根據區塊鏈安全審計公司Beosin旗下BeosinEagleEye安全風險監控、預警與阻斷平臺監測顯示,11月2日消息,加密衍生品交易平臺Deribit發布公告稱其熱錢包被盜,資金損失2800萬美元,官方稱目前客戶資金安全,損失將由公司儲備金彌補。
BeosinTrace對本次被盜資金進行實時追蹤發現,Deribit熱錢包被盜的2800萬美元包括6947枚ETH、691枚BTC與約340萬枚USDC,隨即攻擊者將USDC兌換為約2133枚ETH,目前攻擊者地址持有9080枚ETH與691枚BTC。被盜資金依然在0xb0606f433496bf66338b8ad6b6d51fc4d84a44cd地址中。
YouHodler市場主管:SEC對現貨ETF的主要擔憂是巨鯨潛在的市場操縱行為:金色財經報道,YouHodler市場主管Ruslan Lienkha表示,SEC 對現貨加密 ETF 的主要擔憂是巨鯨潛在的市場操縱行為。理論上,如果 SEC 批準一兩個投資基金的 ETF,這種情況就可能發生。但如果它決定注冊所有 8 只 ETF,那么它就會大幅降低操縱的可能性,因為這些公司將能夠頻繁地相互交易,采取相反的立場。
Lienkha 表示,BTC ETF 的結果可能會重塑加密貨幣投資格局,如果獲得批準,可能會給比特幣市場帶來超過 700 億美元的流動性。[2023/8/12 16:21:21]
BTC持有者凈頭寸變化值達到15個月低點:金色財經報道,Whale Alert數據顯示,BTC持有者凈頭寸變化值剛剛達到15個月低點,數額為- 2406.046。[2022/11/17 13:16:44]
密碼:密碼不是私鑰,是在創建賬戶時使用的密碼;
私鑰:一串十六進制字符,一個賬戶只有一個私鑰且不能更改,如:0xA4356E49C88C8B7AB370AF7D5C0C54F0261AAA006F6BDE09CD4745CF54E0115A;
助記詞:由于私鑰通常不容易記憶,所以使用算法將其轉化為了一串12~24個容易記住的單詞,方便保存;
Keystore:JSON編碼的文件,存儲的是加密后的私鑰。
那些私鑰泄露導致的攻擊案列有哪些?
加密貨幣交易平臺WazirX已裁員40%:10月1日消息,據印度加密貨幣交易平臺WazirX一份聲明表示,已解雇40%員工,約50至70人左右,被解雇員工被告知將獲得45天的薪資。此外,聲明還透露,“由于當前的全球經濟放緩,加密市場一直處于熊市之中,印度加密貨幣行業在稅收、法規和銀行準入方面存在部分問題。這導致所有印度加密貨幣交易所的交易量急劇下降”。
據CoinGecko數據數據,WazirX日交易量一直穩步下滑,從2021年10月28日的一年高點4.78億下降到 2022年10月1日的150 萬。消息人士稱,有些日子的交易量低于一百萬,“這不足以支持運營”。(CoinDesk)[2022/10/1 22:44:09]
這里針對項目方的私鑰安全主要有三方面:私鑰破解、社會工程學攻擊、生態安全。比如Ronin事件累計損失6.5億美元、WonderHero事件累計損失2,800,000美元、MarvinInu事件累計損失350,000美元、Harmony事件累計損失100,000,000美元、Wintermute事件累計損失1.6億美元。
Aave通過在以太坊合并前關閉ETH借貸市場的提案:9月6日消息,Aave關于計劃在以太坊合并前關閉ETH借貸市場的提案現已獲得通過,可能會在1天之內執行。該提案旨在減輕以太坊合并帶來的相關潛在市場風險。此外,該AIP還將與提案相關的一次性支付60AAVE從Aave國庫轉移到Maker DAO暫停代理。[2022/9/6 13:11:09]
1、私鑰破解
2022年9月20日,Beosin?EagleEye安全風險監控、預警與阻斷平臺監測顯示,加密做市商Wintermute創始人EvgenyGaevoy在社交媒體上發文表示,Wintermute在DeFi黑客攻擊中損失1.6億美元。
Espresso Systems在測試網上線以太坊可配置資產隱私(CAPE)智能合約應用:6月16日消息,Web3應用擴展和隱私系統Espresso Systems在以太坊Goeril測試網中推出隱私產品CAPE,允許資產創建者定義可定制的隱私策略,以確定在某些情況下誰可以看到有關資產持有者和交易的哪些信息。3月份,Espresso Systems完成3200萬美元融資,Greylock Partners和Electric Capital領投,參投方包括紅杉資本、Blockchain Capital和Slow Ventures。Espresso Systems正在開發Layer1區塊鏈基礎設施,通過PoS共識機制協議與ZKRollup機制來實現快速、低成本的交易。(CoinDesk)[2022/6/17 4:33:20]
之后Wintermute創始人在推特上稱,其于6月份使用了Profanity工具創建錢包地址。
9月15日,根據1inchNetwork發布的報告稱,Profanity工具存在密鑰爆破風險。報告中提到的Profanity工具使用32位隨機向量生成256位的私鑰,這種方式可能存在安全風險。
首先,該工具生成私鑰的算法為:
1)Profanity選取一個32位隨機數,將其采用mt19937_64()填充為256位的種子私鑰;
2)隨后采用某種確定性密鑰擴展算法將其擴展為200萬個私鑰;
3)計算私鑰對應的公鑰,并根據派生公鑰進行一系列計算得到對應的以太坊地址;
4)反復「遞增」,直到計算出對應的靚號地址。
攻擊者提前計算出所有的密鑰空間,即對應的種子私鑰對應的所有公鑰,并存儲在哈希表中,接著從區塊鏈瀏覽器上獲取到某一筆交易簽名,并從交易簽名R、S、V值中恢復出公鑰,同樣將該公鑰采用確定性密鑰擴展算法擴展為200萬個公鑰,反復“遞減”派生出的公鑰,直到獲取到種子公鑰,最后再根據該值實現密鑰破解。
2、針對項目方的社會工程學攻擊
釣魚攻擊
1.網絡釣魚:這種欺騙方式是廣撒網式的。它會向盡可能多的人發送惡意欺騙email,例如Opensea的釣魚事件。
2.魚叉式釣魚:主要針對重要組織,黑客會針對重要單位的個人發釣魚郵件。電腦一旦被入侵后,主要目的是竊取重要資料,因此會潛伏很長一段時間。只有在特定時間點,需要病或木馬采取攻擊行動時才會采取攻擊行為暴露出來。
3.鯨釣攻擊:目標是組織內的最高決策層,比如CEO,CFO等等。這些人可以獲取非常有價值的信息,包括商業秘密和管理公司賬戶的密碼。攻擊者偽裝成具有合法權限的個人或組織,比如向CEO發送電子郵件,假裝公司的客戶,請求付款。
木馬攻擊
有的攻擊者通過Discord邀請用戶參與新的游戲項目內測,或是通過群內私聊等方式發一個程序讓你下載。也有郵件的形式,通常以內部系統升級等等理由,誘騙員工點擊郵件鏈接下載對應升級文件。
一旦員工在電腦上運行木馬,它會掃描你電腦上的文件,然后篩選出包含Wallet等關鍵詞的文件,或者對用的敏感隱私信息上傳到攻擊者服務器,達到盜取資產、獲取情報的目的。
3、生態安全問題
8月3日,Solana公鏈上Slope錢包發生大規模盜幣事件,損失估算在600萬美元左右。根據Solanafoundation提供的數據顯示,近60%被盜用戶使用Phantom錢包,30%左右地址使用Slope錢包,其余用戶使用TrustWallet等,并且iOS和Android版本的應用都有相應的受害者。Beosin安全團隊分析發現Slope錢包使用的Sentry服務,通過抓包發現此服務會在用戶創建錢包時,將助記詞和私鑰等敏感數據發送到Slope的服務器o7e.slope.finance上,造成助記詞或私鑰泄露。
錢包安全的防范
關于錢包的安全防范,在這里我們簡單聊一下釣魚攻擊。針對項目方的主要是魚叉和鯨釣,網絡釣魚一般針對的普通用戶。大家需要注意:
社交媒體信息交叉驗證;使用防釣魚插件;謹慎點擊不明鏈接;謹慎下載不明文件。同時大額資產可存在冷錢包,以提高安全性;簽名和授權方面更要注意拒絕盲簽;簽署交易時,反復確認簽署內容;定期清理不必要的授權;進行資產交易可使用臨時性錢包、網絡錢包,錢包選擇上面多使用主流錢包。
責任編輯:MK
FTX和AlamedaResearch暴雷,BlockFi等機構受到影響,FUD情緒蔓延,各種謠言傳播.
1900/1/1 0:00:00數月前,號稱為年內最大事件的以太坊POS合并被當作是以太坊的一次"大考驗",普遍認為以太坊這艘大船替換共識機制可能帶來"復雜漏洞風險"、"中心化"、"利好出盡"等難題,而一旦它跨過了這道坎.
1900/1/1 0:00:00“thebirdisfreed”這是馬斯克剛剛最新發布的推文,這也意味著拉扯半年之久的推特收購案已基本落下帷幕.
1900/1/1 0:00:00隨著?FTX??事件持續發酵,中心化交易所的儲備資產成為加密市場關注的焦點,每一個普通用戶都在日夜憂慮:誰有可能下一個暴雷?過去一周,多個平臺相繼進行透明度公示,披露了部分儲備資金錢包地址.
1900/1/1 0:00:00來源|?零壹財經?排版?|王紀瓏琰10月31日,香港財庫局正式發布《有關香港虛擬資產發展的政策宣言》,闡明政府在虛擬資產行業和生態圈的政策立場和方針.
1900/1/1 0:00:00回顧過去的事件 我住的地方附近有一棟非常高的建筑正在施工。晚上,我喜歡看它,因為每層樓都被數百個熒光燈泡照亮,只是因為他們還沒有建好墻,所以才能看到.
1900/1/1 0:00:00