原文作者:Arthur,DefianceCapital
原文编译:0x9F、0x22,律动BlockBeats
本文梳理自DefianceCapital创始人Arthur在个人社交媒体平台上的观点,律动BlockBeats对其整理翻译如下:
起初,以下内容仅写给我们的投资组合公司和合作伙伴。一番思考过后,我认为应该将它们开源。
经过研究和与顶尖网络安全专家的沟通,我们相信黑客组织BlueNorOff正在进行一个有组织的筹谋,目标是加密领域的所有知名组织。鉴于他们的社会工程攻击十分高明,我相信他们已绘制了整个加密领域的关系图,知道什么样的钓鱼邮件最有可能通过我们的心理防线。要想进一步了解这种攻击是如何进行的,我强烈建议阅读这篇文章,其中的建议也值得采纳。
Cactus Custody推出新功能“DeFi连接器”:据官方消息,Cactus Custody推出崭新功能 — DeFi连接器。它将带来无缝、安全且多样化的托管内DeFi使用体验。通过这项服务,客户可以与WalletConnect和WalletLink支持的DeFi项目进行交互,参与Curve,Uniswap,AAVE和Compound等项目获取收益。
Cactus Custody专注于构建业界领先的系统安全设计和基础设施,以及提供适应于多样化业务场景的强大企业级财务管理功能。[2021/1/14 16:10:02]
关键我们要高度意识到,加密行业正在成为一个受国家支助的网络犯罪组织的积极目标。这个组织非常机智和老练,他们甚至可能在未来变换工具和攻击模式。一旦目前的攻击方法变得不那么有效,例如最近出现的木马化DeFiApp和钱包攻击。为了成功,朝鲜很可能会为该组织投入更多资源,从而扩大攻击的强度。
韦氏评级:所有DeFi贷款都是超额提供抵押:金色财经报道,韦氏评级(Weiss Crypto Ratings)发推文称,所有DeFi贷款仍然是超额提供抵押,这意味着需要抵押的资产比借入的更多。对于大多数用户来说,这是一个交易杀手,也是没有看到太多DeFi用例的原因之一。[2020/9/16]
抛开所有标标准准的网络安全建议不谈,在网络安全意识强的朋友的协助下,我提出了以下这些不完全的加密相关安全建议。希望这将防止类似事件发生在我们任何人身上。
将链上加密资产存储在企业级托管解决方案上
基于本体的DeFi项目OIN Finance因DDoS攻击推迟公募:基于本体公链的DeFi项目OIN Finance官方宣布,因遭受DDoS攻击,原定于今日晚8:00(香港时间)的公募被迫推迟,新的公募时间仍待通知。[2020/8/26]
一个硬件钱包不足以保障EOA,因为他们可以插入一个虚假的Metamask浏览器扩展,从而批准非预期的交易。至少它应该是一个GnosisSafe这样由几个硬件钱包保障的多签钱包。我强烈推荐使用Fireblocks、Copper、Qredo等更高级别的托管解决方案,因为它们自带用于交易审批的原生多签2FA钱包。
CZZ技术社区核心开发者彭松:当前Defi的热潮可能是假牛市,真正出金的人依然比较少,现在谈牛市还为时尚早:8月21日,在以“DeFi-如何抓住大潮中的机遇?”为主题的金色沙龙中,CZZ技术社区核心开发者彭松表示,根据三大交易所的入金数据,可以看到市场主要是资金的转移,而不是新资金进来。大多数是灰度基金的购买,而不是新的用户进来,所以这可能是一波假牛。这一波牛市完全是由DEX起来的,而不是Comp起来的。DEX造成了大量的锁仓,DEX的日交易量几个月前100万左右,现在没过几个月突破了2亿美金,从上百笔到现在十万笔。这更多是币圈现有资金的锁仓,交易所流动性减少造成价格上涨,还没有太多的新资金进来。要进入一个完全的牛市,必须要大量的公链共识和链上交易。比如BTC,DOGE等,虽然这是古典币圈,但是古典币圈也占了币圈三分之二的市值。它们要动起来,才能造成牛市,吸引更多的资金进来,而不是现在的假牛。
大家还处于才盈利一点的状态,现在Defi挖矿是一个假牛现象。这一波的假牛,真正出金的人还是比较少的。现在谈牛市还为时尚早,更多人资金也被套在defi挖矿循环里,可能是一个假牛的状态。[2020/8/21]
招聘远程团队要进行额外的尽职调查
招聘远程团队要进行额外的尽职调查,尤其是雇佣软件工程师或开发人员。「LazarusAPT集团甚至参与创建开发加密货币软件的虚假公司。」我们从我们的一个投资组合公司那听说,他们软件工程师职位的申请人面试时很可疑,也与他们简历中的样貌不相符。
配置专用于加密交易的计算机
应该要有专门的计算机,只用于从事加密交易,不与任何电子邮件、互联网链接、消息应用程序、MSword文档、PDF等交互。
为所有登录实施2FA
虽然不是针对加密,但也重要到要提个醒。云存储、电子邮件、Telegram等消息应用程序都应该开启2FA登录。请用Google身份验证代替短信2FA。
应尽可能使用YubiKey这样的硬件2FA钱包,公司和个人账户都是。
将常用加密DApp网站加入书签
有时候搜索引擎会搜出钓鱼网站,要是搜索过程中一个不小心,你可能就会上了一个钓鱼网站。最好通过书签列表访问加密DApp网站。
撤销不需要的Token授权
Token授权允许另一方移动你的资产,是与大多数智能合约交互的必要条件。避免无限制的Token授权,并定期撤销不必要的授权,这可以用Revoke做到。
建立一个地址监控系统
内部的加密货币钱包地址应该被密切监控,以便在未经授权的交易发生时,团队可以立即察觉并尽快采取行动。Etherscan和Nansen都提供这样的解决方案。
为团队成员定期举行网络安全培训
所有团队成员在入职时都应接受网络安全培训,但这往往随着组织发展会被忽略掉。
通过正确配置电子邮件的DNS设置,防范钓鱼和垃圾邮件
尽可能对SPF、DKIM和DMARC使用hard-fail模式或严格模式。
信任浏览器而非网站
任何浏览器栏下方的内容都可能是不安全的,是潜在的攻击媒介。如果你没有登录,一些DApp可能会弹出一个窗口,要求你登录到你的加密钱包。切勿输入密码。
原文链接
今日案例:FireDAO,变态猩球崛起,一种创新的百倍机制要说B圈今年最大的热点是什么,那DAO绝对算得上是一个焦点,DAO的出现也会推动Web3.0的进一步发展.
1900/1/1 0:00:00本文来自Coinbase,原文作者:GeorgeLiu&MatthewTurk,由Odaily星球日报译者Katie辜编译.
1900/1/1 0:00:00合約交易名词解释:钱包余额=划转入金-划转出金已实现盈亏已实现盈亏?=总平仓盈亏?总手续費总资金費用总权益=钱包余额未实现盈亏仓位保证金=运作仓位的资金.
1900/1/1 0:00:00親愛的用戶:為了給幣安用戶提供更加優質的服務及提高用户的資金利用率,幣安將推出統一賬戶計劃。該計劃將以合約錢包、現貨槓桿錢包的總資產作为保證金來計算.
1900/1/1 0:00:00作者:@0xLosingMoney编译:Amber相信对于加密世界中的每一个人来说,「RugPulls」都不会陌生。这个词很形象地描绘出了开发团队卷走用户资金跑路或者撤出流动性池资金的行为.
1900/1/1 0:00:00Gate.io將於2022年4月20日22:00~22:10進行BTC算的永續合約引擎升級,時間約爲10分鐘.
1900/1/1 0:00:00