月亮链 月亮链
Ctrl+D收藏月亮链

LEC:CertiK:Github用户1400枚比特币被盗事件分析_ECTR币

作者:

时间:1900/1/1 0:00:00

有天,你在支付宝操作转账时,弹窗提示你因版本过低而导致转账失败。

如果弹窗内不仅仅提示你交易失败,还附上支付宝更新链接,大部分人可能都会顺手点击链接进行更新。如果这个链接是个钓鱼链接,直接获取了你的转账权限,那么代表你账户内的钱也会被无情转移。这次,就有一个用户遭遇了类似的情况。

Cering Swap已完成CNG认购:据官方消息,9月9日跨链聚合去中心化交易所Cering Swap在两个小时内完成CNG认购,并获得15倍的超额认购,该轮融资由布洛克团队主导,tokenmania、AlphaCoin Fund、DHVC、FINCITY等区块链VC领投,此轮认购将用于促进Cering Swap的生态开发。Cering Swap是ZKN的重要生态应用之一,隶属于Zikini Labs实验室,目前已经组建完成独立开发团队。[2021/9/10 23:15:06]

HOGT-DEX生态已通过Certik代码审计:据官方消息,HOGT-DEX生态已通过美国Certik代码审计。

CertiK区块链网络安全公司,由耶鲁大学与哥伦比亚大学计算机学教授共同创立。旨在使用最严密和最彻底的网络与软件安全技术来识别并消除安全漏洞。截至目前,CertiK已进行了超过700次审计,审计了超过39.6万行代码,保护了超过300亿美元的资产免受损失。

HOGT是基于火币生态链的综合性DeFi生态服务平台,融合聚合收益、DEX、借贷等多板块业务,致力于建设DeFi全生态服务系统。[2021/6/9 23:23:24]

北京时间8月31日,CertiK天网系统(Skynet)检测到,Github用户“1400BitcoinStolen”1400枚比特币被盗事件的代币,已开始被输送到多个不同的地址当中。受害者在electrum的Githubissue中讲述了自己丢失了1400个比特币并贴出了自己的比特币钱包地址.

MDEX去中心化交易协议完成Certik全方位安全审计:据MDEX官方消息称,目前已通过区块链审计公司Certik进行的全方位安全审计,各项审计指标均优异,无任何环节需要代码更新,审计报告将添加到官方GitHub存储库。详情见原文链接。[2021/3/25 19:18:30]

在区块链浏览器(参考链接3)中可以看到8月30日一共1404枚BTC从他的钱包中被取出,存入了黑客的钱包中。

HubDAO已通过美国安全团队CertiK智能合约安全审计:据官方消息,美国安全团队Certik已完成对韩国 DAO项目 HubDAO 智能合约的审计,依报告所述:HubDAO项目代码库严格遵守OpenZeppelin开源库所规定的标准和接口,可以认为是高安全性和高质量的智能合约。

HubDAO 是来自韩国的 DAO 组织,旨在打破DeFi借贷市场存在的信息割裂和利率孤岛,聚合全网借贷的流动性,并采用渐进式地方式去实现 DAO 的治理与组织方式。[2020/9/23]

事件还原与分析

该用户使用的是Electrum比特币钱包,上次使用是在2017年。此后Electrum已经发布了安全更新,但该用户一直没有安装。用户在使用Electrum进行交易时,钱包会向服务器广播一笔交易,如果这笔交易出现了问题,服务器将返回错误信息并以弹窗的形式展现给用户。3.3.2版本之前的Electrum钱包不会对服务器返回的错误信息进行验证,甚至还会对返回的信息进行html渲染。值得一提的是,任何人都可以去搭建一个Electrum节点服务器。如果一个用户连接到了攻击者的服务器并发起了一笔交易,服务器可以返回任何设计好的错误信息。比如返回一个让用户去更新Electrum钱包的错误信息,如下图所示。

然而,图中的链接指向了攻击者自己写的恶意软件,一旦用户下载安装该软件并把自己的钱包导入其中,钱包里所有的比特币就会被攻击者转走。这其实本质上是一种钓鱼攻击,但由于攻击者发出的钓鱼信息是通过Electrum官方钱包展示出来的,很多人都会信以为真。在本次事件中,受害者的钱包连接上了攻击者所控制的服务器,导致其收到了服务器发出的钓鱼信息,进而被攻击者转走了自己的所有比特币。Electrum钱包存在的该问题早在2018年底就引起了广泛讨论(参考链接4)。Electrum官方在2019年,钱包版本3.3.4中对该问题进行了修复,后续版本的Electrum钱包不再会将服务器返回的内容直接展示给用户,也不会对其进行html渲染。此外,由于旧版本的钱包仍然存在这个问题,因此所有的正常的服务器会对3.3版本之前的钱包进行拒绝服务攻击,以强制用户进行更新。CertiK安全团队建议

用户在使用钱包进行交易的时候,需确保钱包为最新版本,已防旧版本的钱包可能存在可被黑客利用的漏洞。用户在下载钱包更新的时候要注意验证下载URL是否与官方一致,在下载完成后要对钱包的签名进行验证。对于钱包开发团队,需要寻找专业团队做好测试工作,以免项目出现漏洞给用户带来损失。参考链接:1.https://github.com/spesmilo/electrum/issues/50722.https://zhuanlan.zhihu.com/p/539206883.https://www.blockchain.com/4.https://github.com/spesmilo/electrum/issues/49685.http://twitter.com/electrumwallet/status/1106479573917724672

标签:LECECTCERECTRCOLLECTIVE币ectt币多少钱一个Influencer DogeECTR币

狗狗币最新价格热门资讯
比特币:威廉:都在赚钱,到底谁在亏钱?_TURBOINU币

编者按:本文来自威廉闲谈,作者:陳威廉,Odaily星球日报经授权转载。“人人都在赚钱,那到底,谁在亏钱”?这个问题最近经常在没参与defi,没参与流动性挖矿,没参与山寨狂欢的投资者的口里听到.

1900/1/1 0:00:00
Thunder:Deribit期权市场播报:0901 — ETH新高_Sound Coin

以太坊今天价格突破470美元,三天累计涨幅超过15%,一举突破前高440美元。价格的上涨带来期权交易结构的明显变化,买入看涨期权的交易非常多,持仓量已经接近前高.

1900/1/1 0:00:00
以太坊:一文读懂以太坊挖矿和比特币挖矿有哪些不同?_比特币

编者按:本文来自知矿大学,Odaily星球日报经授权转载。最近一段时间,流动性挖矿的火爆直接让承载各类DeFi应用的底层公链以太坊产生网络拥堵,用户支付的Gas价格平均值最高达到480Gwei.

1900/1/1 0:00:00
EFI:DeFi矿币腰斩再腰斩,为啥他们还在乐此不疲的“耕种”?_Retro DEFI

编者按:本文来自风火轮社区,作者:佩佩,Odaily星球日报经授权转载。流动性挖矿会长期存在,只是这么多swap是不是能长期存在,这是一个问题.

1900/1/1 0:00:00
TPS:今天是个好日子,挖什么矿?免费的珍珠免费的鱼_tps币圈

珍珠币已经震荡中飞起,可是很多人确实免费的珍珠,为什么会有免费的珍珠?为什么又有免费的鱼,因为挖矿!怎么挖?激动得内心颤动的双手,可是不知道怎么下手,甚至有的朋友喊出了,宁可被割也要挖矿的呐喊.

1900/1/1 0:00:00
数字货币:详览数字人民币背后的资本力量_区块链技术适合女生吗

编者按:本文来自01区块链,Odaily星球日报经授权转载。即便迄今为止,央行尚无就数字人民币发布规范性文件,到底哪些机构或上市公司真正参与数字人民币项目研发,或拥有数字人民币相关技术亦不明确,

1900/1/1 0:00:00