宇宙链 宇宙链
Ctrl+D收藏宇宙链
首页 > Ethereum > 正文

CertiK:Github用户1400枚比特币被盗事件分析

作者:

时间:1900/1/1 0:00:00

有天,你在支付宝操作转账时,弹窗提示你因版本过低而导致转账失败。

CertiK:警惕推特上假冒Arkham Intel空投的虚假宣传:金色财经报道,据CertiK官方推特发布消息称,警惕推特上假冒Arkham Intel空投的虚假宣传,请用户切勿与虚假宣传链接互动,虚假宣传的网站会连接到一个已知的自动盗币地址。[2023/7/17 10:59:43]

如果弹窗内不仅仅提示你交易失败,还附上支付宝更新链接,大部分人可能都会顺手点击链接进行更新。如果这个链接是个钓鱼链接,直接获取了你的转账权限,那么代表你账户内的钱也会被无情转移。这次,就有一个用户遭遇了类似的情况。

NIO GOLD生态已通过Certik代码审计:据官方消息,NIO GOLD生态已通过美国Certik代码审计。 CertiK区块链网络安全公司,由耶鲁大学与哥伦比亚大学计算机学教授共同创立。旨在使用网络与软件安全技术来识别并消除安全漏洞。截至目前,CertiK已进行了超过700次审计,审计了超过39.6万行代码,保护了超过300亿美元的资产免受损失。

据悉,NIO GOLD是基于火币生态链的综合性DeFi生态服务平台,实行极致通缩机制,致力于建设DeFi全生态服务系统。[2021/6/19 23:49:31]

北京时间8月31日,CertiK天网系统(Skynet)检测到,Github用户“1400BitcoinStolen”1400枚比特币被盗事件的代币,已开始被输送到多个不同的地址当中。受害者在electrum的Githubissue中讲述了自己丢失了1400个比特币并贴出了自己的比特币钱包地址.

mStable:mUSD已被列入Balancer Labs白名单:稳定币聚合协议mStable发推称,mUSD已被列入Balancer Labs白名单,现在有资格获得BAL奖励。

此前消息,mStable发文介绍其协议代币Meta(MTA),MTA主要有三个功能:1. 作为再担保(保险)的最终来源;2. 协调mStable的去中心化治理;3. 激励mStable的资产流动性、效用和社区治理。目前仅功能3可用,功能1和功能2将在协议第二阶段启用。首个MTA生态系统奖励池已在Balancer上运行,通过向Balancer的mUSD/USDC流动池做贡献,每周可获得50000 MTA的份额,以及向该流动池支付的所有BAL奖励。[2020/6/28]

Balancer向首批流动性提供者发放43.5万枚治理代币BAL:金色财经报道,去中心化交易平台Balancer的治理代币BAL已经正式发放,BalancerLabs团队为Balancer资金池的流动性提供者发放43.5万枚BAL代币。截至目前BAL总供应量为3543.5万枚,其中2500万BAL归属于创世团队、股票期权、顾问以及投资者;500万BAL分配给生态系统基金,将用于吸引和激励战略合作伙伴;另外500万BAL将分配给筹款基金,将用于未来的筹款活动;过去三周为流动性提供者分配43.5万枚BAL,另外,之后每周将继续分发14.5万BAL。BAL的供应量上限为1亿个代币。BAL现已在Balancer交易平台和去中心化交易所Uniswap上交易。(Medium)[2020/6/24]

在区块链浏览器(参考链接3)中可以看到8月30日一共1404枚BTC从他的钱包中被取出,存入了黑客的钱包中。

事件还原与分析

该用户使用的是Electrum比特币钱包,上次使用是在2017年。此后Electrum已经发布了安全更新,但该用户一直没有安装。用户在使用Electrum进行交易时,钱包会向服务器广播一笔交易,如果这笔交易出现了问题,服务器将返回错误信息并以弹窗的形式展现给用户。3.3.2版本之前的Electrum钱包不会对服务器返回的错误信息进行验证,甚至还会对返回的信息进行html渲染。值得一提的是,任何人都可以去搭建一个Electrum节点服务器。如果一个用户连接到了攻击者的服务器并发起了一笔交易,服务器可以返回任何设计好的错误信息。比如返回一个让用户去更新Electrum钱包的错误信息,如下图所示。

然而,图中的链接指向了攻击者自己写的恶意软件,一旦用户下载安装该软件并把自己的钱包导入其中,钱包里所有的比特币就会被攻击者转走。这其实本质上是一种钓鱼攻击,但由于攻击者发出的钓鱼信息是通过Electrum官方钱包展示出来的,很多人都会信以为真。在本次事件中,受害者的钱包连接上了攻击者所控制的服务器,导致其收到了服务器发出的钓鱼信息,进而被攻击者转走了自己的所有比特币。Electrum钱包存在的该问题早在2018年底就引起了广泛讨论(参考链接4)。Electrum官方在2019年,钱包版本3.3.4中对该问题进行了修复,后续版本的Electrum钱包不再会将服务器返回的内容直接展示给用户,也不会对其进行html渲染。此外,由于旧版本的钱包仍然存在这个问题,因此所有的正常的服务器会对3.3版本之前的钱包进行拒绝服务攻击,以强制用户进行更新。CertiK安全团队建议

用户在使用钱包进行交易的时候,需确保钱包为最新版本,已防旧版本的钱包可能存在可被黑客利用的漏洞。用户在下载钱包更新的时候要注意验证下载URL是否与官方一致,在下载完成后要对钱包的签名进行验证。对于钱包开发团队,需要寻找专业团队做好测试工作,以免项目出现漏洞给用户带来损失。参考链接:1.https://github.com/spesmilo/electrum/issues/50722.https://zhuanlan.zhihu.com/p/539206883.https://www.blockchain.com/4.https://github.com/spesmilo/electrum/issues/49685.http://twitter.com/electrumwallet/status/1106479573917724672

标签:BALCERRUMLECBALPAC币Concern Poverty ChainAURUM币filecoin币会涨到多少钱

Ethereum热门资讯
Sushiswap“打错币”事件:我想省下Gas费,却丢了40万美元

作者|秦晓峰编辑|Mandy出品|Odaily星球日报 DeFi流动性挖矿爆红,造富神话当前,之前踏空的老韭菜也按捺不住,纷纷下场。但你永远不知道,意外和暴富,哪一个会先来.

1900/1/1 0:00:00
老韭菜全员踏空YFI,yearn真是能让所有人都躺赚的神器吗?

编者按:本文来自风火轮社区,作者:佩佩,Odaily星球日报经授权转载。上个周末圈内又嗨了,因为人们发现,想要实现一个小目标,在加密世界只需要三个月: 特别是这个YFI,在媒体口中是43天涨了“上万倍”的香饽饽(上万倍还是夸张了,早期.

1900/1/1 0:00:00
大量散户入场?通过数据一探究竟

编者按:本文来自加密谷Live,作者:LarryCermak,翻译:Olivia,Odaily星球日报经授权转载.

1900/1/1 0:00:00
分布式存储的未来是共享经济还是分时租赁?

今天我们提出一个目前业内还没有人去讨论的话题:分布式存储到底是共享经济还是分时租赁?并且指明分布式存储的未来发展路径与趋势.

1900/1/1 0:00:00
币信|比特币,“九”战不“四”!

94三年了。虽然你在看我的文章,但你手里还有比特币吗?当年的1CO有参与吗?最近大火的DeFi有耕耘吗?庆幸老人都还在,也欣喜有更多的人加入加密数字货币行业.

1900/1/1 0:00:00
提币运动风风火火,交易所全力反击,DEX和CEX的争霸战你站哪一边?

编者按:本文来自巴比特资讯,作者:王佳健,星球日报经授权发布。过去一周,DeFi概念加密货币的总市值从177.4亿美元跌至最低116亿美元,跌幅达34%,几乎抹平了过去一个月的涨幅.

1900/1/1 0:00:00