近期,我们发现多起关于eth_sign签名的钓鱼事件。钓鱼网站1:https://moonbirds-exclusive
;//RLPencodeconstrawTransaction=rlp
;//RLPencodeconstsignedRawTransaction=rlp.encode();而如上所述,eth_sign方法可以对任意哈希进行签名,那么自然可以对我们签名后的bytes32数据进行签名。因此攻击者只需要在我们连接DApp后获取我们的地址对我们账户进行分析查询,即可构造出任意数据让我们通过eth_sign进行签名。这种钓鱼方式对用户会有很强的迷惑性,以往我们碰到的授权类钓鱼在MetaMask会给我直观的展示出攻击者所要我们签名的数据。如下所示,MetaMask展示出了此钓鱼网站诱导用户将NFT授权给恶意地址。
慢雾:2021年上半年共发生78起区块链安全事件,总损失金额超17亿美元:据慢雾区块链被黑事件档案库统计,2021年上半年,整个区块链生态共发生78起较为著名的安全事件,涉及DeFi安全50起、钱包安全2起,公链安全3起,交易所安全6起,其他安全相关17起,其中以太坊上27起,币安智能链(BSC)上22起,Polygon上2起,火币生态链(HECO)、波卡生态、EOS上各1起,总损失金额超17亿美元(按事件发生时币价计算)。
经慢雾AML对涉事资金追踪分析发现,约60%的资金被攻击者转入混币平台,约30%的资金被转入交易所。慢雾安全团队在此建议,用户应增强安全意识,提高警惕,选择经过安全审计的可靠项目参与;项目方应不断提升自身的安全系数,通过专业安全审计机构的审计后才上线,避免损失;各交易所应加大反监管力度,进一步打击利用加密资产交易的等违规行为。[2021/7/1 0:20:42]
动态 | 慢雾:巨鲸被盗2.6亿元资产,或因Blockchain.info安全体系存在缺陷:针对加密巨鲸账户(zhoujianfu)被盗价值2.6亿元的BTC和BCH,慢雾安全团队目前得到的推测如下:该大户私钥自己可以控制,他在Reddit上发了BTC签名,已验证是对的,且猜测是使用了一款很知名的去中心化钱包服务,而且这种去中心化钱包居然还需要SIM卡认证,也就是说有用户系统,可以开启基于SIM卡的短信双因素认证,猜测可能是Blockchain.info,因为它吻合这些特征,且历史上慢雾安全团队就收到几起Blockchain.info用户被盗币的威胁情报,Blockchain.info的安全体系做得并不足够好。目前慢雾正在积极跟进更多细节,包括与该大户直接联系以及尽力提供可能需求的帮助。[2020/2/22]
而当攻击者使用eth_sign方法让用户签名时,如下所示,MetaMask展示的只是一串bytes32的哈希。
声音 | 慢雾:ETDP钱包连续转移近2000 ETH到Bitstamp交易所,项目方疑似跑路:据慢雾科技反(AML)系统监测显示,自北京时间 12 月 16 日凌晨 2 点开始,ETDP 项目方钱包(地址 0xE1d9C35F…19Dc1C3)连续转移近 2000 ETH 到 Bitstamp 交易所,另有 3800 ETH 分散在 3 个新地址中,未发生进一步动作。慢雾安全团队在此提醒交易所、钱包注意加强地址监控,避免相关恶意资金流入平台。[2019/12/16]
总结
本文主要介绍eth_sign签名方式的钓鱼手法。虽然在签名时MetaMask会有风险提示,但若结合钓鱼话术干扰,没有技术背景的普通用户很难防范此类钓鱼。建议用户在遇到此类钓鱼时提高警惕,认准域名,仔细检查签名数据,必要时可以安装安全插件,如:RevokeCash、ScamSniffer等,同时注意插件提醒。原地址
标签:ETHIGNSIGSIGNKTETH价格Signal TokenSIGNHypersign Identity Token
原文作者:WadeProspere原文来源:Bankless原文编译:DeFi之道经验丰富的投资者喜欢期权,因为它们可以适用于任何投资理论。它们通常用于对冲波动性或利用杠杆敞口进行投机.
1900/1/1 0:00:00e-Money的eEUR:欧元稳定币在传统金融市场,全球贸易中约45%以美元交易,但欧元紧跟其后,占比约14%,是第二大货币。市场绝大多数的稳定币都是以美元锚定的,所以欧元的稳定币反而另辟蹊径.
1900/1/1 0:00:00跨链桥使数据和资金能够在区块链之间自由流动,从而在多链世界中发挥不可或缺的作用。然而,在一系列破坏性的黑客攻击之后,这些跨链桥在过去几个月中饱受争议.
1900/1/1 0:00:00Helium被吹捧为Web3技术的最佳现实用例。但在该项目难以创造收入之际,《福布斯》的一项调查发现,在项目启动之初,Helium高管和他们的朋友就悄悄囤积了大部分财富.
1900/1/1 0:00:00区块链的设计空间最近被打开了,我们不再只是有单片式区块链,还有:模块化区块链;数据可用性和共识层;Rollup和执行环境;特定于应用的链等等;虽然其中存在许多选项可供开发者选择.
1900/1/1 0:00:00原文作者:鹿目圆Vitalik在最近的一篇文章中讨论了Layer3的概念。那么,什么是Layer3?我们先简单回顾一下Layer1和Layer2.
1900/1/1 0:00:00