據TheBlock報道,今年3月AxieInfinity側鏈Ronin跨鏈橋被攻擊導致5.4億美元資產被盜的起因,是AxieInfinity的員工接收并下載了一份PDF文檔形式的招聘offer。文檔內附有病,導致信息泄露。隨著加密世界資金量的加碼,釣魚攻擊愈發常見。去年10月AnubisDAO也發生了疑似郵箱接收PDF文檔格式的SAFT協議,導致6000萬美元被盜。那么PDF文檔釣魚攻擊要如何識破并預防呢?Web3安全從業者Serpent在其社交網站梳理了這種黑客攻擊方式。黑客通過將可執行腳本偽裝成PDF資料誘騙受害者點擊,以此盜取資產。BlockBeats將其推文翻譯整理如下。假文件擴展名騙局警告
以太坊銘文協議Ethscriptions遭遇攻擊,約123個地址損失約202枚Ethscriptions:7月17消息,對標Ordinals的以太坊銘文協議Ethscriptions創建者Middlemarch日前表示,Ethscriptions遭遇攻擊,大約123個地址在此漏洞中損失約202枚Ethscriptions。該漏洞不是Ethscriptions協議中的漏洞,而是特定智能合約中的漏洞,協議本身以及在其上運行的其他應用程序沒有受到任何影響。
漏洞發生原因在于合約無法訪問Ethscription的狀態,合約本身無法知道誰擁有某個Ethscription,用戶可能會為一個并不存在的Ethscriptions買單。避免這種利用的最直接方法是要求受信任的第三方確認哪些存款是有效的。但在這種情況下,持有能夠確認哪些存款有效的私鑰的人是單點故障。團隊想編寫一個參考實現,讓協議本身來進行確認。[2023/7/17 10:59:03]
黑客正在通過修改文件擴展名,將惡意文件偽裝成PDF,并針對藝術家、影響者和項目方進行攻擊。原理如下:案例:加密藝術家TARSIUS收到一條委托消息,并收到一個壓縮文件包,里面據稱包含了「客戶要求、示例以及草圖等資料」。當該藝術家打開這個壓縮包后,原本普通的委托就變味兒了。
Visa:新加坡消費者希望可以選擇控制他們的數據:金色財經報道,根據 Visa 最近發布的消費者數據研究,隨著新加坡消費者越來越多地在線生活,幾乎十分之八 (77%) 的人希望可以選擇控制他們的數據,而不是讓公司和政府自行決定。該研究還發現,三分之二的新加坡消費者每周都會使用購物應用程序/網站和金融服務應用程序/網站,這使他們面臨越來越多的個人數據請求。65% 的消費者幾乎每次使用在線服務時都需要提供個人數據。然而,接近四分之三 (74%) 的新加坡消費者表示,公司很少就數據收集政策或數據管理選項對他們進行教育,超過一半 (52%) 的人認為數據政策是為了保護公司的合法利益而不是他們的自己的。[2023/1/9 11:01:24]
BlockFi尋求為某些用戶重新開放提款:金色財經報道,破產的加密貨幣借貸平臺BlockFi正在尋求為將加密貨幣鎖定在錢包賬戶中的用戶重新開放提款。BlockFi于12月19日向新澤西州地區的破產法院提出動議,該動議的聽證會定于1月9日舉行。[2022/12/20 21:56:39]
ETH主網用戶必須在9月6日之前將客戶端Teku升級到v22.81:金色財經報道,Watcher.Guru發推表示,ETH主網用戶必須在 9 月 6 日之前將客戶端 Teku 升級到 v22.81,其中包括合并轉換配置。[2022/8/22 12:41:20]
打開壓縮包文件后,我們可以看到提供的示例,以及包含「客戶」草圖的PDF文件,但這不是普通的PDF文件。它實際上是一個屏幕保護程序(.scr)文件,它是一個可執行腳本,偽裝成PDF文件。
藝術家打開PDF文件查看草圖后,他的所有NFT都被上架并出售,他所有的ETH都被轉移到了騙子的錢包。篇幅所限,本文只列舉受害者部分交易。
那么黑客是如何得手的呢?他更改了文件擴展名并在末尾添加了.pdf,然后將文件的圖標更改為PDF圖標。他還用垃圾代碼填充了文件,超過了病文件本身的文件大小,以此加強迷惑性。藝術家不是這個騙局的唯一目標。最近,KOL、推廣者和項目方都被作為攻擊目標,許多人失去了對錢包和賬戶的控制權,一切都被徹底抹去。這是一種古老的Web2詐騙策略,它適用于任何和所有文件類型。如何能避免這種情況?1.不要隨意下載或打開隨機文件;2.始終檢查文件類型;3.研究和學習基本的Web2安全常識。如果您需要打開任何文件,請將它們放在GoogleDrive上并在那里查看,或使用虛擬機。我個人兩者都用。您可以通過單擊文件資源管理器頂部的「查看」,然后啟用「文件擴展名」來啟用文件類型擴展名。這將顯示所有文件的文件擴展名。
.scr文件是可執行文件,可以運行任何代碼,它基本上是一個.exe文件。他們將如何通過這種方式損害您的錢包?好吧,從這一點開始,我們可以假設您的整個PC都受到了攻擊。你所有的cookies、密碼、擴展數據,所有的東西,都被竊取了。例如,他們可以將您的MetaMask插件更改為經過修改的惡意版本,或者更簡單地說,他們可以等待您登錄并訪問您的MetaMask,他們將擁有一切。解決辦法有很多,但如果你確實中招了,你可以假設你的電腦受到了損害。我建議重置它,創建一個新錢包,并更改所有密碼。原地址
進入7月,加密資產市場發生的風險傳染仍未結束。7月4日,加密資產借貸平臺CoinLoan宣布,將用戶每日提款限額從50萬美元降低至5000美元,該平臺將原因歸咎于同類競品平臺的流動性問題引發恐慌.
1900/1/1 0:00:00頭條 以太坊完成GrayGlacier硬分叉升級Ethernodes.org數據顯示,以太坊主網已經達到并超過GrayGlacier硬分叉升級激活區塊高度15050000.
1900/1/1 0:00:00引言 自加密市場縮水近2萬億美元后,前段時間整體的上漲引發了部分市場觀察人士對于底部的猜測。鑒于歷史上加密資產有過多次集體飆升,事后又被證明不過是熊市的反彈,市場對于恐慌的拋售是否結束仍存在很多.
1900/1/1 0:00:00關鍵概要 鑒于比特幣價格下跌和能源成本上升的背景,最近幾個月,比特幣礦工的經濟效益已經受到挑戰,可能促使某些礦工關閉機器,清算比特幣儲備,和/或重新調整其成本結構.
1900/1/1 0:00:00“兄弟們!Aptos節點注冊來了,搶到就是大毛!中了就是白嫖!擼起來!”這一兩個月,推特上經常會出現這樣的內容.
1900/1/1 0:00:00去中心化自治組織是Web3時代的主要組織運行模式。基于互聯網和區塊鏈技術的DAO為企業、項目和社區提供一種獨特的民主化管理結構,其中的任何成員都可以通過購買治理代幣進行決策投票,進而參與治理.
1900/1/1 0:00:00