ETH和信標鏈出塊獎勵的BETH都無法兌現,這對于以太坊生態來說,是好是壞?有哪些補足辦法?”的問題,StaFi首席研究員李自鵬表示,ETH2.0 Phase 0 階段將在近期上線,用戶可以直接參與到信標鏈的Staking中,只需要質押32個ETH就可以成為節點,并享受年化5%至20%左右的Staking獎勵。但是目前ETH2.0的設計,對于想參與ETH Staking的用戶來說,并不友好:

1)Stakers必須掌握大量關于運行節點的知識,然后去運行驗證人客戶端,才能獲得質押收益。并且還要保持穩定的在線時間,避免雙簽等Slash行為,否則還會受到ETH 2.0 的懲罰,不僅沒能獲得質押收益,還可能出現賬戶余額從32ETH被罰沒成16ETH的情況。所以這對于單純希望獲得Staking獎勵的人來說,參與門檻太高;

2)每一個節點最多質押32個ETH,如果希望質押更多數量的ETH,就需要同時運行多個驗證人客戶端,進而增加節點的運營成本和運維難度;

3)如果用戶希望質押的數量低于32個ETH,則無法參與ETH2.0 Staking;

除了上述的高參與門檻外,Stakers在質押成功后還將面臨贖回的難題:只有等待 ETH2.0 Phase 2之后才能贖回原來的ETH。而ETH2.0 Phase 2上線的時間預計可能需要1~2年,這意味著Stakers的資產可能在1~2年內無法贖回流通,此種狀態讓絕大多數 Stakers 都難以承受。[2020/11/27 22:20:16]

如果你無法將此與她的超現實主義說唱身份“Razzlekhan”相吻合,請閱讀她《福布斯》專欄中的以下段落。

金色熱搜榜:ADA居于榜首:根據金色財經排行榜數據顯示,過去24小時內,ADA搜索量高居榜首。具體前五名單如下:ADA、XMR、TRUE、BTM、IOST。[2020/11/6 11:51:11]

在過去的幾天里,我從加密推特中看不明白的是,為什么都說“Razzlekhan”明顯不勝任她的能力。愚蠢=經常有智慧的強烈跡象

她毫不掩飾自己在生活中使用社會工程的事實。舉例說明她滲透到的地方。

她提到在埃及爬籬笆,使保安讓她和朋友參觀受限的宮殿,而不是把她趕出去。

我不知道Heather和Ilya是否是黑客,誰都想知道(fwiw)。他們完全控制私鑰的事實當然意味著一些參與。

但他們也可以從真正的黑客那里偷走/找回它,也可以直接參與了黑客攻擊。

以下是昨晚一些有趣的聊天

Mike Belshe - BitGo聯合創始人兼首席執行官

Ben·Davenport - BitGo聯合創始人兼首席技術官(在黑客攻擊時)

獨家 | 金色財經2月18日礦幣數據播報:金色財經報道,據幣印礦池數據顯示:

主流幣挖礦日收益分別為:BTC(¥1.11/T)、ZEC(¥0.46/T)、LTC(¥21.41/G)、BSV(¥1.11/T)、BCH(¥1.16/T)、DASH(¥0.20/G)。

當前熱門礦機數據及凈收益分別為:芯動T3+(BTC,¥31.42)、芯動A9(ZEC,¥17.31)、螞蟻L3+(LTC,¥2.81)。[2020/2/18]

Zane Tacket -?社區主任@bitfinex(當時),Zane是黑客攻擊期間處理所有公共通信的人

上一張截圖很有趣。@mikebelshe提到,是@bitfinex的系統被破壞了,而不是@BitGo,但@tackettzane似乎暗示BitGo至少也是有錯的。

分析 | 金色盤面:ONT/USDT受阻明顯 注意二次下跌風險:金色盤面綜合分析:ONT/USDT小幅反彈至1.25附近受阻,目前再次展開下跌,注意前低1.0附近支撐,注意交易風險[2018/8/14]

好奇從未寫過尸檢。也許里面有隱情......尷尬嗎?

加密推特上的人們似乎已經認定,黑客攻擊是以非常復雜的技術方式發生的,但沒有證據表明這一點。

如果你狡猾,人們似乎也忘記了社交工程有多強大。大量重大黑客通過社會工程發生......

事實上,我認為@mikebelshe幾乎揭示了當他說“and people”時,黑客攻擊涉及重要的人的因素,BitGo沒有被黑客入侵。

聽起來有人耍了手腕......而不是這里大多數人似乎想象的“緩沖溢出有效載荷黑客”

通常,當涉及0day漏洞等的黑客*技術上非常復雜時,目標會分享盡可能多的細節(以免除內部人士的懷疑等)。

如果他們不分享細節,更有可能以他們不引以為豪的方式發生。

回到談話中。

Heather提到她通過社交工程認識的人。有照片拼貼畫。我們可以看到John McAfee第一排,第三列。

金色財經獨家分析 虛擬貨幣的“現實接口”:據悉,日本將于第二季度在虛擬貨幣領域強制引入新的會計準則,金色財經分析,雖然虛擬貨幣成為區塊鏈領域的獨特激勵機制,但目前仍需要找到適應傳統經濟的“現實接口”。很多虛擬貨幣價值用主流虛擬貨幣進行衡量,而主流貨幣的價值所在,目前還是以法幣來衡量的,有了價值判斷,隨之而來的就是價值的計量。因此在與傳統經濟發生聯系時,虛擬貨幣也需要適應現實世界,一種方法是找到與現實世界標準的共同點去適應,而這種方法從監管合規方面也是合理的,另一種方法是創新標準,讓虛擬貨幣有一套公允的創新的價值標準,更好的解決監管的問題。[2018/5/17]

她還提到了與這樣的人快速建立融洽關系的技巧。

她列舉了一些如何影響他人的例子。

-?奉承

-對他們有用

-?賄賂

-?恐懼

出于某種原因,她強調了最后一個。她說,讓別人處于報警的風險下,但如果你巧妙地這樣做,它可以很好地工作......

她談到首先在網上對目標進行盡可能多的研究。比如目標地區地圖。公司組織結構圖看起來像什么。跟蹤人們的社交媒體。找出他們的喜好/厭惡。

Bitfinex首席技術官Paolo Ardoino正在閱讀此長帖,并剛剛補充說,黑客是如何攻擊成功的,可能值得寫一本書。

我希望人們停止問這個問題。*沒有*證據表明私鑰在云存儲中未加密。我已經發了這條推文。

一些進一步的解釋,因為人們似乎可以放棄任何設法黑客入侵Bitfinex的人一定是超級人的想法

你不能接受黑客不完美嗎?老實說,一個真正有才華的人不需要犯下冒險罪行就能實現他們的目標......

此外,在云存儲中保留包含私鑰的加密文件并不愚蠢!當然,這增加了一定程度的風險,但如果加密良好,它不一定會導致黑客攻擊......

聯邦調查局首先通過區塊鏈追蹤他們,發現他們使用@bitrefill等服務與他們的*個人電子郵件*,將東西訂購到他們的*家庭地址*。這,如果有的話,比上面要笨得多。聯邦調查局知道他們是誰。

在聯邦調查局知道他們是誰后,他們沒收了所有設備。分析設備。也許他們發現某個地方不小心記錄了部分密碼,并強硬地執行其余密碼。也許他們找到了完整的密碼。無論如何,錯誤已鑄成,*沒有*在云上擁有加密

或者也許演出結束后,他們甚至故意放棄了密碼?正如@udiWertheimer所說,聯邦調查局已經抓住了他們,并有證據表明是他們。同樣,錯誤被抓住了。

無論如何,回到Heather。她提到了如何使用研究中的信息建立融洽關系的示例。也許你碰巧站在你研究過的一些他們喜歡的食物等。

我的解釋:基本上是巴尼·斯丁森風格的追求目標。

Tom Trevethan說bitfinex被攻擊是因為有bitfinex員工并打開收到自己寵物狗被撞傷的郵件導致的,這是我個人之前從未聽說過的事情

這些是非常常見的社會工程技術(關于“達成一片”的主題)。

比如,你可以穿上雜工的衣服,走進一家繁忙的商店,看起來像你屬于這幾位商店,然后開始把昂貴的衣服從大樓里搬出來,說你在修理什么東西什么的。

她提到,她個人最喜歡的衣服之一是分層衣服,因為你可以邊走邊改變外觀(脫下層/衣服=>新外觀),并提到你可以用圍巾做些事情來瘋狂地改變自己(例如,必要時把它變成頭巾)。

她講述了搞砸的個人故事,比如試圖通過閱讀門衛保存的名單來進入某個地方,并意外+無意中試圖冒充一個大個子男人。

聽起來她對此非常熱情,并在野外嘗試了很多

這張PPT笑死我了。

它現在分為練習,這些練習將基于Heather實際經歷的現實生活中略微調整的隱私情況。

有人問她為什么要這樣做,她回應“挑戰它”。

演講結束她講述了一些故事,還提到了她的朋友做了什么(例如,一個闖入Y Combinator活動并從Paul Graham那里獲得資金的朋友),以及她的朋友是如何相互扮演的——例如,如果一個人被抓住了,他們就變回真的自己。

這很有趣,因為聽起Heathe可能是某種黑客/社交工程師集體娛樂的一部分(如果這是她的愛好,這并不奇怪),這表明她可能不是單獨攻擊bitfinex,而是這樣做的團隊的一員。

最后,她被問及道德問題。她講道,對她來說,“目的證明手段的合理的性”,并以“我想說我有自己的道德規范”結尾。

當年演講視頻地址:Youtu.be/JmahJCWJ8iM

Tags:ETHBITSTASTAKETHw幣官方近況bitop交易所官網下載ASTAKE幣Staking

歐易交易所app官網下載
Solo Capitalist:分拆傳統VC投資的新興勢力_SOL

就在上周四,TechCrunch 的記者 Natasha Mascarenhas 在 Twitter 上發布了一個 SEC 文件的鏈接.

1900/1/1 0:00:00
文旅業開始擁抱“元宇宙” 開啟“沉浸式實景體驗”新時代_元宇宙

這段時間,大概每個人都感受到了元宇宙迎面而來的沖擊波。這個充滿未來感的名詞,從科幻世界一路殺進現實世界,到2021年破圈,成為科技界、投資界和傳媒界的寵兒,各行各業都紛紛入局這一場數字化盛會.

1900/1/1 0:00:00
金色觀察|1.3億開發“IP元宇宙”的萬代南夢宮是誰?_區塊鏈

金色財經消息,日本Bandai Namco Holdings(萬代南夢宮控股)公開了2022年3月決策,并同步公開萬代南夢宮集團中期計劃(2022年4月-2025年3月31日)“IP軸戰略”.

1900/1/1 0:00:00
晚間必讀5篇 | DAO:為什么治理很重要?_NFT

1.金色觀察|盤點與2022北京冬奧會相關的NFT/游戲冬季奧運會呈現的冰雪上的競技歷來令全球體育迷心馳神往。2022年2月,一場舉世矚目的冬季體育盛會在北京拉開帷幕.

1900/1/1 0:00:00
全球首家NFT博物館來了 NFT會成為當代“古玩”嗎?_NFT

世界上第一個NFT博物館在西雅圖開幕世界上第一個NFT博物館已經開放,它是線下的。占地3000平方英尺的西雅圖NFT博物館于周四公開開放,聲稱它是第一家NFT的藝術博物館和畫廊.

1900/1/1 0:00:00
2018與2022年市場對比 以及未來的市場展望_比特幣

長期以來,加密市場都有著“四年一個周期”的說法,這一理論背后的依據眾說紛紜,有觀點認為是出于比特幣4年減半的規律,也有觀點認為是每4年一次的美國大選會刺激行情,無論個中緣由為何.

1900/1/1 0:00:00
ads