有天,你在支付寶操作轉賬時,彈窗提示你因版本過低而導致轉賬失敗。
如果彈窗內不僅僅提示你交易失敗,還附上支付寶更新鏈接,大部分人可能都會順手點擊鏈接進行更新。
如果這個鏈接是個釣魚鏈接,直接獲取了你的轉賬權限,那么代表你賬戶內的錢也會被無情轉移。
這次,就有一個用戶遭遇了類似的情況。
北京時間8月31日,CertiK天網系統 (Skynet) 檢測到,Github用戶“1400BitcoinStolen”1400枚比特幣被盜事件的代幣,已開始被輸送到多個不同的地址當中。
首發 | 此前18000枚BTC轉賬是交易所Bithumb內部整理:北京鏈安鏈上監測系統發現,北京時間10月24日,17:07分發生了一筆18000枚BTC的轉賬,經分析,這實際上是交易所Bithumb的內部整理工作,將大量100到200枚BTC為單位的UTXO打包成了18筆1000枚BTC的UTXO后轉入其內部地址。通常,對各種“面值”的UTXO進行整數級別的整理,屬于交易所的規律性操作。[2019/10/24]
受害者在electrum的Github issue中講述了自己丟失了1400個比特幣并貼出了自己的比特幣錢包地址.
首發 | DVP: Bitstamp交易所存在漏洞 可導致大量KYC等信息被泄露:金色財經訊,近日,DVP收到安全人員提交的全球知名交易所Bitstamp的漏洞,攻擊者可以利用該漏洞查看大量用戶ID、銀行卡等敏感信息,嚴重威脅用戶信息安全。為避免發生KYC泄露的惡性事件,DVP安全團隊在收到該漏洞后,第一時間通知該平臺進行修復,但未收到回應。DVP提醒相關用戶關注個人信息安全,以免造成損失。[2019/8/13]
在區塊鏈瀏覽器(參考鏈接3)中可以看到8月30日一共1404枚BTC(價值1670萬美元)從他的錢包中被取出,存入了黑客的錢包中。
首發 | 《一起來捉妖》中玩家達到22級將會接觸到專屬貓的玩法 ?:今日騰訊上線首款區塊鏈游戲《一起來捉妖》,經金色財經查證,游戲中玩家達到22級將會接觸到專屬貓的玩法,而非此前官方對外宣稱的15級。除了誘貓鈴鐺召喚出的0代貓以及部分通過運營活動獎勵的專屬貓以外,游戲中所有的貓默認都是未上鏈狀態。未上鏈的貓不能出售,也無法進入市場與其他玩家配對;但是你可以使用這些貓與你的QQ/微信好友進行配對,產出新的小貓。使用道具“天書筆”可以將你的貓記錄到區塊鏈。當貓被記錄到區塊鏈以后,這些貓就可以進入市場,通過配對賺取點券,或者出售賺取點券。專屬貓是否上鏈,并不影響它的增益效果。但只有上鏈后,它才能面對全服務器所有的玩家進行繁殖、交易。
?
《一起來捉妖》中的專屬貓玩法,基于騰訊區塊鏈技術,游戲中的虛擬數字資產得到有效保護。此外,基于騰訊區塊鏈技術,貓也可以自由繁殖,并且運用區塊鏈技術存儲、永不消失。[2019/4/11]
該用戶使用的是Electrum比特幣錢包,上次使用是在2017年。此后Electrum已經發布了安全更新,但該用戶一直沒有安裝。
首發 | 螞蟻礦機S17性能曝光 采用全新散熱技術及全局優化定制方案:金色財經訊,日前,比特大陸即將發布的螞蟻礦機S17性能曝光。據螞蟻礦機S17產品經理朋友圈稱,新品將采用新一代散熱技術及全局優化定制方案。據了解,該散熱技術可能是指芯片的封裝技術,也有可能是機器的散熱結構設計。至于S17產品“全局優化定制”方案未有細節透露。有聲音評價,這或許是為決戰豐水期做出的準備。[2019/3/22]
用戶在使用Electrum進行交易時,錢包會向服務器廣播一筆交易,如果這筆交易出現了問題,服務器將返回錯誤信息并以彈窗的形式展現給用戶。
3.3.2版本之前的Electrum錢包不會對服務器返回的錯誤信息進行驗證,甚至還會對返回的信息進行html渲染(參考鏈接4)。
值得一提的是,任何人都可以去搭建一個Electrum節點服務器。如果一個用戶連接到了攻擊者的服務器并發起了一筆交易,服務器可以返回任何設計好的錯誤信息。比如返回一個讓用戶去更新Electrum錢包的錯誤信息,如下圖所示。
然而,圖中的鏈接指向了攻擊者自己寫的惡意軟件,一旦用戶下載安裝該軟件并把自己的錢包導入其中,錢包里所有的比特幣就會被攻擊者轉走。
這其實本質上是一種釣魚攻擊,但由于攻擊者發出的釣魚信息是通過Electrum官方錢包展示出來的,很多人都會信以為真。
在本次事件中,受害者的錢包連接上了攻擊者所控制的服務器,導致其收到了服務器發出的釣魚信息,進而被攻擊者轉走了自己的所有比特幣。
Electrum錢包存在的該問題早在2018年底就引起了廣泛討論(參考鏈接4)。
Electrum官方在2019年,錢包版本3.3.4中對該問題進行了修復,后續版本的Electrum錢包不再會將服務器返回的內容直接展示給用戶,也不會對其進行html渲染。
此外,由于舊版本的錢包仍然存在這個問題,因此所有的正常的服務器會對3.3版本之前的錢包進行拒絕服務(DoS)攻擊,以強制用戶進行更新(參考鏈接5)。
用戶在使用錢包進行交易的時候,需確保錢包為最新版本,已防舊版本的錢包可能存在可被黑客利用的漏洞。
用戶在下載錢包更新的時候要注意驗證下載URL是否與官方一致,在下載完成后要對錢包的簽名進行驗證。
對于錢包開發團隊,需要尋找專業團隊做好測試工作,以免項目出現漏洞給用戶帶來損失。
參考鏈接:
1. https://github.com/spesmilo/electrum/issues/5072
2. https://zhuanlan.zhihu.com/p/53920688
3. https://www.blockchain.com/btc/tx/2db616f5b4545805dc1de59bc65b21b548c0d553ab187fa1625ef73c727f1e54
4. https://github.com/spesmilo/electrum/issues/4968
5. http://twitter.com/electrumwallet/status/110647957391772467
Tags:LECECTTRUELEfilecoin幣價格今日行情走勢ElectroneroTRUSTY FinanceELET
文章系金色財經專欄作者幣圈北冥供稿,發表言論僅代表其個人觀點,僅供學習交流!金色盤面不會主動提供任何交易指導,亦不會收取任何費用指導交易,請讀者仔細甄別,謹防上當.
1900/1/1 0:00:00DeFi市值屢創新高,在這條康莊大道上,人們摩拳擦掌,就像90年代美國西部淘金熱一般,我想正因如此,所謂DeFi帶來的流動性挖礦構成了今年加密貨幣一道靚麗的風景線.
1900/1/1 0:00:00金色財經 區塊鏈8月25日訊? 今年以來,以太坊網絡的日均活動地址和日均交易量都一直呈現出穩定增長趨勢,并飆升到了此前 2017-2018 牛市期間的水平,這表明越來越多的人在使用以太坊網絡.
1900/1/1 0:00:00全球許多金融和其他公司正在探索或積極采用區塊鏈技術進行國際支付。區塊鏈技術的激增引起了人們對不同區塊鏈之間的市場碎片化和互操作性的擔憂.
1900/1/1 0:00:00據Etherscan.io數據顯示,截至8月13日14時30分,以太坊網絡的平均Gas費用已經達到350 Gwei,創歷史新高,未確認交易數超過14.6萬筆.
1900/1/1 0:00:00北京時間8月31日和9月1日,CertiK安全研究團隊發現Sushiswap仿盤的兩個項目YUNo Finance (YUNO)與KIMCHI.finance (KIMCHI).
1900/1/1 0:00:00