比特幣交易所 比特幣交易所
Ctrl+D 比特幣交易所
ads
首頁 > 幣安幣 > Info

Github用戶1400枚比特幣被盜事件分析_RUM

Author:

Time:1900/1/1 0:00:00

有天,你在支付寶操作轉賬時,彈窗提示你因版本過低而導致轉賬失敗。

如果彈窗內不僅僅提示你交易失敗,還附上支付寶更新鏈接,大部分人可能都會順手點擊鏈接進行更新。

如果這個鏈接是個釣魚鏈接,直接獲取了你的轉賬權限,那么代表你賬戶內的錢也會被無情轉移。

這次,就有一個用戶遭遇了類似的情況。

北京時間8月31日,CertiK天網系統(Skynet)檢測到,Github用戶“1400BitcoinStolen”1400枚比特幣被盜事件的代幣,已開始被輸送到多個不同的地址當中。

SIX Digital Exchange 為機構推出以太坊質押:金色財經報道,SIX數字交易所(SDX)宣布推出面向機構的非托管以太坊質押服務。SDX的解決方案使機構能夠通過基于API的基礎設施安全地管理以太坊驗證節點,從而從質押中獲得收益。它正在與瑞士私人財富領域的第一個客戶簽約。

SDX最初于11月推出,目標是股票、債券和現實世界資產的代幣化,今年6月,該公司推出了包括數字資產托管和加密股權的web3服務。(ledgerinsights)[2022/8/25 12:48:14]

受害者在electrum的Githubissue中講述了自己丟失了1400個比特幣并貼出了自己的比特幣錢包地址。

Aspen Digital完成880萬美元融資:香港加密投資平臺Aspen Digital周三宣布完成880萬美元融資,雅各布·羅斯柴爾德創立的投資信托RIT Capital Partners及區塊鏈早期風投公司Liberty City Ventures領投,泰國華裔富商、《財富》雜志老板謝展跟投。Aspen Digital聯合創始人兼CEO Yang He表示,這筆錢將用于平臺開發,以及向倫敦擴張。他說:全球最古老財富管理家族投下的信任票,對于我們這個加密投資新世界的平臺解決方案,是一個很好的加持。(路透社)[2021/8/4 1:33:38]

Galaxy Digital創始人:比特幣漲勢將延續到2022年:Galaxy Digital創始人Mike Novogratz在播客上表示,隨著大銀行紛紛加入比特幣熱潮,比特幣將在未來22個月走高。他稱,“我真正確信的是,我們仍處于大型機構采用周期的早期階段,還沒有看到大銀行推出它們的產品。如果比特幣今年和明年都沒有上漲,我會感到非常驚訝。”(TheDailyHODL)[2021/2/7 19:08:41]

在區塊鏈瀏覽器(參考鏈接3)中可以看到8月30日一共1404枚BTC從他的錢包中被取出,存入了黑客的錢包中。

Real Vision已聘請Gitprime前CEO Travis Kimmel擔任總裁:據最新消息,Real Vision已聘請前Gitprime首席執行官Travis Kimmel擔任新總裁,負責監管其傳統金融產品和新的加密業務。

Real Vision由首席執行官Raoul Pal領導,他個人將98%的流動資產投資于比特幣和以太坊。該公司本身也通過BlockFi將其持有的10%的現金投入比特幣。(Decrypt)[2020/12/14 15:10:40]

事件還原與分析

該用戶使用的是Electrum比特幣錢包,上次使用是在2017年。此后Electrum已經發布了安全更新,但該用戶一直沒有安裝。

用戶在使用Electrum進行交易時,錢包會向服務器廣播一筆交易,如果這筆交易出現了問題,服務器將返回錯誤信息并以彈窗的形式展現給用戶。

3.3.2版本之前的Electrum錢包不會對服務器返回的錯誤信息進行驗證,甚至還會對返回的信息進行html渲染。

值得一提的是,任何人都可以去搭建一個Electrum節點服務器。如果一個用戶連接到了攻擊者的服務器并發起了一筆交易,服務器可以返回任何設計好的錯誤信息。比如返回一個讓用戶去更新Electrum錢包的錯誤信息,如下圖所示。

然而,圖中的鏈接指向了攻擊者自己寫的惡意軟件,一旦用戶下載安裝該軟件并把自己的錢包導入其中,錢包里所有的比特幣就會被攻擊者轉走。

這其實本質上是一種釣魚攻擊,但由于攻擊者發出的釣魚信息是通過Electrum官方錢包展示出來的,很多人都會信以為真。

在本次事件中,受害者的錢包連接上了攻擊者所控制的服務器,導致其收到了服務器發出的釣魚信息,進而被攻擊者轉走了自己的所有比特幣。

Electrum錢包存在的該問題早在2018年底就引起了廣泛討論(參考鏈接4)。

Electrum官方在2019年,錢包版本3.3.4中對該問題進行了修復,后續版本的Electrum錢包不再會將服務器返回的內容直接展示給用戶,也不會對其進行html渲染。

此外,由于舊版本的錢包仍然存在這個問題,因此所有的正常的服務器會對3.3版本之前的錢包進行拒絕服務攻擊,以強制用戶進行更新。

CertiK安全團隊建議

用戶在使用錢包進行交易的時候,需確保錢包為最新版本,已防舊版本的錢包可能存在可被黑客利用的漏洞。

用戶在下載錢包更新的時候要注意驗證下載URL是否與官方一致,在下載完成后要對錢包的簽名進行驗證。

對于錢包開發團隊,需要尋找專業團隊做好測試工作,以免項目出現漏洞給用戶帶來損失。

參考鏈接:

1.https://github.com/spesmilo/electrum/issues/5072

2.https://zhuanlan.zhihu.com/p/53920688

3.https://www.blockchain.com/btc/tx/2db616f5b4545805dc1de59bc65b21b548c0d553ab187fa1625ef73c727f1e54

4.https://github.com/spesmilo/electrum/issues/4968

5.http://twitter.com/electrumwallet/status/1106479573917724672

Tags:ELEELECECTRUMElephant Moneyelec幣怎么樣ect幣官網Trump Inu

幣安幣
區塊鏈技術本質再認知:大數據與區塊鏈數據是截然相反的存在_CARO

1、區塊鏈是信息化數字化發展到一定階段之后出現的一種反邏輯反常識的技術體系結構。傳統的信息化數字化,都在追求高效率、低損耗.

1900/1/1 0:00:00
DAO版的CoinMarketCap,DeepDAO到底是什么?_DEEP

為什么說這樣一款綜合型DAO數據分析平臺的存在不可或缺?撰文:LeftOfCenter今天,數據分享平臺DeepDAO發布了首款產品的alpha版本.

1900/1/1 0:00:00
DeFi的下半場怎么走?_EFI

9月9日,包括慢霧和派盾在內的兩家區塊鏈安全公司發布安全提醒稱:EOS上的DeFi流動性挖礦項目EMD疑似跑路.

1900/1/1 0:00:00
央行副行長范一飛:關于數字人民幣M0定位的政策含義分析_穩定幣

本文來源:中國金融新聞網,作者:中國人民銀行黨委委員、副行長?范一飛人民銀行正在穩步推進數字人民幣的研發試點工作。數字人民幣是由人民銀行發行的數字形式的法定貨幣.

1900/1/1 0:00:00
Gas費越來越離譜,以太坊開發者終于開會討論了_GAS

隨著以太坊gas費的不斷飆升,以太坊核心開發者于本周五舉行了一次會議,對一些以太坊改進協議進行了討論。會議內容包括幾個關于高gas費的討論要點以及緩解這一問題的方法.

1900/1/1 0:00:00
俄羅斯新法案:禁止比特幣礦工賺取比特幣_ATOM

據俄羅斯當地新聞媒體Izvestia今天報道,該國財政部提交的一項新法案規定,礦工接受比特幣或以太等加密貨幣的獎勵是非法的.

1900/1/1 0:00:00
ads