有天,你在支付寶操作轉賬時,彈窗提示你因版本過低而導致轉賬失敗。
如果彈窗內不僅僅提示你交易失敗,還附上支付寶更新鏈接,大部分人可能都會順手點擊鏈接進行更新。
如果這個鏈接是個釣魚鏈接,直接獲取了你的轉賬權限,那么代表你賬戶內的錢也會被無情轉移。
這次,就有一個用戶遭遇了類似的情況。
北京時間8月31日,CertiK天網系統(Skynet)檢測到,Github用戶“1400BitcoinStolen”1400枚比特幣被盜事件的代幣,已開始被輸送到多個不同的地址當中。
CFTC批準Cboe Digital開展加密貨幣期貨保證金交易:金色財經報道,Cboe Global Markets Inc的數字資產交易所周一獲得監管審批核準,交易員不久就可以開展比特幣和以太坊的期貨保證金交易。根據公告,Cboe Digital獲得美國商品期貨交易委員會(CFTC)的批準,將從今年下半年起提供以實物和資金結算的保證金合約。Cboe Digital是唯一一家在美國注冊的交易所,該公司旗下還有一家清算所。[2023/6/6 21:17:54]
受害者在electrum的Githubissue中講述了自己丟失了1400個比特幣并貼出了自己的比特幣錢包地址。
彭博社:國際米蘭因未獲得DigitalBits資金導致評級下調:金色財經報道,意大利足球俱樂部國際米蘭(FC Internazionale Milano SpA)因未獲得DigitalBits資金導致評級下調,目前標準普爾全球評級(S&P Global Ratings)已經將國際米蘭俱樂部評級置于“負面信用觀察名單”。
根據此前的贊助合同,DigitalBits將為國際米蘭提供1600萬歐元(約合1690萬美元)賽季獎金和160萬歐元的上賽季獎金,而國際米蘭則會將該公司Logo印在球衣上,但到目前為止相關贊助款項均未支付。(彭博社)[2022/12/11 21:37:01]
游戲引擎公司Unity以16億美元收購特效工作室Weta Digital,以布局元宇宙:11月10日消息,游戲引擎公司Unity將以16.3億美元的現金和股票收購為《指環王》和《阿凡達》制作特效的工作室Weta Digital,以布局元宇宙。Unity將能利用Weta Digital的技術和人才開發特效工具,并聚焦于元宇宙機會。Weta Digital獲得奧斯卡獎的特效團隊仍將以Weta FX的名義獨立運營,預計將成為Unity在媒體和娛樂領域的最大客戶。Weta FX將從Unity獲得技術和工具許可,簽署價值5000萬美元的年度協議和商業服務合同。Unity股價今年上漲約12%,消息公布后,盤后交易下跌8%。(路透社)[2021/11/10 6:43:28]
在區塊鏈瀏覽器(參考鏈接3)中可以看到8月30日一共1404枚BTC從他的錢包中被取出,存入了黑客的錢包中。
聲音 | Galaxy Digital首席執行官:BTC和其他數字貨幣將在今年年底前增長約30%:據AMBcrypto消息,Galaxy Digital首席執行官Mike Novogratz日前在接受采訪時表示,BTC和其他數字貨幣將在今年年底前增長約30%,但只有當機構投資者進入數字貨幣領域、開始大量購買數字貨幣并且其框架在正常運作時,市場才會開始“大規模的運轉”。[2018/9/27]
事件還原與分析
該用戶使用的是Electrum比特幣錢包,上次使用是在2017年。此后Electrum已經發布了安全更新,但該用戶一直沒有安裝。
用戶在使用Electrum進行交易時,錢包會向服務器廣播一筆交易,如果這筆交易出現了問題,服務器將返回錯誤信息并以彈窗的形式展現給用戶。
3.3.2版本之前的Electrum錢包不會對服務器返回的錯誤信息進行驗證,甚至還會對返回的信息進行html渲染。
值得一提的是,任何人都可以去搭建一個Electrum節點服務器。如果一個用戶連接到了攻擊者的服務器并發起了一筆交易,服務器可以返回任何設計好的錯誤信息。比如返回一個讓用戶去更新Electrum錢包的錯誤信息,如下圖所示。
然而,圖中的鏈接指向了攻擊者自己寫的惡意軟件,一旦用戶下載安裝該軟件并把自己的錢包導入其中,錢包里所有的比特幣就會被攻擊者轉走。
這其實本質上是一種釣魚攻擊,但由于攻擊者發出的釣魚信息是通過Electrum官方錢包展示出來的,很多人都會信以為真。
在本次事件中,受害者的錢包連接上了攻擊者所控制的服務器,導致其收到了服務器發出的釣魚信息,進而被攻擊者轉走了自己的所有比特幣。
Electrum錢包存在的該問題早在2018年底就引起了廣泛討論(參考鏈接4)。
Electrum官方在2019年,錢包版本3.3.4中對該問題進行了修復,后續版本的Electrum錢包不再會將服務器返回的內容直接展示給用戶,也不會對其進行html渲染。
此外,由于舊版本的錢包仍然存在這個問題,因此所有的正常的服務器會對3.3版本之前的錢包進行拒絕服務攻擊,以強制用戶進行更新。
CertiK安全團隊建議
用戶在使用錢包進行交易的時候,需確保錢包為最新版本,已防舊版本的錢包可能存在可被黑客利用的漏洞。
用戶在下載錢包更新的時候要注意驗證下載URL是否與官方一致,在下載完成后要對錢包的簽名進行驗證。
對于錢包開發團隊,需要尋找專業團隊做好測試工作,以免項目出現漏洞給用戶帶來損失。
參考鏈接:
1.https://github.com/spesmilo/electrum/issues/5072
2.https://zhuanlan.zhihu.com/p/53920688
3.https://www.blockchain.com/btc/tx/2db616f5b4545805dc1de59bc65b21b548c0d553ab187fa1625ef73c727f1e54
4.https://github.com/spesmilo/electrum/issues/4968
5.http://twitter.com/electrumwallet/status/1106479573917724672
從今天算起,太空競賽距離結束只剩下不到一周的時間,太空競賽一直是大家關注Filecoin的焦點之一,但除了太空競賽外,大家爭議最多的還是Filecoin的經濟模型.
1900/1/1 0:00:00火熱的DeFi給HBO為代表的中心化交易所上緊了發條。近兩個月來,這些頭部交易所以月均約10個DeFi項目的節奏上新資產,相對過往月均1個打新來說,是「十倍速」了.
1900/1/1 0:00:00本文來源:36氪 譯者:蒂克偉 編者按:"Blockchain,theamazingsolutionforalmostnothing."區塊鏈——一個神奇卻無用武之地的解決方案.
1900/1/1 0:00:00作者:?Pintail 翻譯&校對:?閔敏?&?阿劍本文的前四節介紹了EIP1559迄今為止的進展情況。文中包含了一些重要文章的鏈接,可以作為參考.
1900/1/1 0:00:00“走,一起去挖礦。”自今年6月開始,Jason就叫囂著讓大家快上車。果不其然,今年夏天,幣圈開啟了一場搶DeFi“頭礦”的盛宴.
1900/1/1 0:00:00來源:01區塊鏈 一周速覽 1政策導向 中銀協:明確以區塊鏈作為平臺底層技術,分階段進行建設我國首個金融區塊鏈國際標準通過立項雄安新區:探索數字貨幣跨境支付.
1900/1/1 0:00:00