最近業內最受關注的安全方面的新聞恐怕就是Solana錢包Slope出現了安全漏洞。
據目前的信息,在這次事故中,有大概9000多個錢包受到牽連,這些錢包持有者大概被盜了超過400萬美元的資產。
這次安全事故是怎么發生的呢?其最根本的原因還是在錢包對密鑰的處理上出現了問題。
人們發現當用戶使用Slope錢包的移動版產生地址時,地址對應的私鑰被發送到了Slope的服務器Sentry上,并且是被明文直接發送到服務器的。
派盾:jimbos protocol被攻擊是由于缺乏對流動性轉移操作的滑點控制:5月28日消息,派盾(PeckShield)監測顯示,今日遭遇攻擊損失 4090 枚 ETH(約 750 萬美元)的 jimbos protocol 是由于缺乏對流動性轉移操作的滑點控制,協議擁有的流動性被投入到一個傾斜 / 不平衡的價格范圍,這在反向交換中被攻擊以獲利。
金色財經此前報道,jimbos protocol 項目疑似遭受攻擊,累計損失約 750 萬美元[2023/5/28 9:47:09]
這種做法本身就存在兩大致命問題:
安全公司:目前SED項目資金池流動性幾乎為0,SED代幣失去價值:10月5日消息,NUMEN實驗室根據鏈上數據監測,發現SED項目發生跑路事件,項目方先用大量的SED代幣向池子進行兌換,換出一部分USDT,然后又移除了之前添加的流動性,目前資金池流動性幾乎為0,相應的SED代幣也失去了價值。
據悉,SED是異性社交平臺SexDao發行的Token,該項目創始人由于與Token2049 網紅小作文作者同名而在近期受到大量關注,目前官網和官方twitter已經無法訪問。[2022/10/5 18:40:09]
第一,敏感信息的通信一般都需要經過加密后才能傳輸。
SEC無法確認或否認Ripple引用的Bill Hinman相關視頻真實性:5月20日消息,針對Ripple法律團隊引用的YouTube視頻,美國證券交易委員會(SEC)無法確認或否認視頻中的Bill Hinman是否真的是其本人。據悉,Bill Hinman又名William Hinman,是美國SEC公司財務部前主任,他已成為美國SEC與Ripple Labs訴訟案的關鍵因素。Hinman在2018年金融科技周會議上發言時表示,出售ETH并不構成“證券交易”。根據Ripple Labs法律團隊Debevoise & Plimpton于5月18日提交的一項強制受理申請(RFA)的動議,SEC“未能按照適用規則對53份關于重要主題的RFA做出回應。”Ripple正在尋求法院下令要么接受RFA,要么SEC提供修改后的回應。據此前報道,Ripple指責美SEC使用拖延策略以避免披露William Hinman相關內部文件。(Cointelegraph)[2022/5/20 3:30:14]
第二,照理說錢包的私鑰應該只在用戶手里,而不應該被傳送到第三方設備上。
所以當Slope以這樣的方式外泄用戶的錢包密鑰時就為后來的悲劇留下了致命的隱患。
而接下來便是Sentry服務器被黑客攻破,導致服務器上存儲的所有這些用戶的私鑰被全部竊取。這樣黑客便開始挨個盜取用戶錢包中的資產。
在這場重大事故中,目前暫未發現硬件錢包受影響。
在這個事故中,我認為最根本的要害是錢包的私鑰在產生時就被外泄了。
通常,還有一種更為普遍的錢包被盜的方式就是用戶安裝錢包的設備不安全,使得當該設備在聯網時黑客能夠通過互聯網掃描設備上的信息,盜取錢包的私鑰或者助記詞,從而盜取錢包中的資產。
從這些場景中我們發現,無論采取什么方式,設備的聯網是錢包助記詞或者密鑰被盜的一個必備條件。如果設備不聯網,則黑客再有本事,也無法通過盜取私鑰或者助記詞盜取用戶的資產。
而這一點恰恰就是硬件冷錢包保證資產安全的根本。
一個符合標準或者正規廠家生產的硬件冷錢包一定是隔離互聯網的。
一般說來,硬件冷錢包產生錢包地址和密鑰是在斷網的情況下產生。這就保證黑客無法通過網絡聯網到設備直接盜取密鑰。
另外當用戶需要用硬件冷錢包發送資產到其它地址時,硬件冷錢包也是在斷網的情況下用私鑰對交易進行簽名,然后再將簽過名的信息傳送到聯網設備,由聯網設備將交易進行廣播并完成的。在這里,設備在使用私鑰時也是在斷網的情況下完成,這也保證了黑客無法通過網絡竊取私鑰。
縱觀硬件冷錢包的使用過程,我們發現,但凡出現私鑰或者使用私鑰的場景都是在斷網的情況下完成,所以這從根本上斷絕了黑客盜取私鑰的途徑,從而保證了硬件冷錢包的安全。
因此,一般來說,我們可以仔細觀察市面上較為知名的硬件冷錢包廠商。如果某個廠商出品較久,并且一直以來沒有出現過安全事故,那么大概率這個廠商出品的硬件冷錢包就是比較安全和可靠的。
我們就可以比較放心地選擇這個廠商的產品。
這次Slope安全事故對我們普通用戶最大的教訓恐怕還是我曾經反復提及的:那就是我們需要一個硬件冷錢包。我們需要將大部分平時不用來交易的資產存儲到這個冷錢包里。
來源:金色財經
Tags:SECrippleNMAPPLisechainripple幣fbaCOINMAMA幣blockchainresearchandapplication
自今年4月以來,美國通脹率首次下降。根據最新公布的數據,CPI年率小幅回落至8.5%,與6月份相比相對持平。7月份的預期CPI為8.7%.
1900/1/1 0:00:00來源|CoinbaseBlog注:本文不代表Coinbase計劃增加對比特幣閃電網絡的支持,僅是該公司研究人員在研究其潛力后的分享.
1900/1/1 0:00:00沒有比特幣的區塊鏈是一種分布式賬本,其中包含有關供應鏈項目、不可替代代幣(NFT)等的信息。去中心化賬本或區塊鏈有許多應用程序,盡管加密是其最著名的實現.
1900/1/1 0:00:008.6BTC行情分析 文中給的單子多空均有獲利,昨晚行情先漲后跌,空單到達第二目標附近后到手做多,早間多頭發力向上拉升,高位觸及23350附近承壓回落,恭喜跟上思路的幣友共計獲利1200美刀.
1900/1/1 0:00:00幣上丞:強光之下沒有云朵,是太陽你始終遮擋不住。帶著幣友們仗劍天涯,走得更長遠,也不負曾經的相遇與信任15年從業經驗,每日18小時看盤,是時間堆積后的沉淀我想與莊共舞征服世界,卻不過是為了讓你給.
1900/1/1 0:00:00區塊鏈游戲要成為主流還有很長的路要走,這不僅取決于加密和NFT在總體上取得成功并提高認知度,還取決于開發人員能否夠構建出實惠、有趣、且易上手的游戲體驗.
1900/1/1 0:00:00