一、Cashaa被盜幣事件簡述
CoinCrunch在2020年7月10日收到一封投訴信,受害者稱自己在1:23分登錄并進行兩筆交易后,自己的1.06005561BTC被盜。被盜BTC轉進了地址
14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek。
投訴憑證如下所示:
△圖1
Castle Island Ventures 正在為新基金籌集數億美元:金色財經報道,三位知情人士透露,加密貨幣風險投資公司 Castle Island Ventures 正在為其最新基金 Castle Island Ventures III 籌集數億美元,預計將在未來幾周內完成融資,籌集的確切金額尚不清楚。消息人士表示,Castle Island Ventures III 是該公司的第三個基金,將遵循該公司前兩支基金的戰略,將大約 20% 的資金用于早期代幣,通常在代幣推出之前進行早期投資。Castle Island 由聯合創始人兼經理 Matthew Walsh 和 Nic Carter 領導,公司投資組合包括 Bitwise、BlockFi、Casa、ErisX、Matrixport、MoonPay 和 River Financial。 (Blockworks)[2022/2/2 9:27:18]
而后不久,Cashaa公司涉及的總計8個比特幣錢包,共計
Cover Protocol已上線開源算法穩定幣項目Basis Cash coverag:Cover Protocol發推表示,已上線開源算法穩定幣項目Basis Cash coverag,使用yDAI作為抵押。[2020/11/30 22:35:11]
335.91312085個比特幣被攻擊者通過同樣的手段轉移到同一個地址
14RYUUaMW1shoxCav4znEh64xnTtL3a2Ek。
事件發生后,Cashaa的CEOKumarGaurav對此次事件做出了回應,聲稱此次事件只是個例,Cashaa其余賬戶的余額仍是安全的,并呼吁各大交易所禁止此次事件的相關地址提現,否則就是『助紂為虐』,幾乎所有的交易所都積極響應了Cashaa的呼吁。
動態 | Zcash社區決定打破210萬ZEC獎勵規定 將繼續資助ZEC的開發:根據Zcash基金會近日宣布最新的投票結果,Zcash社區已經同意新的挖礦獎勵分配方法,將繼續資助其隱私加密資產ZEC的開發。此前根據Zcash原有計劃,礦工會拿出部分出塊獎勵捐贈給開發者,以支持他們繼續對ZEC進行開發,而支持資金的上限為210萬ZEC。原本該資助計劃應已達到規定上限,但社區發起最新投票,考慮是否繼續這一資助計劃。根據投票結果顯示,該資助計劃將會繼續,Zcash的挖礦獎勵中20%給基金會,礦工獲得剩余的80%。而Zcash的開發公司ECC獲得基金會中7%的挖礦獎勵,基金會實際拿5%,其余8%挖礦獎勵用于捐贈給開發人員。
此前,關于是否繼續資助ZEC的開發一事社區進行了長達數月的討論,對于ECC和Zcash基金會來說,繼續開發Zcash并且為其提供開發資金可以幫助他們雇傭更多頂級人才,尤其是在它面臨國際監管機構越來越多的審查的時候。然而,對于其他人來說,投票意味著違背了在ZEC推出時的承諾,在最開始的時候,創始人的獎勵規定會被限制在210萬ZEC(總供應量的10%)。為了遵守這個要求,在2019年7月創始團隊成員還分叉了Zcash,創造了Ycash。(CoinDesk)[2020/2/2]
根據Cashaa給出的解釋,本次事件是因為一個雇員使用了自己的私人電腦造成的,黑客通過瀏覽器session控制了雇員的電腦,但具體攻擊方式還在調查中。
ZenCash與USAA和Coinbase共同打造數字貨幣交易平臺:ZenCash官方推特轉發消息,ZenCash的創始人之一Rob Viglione透露,與USAA及Coinbase達成750億美元的合作,將打造一個BTC、ETH、LTC等數字貨幣的在線交易平臺,[2017/12/11]
Cashaa公司此前并不允許使用個人電腦,此次員工使用個人電腦是因為雇員設備故障,Cashaa公司考慮到『客戶體驗』于8號為其臨時開通權限。雇員在10號使用電腦操作后,不久336BTC便被盜走。根據線上地址來看,被盜的BTC在轉移過程中還進行了混幣。
二、Cashaa被盜幣事件分析
成都鏈安·安全實驗室針對此次事件進行分析,本次涉及BTC是在雇員操作后很短的時間內被盜的,且轉移過程中流入混幣,這說明
黑客對區塊鏈技術早有積累,很有可能是相關從業人員或黑產成員。
根據Cashaa給出的信息,雇員在8號獲得許可,在10號就遭受攻擊,這太過于巧合,我們相信Cashaa公司在對員工電腦進行臨時授權前,應當是會對員工電腦進行過安全檢查的。這里我們推測這是一起有極高針對性的攻擊,黑客極有可能瞄準Cashaa已久,對公司內部成員和動向都非常了解,才能在這么短的時間內,控制雇員的電腦;但也不排除內部人員配合作案的可能性。
針對于目前掌握到的信息,我們推測有兩種可能性:
攻擊者是專業從事相關黑產的團伙,其瞄準Cashaa已久,掌握著公司相關人員信息和網絡管理制度,通過傳統攻擊手段持續性的對公司人員的信息設備進行攻擊,或已掌握部分系統的權限,此次攻擊是建立在前期攻擊基礎上進行的。
公司內部有相關人員配合作案,將公司信息泄露給了攻擊實施者,再針對性的配合社工手段進行攻擊,拿到雇員電腦權限。
三、安全建議
針對此次事件,成都鏈安呼吁各大交易所和錢包服務商,『千里之堤毀于蟻穴』。網絡安全建設是一個面,任何薄弱點都能可能成為擊垮堤壩的『蟻穴』。
1、從交易所出發:服務器層、網絡層、終端層、智能合約層、業務層、安全管理制度等各個層面的安全都不可或缺;一旦出現短板,即使其他方面做的再好,也無濟于事。
2、『安全』永遠是一個博弈的過程,沒有攻不破的系統。隨著技術的不斷發展,原先所謂『安全』的系統也會變得不安全,因此與第三方安全公司建立持續的合作關系也是不可或缺的。
3、對于安全體系來講,人往往是最薄弱的環境,隨時存在『違規操作』的可能性,加強員工的信息安全意識,切實實施良好的安全管理制度可以規避很大的風險。
4、『亡羊補牢,為時不晚』。在遭受黑客攻擊后,交易所應第一時間向專業的安全公司尋求幫助,追蹤資金動向,盡可能將公司的損失降到最低。
一石激起千層浪。 原證監會主席肖鋼在參加論壇時發言,稱“數字資本市場的發展還面臨組織變革的問題。最典型的比如虛擬資產交易所,將來勢必是會發生的.
1900/1/1 0:00:00NVT早在2018年進入了人們的視野,但其誕生更是早在2017年初,由加密資產數據研究員WillyWoo和ChrisBurniske創造。在理解NVT概念時,人們常常把NVT和股票的PE做對比.
1900/1/1 0:00:00“漲了!漲了!” 7月21日,在連續橫盤了的許久之后,比特幣終于有動靜了,久違的突破瞬間點燃了市場的熱情.
1900/1/1 0:00:00一、BSN與公鏈強強聯合中國區塊鏈服務網絡BSN?將于8月10日向全球的dApp開發者開放其服務。此舉是中國成為目前唯一全球區塊鏈企業基礎設施提供商計劃的一部分.
1900/1/1 0:00:00本文來源:澎湃新聞,作者:澎湃新聞見習記者葉映荷2020年,區塊鏈春風不止。年度熱詞“區塊鏈”不僅被頻繁“掛在嘴邊”,還落于紙上,紛紛“化身”為各地政府出臺的專項政策.
1900/1/1 0:00:00加密貨幣里有各種不同的生態系統,即使在采礦方面,項目也遵循不同的方向。比如,比特幣希望成為一種貨幣和一種支付手段,使用工作量證明算法進行挖礦,專注于成為新的主導貨幣的加密貨幣;而以太坊則希望成為.
1900/1/1 0:00:00