根據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示,11月2日消息,加密衍生品交易平臺Deribit發布公告稱其熱錢包被盜,資金損失2800萬美元,官方稱目前客戶資金安全,損失將由公司儲備金彌補。
BeosinTrace對本次被盜資金進行實時追蹤發現,Deribit熱錢包被盜的2800萬美元包括6947枚ETH、691枚BTC與約340萬枚USDC,隨即攻擊者將USDC兌換為約2133枚ETH,目前攻擊者地址持有9080枚ETH與691枚BTC。被盜資金依然在0xb0606f433496bf66338b8ad6b6d51fc4d84a44cd地址中。
Block聯創和MicroStrategy CEO尋求將閃電網絡整合到Coinbase:金色財經報道,Coinbase首席執行官布Brian Armstrong敦促加密社區致力于在全球范圍內實現即時和免費的加密支付。包括Block聯合創始人Jack Dorsey、MicroStrategy執行主席Michael Saylor都回復要求Coinbase將比特幣閃電網絡整合到交易所中。然而,Solana的聯合創始人Anatoly Yakovenko認為,在支付方面,Solana比閃電網絡更快、更便宜。[2023/7/27 16:02:05]
密碼:密碼不是私鑰,是在創建賬戶時使用的密碼;
分析師對COIN的平均目標價從每股69.17美元上漲至69.70美元:金色財經報道,根據TheBlockResearch編制的數據,由于分析師的平均目標價略有上升,Coinbase的股價在上周上漲了近6%。Coinbase上周上漲5.93%,盡管美國證券交易委員會對該交易所運營商的訴訟懸而未決,但本周收于55.59美元。自SEC于6月6日宣布訴訟以來,該股已上漲超過7%。
與此同時,截至6月18日,分析師對COIN的平均目標價從每股69.17美元小幅上漲至69.70美元。上漲的原因是一家經紀商取消了對該股的賣出評級覆蓋范圍,這反過來又提高了普遍覆蓋范圍評級。[2023/6/18 21:45:34]
私鑰:一串十六進制字符,一個賬戶只有一個私鑰且不能更改,如:0xA4356E49C88C8B7AB370AF7D5C0C54F0261AAA006F6BDE09CD4745CF54E0115A;
Beta Finance:資產橋接使用了Multichain ,建議用戶改為Avalanche Bridge:6月1日消息,DeFi 衍生品 Beta Finance 發推稱,其使用了 Multichain 的基礎設施在 Avalanche 和 BNBChain 之間進行橋接,鑒于 Multichain 的現狀,建議用戶在提取 BETA 代幣時使用 Avalanche Bridge。但 Beta Finance 將繼續保持現有項目在 Multichain 網絡上提供流動性,以允許用戶順利橋接,Avalanche 和 BNBChain 之間的橋接仍然可以被處理。[2023/6/1 11:52:33]
助記詞:由于私鑰通常不容易記憶,所以使用算法將其轉化為了一串12~24個容易記住的單詞,方便保存;
Keystore:JSON編碼的文件,存儲的是加密后的私鑰。
Maxwell Partners宣布任命Mikkel Morch和Angus John MacCormick為戰略顧問:金色財經報道,算法交易、區塊鏈和數字資產投資公司Maxwell Partners宣布已任命 Mikkel Morch 和 Angus John MacCormick 為戰略顧問,以加強和擴大其為加密貨幣市場的投資者提供的算法交易業務。[2022/8/17 12:31:57]
那些私鑰泄露導致的攻擊案列有哪些?
這里針對項目方的私鑰安全主要有三方面:私鑰破解、社會工程學攻擊、生態安全。比如Ronin事件累計損失6.5億美元、WonderHero事件累計損失2,800,000美元、MarvinInu事件累計損失350,000美元、Harmony事件累計損失100,000,000美元、Wintermute事件累計損失1.6億美元。
ENS域名24小時交易額超110萬美元,OpenSea站內排名第2:7月25日消息,據NFTGo.io數據顯示,ENS域名24小時交易額為117.45萬美元,增幅363.32%。OpenSea站內24小時交易額排名第2。[2022/7/25 2:35:22]
1、私鑰破解
2022年9月20日,Beosin?EagleEye安全風險監控、預警與阻斷平臺監測顯示,加密做市商Wintermute創始人EvgenyGaevoy在社交媒體上發文表示,Wintermute在DeFi黑客攻擊中損失1.6億美元。
之后Wintermute創始人在推特上稱,其于6月份使用了Profanity工具創建錢包地址。
9月15日,根據1inchNetwork發布的報告稱,Profanity工具存在密鑰爆破風險。報告中提到的Profanity工具使用32位隨機向量生成256位的私鑰,這種方式可能存在安全風險。
首先,該工具生成私鑰的算法為:
1)Profanity選取一個32位隨機數,將其采用mt19937_64()填充為256位的種子私鑰;
2)隨后采用某種確定性密鑰擴展算法將其擴展為200萬個私鑰;
3)計算私鑰對應的公鑰,并根據派生公鑰進行一系列計算得到對應的以太坊地址;
4)反復「遞增」,直到計算出對應的靚號地址。
攻擊者提前計算出所有的密鑰空間,即對應的種子私鑰對應的所有公鑰,并存儲在哈希表中,接著從區塊鏈瀏覽器上獲取到某一筆交易簽名,并從交易簽名R、S、V值中恢復出公鑰,同樣將該公鑰采用確定性密鑰擴展算法擴展為200萬個公鑰,反復“遞減”派生出的公鑰,直到獲取到種子公鑰,最后再根據該值實現密鑰破解。
2、針對項目方的社會工程學攻擊
釣魚攻擊
1.網絡釣魚:這種欺騙方式是廣撒網式的。它會向盡可能多的人發送惡意欺騙email,例如Opensea的釣魚事件。
2.魚叉式釣魚:主要針對重要組織,黑客會針對重要單位的個人發釣魚郵件。電腦一旦被入侵后,主要目的是竊取重要資料,因此會潛伏很長一段時間。只有在特定時間點,需要病或木馬采取攻擊行動時才會采取攻擊行為暴露出來。
3.鯨釣攻擊:目標是組織內的最高決策層,比如CEO,CFO等等。這些人可以獲取非常有價值的信息,包括商業秘密和管理公司賬戶的密碼。攻擊者偽裝成具有合法權限的個人或組織,比如向CEO發送電子郵件,假裝公司的客戶,請求付款。
木馬攻擊
有的攻擊者通過Discord邀請用戶參與新的游戲項目內測,或是通過群內私聊等方式發一個程序讓你下載。也有郵件的形式,通常以內部系統升級等等理由,誘騙員工點擊郵件鏈接下載對應升級文件。
一旦員工在電腦上運行木馬,它會掃描你電腦上的文件,然后篩選出包含Wallet等關鍵詞的文件,或者對用的敏感隱私信息上傳到攻擊者服務器,達到盜取資產、獲取情報的目的。
3、生態安全問題
8月3日,Solana公鏈上Slope錢包發生大規模盜幣事件,損失估算在600萬美元左右。根據Solanafoundation提供的數據顯示,近60%被盜用戶使用Phantom錢包,30%左右地址使用Slope錢包,其余用戶使用TrustWallet等,并且iOS和Android版本的應用都有相應的受害者。Beosin安全團隊分析發現Slope錢包使用的Sentry服務,通過抓包發現此服務會在用戶創建錢包時,將助記詞和私鑰等敏感數據發送到Slope的服務器o7e.slope.finance上,造成助記詞或私鑰泄露。
錢包安全的防范
關于錢包的安全防范,在這里我們簡單聊一下釣魚攻擊。針對項目方的主要是魚叉和鯨釣,網絡釣魚一般針對的普通用戶。大家需要注意:
社交媒體信息交叉驗證;使用防釣魚插件;謹慎點擊不明鏈接;謹慎下載不明文件。同時大額資產可存在冷錢包,以提高安全性;簽名和授權方面更要注意拒絕盲簽;簽署交易時,反復確認簽署內容;定期清理不必要的授權;進行資產交易可使用臨時性錢包、網絡錢包,錢包選擇上面多使用主流錢包。
責任編輯:MK
我無話可說…… 開玩笑! 我其實有有無數話要說給你們聽。幾天前我在推特上問了一個問題,想知道誰將成為這個加密信貸周期的雷曼兄弟。許多人說這將是FTX,說實在的我一笑而過.
1900/1/1 0:00:00Gala黑客攻擊事件已經過去一段時間,但是還沒有完整詳細的報道,今天給大家一個真相。這個推文不為任何人洗白,僅僅發布一個事實.
1900/1/1 0:00:00加密貨幣交易所FTX在陷入困境的行業中看起來像一個閃亮的幸存者幾個月后,周二屈服于自身突然的流動性緊縮,并同意被競爭對手Binance接管.
1900/1/1 0:00:00賬戶抽象是今年被反復關注的話題,但很少有市場參與者了解它是什么以及它如何改變游戲規則。根據Vitalik的說法,帳戶抽象是“我們一直想要的東西”,并且它一直是“以太坊社區的長期夢想”.
1900/1/1 0:00:0010月31日,香港政府發表有關虛擬資產在港發展的政策宣言,引發Web3.0人士廣泛討論。港府新政是否為重大利好?當晚22:00,由香港立法會議員吳杰莊、NanoLabs創始人Jack孔共同發起《.
1900/1/1 0:00:00為一篇文章寫導語或讀后感聽起來不免小題大做。但若這篇文章的長度媲美中篇小說,又充滿辛辣諷刺的比喻時,一篇評述就變得合理起來.
1900/1/1 0:00:00