首發｜推特大規模被黑 蘋果、亞馬遜及美國前總統紛紛中招 專業人士給出哪些防范建議？_WIT

“你給我100紅包，我明兒給你200怎么樣。”

敢發紅包篤定能收到回饋的，怕是只有最信任的人了。法制節目經常會播放一些類似的騙局來警示大家。然而能上當的本質還是在于這兩個字：信任。

北京時間2020年7月16日凌晨三點左右，CertiK安全團隊的研究人員檢測到，著名社交網站推特（Twitter）上多位有影響力的大V賬戶被盜。這些被盜的賬戶全部都發布了如下的比特幣釣魚信息。

“為了回饋大家（為了支持比特幣），現在對大家進行回饋。你只要給以下地址轉賬1000美金，我就返還你2000美金。活動僅限半小時！”

OKX Web3錢包即將首發接入Sui Network:4月15日消息，據官方消息，為支持新公鏈發展和促進多鏈生態繁榮，OKX Web3 錢包將于 Sui Network 主網正式上線后 24 小時內，率先完成接入。屆時，用戶可使用 App 和插件 Web3 錢包管理自己在 Sui Network 上的資產。

據了解，OKX Web3 錢包是最全面的異構多鏈錢包，已支持 50+條公鏈，涵蓋錢包、DEX、賺幣、NFT 市場、Dapp 探索 5 大板塊，能夠滿足用戶一站式 Web3 需求。[2023/4/15 14:05:28]

圖片內容均來自CertiK安全專家截圖

此次黑客攻擊始于區塊鏈行業，如Gemini交易所、Coinbase交易所、幣安交易所的CEO趙長鵬、Tron的CEO孫宇晨，區塊鏈媒體Coindesk，均受到攻擊并發布相關消息。

LBank藍貝殼于4月30日23:00首發NAOS，開放USDT交易:據官方公告，4月30日23:00，LBank藍貝殼首發NAOS(NAOS Finance)，開放USDT交易，4月30日22:00開放充值，5月3日18:00開放提現。

LBank藍貝殼將于4月30日23:00開啟充值&交易NAOS瓜分5,000 USDT活動。用戶凈充值數量不少于10枚NAOS ，可按凈充值量獲得等值1%的NAOS的USDT空投獎勵。單個用戶最高獎勵200 USDT，本部分總獎池2,500 USDT。交易賽將根據用戶的NAOS交易量進行排名，前30名可按個人交易量占比瓜分2,500 USDT。詳情請點擊官方公告。[2021/4/30 21:14:28]

以上圖片內容均來自CertiK安全專家截圖

后來索性在推特上呈現了病式傳播，包括比爾·蓋茨，亞馬遜創始人Jeff bezos, 彭博社創始人Bloomberg，蘋果官方賬號，特斯拉CEO Elon Musk, 著名歌手侃爺Kenye West、美國前總統奧巴馬和約瑟夫·拜登等人的賬號，無一幸免。

鏈上ChainUP云平臺“優質資產首發聯盟”于今日正式成立:據官方消息，鏈上ChainUP云平臺于2月26日成立了“優質資產首發聯盟”。首發聯盟成員包括：炎幣、幣牛、通交所、支點、BitRock等區塊鏈知名企業。鏈上ChainUP云平臺“優質資產首發聯盟”旨在為優質的項目方提供成員交易所聯合首發的機會，搶跑DEFI賽道，提升品牌效應。據了解，“優質資產首發聯盟”成員均為業內兼具流量與知名度的優質交易平臺，日活達百萬級。

鏈上ChainUP云平臺，致力于在第一時間上線優質資產，助力交易所實現運營目標，為交易所客戶提供全方位的服務和運營工具。截止目前，鏈上ChainUP云平臺已為全球600多家客戶提供了區塊鏈技術服務，累計觸達6000多萬全球用戶。在非小號排名前100的交易所中，鏈上ChainUP云平臺的客戶占比超過30%。[2021/2/26 17:57:20]

Conflux生態項目Zero One團隊發布NFT資產并首發上線MoonSwap:據官方消息，Zero One團隊發布NFT資產并上線MoonSwap NFT Market，所有NFT共分為六大類。持有不同的NFT可以領取對應的FLUX代幣空投。

同時Zero One團隊會對MoonSwap的創世NFT持有者進行FLUX代幣的空投，支持生態項目共同發展。（FLUX代幣的空投會在項目Token正式發布后開始）

Zero one團隊是一個專注于區塊鏈開發的團隊，Flux是去中心化、安全、非托管的數字加密資產抵押借貸協議。FLUX借貸協議將會在conflux、Heco、Bsc、ok四條鏈上上線，目前已經提交CertiK審計公司審計。

MoonSwap是下一代跨鏈去中心化交易協議，基于Conflux底層網絡，實現Ethereum Layer2交易解決方案，為用戶提供高速 0 GAS的自動做市商交易體驗。[2021/2/24 17:47:37]

以上圖片內容均來自CertiK安全專家截圖

TJ Wallet首發支持Filecoin F1/F3 全賬戶地址交易轉賬:據官方消息，Filecoin區塊鏈主網預計在數小時內上線，由深圳市天璣數據有限公司研發的TJ Wallet發布官方公告稱，將第一時間更新支持Filecoin正式網f1用戶錢包和f3礦工錢包交易轉賬。

天璣錢包TJ Wallet將在Filecoin主網區塊高度達到148888時同步更新錢包和應用以支持Filecoin正式網絡最新的f1用戶錢包和f3礦工錢包，首發支持創建Filecoin賬戶、支持FIL（Filecoin）交易和轉賬等完整的Filecoin交易流程，用戶可以第一時間訪問體驗到這款Filecoin生態支持全賬戶交易轉賬的區塊鏈錢包。詳情點擊原文鏈接。[2020/10/15]

黑客攻擊了著名社交網站推特，一個大家都不怎么相信就連美國前總統賬戶也會被黑的一個網站（雖然早就懷疑美國的現任總統早就被黑了）。利用了民眾對推特的信任以及名人的公信力，讓大家認為這次活動是真的。

到目前為止，黑客的賬戶一共收到了12.86個BTC，折合美金118,209刀，人民幣825,805元。

黑客交易地址信息截圖

1. Twitter員工賬戶被黑，黑客獲得管理后臺訪問權限

在telegram上爆出的截圖疑似是Twitter員工的后臺管理界面。黑客可以通過后臺管理界面修改用戶郵箱，之后把重置密碼的鏈接發送到自己控制的郵箱中，以此來取得目標賬戶的控制權。

2. 黑客利用最近爆出的漏洞攻擊Twitter服務器，獲得管理后臺訪問權限

在昨天，一個關于Windows的DNS服務器的漏洞（CVE-2020-1350）被公開，攻擊者可以通過發送特定的請求，從而遠程執行任意的代碼。有人就此提出了這樣一個猜想：Twitter有一個公開的MS DNS服務器，這個服務器并沒有對CVE-2020-1350進行修復，攻擊者通過此漏洞獲取了該服務器的控制權，而因為Windows DNS服務器是核心網絡組件，該漏洞可引發蠕蟲式傳播，且無需用戶交互和身份驗證，攻擊者由此進入了Twitter內部的后臺管理界面，然后通過該界面修改用戶郵箱，把重置密碼的鏈接發送到自己控制的郵箱中，以此來取得目標賬戶的控制權。

Twitter官方回應

目前各個賬戶被黑的原因還未被官方公開，推特也于北京時間當日凌晨5：45分進行了官方回復，表示會盡快調查原因。

隨后Twitter 表示在調查期間，某些用戶的發推和重置密碼的功能可能會無法使用。

社交網站一兩個賬號被盜的事件也許經常有，但是大規模被黑客襲擊的事件，也許又能算作2020魔幻一年的大事記了。在這里CertiK安全團隊整理了一些加強 Twitter賬戶安全的措施。

1. 取消被授權使用你Twitter賬戶的應用

登陸Twitter后，在More -> Settings and privacy -> Account -> Data and permissions  -> Apps and sessions 里面可以看到當前被授權獲取你Twitter相關權限的應用和登陸了的Sessions。CertiK安全團隊推薦定期檢查被授權的Apps, 及時移除不必要的Apps. 登出可疑的Sessions.

2. 開啟二次驗證

登陸Twitter后，在More -> Settings and privacy -> Account -> Security -> Two-factor authentication界面開啟二次驗證，二次驗證的方法有手機短信, Google Authentication app，和物理形式的Security Key。使用二次驗證可以防止黑客在接觸到用戶的賬號密碼的情況下，盜取用戶賬號。

無效的漏洞賞金計劃？

在安全上的投入不足

Twitter在HackerOne漏洞賞金平臺上面有設置漏洞賞金計劃(https://hackerone.com/twitter). 有人指出了Twitter對于Account takeover(賬號盜取)類型的漏洞，只給予7700美金的獎勵，而這次黑客利用此類漏洞，已經盜取了10萬美金以上的金額。這樣的對比，引人深思。

安全對于一個公司來講，沒被黑的時候覺得無所謂，不愿意在安全上投入金錢。而真正在被黑之后，所造成的損失是不可計量的。

在這里，CertiK想提醒大家，就算是看起來非常厲害的推特，也可能會遭到黑客攻擊。所以不要過于相信某個項目有著百分之百的安全，一旦有了0.00000000000001%的可能性被攻擊，按照墨菲定律，也一定會發生。因此在安全上的投入，是必不可少的。

Tags：WITTERITTTTEDontPlaywithKittyMASTERGoFitterAIScatter

火幣網下載官方app