比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > ETH > Info

首發 | Github用戶1400枚比特幣被盜事件分析_TRU

Author:

Time:1900/1/1 0:00:00

有天,你在支付寶操作轉賬時,彈窗提示你因版本過低而導致轉賬失敗。

如果彈窗內不僅僅提示你交易失敗,還附上支付寶更新鏈接,大部分人可能都會順手點擊鏈接進行更新。

如果這個鏈接是個釣魚鏈接,直接獲取了你的轉賬權限,那么代表你賬戶內的錢也會被無情轉移。

這次,就有一個用戶遭遇了類似的情況。

北京時間8月31日,CertiK天網系統 (Skynet) 檢測到,Github用戶“1400BitcoinStolen”1400枚比特幣被盜事件的代幣,已開始被輸送到多個不同的地址當中。

LBank藍貝殼于5月3日20:00首發 CSPR(Casper),開放USDT交易:據官方公告,5月3日20:00,LBank藍貝殼上線 CSPR(Casper),開放USDT交易,同時并開放充值,資料顯示,Casper網絡是基于CasperCBC規范構建的第一個實時權益證明區塊鏈。Casper旨在加速當今企業和開發人員對區塊鏈技術的采用,同時確保隨著網絡參與者需求的發展,其在未來仍能保持高性能。[2021/5/3 21:19:51]

受害者在electrum的Github issue中講述了自己丟失了1400個比特幣并貼出了自己的比特幣錢包地址.

動態 | 可信教育數字身份在廣州白云區首發 采用區塊鏈等技術:12月25日,可信教育數字身份(教育卡)廣東省應用試點首發儀式與應用研討在廣州市白云區舉行。

據介紹,可信教育數字身份融合采用國產密碼、區塊鏈等核心技術,創新簽發“云計算、邊緣計算、移動計算”網絡環境下的一體化數字身份,實現一體化密鑰管理,構建“可信教育身份鏈”。(中國新聞網)[2019/12/25]

在區塊鏈瀏覽器(參考鏈接3)中可以看到8月30日一共1404枚BTC(價值1670萬美元)從他的錢包中被取出,存入了黑客的錢包中。

金色首發 EOS超級節點競選投票率達6.49%:金色財經數據播報,截止北京時間6月13日15:50,EOS投票率達6.49%。EOS引力區和EOS佳能作為兩個來自中國的超級節點競選團隊暫居第五和第六名。其中EOS引力區的得票總數為903萬,占比2.96%;EOS佳能的得票總數為877萬,占比2.87%。此前異軍突起的EOSflytomars暫居第17位,得票總數為630萬,占比2.07%。目前躋身前30名的超級節點競選團隊中,有八個團隊來自中國。[2018/6/13]

該用戶使用的是Electrum比特幣錢包,上次使用是在2017年。此后Electrum已經發布了安全更新,但該用戶一直沒有安裝。

IMEOS首發 BM表示EOS合約具有整數溢出保護:據金色財經合作媒體IMEOS報道:近日ETH出現多個ERC20智能合約的處理溢出錯誤,BM在推特上發表評論:新的ETH契約Bug可能會破壞整個Token的供應,讓持有者留下無價值Token.這就算為什么代碼不能成為法律,隨即表示EOS erc合約不容易受到這種攻擊。而EOS官方群也有人表示擔憂EOS是否具有整數溢出保護?BM回應:有很多C ++模板類可以封裝類型并檢查溢出。[2018/4/25]

用戶在使用Electrum進行交易時,錢包會向服務器廣播一筆交易,如果這筆交易出現了問題,服務器將返回錯誤信息并以彈窗的形式展現給用戶。

3.3.2版本之前的Electrum錢包不會對服務器返回的錯誤信息進行驗證,甚至還會對返回的信息進行html渲染(參考鏈接4)。

值得一提的是,任何人都可以去搭建一個Electrum節點服務器。如果一個用戶連接到了攻擊者的服務器并發起了一筆交易,服務器可以返回任何設計好的錯誤信息。比如返回一個讓用戶去更新Electrum錢包的錯誤信息,如下圖所示。

然而,圖中的鏈接指向了攻擊者自己寫的惡意軟件,一旦用戶下載安裝該軟件并把自己的錢包導入其中,錢包里所有的比特幣就會被攻擊者轉走。

這其實本質上是一種釣魚攻擊,但由于攻擊者發出的釣魚信息是通過Electrum官方錢包展示出來的,很多人都會信以為真。

在本次事件中,受害者的錢包連接上了攻擊者所控制的服務器,導致其收到了服務器發出的釣魚信息,進而被攻擊者轉走了自己的所有比特幣。

Electrum錢包存在的該問題早在2018年底就引起了廣泛討論(參考鏈接4)。

Electrum官方在2019年,錢包版本3.3.4中對該問題進行了修復,后續版本的Electrum錢包不再會將服務器返回的內容直接展示給用戶,也不會對其進行html渲染。

此外,由于舊版本的錢包仍然存在這個問題,因此所有的正常的服務器會對3.3版本之前的錢包進行拒絕服務(DoS)攻擊,以強制用戶進行更新(參考鏈接5)。

用戶在使用錢包進行交易的時候,需確保錢包為最新版本,已防舊版本的錢包可能存在可被黑客利用的漏洞。

用戶在下載錢包更新的時候要注意驗證下載URL是否與官方一致,在下載完成后要對錢包的簽名進行驗證。

對于錢包開發團隊,需要尋找專業團隊做好測試工作,以免項目出現漏洞給用戶帶來損失。

參考鏈接:

1. https://github.com/spesmilo/electrum/issues/5072

2. https://zhuanlan.zhihu.com/p/53920688

3. https://www.blockchain.com/btc/tx/2db616f5b4545805dc1de59bc65b21b548c0d553ab187fa1625ef73c727f1e54

4. https://github.com/spesmilo/electrum/issues/4968

5. http://twitter.com/electrumwallet/status/110647957391772467

Tags:RUMTRUELECCTRSerum Ecosystem TokenTRUC幣ElectroneumCTRAIN價格

ETH
短期調整大概率延續 靜待“破而后立”_BTC

各級別性質:日線-上漲,4小時-盤整(偏多格局),1小時-下跌截圖來自OKEX BTC/USDT永續合約2小時圖:對于行情從兩個角度來說.

1900/1/1 0:00:00
誰DOT多誰說了算?波卡的治理可沒這么簡單粗暴_DOT

我們常說 “波卡網絡的發展由 DOT 持有人決定”,怎么決定?就是通過波卡精妙的治理機制。雖然 “精妙” 在某種程度上意味著 “復雜”,但如果你是 DOT 持有人,并且想通過你的投票,對波卡網絡.

1900/1/1 0:00:00
DeFi只是少數人的牛市 還會有“全面牛市”嗎?_DEFI

DeFi火了,也帶來了局部的牛市。從區塊鏈瀏覽器的持倉地址數據看,很多熱得大紅大紫的新DeFi項目也只有幾千名用戶,也就是說DeFi目前只有少數人在“玩”.

1900/1/1 0:00:00
項目周刊 | YAM、CRV輝煌但短暫 DeFi 繁榮ETH擁堵_YAM

金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、行情與合約數據、礦業信息、項目動態、技術進展等行業動態.

1900/1/1 0:00:00
金色趨勢丨歷史又在重演 BTC回落或許是絕佳機會_COI

近期BTC短線行情波動較大,我們可以從中長線角度來分析BTC目前的走勢,對BTC目前走勢有個概括性的認識,以便于后續趨勢操作.

1900/1/1 0:00:00
以太坊Medalla測試網“崩潰”事件始末_NFT

譯者注: 請運行Prysm客戶端的用戶盡快升級到Alpha.23版本:https://github.

1900/1/1 0:00:00
ads