月亮链 月亮链
Ctrl+D收藏月亮链

ETH:Deribit 热钱包被盗 2800 万美元,钱包安全需要注意什么?_Dragon Evolution Augmented Reality

作者:

时间:1900/1/1 0:00:00

根据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,11月2日消息,加密衍生品交易平台Deribit发布公告称其热钱包被盗,资金损失2800万美元,官方称目前客户资金安全,损失将由公司储备金弥补。

BeosinTrace对本次被盗资金进行实时追踪发现,Deribit热钱包被盗的2800万美元包括6947枚ETH、691枚BTC与约340万枚USDC,随即攻击者将USDC兑换为约2133枚ETH,目前攻击者地址持有9080枚ETH与691枚BTC。被盗资金依然在0xb0606f433496bf66338b8ad6b6d51fc4d84a44cd地址中。

ETH 2.0总质押数已超2630.46万:金色财经报道,数据显示,ETH 2.0总质押数已超2630.46万,为26304588个,按当前市场价格,价值约503.13亿美元。此外,目前ETH 2.0质押总地址数已超86.92万,为869159个。[2023/7/22 15:52:17]

密码:密码不是私钥,是在创建账户时使用的密码;

私钥:一串十六进制字符,一个账户只有一个私钥且不能更改,如:0xA4356E49C88C8B7AB370AF7D5C0C54F0261AAA006F6BDE09CD4745CF54E0115A;

Christian:Azuki做法不明智,愿斥资4000万美元买下该项目:6月28日消息,加密基金NDV联合创始人、Azuki大户Christian在社交媒体上提及Azuki时表示,为了获取3800万美元的利润而毁掉价值10亿美元的项目(以及地球上最忠诚的社区)是不明智的。我愿意出价4000万美元买下整个公司。

针对网友愿意出更高价格收购该项目,Christian回复表示可以将项目拆分并使其成为真正的DAO。[2023/6/28 22:05:04]

助记词:由于私钥通常不容易记忆,所以使用算法将其转化为了一串12~24个容易记住的单词,方便保存;

Keystore:JSON编码的文件,存储的是加密后的私钥。

那些私钥泄露导致的攻击案列有哪些?

这里针对项目方的私钥安全主要有三方面:私钥破解、社会工程学攻击、生态安全。比如Ronin事件累计损失6.5亿美元、WonderHero事件累计损失2,800,000美元、MarvinInu事件累计损失350,000美元、Harmony事件累计损失100,000,000美元、Wintermute事件累计损失1.6亿美元。

外媒:贝莱德、Apollo等债权人曾为Core Scientific提供约5亿美元贷款:1月25日消息,据外媒报道,包括贝莱德(BlackRock)和Apollo Global Management在内的一组债权人通过购买其有担保的可转换票据向破产的比特币矿企CoreScientificInc.提供了约5亿美元的贷款。

这些票据的其他持有者包括投资公司Ibex Investors、Gullane Capital、ICG Advisors 和 MassMutual,最大债权人 Ibex Investors 在 2022 年 4 月份通过购买票据向 Core Scientific 提供了近 9800 万美元的贷款,并承诺向其 DIP 贷款再提供 1000 万美元。除了可转换票据外,Core Scientific 还通过其计算设备支持的贷款从加密货币贷方借入了数亿美元。( BNN Bloomberg)[2023/1/25 11:29:33]

1、私钥破解

2022年9月20日,Beosin?EagleEye安全风险监控、预警与阻断平台监测显示,加密做市商Wintermute创始人EvgenyGaevoy在社交媒体上发文表示,Wintermute在DeFi黑客攻击中损失1.6亿美元。

数据:信标链ETH2合约地址质押数超1516万枚ETH:11月21日消息,根据Tokenview链上数据监测,当前信标链ETH 2合约地址质押存款为1516万枚ETH,近一周增长约15万枚ETH。当前信标链活跃验证者数超47万。[2022/11/21 22:12:31]

之后Wintermute创始人在推特上称,其于6月份使用了Profanity工具创建钱包地址。

雅达利发行50周年纪念NFT系列“50 Years of Atari”:9月20日消息,街机鼻祖雅达利Atari宣布为庆祝该公司成立50周年,将与巴西流行文化艺术家Butcher Billy合作发行2600枚纪念NFT“50 Years of Atari”,NFT持有者有机会获得各种福利,比如赢取免费实物商品(服装、游戏机、墨盒等)、在The Sandbox中获得免费Alpha通行证、以及2600个Unstoppable Domain域名账户等,目前该系列NFT已经在OpenSea上线。(Globenewswire)[2022/9/20 7:09:07]

9月15日,根据1inchNetwork发布的报告称,Profanity工具存在密钥爆破风险。报告中提到的Profanity工具使用32位随机向量生成256位的私钥,这种方式可能存在安全风险。

首先,该工具生成私钥的算法为:

1)Profanity选取一个32位随机数,将其采用mt19937_64()填充为256位的种子私钥;

2)随后采用某种确定性密钥扩展算法将其扩展为200万个私钥;

3)计算私钥对应的公钥,并根据派生公钥进行一系列计算得到对应的以太坊地址;

4)反复「递增」,直到计算出对应的靓号地址。

攻击者提前计算出所有的密钥空间,即对应的种子私钥对应的所有公钥,并存储在哈希表中,接着从区块链浏览器上获取到某一笔交易签名,并从交易签名R、S、V值中恢复出公钥,同样将该公钥采用确定性密钥扩展算法扩展为200万个公钥,反复“递减”派生出的公钥,直到获取到种子公钥,最后再根据该值实现密钥破解。

2、针对项目方的社会工程学攻击

钓鱼攻击

1.网络钓鱼:这种方式是广撒网式的。它会向尽可能多的人发送恶意email,例如Opensea的钓鱼事件。

2.鱼叉式钓鱼:主要针对重要组织,黑客会针对重要单位的个人发钓鱼邮件。电脑一旦被入侵后,主要目的是窃取重要资料,因此会潜伏很长一段时间。只有在特定时间点,需要病或木马采取攻击行动时才会采取攻击行为暴露出来。

3.鲸钓攻击:目标是组织内的最高决策层,比如CEO,CFO等等。这些人可以获取非常有价值的信息,包括商业秘密和管理公司账户的密码。攻击者伪装成具有合法权限的个人或组织,比如向CEO发送电子邮件,假装公司的客户,请求付款。

木马攻击

有的攻击者通过Discord邀请用户参与新的游戏项目内测,或是通过群内私聊等方式发一个程序让你下载。也有邮件的形式,通常以内部系统升级等等理由,诱员工点击邮件链接下载对应升级文件。

一旦员工在电脑上运行木马,它会扫描你电脑上的文件,然后筛选出包含Wallet等关键词的文件,或者对用的敏感隐私信息上传到攻击者服务器,达到盗取资产、获取情报的目的。

3、生态安全问题

8月3日,Solana公链上Slope钱包发生大规模盗币事件,损失估算在600万美元左右。根据Solanafoundation提供的数据显示,近60%被盗用户使用Phantom钱包,30%左右地址使用Slope钱包,其余用户使用TrustWallet等,并且iOS和Android版本的应用都有相应的受害者。Beosin安全团队分析发现Slope钱包使用的Sentry服务,通过抓包发现此服务会在用户创建钱包时,将助记词和私钥等敏感数据发送到Slope的服务器o7e.slope.finance上,造成助记词或私钥泄露。

钱包安全的防范

关于钱包的安全防范,在这里我们简单聊一下钓鱼攻击。针对项目方的主要是鱼叉和鲸钓,网络钓鱼一般针对的普通用户。大家需要注意:

社交媒体信息交叉验证;使用防钓鱼插件;谨慎点击不明链接;谨慎下载不明文件。同时大额资产可存在冷钱包,以提高安全性;签名和授权方面更要注意拒绝盲签;签署交易时,反复确认签署内容;定期清理不必要的授权;进行资产交易可使用临时性钱包、网络钱包,钱包选择上面多使用主流钱包。

责任编辑:MK

标签:ETHENTSINSLOPEreth币上几个交易所Dragon Evolution Augmented RealityBusinessmanTokenSlope Finance

比特币价格热门资讯
FTX:惊魂 48 小时,FTX 究竟发生了什么?_MEDIC币

过去的48小时对加密货币来说是疯狂的。FTX是世界第三大加密货币交易所。现在,据说它资不抵债,并且正在被币安收购.

1900/1/1 0:00:00
加密货币:观点:FTX 的崩溃不应该是区块链技术来背锅_加密货币市场行情走势图

密码学和区块链是科学密码学是一种古老的信息保密技术。它拥有计算机科学主题中最强大的数学和科学基础,并拥有高度活跃(和支持)的同行评审基础设施.

1900/1/1 0:00:00
FTX:MarsBit日报 | FTX和Alameda在2022年前净亏损达37亿美元;Coinbase确认其代表灰度持有约63.5万枚BTC是安全的_CAR

MarsBitCryptoDaily2022年11月22日一、今日要闻法庭文件:FTX和Alameda在2022年前净亏损达37亿美元据福布斯援引破产法院相关动议报道.

1900/1/1 0:00:00
FTX:「FTX帝国崩塌」启示录:Crypto市场没有「逃生通道」,脆弱性早已刻入基因_SBF

覆巢之下岂有完卵。距Coindesk披露Alameda财务报表、FTX帝国走向崩塌,已过去半个月的时间,不仅SBF本人跌落神坛,由「加密领袖」沦为「行业恶棍」,VC、做市商、借贷、资管等各赛道参.

1900/1/1 0:00:00
区块链:肖风:以太坊的“上海时刻”_比特币钻石行情

2022年9月15日,以太坊将迎来它继2013年底初版白皮书发表、2015年7月主网上线之后的又一个历史时刻:“合并”。以太坊的共识机制将从工作量证明转为权益证明.

1900/1/1 0:00:00
ORD:社区运营工具盘点,教你如何使用好电报&DC 管理工具_Jeet Detector Bot

对于Web3项目而言,社区的重要性已经不言而喻,项目的成败也与社区的建设也息息相关。而针对Web3的社区,绝大部分项目都会把运营的重心放到电报和Discord两大社交平台.

1900/1/1 0:00:00