根據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示,11月2日消息,加密衍生品交易平臺Deribit發布公告稱其熱錢包被盜,資金損失2800萬美元,官方稱目前客戶資金安全,損失將由公司儲備金彌補。
BeosinTrace對本次被盜資金進行實時追蹤發現,Deribit熱錢包被盜的2800萬美元包括6947枚ETH、691枚BTC與約340萬枚USDC,隨即攻擊者將USDC兌換為約2133枚ETH,目前攻擊者地址持有9080枚ETH與691枚BTC。被盜資金依然在0xb0606f433496bf66338b8ad6b6d51fc4d84a44cd地址中。
ENS名稱規范化標準ENSIP-15提案已獲投票通過:6月19日消息,Snapshot投票頁面顯示,以太坊域名服務ENS社區以100%的投票支持率通過了ENS名稱規范化標準(ENSIP-15)提案。該提案系ENS社區核心貢獻者raffy.eth發布,具體建議包括將ENSIP-1§名稱語法“UTS-46算法”替換為指向ENSIP-15的鏈接,同意根據ENSIP-15規范化名稱,以獲得更安全的最終用戶體驗。[2023/6/19 21:46:58]
密碼:密碼不是私鑰,是在創建賬戶時使用的密碼;
私鑰:一串十六進制字符,一個賬戶只有一個私鑰且不能更改,如:0xA4356E49C88C8B7AB370AF7D5C0C54F0261AAA006F6BDE09CD4745CF54E0115A;
黑山首都高等法院撤銷了允許Do Kwon被保釋的裁定:5月24日消息,黑山首都波德戈里察高等法院撤銷了允許 Do Kwon 被保釋的裁定,Do Kwon 目前仍在監獄中。[2023/5/25 10:38:01]
助記詞:由于私鑰通常不容易記憶,所以使用算法將其轉化為了一串12~24個容易記住的單詞,方便保存;
Keystore:JSON編碼的文件,存儲的是加密后的私鑰。
那些私鑰泄露導致的攻擊案列有哪些?
這里針對項目方的私鑰安全主要有三方面:私鑰破解、社會工程學攻擊、生態安全。比如Ronin事件累計損失6.5億美元、WonderHero事件累計損失2,800,000美元、MarvinInu事件累計損失350,000美元、Harmony事件累計損失100,000,000美元、Wintermute事件累計損失1.6億美元。
Azuki #4864以138 WETH的價格成交:金色財經報道,Azuki #4864在LooksRare平臺上以138 WETH(價值超過16萬美元)的價格成交,買家是NFT巨鯨luggis.eth。[2023/1/2 22:20:53]
1、私鑰破解
2022年9月20日,Beosin?EagleEye安全風險監控、預警與阻斷平臺監測顯示,加密做市商Wintermute創始人EvgenyGaevoy在社交媒體上發文表示,Wintermute在DeFi黑客攻擊中損失1.6億美元。
之后Wintermute創始人在推特上稱,其于6月份使用了Profanity工具創建錢包地址。
FLOW鏈上NFT銷售額突破11億美元,創歷史新高:金色財經報道,據最新數據顯示,FLOW鏈上NFT銷售額已突破11億美元,本文撰寫時為1,100,427,346美元,交易量為23,123,524筆。目前,FLOW鏈上交易額最大的NFT項目是NBA Top Shot,交易額為1,029,051,704美元,交易量為21,650,862筆,其次是NFL All Day,交易額為42,212,337美元,交易量為939,911筆。歷史數據顯示,FLOW鏈上銷售額于3月底首次突破10億美元,這意味著該指標在過去的5個多月時間僅增加了1億美元。[2022/9/7 13:13:07]
9月15日,根據1inchNetwork發布的報告稱,Profanity工具存在密鑰爆破風險。報告中提到的Profanity工具使用32位隨機向量生成256位的私鑰,這種方式可能存在安全風險。
Coinbase明日上線Near Protocol (NEAR):9月1日消息,Coinbase將添加支持Near Protocol (NEAR) ,如果滿足流動性條件,交易將于太平洋時間2022年9月1日上午9點或之后開始,分階段啟動NEAR-USD和NEAR-USDT交易對的交易。[2022/9/1 13:01:01]
首先,該工具生成私鑰的算法為:
1)Profanity選取一個32位隨機數,將其采用mt19937_64()填充為256位的種子私鑰;
2)隨后采用某種確定性密鑰擴展算法將其擴展為200萬個私鑰;
3)計算私鑰對應的公鑰,并根據派生公鑰進行一系列計算得到對應的以太坊地址;
4)反復「遞增」,直到計算出對應的靚號地址。
攻擊者提前計算出所有的密鑰空間,即對應的種子私鑰對應的所有公鑰,并存儲在哈希表中,接著從區塊鏈瀏覽器上獲取到某一筆交易簽名,并從交易簽名R、S、V值中恢復出公鑰,同樣將該公鑰采用確定性密鑰擴展算法擴展為200萬個公鑰,反復“遞減”派生出的公鑰,直到獲取到種子公鑰,最后再根據該值實現密鑰破解。
2、針對項目方的社會工程學攻擊
釣魚攻擊
1.網絡釣魚:這種欺騙方式是廣撒網式的。它會向盡可能多的人發送惡意欺騙email,例如Opensea的釣魚事件。
2.魚叉式釣魚:主要針對重要組織,黑客會針對重要單位的個人發釣魚郵件。電腦一旦被入侵后,主要目的是竊取重要資料,因此會潛伏很長一段時間。只有在特定時間點,需要病或木馬采取攻擊行動時才會采取攻擊行為暴露出來。
3.鯨釣攻擊:目標是組織內的最高決策層,比如CEO,CFO等等。這些人可以獲取非常有價值的信息,包括商業秘密和管理公司賬戶的密碼。攻擊者偽裝成具有合法權限的個人或組織,比如向CEO發送電子郵件,假裝公司的客戶,請求付款。
木馬攻擊
有的攻擊者通過Discord邀請用戶參與新的游戲項目內測,或是通過群內私聊等方式發一個程序讓你下載。也有郵件的形式,通常以內部系統升級等等理由,誘騙員工點擊郵件鏈接下載對應升級文件。
一旦員工在電腦上運行木馬,它會掃描你電腦上的文件,然后篩選出包含Wallet等關鍵詞的文件,或者對用的敏感隱私信息上傳到攻擊者服務器,達到盜取資產、獲取情報的目的。
3、生態安全問題
8月3日,Solana公鏈上Slope錢包發生大規模盜幣事件,損失估算在600萬美元左右。根據Solanafoundation提供的數據顯示,近60%被盜用戶使用Phantom錢包,30%左右地址使用Slope錢包,其余用戶使用TrustWallet等,并且iOS和Android版本的應用都有相應的受害者。Beosin安全團隊分析發現Slope錢包使用的Sentry服務,通過抓包發現此服務會在用戶創建錢包時,將助記詞和私鑰等敏感數據發送到Slope的服務器o7e.slope.finance上,造成助記詞或私鑰泄露。
錢包安全的防范
關于錢包的安全防范,在這里我們簡單聊一下釣魚攻擊。針對項目方的主要是魚叉和鯨釣,網絡釣魚一般針對的普通用戶。大家需要注意:
社交媒體信息交叉驗證;使用防釣魚插件;謹慎點擊不明鏈接;謹慎下載不明文件。同時大額資產可存在冷錢包,以提高安全性;簽名和授權方面更要注意拒絕盲簽;簽署交易時,反復確認簽署內容;定期清理不必要的授權;進行資產交易可使用臨時性錢包、網絡錢包,錢包選擇上面多使用主流錢包。
責任編輯:MK
Tags:ENSETHPRONEARens幣行情togetherbnb怎么開啟Hcoinbasepro官網下載near幣的未來
通過消除距離,連接每個人,釋放大量信息流,互聯網已經成為自印刷機以來最大的突破。在幾十年的時間里,它重塑了人類世界的大部分,促成了巨大的進步和歷史性的變革,并揭示了這種變革帶來的許多挑戰.
1900/1/1 0:00:00FTX??除了SBF,其背后的核心人物之一,掌控?Alameda的聯席CEO?CarolineEllison一直保持神秘感。CarolineEllison是一位喜歡冒險的數學天才和哈利波特迷.
1900/1/1 0:00:00加密貨幣交易所FTX在陷入困境的行業中看起來像一個閃亮的幸存者幾個月后,周二屈服于自身突然的流動性緊縮,并同意被競爭對手Binance接管.
1900/1/1 0:00:00巴哈馬-拿騷,近日,SBF的320億美元加密交易帝國眾目睽睽之下分崩離析,引起了投資者、加密人員和硅谷大佬們的質疑,看起來前途一片光明的公司為何會崩潰得如此之快.
1900/1/1 0:00:00NFT市場在今年3月份后交易量持續走低,NFTGo.io數據顯示,在過去24小時內,以太坊上的NFT總交易量約為1068萬美元.
1900/1/1 0:00:00Rugpulls是加密貨幣行業里最常見的騙局之一,坦率地說,雖然不少已經被曝光,直到應該還有許多沒有被發現.
1900/1/1 0:00:00