INE:金色觀察丨盜取45億美元女黑客的社會學工程課_Ethfinex Nectar Token

近日驚爆加密貨幣圈的大新聞就是美國司法部成功追蹤并逮捕了2016年盜取bitfinex近12萬枚比特幣的黑客HeatherMorgan和IIyaLichtenstein。加密圈這兩天一直在猜測黑客是如何入侵bitfinex的，加密貨幣KOLEricWall2年前曾在紐約聽過女黑客的社會工程學演講，他發長推講述了對女黑客演講的觀感和見聞。

我從HeaterReyhan處得到的主要收獲是在@tarunchitra的紐約沙龍的演講“如何將社會工程運用到任何事物”。

Heather解釋了社會工程如何利用人們的認知偏見：“觸發人們做他們已經編程好要做的事情”。

給出“白/灰帽黑客”的例子，例如AirBnB創始人在冷電子郵件/打電話預訂時假裝是自己的經紀人。

Heather顯然不是一個笨蛋。這顯然是一個聰明人給出的演講。

她說話的方式和關于她專業領域的推理表明，她有相當體面的社交技能、幽默感和謙遜感。

共為2020?| 金色財經CEO安鑫鑫：共話區塊鏈行業下一個十年的發展與突破:金色財經現場報道，2020年6月21日，由金色財經主辦的共為2020·區塊鏈創新應用論壇在深圳拉開帷幕。本次會議由幣核科技冠名贊助、HBTC作為戰略合作企業。金色財經CEO安鑫鑫現場進行《共為·2020》歡迎致辭指出，2020注定是不平凡的一年，全球范圍疫情席卷，打破了正常經濟運行節奏，帶來了巨大的不確定性，對許多行業造成了不同程度的沖擊。困境逼迫我們進化。危與機并存，此時是危險的時刻，是生死攸關的時刻，更是測試決策能力的時刻，危中有機，在逆境尋找逆勢上揚的機會。我們今天的大會主題叫“共為2020”，我們希望與更多同仁志士，共襄時勢，共謀發展，創新突破，大有可為。本次大會圍繞“區塊鏈應用創新”這一方向，從洞察、破局、創新、搶灘四個緯度的10個熱點話題展開深入探討，共話區塊鏈行業下一個十年的發展與突破。更多詳情見原文鏈接。[2020/6/21]

如果你無法將此與她的超現實主義說唱身份“Razzlekhan”相吻合，請閱讀她《福布斯》專欄中的以下段落。

在過去的幾天里，我從加密推特中看不明白的是，為什么都說“Razzlekhan”明顯不勝任她的能力。愚蠢=經常有智慧的強烈跡象

BTC減半倒計時｜金色財經挖礦收益播報:金色財經報道，據OKEx礦池數據顯示，下一次BTC減半日期預計為2020年5月13日，今天距此還有25天。BTC當前塊高626347，下一次減半塊高630000。

今日全網算力約118.69EH/s，全網難度約14.72T，預測下次難度16.30T（10.77%），距離調整還剩還有4天，今日BTC收益：0.00001709BTC/T/天。[2020/4/17]

她毫不掩飾自己在生活中使用社會工程的事實。舉例說明她滲透到的地方。

她提到在埃及爬籬笆，使保安讓她和朋友參觀受限的宮殿，而不是把她趕出去。

我不知道Heather和Ilya是否是黑客，誰都想知道。他們完全控制私鑰的事實當然意味著一些參與。

但他們也可以從真正的黑客那里偷走/找回它，也可以直接參與了黑客攻擊。

以下是昨晚一些有趣的聊天

MikeBelshe-BitGo聯合創始人兼首席執行官

Ben·Davenport-BitGo聯合創始人兼首席技術官

ZaneTacket-?社區主任@bitfinex，Zane是黑客攻擊期間處理所有公共通信的人

現場 | 金色財經頒發“2019最佳區塊鏈研究中心”獎 共11家企業獲獎:2019年12月27日，由金色財經主辦的“與時共創”頒獎盛典在京舉行。金色財經“與時共創”對2019最佳區塊鏈研究中心進行評選，經評委的評選，火幣研究院、TokenInsight、鏈塔智庫、標準共識、OK Research、鯨準研究院、京東數科研究院、南京大學信息管理學院眾享科技區塊鏈實驗室、哈爾濱工業大學區塊鏈研究中心、TokenGazer、西南財經大學中國區塊鏈研究中心等十一家企業獲“2019最佳區塊鏈研究中心”獎項。

本次活動邀請到國內外百余家知名區塊鏈企業、300多名行業領袖、眾多產業上下游服務機構代表等業界知名人士共同見證此次頒獎盛典。金色財經“與時共創”活動邀請到40余名資深行業專家作為專業評選團，結合網絡投票進行綜合評審，通過不同的獎項，對各個企業對實現賦能實體創新引領行業未來發展的努力進行表彰，實現與時代共同探索區塊鏈，共創行業美好藍圖。[2019/12/27]

金色午報 | 12月13日午間重要動態一覽:7:00-12:00關鍵詞：央行、閃電網絡、ETC硬分叉、孫宇晨、Tezos

1.央行海北州支行：投資人需防范虛擬貨幣詐騙套路。

2.山東省副省長：要運用區塊鏈等技術對傳統制造業進行升級。

3.巴塞爾銀監會就審慎規管加密資產問題征求意見。

4.閃電網絡已完成多路徑支付互操作測試，支持更大額比特幣交易。

5.ETC Core舉行開發者會議確定Agharta硬分叉高度。

6.深圳前海稅務局：將持續推廣區塊鏈電子發票。

7.孫宇晨微博新號“孫宇晨老師”被封禁。

8.知情人士：平安壹賬通IPO定價位于指導區間高端，籌集3.12億美元。

9.Tezos市值11.25億美元，重回第十，現報1.7美元。[2019/12/13]

上一張截圖很有趣。@mikebelshe提到，是@bitfinex的系統被破壞了，而不是@BitGo，但@tackettzane似乎暗示BitGo至少也是有錯的。

好奇從未寫過尸檢。也許里面有隱情......尷尬嗎？

加密推特上的人們似乎已經認定，黑客攻擊是以非常復雜的技術方式發生的，但沒有證據表明這一點。

金色晨訊 | 美國證交會主席：數字資產在充分去中心化后可能不會被視為證券:1.日本CGTF：現在錢包服務未必具有高收益性。

2.WOGC組織前副主席：聯合國組織正利用區塊鏈技術達成可持續發展目標。

3.以太坊伊斯坦布爾硬分叉新進展：升級版本或將在10月上線。

4.阿聯酋銀行聯合會主席：有必要制定法規管理加密等金融技術及其后續發展。

5.韓國專利廳：將盡快為區塊鏈等新技術制定專利授予標準。

6.美國證交會主席：數字資產在充分去中心化后可能不會被視為證券。

7.恒生電子旗下子公司發布結合區塊鏈技術的商品交易服務平臺。

8.SingularityNET（AGI）與平安保險在AI方面達成合作意向。

9.長沙市委常委：區塊鏈等技術已與經濟、政府職能等融為一體。[2019/3/18]

如果你狡猾，人們似乎也忘記了社交工程有多強大。大量重大黑客通過社會工程發生......

事實上，我認為@mikebelshe幾乎揭示了當他說“andpeople”時，黑客攻擊涉及重要的人的因素，BitGo沒有被黑客入侵。

聽起來有人耍了手腕......而不是這里大多數人似乎想象的“緩沖溢出有效載荷黑客”

通常，當涉及0day漏洞等的黑客*技術上非常復雜時，目標會分享盡可能多的細節。

如果他們不分享細節，更有可能以他們不引以為豪的方式發生。

回到談話中。

Heather提到她通過社交工程認識的人。有照片拼貼畫。我們可以看到JohnMcAfee第一排，第三列。

她還提到了與這樣的人快速建立融洽關系的技巧。

她列舉了一些如何影響他人的例子。

-?奉承

-對他們有用

-?賄賂

-?恐懼

出于某種原因，她強調了最后一個。她說，讓別人處于報警的風險下，但如果你巧妙地這樣做，它可以很好地工作......

她談到首先在網上對目標進行盡可能多的研究。比如目標地區地圖。公司組織結構圖看起來像什么。跟蹤人們的社交媒體。找出他們的喜好/厭惡。

Bitfinex首席技術官PaoloArdoino正在閱讀此長帖，并剛剛補充說，黑客是如何攻擊成功的，可能值得寫一本書。

我希望人們停止問這個問題。*沒有*證據表明私鑰在云存儲中未加密。我已經發了這條推文。

一些進一步的解釋，因為人們似乎可以放棄任何設法黑客入侵Bitfinex的人一定是超級人的想法

你不能接受黑客不完美嗎？老實說，一個真正有才華的人不需要犯下冒險罪行就能實現他們的目標......

此外，在云存儲中保留包含私鑰的加密文件并不愚蠢！當然，這增加了一定程度的風險，但如果加密良好，它不一定會導致黑客攻擊......

聯邦調查局首先通過區塊鏈追蹤他們，發現他們使用@bitrefill等服務與他們的*個人電子郵件*，將東西訂購到他們的*家庭地址*。這，如果有的話，比上面要笨得多。聯邦調查局知道他們是誰。

在聯邦調查局知道他們是誰后，他們沒收了所有設備。分析設備。也許他們發現某個地方不小心記錄了部分密碼，并強硬地執行其余密碼。也許他們找到了完整的密碼。無論如何，錯誤已鑄成，*沒有*在云上擁有加密

或者也許演出結束后，他們甚至故意放棄了密碼？正如@udiWertheimer所說，聯邦調查局已經抓住了他們，并有證據表明是他們。同樣，錯誤被抓住了。

無論如何，回到Heather。她提到了如何使用研究中的信息建立融洽關系的示例。也許你碰巧站在你研究過的一些他們喜歡的食物等。

我的解釋：基本上是巴尼·斯丁森風格的追求目標。

TomTrevethan說bitfinex被攻擊是因為有bitfinex員工并打開收到自己寵物狗被撞傷的郵件導致的，這是我個人之前從未聽說過的事情

這些是非常常見的社會工程技術。

比如，你可以穿上雜工的衣服，走進一家繁忙的商店，看起來像你屬于這幾位商店，然后開始把昂貴的衣服從大樓里搬出來，說你在修理什么東西什么的。

她提到，她個人最喜歡的衣服之一是分層衣服，因為你可以邊走邊改變外觀，并提到你可以用圍巾做些事情來瘋狂地改變自己。

她講述了搞砸的個人故事，比如試圖通過閱讀門衛保存的名單來進入某個地方，并意外+無意中試圖冒充一個大個子男人。

聽起來她對此非常熱情，并在野外嘗試了很多

這張PPT笑死我了。

它現在分為練習，這些練習將基于Heather實際經歷的現實生活中略微調整的隱私情況。

有人問她為什么要這樣做，她回應“挑戰它”。

演講結束她講述了一些故事，還提到了她的朋友做了什么，以及她的朋友是如何相互扮演的——例如，如果一個人被抓住了，他們就變回真的自己。

這很有趣，因為聽起Heathe可能是某種黑客/社交工程師集體娛樂的一部分，這表明她可能不是單獨攻擊bitfinex，而是這樣做的團隊的一員。

最后，她被問及道德問題。她講道，對她來說，“目的證明手段的合理的性”，并以“我想說我有自己的道德規范”結尾。

當年演講視頻地址：Youtu.be/JmahJCWJ8iM

Tags：區塊鏈BITITFINE區塊鏈上班都是干什么的yibitcoinFITFI幣Ethfinex Nectar Token

Filecoin