以太幣交易所 以太幣交易所
Ctrl+D 以太幣交易所
ads

Github用戶1400枚比特幣被盜事件分析_ELE

Author:

Time:1900/1/1 0:00:00

有天,你在支付寶操作轉賬時,彈窗提示你因版本過低而導致轉賬失敗。

如果彈窗內不僅僅提示你交易失敗,還附上支付寶更新鏈接,大部分人可能都會順手點擊鏈接進行更新。

如果這個鏈接是個釣魚鏈接,直接獲取了你的轉賬權限,那么代表你賬戶內的錢也會被無情轉移。

這次,就有一個用戶遭遇了類似的情況。

北京時間8月31日,CertiK天網系統(Skynet)檢測到,Github用戶“1400BitcoinStolen”1400枚比特幣被盜事件的代幣,已開始被輸送到多個不同的地址當中。

Candy Digital與Palm NFT Studio宣布合并,并與知名IP合作:6月29日消息,數字藏品公司Candy Digital宣布將和Web3制作公司Palm NFT Studio合并。未來兩家公司將在體育、娛樂、藝術和文化領域開發NFT項目。

目前,兩家公司已經與一些列知名IP或賽事達成合作,包括為MLB、NASCAR、WWE等體育賽事及Netflix和華納兄弟等娛樂巨頭。[2023/6/30 22:09:26]

受害者在electrum的Githubissue中講述了自己丟失了1400個比特幣并貼出了自己的比特幣錢包地址。

Voyager Digital降低每日提款限額至1萬美元:金色財經消息,Voyager Digital已將每日提款限額從2.5萬美元降至1萬美元,且每日提款次數限制20次內。據悉,Voyager Digital股價昨日暴跌60%以上。

據此前消息,三箭在Voyager Digital上未償還貸款價值約6.6億美元,6月27日前未還將構成違約。(CoinDesk)[2022/6/23 1:27:35]

在區塊鏈瀏覽器(參考鏈接3)中可以看到8月30日一共1404枚BTC從他的錢包中被取出,存入了黑客的錢包中。

比特幣礦業公司Stronghold Digital計劃在IPO中融資9400萬至1.06億美元:10月13日消息,比特幣礦業公司Stronghold Digital發布招股說明書,計劃在IPO中融資9400萬至1.06億美元。該公司計劃在納斯達克全球市場上市其A類普通股,股票代碼為“SDIG”。

招股說明書中顯示,Stronghold運營著大約3000臺比特幣礦機,算力約為185PH/s,其計劃到2021年12月將其總算力提高至超過2100PH/s,到2022年12月將超過8000PH/s。此外,該公司是通過“控制排放”的方式處理煤炭廢料為礦機提供電力。[2021/10/14 20:27:11]

事件還原與分析

Galaxy Digital首席執行官在美國大選押注中贏得半個比特幣:億萬富翁、Galaxy Digital首席執行官Mike Novogratz在美國大選押注中贏得半個比特幣。在押注正確后,他在推特上表示,他將把這些獎金以抽獎的方式發放出去,且已經擁有比特幣的人不能得到。一位名叫Adelgary的推特用戶被選中,現在持有價值約7700美元的比特幣。(Decrypt)[2020/11/9 12:06:56]

該用戶使用的是Electrum比特幣錢包,上次使用是在2017年。此后Electrum已經發布了安全更新,但該用戶一直沒有安裝。

用戶在使用Electrum進行交易時,錢包會向服務器廣播一筆交易,如果這筆交易出現了問題,服務器將返回錯誤信息并以彈窗的形式展現給用戶。

3.3.2版本之前的Electrum錢包不會對服務器返回的錯誤信息進行驗證,甚至還會對返回的信息進行html渲染。

值得一提的是,任何人都可以去搭建一個Electrum節點服務器。如果一個用戶連接到了攻擊者的服務器并發起了一筆交易,服務器可以返回任何設計好的錯誤信息。比如返回一個讓用戶去更新Electrum錢包的錯誤信息,如下圖所示。

然而,圖中的鏈接指向了攻擊者自己寫的惡意軟件,一旦用戶下載安裝該軟件并把自己的錢包導入其中,錢包里所有的比特幣就會被攻擊者轉走。

這其實本質上是一種釣魚攻擊,但由于攻擊者發出的釣魚信息是通過Electrum官方錢包展示出來的,很多人都會信以為真。

在本次事件中,受害者的錢包連接上了攻擊者所控制的服務器,導致其收到了服務器發出的釣魚信息,進而被攻擊者轉走了自己的所有比特幣。

Electrum錢包存在的該問題早在2018年底就引起了廣泛討論(參考鏈接4)。

Electrum官方在2019年,錢包版本3.3.4中對該問題進行了修復,后續版本的Electrum錢包不再會將服務器返回的內容直接展示給用戶,也不會對其進行html渲染。

此外,由于舊版本的錢包仍然存在這個問題,因此所有的正常的服務器會對3.3版本之前的錢包進行拒絕服務攻擊,以強制用戶進行更新。

CertiK安全團隊建議

用戶在使用錢包進行交易的時候,需確保錢包為最新版本,已防舊版本的錢包可能存在可被黑客利用的漏洞。

用戶在下載錢包更新的時候要注意驗證下載URL是否與官方一致,在下載完成后要對錢包的簽名進行驗證。

對于錢包開發團隊,需要尋找專業團隊做好測試工作,以免項目出現漏洞給用戶帶來損失。

參考鏈接:

1.https://github.com/spesmilo/electrum/issues/5072

2.https://zhuanlan.zhihu.com/p/53920688

3.https://www.blockchain.com/btc/tx/2db616f5b4545805dc1de59bc65b21b548c0d553ab187fa1625ef73c727f1e54

4.https://github.com/spesmilo/electrum/issues/4968

5.http://twitter.com/electrumwallet/status/1106479573917724672

Tags:ELEECTCTRTRUELEA價格SpectrumCashECTR幣true幣最新價格

以太坊交易
全球資產同步齊跌,DeFi板塊遭遇大瀑布_比特幣

今日加密貨幣市場再次出現大面積調整。coingecko數據顯示,DeFi板塊領跌,YFI、UNI、LEND等較大市值的DeFi代幣均出現大幅下跌,24小時跌幅在20%左右;受主流幣也出現不同程度.

1900/1/1 0:00:00
EOS和以太坊 誰是波卡的「前車」?_EOS

波卡沖上加密資產市值排行前五名后,得到了更加廣泛的關注。中繼鏈+平行鏈的架構設計,賦予它鏈鏈互通的能力,想象空間因此擴大。超過120個項目方在波卡上建立起生態.

1900/1/1 0:00:00
SushiSwap的轉折點:如何實現將治理移交給社區_USH

SushiSwap這兩周發生的事情絕對是加密史上最跌宕起伏的故事之一。一開始,Sushiswap不僅分叉了Uniswap,還直接撬動Uniswap上最主要的DeFi代幣流動性,同時推出了Unis.

1900/1/1 0:00:00
深度丨機構進場?區塊鏈安全基礎設施準備好了么?_MPC

作者:Derbit 翻譯:Olivia 由于COVID-19造成了經濟的不確定性從而增加了機構對數字資產的興趣。然而,即使有更多傳統行業的參與者進入加密領域,但采用的速度仍然很慢.

1900/1/1 0:00:00
阿里巴巴發布國內首個公益區塊鏈標準,科技讓天下沒有難做的公益_區塊鏈

來源:中國日報網 9月5日,阿里巴巴95公益周線下論壇在京召開,阿里巴巴集團合伙人、阿里巴巴公益基金會理事長孫利軍表示,當前公益行業面臨兩個突出難題,一是信任難題,一是連接參與難題.

1900/1/1 0:00:00
報告:八月加密衍生品交易量超過7100億美元,創歷史新高_比特幣

來自CryptoComare的報告顯示,8月份加密貨幣衍生品的交易量增長了54%,超過7100億美元。 報告認為,以比特幣為代表的加密貨幣在8月份的優異表現推動了加密衍生品市場的繁榮.

1900/1/1 0:00:00
ads