丟幣一直是加密世界中老生常談的話題,無論是個人用戶還是交易所都曾因為數字資產被盜而麻煩上身。
作為罪魁禍首的黑客,早已成為個人用戶的眼中釘、交易所的肉中刺。他們總是與加密貨幣形影不離,即使行情再不好,也總能撈到油水。令人不可思議的是,這次撈油水的還出來大放厥詞。
01
近日,一位名為“Daniel”的黑客向一家加密媒體承認,他利用“SIM卡交換詐騙”繞過雙重身份驗證盜竊了總共價值50萬美元的加密貨幣。
1.黑客給電信公司打電話,哭訴自己的SIM卡丟失了;
3.通過攔截雙重身份驗證文本或竊取存儲在電子郵件賬戶中的密碼。
據Micky.com報道,使用這種方法,每年都有數千萬美元的加密資產被盜。盡管電信供應商聲稱他們有標準的協議來防止這種行為,但Daniel透露,總有辦法說服他們的客戶服務人員。
JPEG'd已收到白帽黑客返還的5494.4枚WETH:8月5日消息,DeFi公共產品JPEG'd發推稱,DAO多簽地址確認收到5494.4枚WETH,從pETH漏洞中追回資金的地址所有者獲得了10%(610.6枚WETH)的白帽賞金。[2023/8/5 16:20:11]
他說:“例如,你打電話假裝在瑞典電信公司Tele2工作,請他們幫你轉接一個號碼。”。一旦號碼被重定向,他就會使用Gmail或Outlook中的“忘記密碼”選項來獲取賬戶憑據。
Daniel承認,他沒有任何罪惡感,因為他從來沒有見過那些被他稱為“倒霉鬼”的受害者,事實上,他還把責任歸咎于“倒霉鬼”沒有使用更好的安全措施。
根據分析公司CipherTrace的一份報告,SIM卡交換已成為一種越來越流行的詐騙技術。
微軟報告:越南黑客團體在攻擊活動中部署加密挖礦惡意軟件:微軟周一表示,越南政府支持的黑客最近被發現在其常規網絡間諜工具包中部署加密貨幣挖礦惡意軟件。報告強調了網絡安全行業日益增長的趨勢,越來越多的國家支持的黑客組織也開始涉足常規的網絡犯罪活動,這使得人們更難區分經濟動機犯罪和情報收集行動。
越南團體Bismuth自2012年以來一直活躍。該組織一直在策劃復雜的黑客行動,包括在越南國內外,目的是收集信息,幫助政府處理、經濟和外交政策決策。但在周一發布的報告中,微軟表示,它最近觀察到該集團在夏季的策略發生了變化。“在2020年7月至8月的活動中,該組織在針對法國和越南私營部門和政府機構的攻擊中部署了門羅幣挖礦程序。”(ZDNet)[2020/12/1 22:42:26]
02
公開資料顯示,今年年初,一個名叫JoelOritz的20歲美國加州男子成為第一個因劫持SIM卡而入獄的人。
安全公司:朝鮮黑客組織Lazarus設計網絡釣魚攻擊計劃,涉及500萬人:互聯網安全研究公司Cyfirma最近的一份報告稱,朝鮮黑客組織Lazarus設計了一個網絡釣魚計劃,涉及美國、英國、新加坡、日本、印度和韓國等國的約500萬個人和企業。Cyfirma預計,這次襲擊將在這個周末進行,為期兩天,不僅會影響到各國公民,還會影響到中小企業甚至大型企業。
注:2019年初,聯合國曾援引Group IB的報告稱,朝鮮黑客組織Lazarus被指控制造了五起加密貨幣竊案,攻擊目標分別為Yapizon(韓國,損失3816 BTC,合530萬美元)、Coinis(韓國,損失不詳)、YouBit(韓國,損失17%資產)、Coincheck(日本,損失5.23億NEM,合5.34億美元)、Bithumb(韓國,損失3200萬美元),五次攻擊獲利總額高達5.71億美元。(Decrypt)[2020/6/20]
本月早些時候,也有來自美國密歇根州的9個人被指控密謀通過劫持SIM卡竊取價值約240萬美元的數字貨幣。黑客團伙遍布美國和愛爾蘭,自稱為"TheCommunity"。
動態 | 隨著ETH價格走低 黑客攻擊較上月增加了2倍:據ZDNet消息,自12月3日以來,黑客已持續一周通過掃描端口8545,攻擊暴露在網上Ethereum錢包和采礦設備,轉移用戶Ethereum賬戶資金。與此同時,Bad Packets LLC的聯合創始人Troy Mursc提供的數據顯示,與上月相比,隨著本月以太坊價格走低,黑客掃描活動增加了2倍。[2018/12/11]
1.不使用手機號碼進行雙重身份認證,而是使用Google或Authy代替;
黑客盜幣使出的手段五花八門,除了SIM卡交換詐騙外,利用“假充值”漏洞的黑客也相當猖獗。
03
5月2日,臺灣交易所BitoPro的XRP遭遇攻擊,導致價格出現崩盤現象,損失約700萬個XRP。據慢霧安全團隊的溯源分析,這起攻擊的本質原是BitoPro對接XRP時,充值校驗不嚴謹,出現假充值漏洞。
前幾日,降維安全實驗室也發消息稱,關注到不少項目方/交易所在確認客戶交易時,只檢測了是否存在交易哈希(txhash),并未檢測交易狀態(txstatus)。這樣容易遭受“假充值(FakeCharge)”攻擊。惡意用戶只需要發起延遲交易,并在隨后的實際延遲交易中造成硬失敗(hard_fail),就可以不使用任何EOS,完成充值/押注等操作。
業內人士表示,“假充值”本質其實就是一種“空手套白狼”的行為,黑客利用交易所充值漏洞把錢包中并不存在的加密貨幣存入交易所賬號,再通過交易套現或者套成其它幣種并將其轉走。部分交易所可能存在僅根據交易回執狀態和鏈上確認次數對交易結果作判斷,忽略了對賬戶實際狀態的檢查。
但事實上,這里的交易回執狀態顯示成功僅僅表明上鏈成功,并不代表完成了實際轉賬,如果交易所據此承認該筆轉賬就會產生虛假轉賬問題。除此之外,還有些交易所的充值校驗代碼并不嚴謹,黑客只需在客戶端代碼上稍動手腳就可以使無效交易變得有效。
據加密貨幣數據公司Chainalysis的研究資料顯示,從2009年誕生到今年3月初,比特幣已經有287-379萬枚永久丟失,丟失的數量占到比特幣總量的17%-23%,價值超過150億美元。
而截至目前,全球數字貨幣交易所因安全問題損失金額已超29億美金,假充值攻擊作為一種頻現的攻擊方式,可以讓攻擊者輕易獲取目標交易所資產,造成巨額損失。
04
資產安全一直是數字世界的重中之重,而黑客卻成了安全的克星。但是,正如世界上的人千差萬別一樣,黑客也極富個人特色。
五一假期的最后一天,程序員的大本營被黑客攻擊了。黑客放言“不交比特幣贖金,就公開用戶私有代碼”,并給了十天限期。受到攻擊的不僅僅是GitHub的私有庫,其他代碼托管網站GitLab、Bitbucket也同樣受到了攻擊。
這是司空見慣的勒索事件。慢霧科技創始人余弦表示,GitHub成為供應鏈攻擊的重災區,開發者活躍的地方,不僅存在后門倉庫,還可能因為自己賬號被黑,進而導致自己的倉庫被偷偷植入后門。在區塊鏈領域,歷史上已經有幾起被披露的供應鏈攻擊事件,現在、未來還會有,開發者應該安全加固好自己的賬號,包括:密碼、雙因素、私鑰等,雖然這是個很簡單的事,但總有人就是懶或無知或缺乏敬畏。
2014年8月15日,黑客從比特兒盜走了5000萬個NXT幣,價值約為1000萬人民幣。原因是比特兒平臺將所謂的冷錢包私鑰放在了服務器上,使得NXT并沒有實現冷存儲,于是獲得錢包私鑰的黑客將幣取走。
有意思的是,當時平臺和黑客談判,愿意支付110個比特幣作為贖金以贖回丟失的平臺幣,但最終結果是黑客拿走了比特幣,也未歸還NXT。比特兒也因為這個事件成為當時圈內的大笑話。
2014年12月,白帽黑客Johoe從某錢包里“盜取”了300枚BTC。原因是在錢包軟件升級過程中產生了技術問題,導致臨時性安全漏洞出現,這個安全漏洞僅僅存在了2個多小時,但還是給了Joheo機會。有趣的是,事后,Johoe如數歸還了盜取的比特幣。
今年3月份,日本媒體宣布,Monacoin被盜案終于水落石出,這名盜取了1500萬日元的黑客是個“愛玩”的未成年。當警察問他盜幣原因時,他回答說:“我發現了別人不知道的作弊漏洞,就想當個電子游戲玩一玩。”
然而,“利”字邊上一把刀,有道是:君子愛財,取之有道。
尊敬的用戶: 火幣全球站將針對USDT及BTC杠桿交易區的LTC、EOS、TRX、ATOM、IOST、ONT、BTT、NEO交易對推出《參與杠桿借貸和交易,贏15000USDT大禮!》活動.
1900/1/1 0:00:00在周二提交的新法院文件中,Bitfinex和Tether要求紐約州最高法院法官JoelM.Cohen駁回紐約總檢察長針對這兩家公司的訴訟,聲稱他們在該州沒有客戶.
1900/1/1 0:00:00尊敬的BITKER用戶:BITKER將于2019年4月18日18點正式開啟QIPC/USDT交易對.
1900/1/1 0:00:00暴走時評:加密貨幣市場日益成為黑客的目標,而這也成為很多人對貨幣交易擔憂的原因。韓國媒體MBC通過一家專業的安全公司對國內五家大型加密貨幣交易所進行了安全測試,其中包括該國最大交易所Bithum.
1900/1/1 0:00:00上世紀90年代,有這樣一個團體,成員有加密學愛好者,有計算機科學家,有黑客,還有一些自由主義愛好者,他們希望能夠通過互聯網加密運動,去實現中心化的點對點加密通信以及互聯網點對點的貨幣.
1900/1/1 0:00:00暴走時評:因為個別用戶假冒名人賬戶,在推特上散步詐騙信息,該平臺采取了一些安全措施,包括注銷賬戶。可是加密貨幣社區用戶的正常賬戶也因此受到影響,給用戶帶來困擾。目前推特方面沒有就此發表評論.
1900/1/1 0:00:00