金色財經區塊鏈12月22日訊?鏈上互助保險平臺NexusMutual創始人HughKarp的個人錢包地址在世界標準時間12月14日星期一上午9點40分遭受到攻擊。在這次攻擊中,HughKarp被騙批準了一筆總計37萬枚NXM代幣的交易,這件事引發了加密社區的廣泛關注。
據HughKarp描述,在事發三天前的一個上午,他正在寫電子郵件,突然計算機屏幕變黑了2-3秒鐘,但很快就恢復了,當時他以為電腦可能只是發生了一些奇怪的事情,因此并沒有太在意。大約一個小時之后,他發現電腦上的磁盤受到感染,其中Metamask錢包擴展程序被黑客版本所替代。
但令人沒料到的是,HughKarp實際上直到12月14日星期一的時候才通過Metamask錢包擴展程序進行加密貨幣交易。當他想去NexusMutual應用程序提取一些挖礦獎勵的代幣的時候,MetaMask像往常一樣彈出提幣申請確認信息。但這也沒什么可奇怪的,因為每次交易都會彈出確認信息。但問題是,這個確認信息里包含了發送到Ledger的一筆欺詐性交易。結果,HughKarp不假思索地點擊了“確認”。
金色午報 | 7月22日午間重要動態一覽:7:00-12:00關鍵詞:央行、最高法、發改委、Filecoin礦工會議
1.央行下發區塊鏈金融應用評估規則。
2.央行發文規范并定義區塊鏈未提及去中心化和通證。
3.最高法、發改委:加強對數字貨幣、網絡虛擬財產等新型權益的保護。
4.Filecoin礦工會議要點總結:新增測試獎勵將分發給排名前20礦工。
5.Filecoin開發人員:大礦工測試競賽將于8月3日正式啟動。
6.比特大陸攜手云從、以薩、藍典助力云南“新基建”。
7.以太坊鏈上的手續費達到兩年內的最高位。
8.V神:即使擴容問題不再那么重要 但PoS仍很重要。[2020/7/22]
很快,這筆交易就出現在了Ledger上,而HughKarp也自然而然地在勾選交易信息后點擊了“批準”。實際上,如果HughKarp當時能檢查一下“收件人”地址和其他交易信息就可能發現其中的問題,但是由于Ledger還沒有直接支持NXM,因此交易信息中并沒有默認帶入收件人等相關可讀信息。緊接著,HughKarp就收到了MetaMask的通知提醒,告知交易已經完成,但NexusMutual應用程序仍在等待確認交易。直到這里,HughKarp才發現情況不對,于是檢查Etherscan,結果發現這筆錢轉到了黑客的地址。
金色晨訊 | USDT聽證會已結束 法官未做出裁決 稱需要更仔細地考慮:1.昨夜比特幣巨鯨轉移BTC價值超過30億美元。
2.USDT聽證會已結束 法官未做出裁決 稱需要更仔細地考慮。
3.Bitfinex:已明確表示不為紐約客戶提供服務。
4.Bitfinex:因為Tether不是證券或商品 所以法院沒有標的物管轄權。
5.斯洛文尼亞將懲罰從事加密貨幣挖礦、交易活動而未納稅的個人。
6.澳大利亞財政部新草案引入1萬澳元現金支付限額 但豁免數字貨幣支付。
7.伊朗政府已批準加密采礦作為一項工業活動。
8.Ripple致國會公開信:數字貨幣有機會補充美元等現有貨幣,而不是取代它們。
9.Tether 市值突破40億美金 主要來自以太坊平臺大規模增發。
10.臺積電獲比特大陸急單 緊急追加7納米產能。[2019/7/30]
結果就是,HughKarp把自己挖礦獎勵的錢直接發送給了黑客,這位黑客隨后將竊取的NXM代幣清算兌換成了比特幣和以太坊,接著又把這些資金分散到不同的地址和交易所。
金色財經第一期“百人圓桌”正式開啟:金色財經第一期“百人圓桌”今日正式開啟!金色財經百人圓桌將每周定期開題,精選本周最熱話題,邀請數百位區塊鏈行業頂級大咖旁征博引、論辯思證。近期EOS主網上線和安全問題幾次刷屏,為更好的幫助投資者多角度了解EOS,助推業內人士進行更多思辨,金色財經特針對“EOS系列問題”展開議題。參與者分為正、反、中三個陣營進行思維論戰。金色財經將持續播出,敬請關注![2018/6/20]
原因調查
HughKarp認為,自己犯錯的地方在于沒有檢查“收件人”地址和其他交易信息就點擊了“批準”,這起事件的主要責任在于自己,以后在交易時應該多加小心。不過,在這需要指出的是,除非交易人很熟悉加密貨幣技術,否則很難在轉賬時候仔細查看相關信息,畢竟十六進制格式的信息是很難閱讀的。就HughKarp而言,他自己本身其實擁有足夠的技術知識,也理解這些信息代表的含義,但還是犯錯了,所以普通用戶在這里很更容易疏忽,繼而造成資金損失。
金色財經現場報道 CSDN創始人蔣濤:區塊鏈技術3.0是建立區塊鏈企業和社會:金色財經現場報道,在2018區塊鏈企業級服務創新論壇暨權大師A輪融資及戰略升級發布會上,CSDN創始人蔣濤表示,區塊鏈的1.0是數字貨幣,即比特幣;2.0是智能合約,即以太坊;3.0是區塊鏈企業和社會,即DAO。[2018/4/20]
此外,他還表示自己之前一直在信任的網站獲取加密貨幣獎勵代幣,比如NexusMutualAPP,因為畢竟在官方平臺上交易風險會比較低。但從本次黑客攻擊事件中發現,不管是不是可信站點,也不管交易價值是多少,每次確認交易之前都必須仔細檢查信息。
目前,HughKarp已經啟動調查本次黑客事件,希望能在社區的幫助下追蹤資金。根據HughKarp判斷,由于當時使用的是連接到Ledger的Metamask錢包,通過NexusMutual應用程序進行交互,電腦是Windows操作系統,因此目前Ledger上的私鑰是安全的,NexusMutual智能合約和資金也都沒有受到影響,這次事件應該只是一次個人攻擊。
金色財經訊:11月10日,迅雷推出玩客幣錢包IOS版。[2017/11/10]
此外,由于HughKarp不是開發人員,但他的瀏覽器已進入開發者模式,因此可以判斷這個操作很可能是由黑客執行的。而在調查過程中,他們還發現其他受害者也遭到了類似的攻擊,并與之進行了聯系。不過,本次攻擊似乎具有很高的針對性,因為黑客并沒有拿走受害者可能擁有的全部NXM代幣,所以HughKarp認為是黑客已事先為他專門部署了準備好的交易負載。
值得一提的是,這個黑客非常厲害,而且非常有才華,很可能是一個或多個來自大型技術團隊的成員。通過調查人員在Telegram上與一位黑客的簡短對話發現,基于他們的交易活動,這個黑客很可能身處在亞洲時區。而此后,估計攻擊事件還可能會持續發生,而且會影響越來越多人。
不僅如此,與過去大多數MetaMask黑客攻擊都是誘使用戶下載包含惡意代碼的虛假程序版本,然后竊走用戶私鑰不同的是,HughKarp的計算機已經損壞,磁盤里的MetaMask應用程序被篡改,這意味著瀏覽器擴展程序出現問題時不會出現警告信息。據了解,這個惡意擴展配置是從coinbene.team獲取的,調查人員也從這個域名追蹤到了一些IP地址。
來自HughKarp的忠告
一般來說,MetaMask的確是許多黑客攻擊的目標,但即便HughKarp已經非常謹慎地從正規渠道下載程序了,但他的電腦還是被感染了。所以如果想規避此類問題發生,可以盡量將資金分配到不同賬戶,這樣可以最大程度減少損失。此外,在簽名之前務必檢查一下硬件錢包的交易信息,尤其是在與智能合約交互的時候。可以參考下那些比較熟悉DeFi行業的用戶的做法,他們由于不太信任MetaMask,甚至會專門拿出一臺“干凈”的計算機來運行MetaMask,這臺設備只用來簽署交易,其他什么都不做。
目前相關調查工作已經過去一周時間了,HughKarp甚至還不知道自己的計算機是如何被入侵的。而來自殺軟件提供商卡巴斯基的專家已經在被感染的計算機上花費了大量時間允許完整診斷程序,不過目前還沒有任何結果,這項工作仍在進行中。而且到目前為止,只是在Etherscan上標記了黑客地址,但沒有任何有關黑客的開源情報,后續仍有許多事情要處理。
接下來,HughKarp將會拿出一部分募集到的資金,并將其捐贈為賞金,用于支持用戶體驗和安全性提升工作,以此鼓勵更多人開發個人錢包安全解決方案,并推動技術進步。
有意思的是,HughKarp還向黑客寫了一份公開信。在信中,HughKarp表達出了對黑客的敬意,同時勸說黑客可以利用自己出色的工作能力成為白帽黑客中的一員,出于正確的理由從加密貨幣社區中獲得一些榮譽,并且通過合法途徑賺錢,而不是把不義之財發送給幕后老板。
本文部分內容來自于Medium
Tags:ARPKARHUGAMASMagikarp FinanceKARATE價格HUGO價格MetaMask最新版官方下載
如果要說今年的Defi市場,那便不得不提Compound,因為它一句“借貸即挖礦”的口號,而成了流動性挖礦爆發的起點。它的意義,就像打響了武裝革命起義的第一槍一樣重要.
1900/1/1 0:00:00日線:日線再次收陰,今天大概率會繼續做空,但是強度肯定不會跟昨天一樣!畢竟經過一天連續三次的千點瀑布,能量宣泄的一干二凈,今天更加傾向于震蕩.
1900/1/1 0:00:00亞投所IACN投顧鏈發行方案IACN發行總量恒定為10億個,且保證永不增發。發行方案如下:1、市場眾籌母幣:1%,1000萬枚。2、生態挖礦:99%,99000萬枚.
1900/1/1 0:00:00親愛的用戶: DigiFinex于2020年12月12日18:00-2020年12月16日18:00(GMT8)舉辦的“波卡生態專區上線DigiFinex”活動現已圓滿結束.
1900/1/1 0:00:00親愛的BKEXer: 為慶祝FITE上線BKEX,BKEX現聯合FITE舉辦交易大賽活動,詳情如下: 一、活動時間 2020年12月23日15:00-12月30日15:00 二、活動規則 1.F.
1900/1/1 0:00:00“很多持有DOT的人都會選擇進行提名,來獲得更多DOT收益。但是怎樣選擇提名人才能在安全的同時賺更多錢呢?答案都在這篇PolkadotWiki的提名指南中.
1900/1/1 0:00:00