有天,你在支付寶操作轉賬時,彈窗提示你因版本過低而導致轉賬失敗。
如果彈窗內不僅僅提示你交易失敗,還附上支付寶更新鏈接,大部分人可能都會順手點擊鏈接進行更新。如果這個鏈接是個釣魚鏈接,直接獲取了你的轉賬權限,那么代表你賬戶內的錢也會被無情轉移。這次,就有一個用戶遭遇了類似的情況。
CertiK:Steadefi漏洞攻擊相關EOA地址已將100枚ETH轉至Tornado Cash:金色財經報道,據CertiK官方推特發布消息稱,EOA地址(0xe10d)已將100枚ETH(約合18.5萬美元)轉至Tornado Cash。該EOA地址與8月7日Steadefi漏洞攻擊事件有關,目前其中仍有524枚ETH(約合96.9萬美元)。[2023/8/12 16:22:25]
北京時間8月31日,CertiK天網系統(Skynet)檢測到,Github用戶“1400BitcoinStolen”1400枚比特幣被盜事件的代幣,已開始被輸送到多個不同的地址當中。受害者在electrum的Githubissue中講述了自己丟失了1400個比特幣并貼出了自己的比特幣錢包地址.
數據:zkSyncEra網絡上共發行超820萬個NFT:金色財經報道,NFTScan數據顯示,截至8月2日,zkSyncEra網絡上共發行8,219,555個NFT,創建了39,805個NFT集合,產生了11,187,598筆鏈上交易,持有NFT資產的錢包地址為1,687,406個。[2023/8/2 16:14:27]
在區塊鏈瀏覽器(參考鏈接3)中可以看到8月30日一共1404枚BTC從他的錢包中被取出,存入了黑客的錢包中。
Balancer生態收益治理平臺Aura Finance已上線Arbitrum:6月21日消息,Balancer生態收益治理平臺Aura Finance宣布上線Arbitrum。此前消息,Aura Finance社區已經投票通過有關在Arbitrum上進行戰略跨鏈部署的提案。[2023/6/21 21:52:01]
事件還原與分析
該用戶使用的是Electrum比特幣錢包,上次使用是在2017年。此后Electrum已經發布了安全更新,但該用戶一直沒有安裝。用戶在使用Electrum進行交易時,錢包會向服務器廣播一筆交易,如果這筆交易出現了問題,服務器將返回錯誤信息并以彈窗的形式展現給用戶。3.3.2版本之前的Electrum錢包不會對服務器返回的錯誤信息進行驗證,甚至還會對返回的信息進行html渲染。值得一提的是,任何人都可以去搭建一個Electrum節點服務器。如果一個用戶連接到了攻擊者的服務器并發起了一筆交易,服務器可以返回任何設計好的錯誤信息。比如返回一個讓用戶去更新Electrum錢包的錯誤信息,如下圖所示。
NBA球員Spencer Dinwiddie與加密借貸平臺Cred達成合作:金色財經報道,NBA球員Spencer Dinwiddie正在與加密貨幣借貸平臺Cred合作。該合作伙伴關系旨在促進基于區塊鏈的替代方案,使用戶能夠獲得穩定幣和其他加密貨幣的利息。同時,用戶可以使用其加密資產作為抵押來獲得貸款。[2020/3/26]
然而,圖中的鏈接指向了攻擊者自己寫的惡意軟件,一旦用戶下載安裝該軟件并把自己的錢包導入其中,錢包里所有的比特幣就會被攻擊者轉走。這其實本質上是一種釣魚攻擊,但由于攻擊者發出的釣魚信息是通過Electrum官方錢包展示出來的,很多人都會信以為真。在本次事件中,受害者的錢包連接上了攻擊者所控制的服務器,導致其收到了服務器發出的釣魚信息,進而被攻擊者轉走了自己的所有比特幣。Electrum錢包存在的該問題早在2018年底就引起了廣泛討論(參考鏈接4)。Electrum官方在2019年,錢包版本3.3.4中對該問題進行了修復,后續版本的Electrum錢包不再會將服務器返回的內容直接展示給用戶,也不會對其進行html渲染。此外,由于舊版本的錢包仍然存在這個問題,因此所有的正常的服務器會對3.3版本之前的錢包進行拒絕服務攻擊,以強制用戶進行更新。CertiK安全團隊建議
用戶在使用錢包進行交易的時候,需確保錢包為最新版本,已防舊版本的錢包可能存在可被黑客利用的漏洞。用戶在下載錢包更新的時候要注意驗證下載URL是否與官方一致,在下載完成后要對錢包的簽名進行驗證。對于錢包開發團隊,需要尋找專業團隊做好測試工作,以免項目出現漏洞給用戶帶來損失。參考鏈接:1.https://github.com/spesmilo/electrum/issues/50722.https://zhuanlan.zhihu.com/p/539206883.https://www.blockchain.com/4.https://github.com/spesmilo/electrum/issues/49685.http://twitter.com/electrumwallet/status/1106479573917724672
Tags:TRURUMELELECtruefi幣暴跌serum幣變成10億First Elevenfilecoin幣中文名
文|秦曉峰編輯|郝方舟出品|Odaily星球日報 時隔40天,比特幣再次跌下1萬美元大關。OKEx行情顯示,今天清晨7點,比特幣短時跌破10000USD大關,最低至9933USDT,24小時跌幅.
1900/1/1 0:00:00編者按:本文來自橙皮書,Odaily星球日報經授權轉載。酒足飯飽,我們來到地下室,繼續舒服又興奮的聊天,財富密碼越蹦越多的時候,我說:“等等,在座的各位是都準備發幣了嘛?而且每個人都覺得自己投的.
1900/1/1 0:00:00北京時間8月28日,CertiK安全研究團隊發SushiSwap項目智能合約中存在多個安全漏洞.
1900/1/1 0:00:00編者按:本文來自巴比特資訊,作者:Kyle,星球日報經授權發布。9月2日晚間,加密貨幣市場突然集體下跌,BTC、ETH等主流幣種無一幸免,遭遇近半個月以來最大跌幅.
1900/1/1 0:00:00文|Nancy出品|PANews從概念興起到高歌猛進,DeFi僅用了兩年多時間就成為加密圈最具吸引力的敘事.
1900/1/1 0:00:00近期市場熱點轉換的比較快,可以明顯的感受到關注度從一個概念跳到另外一個概念中,有些概念能持續好幾周,例如DeFi、比特幣和主流幣種,而有些熱點可能發生在一個禮拜內.
1900/1/1 0:00:00