HUG:首发 | 区块链保险项目Nexus Mutual攻击事件解析_ARP

本文由CertiK供稿，授权金色财经首发。

北京时间12月14日晚5点40分，CertiKSkynet天网监控发现一笔来自NexusMutual创始者HughKarp账户的巨额交易，该交易转移共37万NXM代币到不明账户中。

CertiK安全验证团队迅速展开调查分析，认为该次交易是针对HughKarp账户的黑客攻击。

顺便给大家计算了一下

37万NXM=833万美金

事件经过

整个攻击流程如下：

攻击者账户地址为：

富达高管：对加密货币持谨慎态度但可为大客户提供服务:金色财经报道，富达的一位高管周三对《金融新闻》表示，他们对放弃任何新的加密产品持谨慎态度，并将“谨慎行事”。富达国际欧洲区董事总经理Christian Staub表示，我们不是在敲桌子告诉大家买比特币。但如果大客户想要买入，我们现在可以提供。

富达公司曾经涉足过加密货币，这家资产管理公司在2021年12月推出了加拿大比特币现货ETF，在2022年2月为欧洲机构推出了实物比特币ETP。

此前2022年4月报道称，富达将允许与之合作的2.3万名雇主在其401k投资组合中提供数字资产账户。它允许员工通过工作投资比特币，并于2022年秋季推出。[2023/5/18 15:09:53]

0x09923e35f19687a524bbca7d42b92b6748534f25

香港将发行新一批150亿港元绿色零售债券:金色财经报道，香港特区政府昨日公布，将在特区政府绿色债券计划下发行新一批不少于150亿港元的绿色零售债券，香港特区政府财经事务及库务局局长许正宇当日主持记者会表示，新一批绿色零售债券可视乎市场情况，将发行额提高至最多200亿港元。据了解，2023年，香港特区政府发行全球首批政府代币化绿色债券，显示香港为创新的债券发行形式提供灵活便利的法律和监管环境。[2023/9/6 13:21:32]

部分攻击获得代币已经通过交易

0xfe2910c24e7bab5c96015fb1090aa52b4c0f80c5b5c685e4da1b85c5f648558a

首发 | 刘尧：百度区块链推出天链平台赋能链上业务:12月20日，由CSDN主办的“2019中国区块链开发者大会”12月20日在北京举行。百度智能云区块链产品负责人刘尧以《企业区块链赋能产业创新落地》为主题进行了演讲，他指出：2020年将是区块链企业落地的元年，为了支持中国区块链的产业落地，百度将区块链进行平台化战略升级，依托百度智能云推出天链平台，就是要赋能360行的链上业务创新落地。[2019/12/20]

在1inch.exchange进行交易。

攻击交易地址：

0x4ddcc21c6de13b3cf472c8d4cdafd80593e0fc286c67ea144a76dbeddb7f3629

首发 | 《一起来捉妖》中玩家达到22级将会接触到专属猫的玩法 ?:今日腾讯上线首款区块链游戏《一起来捉妖》，经金色财经查证，游戏中玩家达到22级将会接触到专属猫的玩法，而非此前官方对外宣称的15级。除了诱猫铃铛召唤出的0代猫以及部分通过运营活动奖励的专属猫以外，游戏中所有的猫默认都是未上链状态。未上链的猫不能出售，也无法进入市场与其他玩家配对；但是你可以使用这些猫与你的QQ/微信好友进行配对，产出新的小猫。使用道具“天书笔”可以将你的猫记录到区块链。当猫被记录到区块链以后，这些猫就可以进入市场，通过配对赚取点券，或者出售赚取点券。专属猫是否上链，并不影响它的增益效果。但只有上链后，它才能面对全服务器所有的玩家进行繁殖、交易。

?

《一起来捉妖》中的专属猫玩法，基于腾讯区块链技术，游戏中的虚拟数字资产得到有效保护。此外，基于腾讯区块链技术，猫也可以自由繁殖，并且运用区块链技术存储、永不消失。[2019/4/11]

图一：攻击交易细节截图

根据官方披露细节,攻击者通过获得HughKarp个人计算机的远程控制后，对计算机上使用的Metamask插件进行修改,并误导其签署图一中的交易——这笔交易最终将巨额代币转移到攻击者的账户中。

CertiK团队根据目前已有信息，推测Hugh在日常使用Metamask时，被攻击者修改后的插件生成了这笔巨额代币的转账请求，随后Hugh使用他的硬件钱包签名了这笔交易。

作为一个应用，浏览器插件和普通网站的前端组成是相似的，它们都由HTML和JavsScript搭建而成。浏览器插件的代码会存在用户的电脑中。

关于黑客是如何修改的Metamask插件的，CertiK团队做出以下猜测:

1.黑客在获得了在HughKarp的个人电脑的控制权后，通过远程桌面打开浏览器，直接安装了修改过后的Metamask插件。

2.黑客在HughKarp的个人电脑上找到了Metamask插件的安装路径,对其中代码进行了修改,在修改完成后，将修改后的插件加载到浏览器中。

3.黑客利用浏览器自带的的命令行工具,修改浏览器安装的插件。

官方披露的细节中提到了HughKarp使用的是硬件钱包,但并未说明是哪款硬件钱包。

应是Trezor或者Ledger之一，因为Metamask只支持以上两个硬件钱包。

在使用硬件钱包的情况下，Metamask中的交易需要在硬件钱包中进行确认并使用存在硬件钱包中的私钥签名。

目前上面两款硬件钱包在硬件的确认交易时，硬件屏幕上都会显示转账接受地址，以供使用者进行最终确认。

此次攻击中，黑客应该无法修改硬件屏幕中交易确认界面显示的地址，由此推测HughKarp在硬件钱包上进行最终确认时，并未留意到交易的对象是黑客的地址。

图二：Ledger确认交易时的屏幕显示

来源:?https://www.youtube.com/watch?v=9_rHPBQdQCw

安全建议

区块链保险平台创始人账号被攻击，更是说明了保险的重要性。

高密度爆发的黑客事件是一个警示。

在区块链的网络世界中无论你是什么人，拥有怎样的角色身份，黑客不会因为你的侥幸心理就绕过你，安全事故造成的损失可能会发生在每个人身上。

而且就算使用硬件钱包，人也不可能一辈子百分之一百不犯错误。

CertiK安全验证团队根据此次攻击，提出如下安全建议：

1.任何安全系统和操作环境不仅需要程序安全验证，更加需要专业的渗透测试来对整体产品安全进行验证。

2.为了确保数字资产不因任何非技术原因遭受损失，项目方应及时为项目产品购买保险，增加项目方和投资者的安全保障方案，确保其因受到攻击所造成的损失可以被及时补偿。

标签：HUGAMAMETARPHugo FinanceAMA价格Metalblockarpa币项目进展

Filecoin热门资讯