有天,你在支付寶操作轉賬時,彈窗提示你因版本過低而導致轉賬失敗。
如果彈窗內不僅僅提示你交易失敗,還附上支付寶更新鏈接,大部分人可能都會順手點擊鏈接進行更新。
如果這個鏈接是個釣魚鏈接,直接獲取了你的轉賬權限,那么代表你賬戶內的錢也會被無情轉移。
這次,就有一個用戶遭遇了類似的情況。
北京時間8月31日,CertiK天網系統(Skynet)檢測到,Github用戶“1400BitcoinStolen”1400枚比特幣被盜事件的代幣,已開始被輸送到多個不同的地址當中。
礦企Marathon Digital:未向個人開放挖礦業務,如已投資可自行報警:6月16日消息,加密礦企 Marathon Digital Holdings 發布投資預警,該企業表示,并未向個人投資者開放挖礦業務。
目前,市面上已有身分不明人士假借 Marathon Digital 之名向個人投資者招攬投資,Marathon Digital 表示該行為系金融欺詐,如投資者已投資,可自行報警。[2023/6/16 21:40:40]
受害者在electrum的Githubissue中講述了自己丟失了1400個比特幣并貼出了自己的比特幣錢包地址。
Galaxy Digital CEO建議用Satoshi為加密貨幣計價單位:Galaxy Digital首席執行官Mike Novogratz在推特發文提出了用Satoshi取代比特幣的建議。Satoshi是比特幣的最小單位,相當于0.00000001枚比特幣。他解釋說“太多的人”認為以目前的價格來看,比特幣“太貴了”。Mike Novogratz呼吁Coinbase、Binance、FTX和Gemini采用Satoshi作為計價單位,讓比特幣對普通人更有吸引力。(U.Today)[2021/5/9 21:40:33]
在區塊鏈瀏覽器(參考鏈接3)中可以看到8月30日一共1404枚BTC從他的錢包中被取出,存入了黑客的錢包中。
Galaxy Digital CEO:每家主要銀行都將擁有加密交易平臺:金色財經報道,Galaxy Digital首席執行官Mike Novogratz在最近的采訪中預測,每家主要銀行都將擁有一個加密貨幣交易平臺。他聲稱,因為客戶需求的增長,高盛、巴克萊和德意志銀行等將被迫接受比特幣。[2020/7/11]
事件還原與分析
該用戶使用的是Electrum比特幣錢包,上次使用是在2017年。此后Electrum已經發布了安全更新,但該用戶一直沒有安裝。
分析 | Delphi Digital:比特幣數月來表現優異,加冕“資產類別之王”:據TNW消息,鑒于比特幣最近數月的優秀表現,分析公司Delphi Digital在最近的市場評論中將其稱為“資產類別之王”。Delphi Digital連續四個月對比特幣的收益回報進行了評估,此時正值傳統風險資產繼續面臨拋售壓力之際。該公司表示,\"鑒于許多其他資產類別普遍疲弱,比特幣5月的優異表現尤為重要。” Delphi Digital進一步解釋長,目前的公共股票市場令人擔憂,數據顯示,比特幣今年徹底壓制了其他資產類別,包括日元、黃金和WTI原油。與其近期的歷史相反,比特幣目前基本上沒有受到其他風險資產拋售的影響,盡管市場波動預期正趨于上升。現在宣布勝利還為時過早,但BTC的不相關特性迄今已被證明是正確的。[2019/6/4]
用戶在使用Electrum進行交易時,錢包會向服務器廣播一筆交易,如果這筆交易出現了問題,服務器將返回錯誤信息并以彈窗的形式展現給用戶。
3.3.2版本之前的Electrum錢包不會對服務器返回的錯誤信息進行驗證,甚至還會對返回的信息進行html渲染。
值得一提的是,任何人都可以去搭建一個Electrum節點服務器。如果一個用戶連接到了攻擊者的服務器并發起了一筆交易,服務器可以返回任何設計好的錯誤信息。比如返回一個讓用戶去更新Electrum錢包的錯誤信息,如下圖所示。
然而,圖中的鏈接指向了攻擊者自己寫的惡意軟件,一旦用戶下載安裝該軟件并把自己的錢包導入其中,錢包里所有的比特幣就會被攻擊者轉走。
這其實本質上是一種釣魚攻擊,但由于攻擊者發出的釣魚信息是通過Electrum官方錢包展示出來的,很多人都會信以為真。
在本次事件中,受害者的錢包連接上了攻擊者所控制的服務器,導致其收到了服務器發出的釣魚信息,進而被攻擊者轉走了自己的所有比特幣。
Electrum錢包存在的該問題早在2018年底就引起了廣泛討論(參考鏈接4)。
Electrum官方在2019年,錢包版本3.3.4中對該問題進行了修復,后續版本的Electrum錢包不再會將服務器返回的內容直接展示給用戶,也不會對其進行html渲染。
此外,由于舊版本的錢包仍然存在這個問題,因此所有的正常的服務器會對3.3版本之前的錢包進行拒絕服務攻擊,以強制用戶進行更新。
CertiK安全團隊建議
用戶在使用錢包進行交易的時候,需確保錢包為最新版本,已防舊版本的錢包可能存在可被黑客利用的漏洞。
用戶在下載錢包更新的時候要注意驗證下載URL是否與官方一致,在下載完成后要對錢包的簽名進行驗證。
對于錢包開發團隊,需要尋找專業團隊做好測試工作,以免項目出現漏洞給用戶帶來損失。
參考鏈接:
1.https://github.com/spesmilo/electrum/issues/5072
2.https://zhuanlan.zhihu.com/p/53920688
3.https://www.blockchain.com/btc/tx/2db616f5b4545805dc1de59bc65b21b548c0d553ab187fa1625ef73c727f1e54
4.https://github.com/spesmilo/electrum/issues/4968
5.http://twitter.com/electrumwallet/status/1106479573917724672
吳說區塊鏈獲悉,9月14日,國家企業信用信息公示系統顯示北京比特大陸科技有限公司法人再次更換,由詹克團變回吳忌寒.
1900/1/1 0:00:00自從9月5日傳出SushiSwap創始人「ChefNomi」套現1.8萬ETH的消息傳出,SUSHI代幣價格已經暴跌超過60%,雖然創始人表示只給市場造成了5%的滑點.
1900/1/1 0:00:00LedgerX是美國受監管的期貨交易所,已推出實物結算的比特幣期貨合約。這使投資者能夠進行BTC實物交割,一些分析師認為這將放大對BTC價格的影響.
1900/1/1 0:00:00記錄:NickTomaino,加密風投1confirmation創始合伙人編譯:LeoYoung以太坊上線五年以來,鏈上資金流動出現過多種形式:數億美元流向風險基金.
1900/1/1 0:00:00傳奇交易員SamBankman-Fried帶領的AlamedaResearch和FTX大軍成為DeFi世界不容忽視的力量。 撰文: 小毛哥 波瀾壯闊,日行千里.
1900/1/1 0:00:00本文來源:證券日報,原題《半年報探營262只區塊鏈概念股成色:集體避談區塊鏈收入應用落地者不足一成》記者?邢?萌?見習記者?張博透過已披露完畢的半年報,上市公司布局區塊鏈的情況也逐漸浮出水面.
1900/1/1 0:00:00