根据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,11月2日消息,加密衍生品交易平台Deribit发布公告称其热钱包被盗,资金损失2800万美元,官方称目前客户资金安全,损失将由公司储备金弥补。
BeosinTrace对本次被盗资金进行实时追踪发现,Deribit热钱包被盗的2800万美元包括6947枚ETH、691枚BTC与约340万枚USDC,随即攻击者将USDC兑换为约2133枚ETH,目前攻击者地址持有9080枚ETH与691枚BTC。被盗资金依然在0xb0606f433496bf66338b8ad6b6d51fc4d84a44cd地址中。
StarkWare:已开始实施Starknet全节点扩展,3个全节点将取代Feeder网关:8月21日消息,StarkWare发推称,已扩展全节点实施选项,旨在进一步遵循开源和网络组件多样性原则并推动网络去中心化,Starknet Feeder网关是一个中心化访问点,此前主要用于查询定序器并了解链状态,但是一个暂时性的解决方案,目前支持Starknet的JSON RPC协议的全节点已经成熟,因此Feeder网关将会被三个全节点取代,分别是:Papyrus(由StarkWare编写的Starknet全节点)、Pathfinder(由Rust编写的Starknet全节点)、以及Juno(由go-lang编写的Starknet全节点),这些全节点支持JSONRPC协议并且可以与Starknet状态进行交互,以增强网络结构的可靠性和安全性。[2023/8/21 18:12:38]
Eco Online Global Services推出“Eco Trader”APP,支持BTC、ETH、USDT交易:9月11日消息,Eco Online Global Services宣布推出新的交易应用程序——“Eco Trader”APP,允许用户安全、快捷地交易BTC、ETH、USDT和礼品卡以换取奈拉(尼日利亚法币)。此外,未来可能会推出新平台“Ecotfx”,目前还没有发布。Ecotfx将配备BTC、ETH、USDT和礼品卡自动交易流程,可自动兑现、支付账单等。据了解,Eco Online Global Services提供采购和运输服务,旨在弥补小规模尼日利亚进口商和外国卖方/供应商之间的差距,为在国外购买货物提供支付服务,并代表尼日利亚买方(进口商)从国外(中国、美国、意大利、英国等)运送所有类型的货物到尼日利亚。(Naija News)[2021/9/11 23:17:42]
密码:密码不是私钥,是在创建账户时使用的密码;
Bitget与Sirius Trader达成战略合作:据官方消息,Bitget宣布与Sirius Trader达成战略合作。Sirius Trader是一种虚拟货币交易软件,用户只需进行极为简单的操作,即可通过选择技术指标和各种条件来创建属于自己的虚拟货币交易策略。用户不需要任何编程背景和知识,也无需进行复杂操作,即可轻松启动虚拟货币的自动交易。合作后,Bitget平台将通过Sirius Trader为平台用户提供更为简洁智能的交易方式,也将帮助更多新入门用户提供交易便利。据悉,Sirius Trader母公司Coinbus位于东京,致力于为现货市场和期货市场的用户提供系统化自动交易工具。[2020/10/13]
私钥:一串十六进制字符,一个账户只有一个私钥且不能更改,如:0xA4356E49C88C8B7AB370AF7D5C0C54F0261AAA006F6BDE09CD4745CF54E0115A;
ThunderCore与台北市政府网络投票平台i-Voting实现技术集成:据官方消息,ThunderCore与台北市政府网络投票平台i-Voting已实现技术集成,集成后,2020年6月1日第一天的民意数已超19,400票。通过ThunderCore的技术,大众可随时在指定的ThunderCore Scan纪录平台上看到公开纪录,从而避免曾有的灌票,人工验票失误等问题。
ThunderCore(TT 链)是一个区块链公链平台,由业内研究人员和工程师创立,其本地通证为TT币。ThunderCore 的服务器完全公开、去中心化,并具备容错机制。ThunderCore 通过解决可使用性和技术应用的难题,从而推动区块链技术的广泛应用。[2020/6/3]
助记词:由于私钥通常不容易记忆,所以使用算法将其转化为了一串12~24个容易记住的单词,方便保存;
Deribit:过去24小时共交易82000份以太坊期权合约:衍生品交易所Deribit刚刚发推称,skew数据显示,其平台上的以太坊期权未平仓合约(OI)和交易量激增,过去24小时共交易了82000份以太坊合约。[2020/5/30]
Keystore:JSON编码的文件,存储的是加密后的私钥。
那些私钥泄露导致的攻击案列有哪些?
这里针对项目方的私钥安全主要有三方面:私钥破解、社会工程学攻击、生态安全。比如Ronin事件累计损失6.5亿美元、WonderHero事件累计损失2,800,000美元、MarvinInu事件累计损失350,000美元、Harmony事件累计损失100,000,000美元、Wintermute事件累计损失1.6亿美元。
1、私钥破解
2022年9月20日,Beosin?EagleEye安全风险监控、预警与阻断平台监测显示,加密做市商Wintermute创始人EvgenyGaevoy在社交媒体上发文表示,Wintermute在DeFi黑客攻击中损失1.6亿美元。
之后Wintermute创始人在推特上称,其于6月份使用了Profanity工具创建钱包地址。
9月15日,根据1inchNetwork发布的报告称,Profanity工具存在密钥爆破风险。报告中提到的Profanity工具使用32位随机向量生成256位的私钥,这种方式可能存在安全风险。
首先,该工具生成私钥的算法为:
1)Profanity选取一个32位随机数,将其采用mt19937_64()填充为256位的种子私钥;
2)随后采用某种确定性密钥扩展算法将其扩展为200万个私钥;
3)计算私钥对应的公钥,并根据派生公钥进行一系列计算得到对应的以太坊地址;
4)反复「递增」,直到计算出对应的靓号地址。
攻击者提前计算出所有的密钥空间,即对应的种子私钥对应的所有公钥,并存储在哈希表中,接着从区块链浏览器上获取到某一笔交易签名,并从交易签名R、S、V值中恢复出公钥,同样将该公钥采用确定性密钥扩展算法扩展为200万个公钥,反复“递减”派生出的公钥,直到获取到种子公钥,最后再根据该值实现密钥破解。
2、针对项目方的社会工程学攻击
钓鱼攻击
1.网络钓鱼:这种方式是广撒网式的。它会向尽可能多的人发送恶意email,例如Opensea的钓鱼事件。
2.鱼叉式钓鱼:主要针对重要组织,黑客会针对重要单位的个人发钓鱼邮件。电脑一旦被入侵后,主要目的是窃取重要资料,因此会潜伏很长一段时间。只有在特定时间点,需要病或木马采取攻击行动时才会采取攻击行为暴露出来。
3.鲸钓攻击:目标是组织内的最高决策层,比如CEO,CFO等等。这些人可以获取非常有价值的信息,包括商业秘密和管理公司账户的密码。攻击者伪装成具有合法权限的个人或组织,比如向CEO发送电子邮件,假装公司的客户,请求付款。
木马攻击
有的攻击者通过Discord邀请用户参与新的游戏项目内测,或是通过群内私聊等方式发一个程序让你下载。也有邮件的形式,通常以内部系统升级等等理由,诱员工点击邮件链接下载对应升级文件。
一旦员工在电脑上运行木马,它会扫描你电脑上的文件,然后筛选出包含Wallet等关键词的文件,或者对用的敏感隐私信息上传到攻击者服务器,达到盗取资产、获取情报的目的。
3、生态安全问题
8月3日,Solana公链上Slope钱包发生大规模盗币事件,损失估算在600万美元左右。根据Solanafoundation提供的数据显示,近60%被盗用户使用Phantom钱包,30%左右地址使用Slope钱包,其余用户使用TrustWallet等,并且iOS和Android版本的应用都有相应的受害者。Beosin安全团队分析发现Slope钱包使用的Sentry服务,通过抓包发现此服务会在用户创建钱包时,将助记词和私钥等敏感数据发送到Slope的服务器o7e.slope.finance上,造成助记词或私钥泄露。
钱包安全的防范
关于钱包的安全防范,在这里我们简单聊一下钓鱼攻击。针对项目方的主要是鱼叉和鲸钓,网络钓鱼一般针对的普通用户。大家需要注意:
社交媒体信息交叉验证;使用防钓鱼插件;谨慎点击不明链接;谨慎下载不明文件。同时大额资产可存在冷钱包,以提高安全性;签名和授权方面更要注意拒绝盲签;签署交易时,反复确认签署内容;定期清理不必要的授权;进行资产交易可使用临时性钱包、网络钱包,钱包选择上面多使用主流钱包。
责任编辑:MK
引言:日益增长的趋势 在SWIFT学院最近发布的一份报告《定义数字资产》中,拉夫堡大学商业和经济学院教授AlistairMilne将数字资产定义为“?在共享加密安全账本上直接持有和转移的价值记录.
《请回答Web3》第二篇:为什么说开源社区是DAO的雏型?理解开源,理解Web3,理解世界。我这一次将继续拾起《请回答Web3》系列,分享第二篇:为什么说开源社区是DAO的雏型?我们会探讨「当今.
10月31日,在今年香港金融科技周上,香港特区政府发布了《有关香港虚拟资产发展的政策宣言》,阐述其在发展虚拟资产行业和生态系统而制定的政策立场和方针.
今年8月,Telegram??创始人??PavelDurov在Telegram上称,基于TON拍卖钱包用户名的成功案例,想要为其?7亿用户推出Telegram用户名拍卖功能.
公共物品在任何大规模生态系统中都是一个非常重要的话题,但通常也是一个难以定义的话题。这里有三种不同的定义:经济学家:非排他性和非竞争性物品,这两个技术术语合在一起意味着很难通过私有财产和基于市场.
MarsBitCryptoDaily2022年10月18日 一、今日要闻 AptosLabs宣布启动其区块链主网AptosAutumnAptosLabs于周一宣布启动其区块链主网AptosAut.