北京時間12月14日晚5點40分,CertiKSkynet天網監控發現一筆來自NexusMutual創始者HughKarp賬戶的巨額交易,該交易轉移共37萬NXM代幣到不明賬戶中。
CertiK安全驗證團隊迅速展開調查分析,認為該次交易是針對HughKarp賬戶的黑客攻擊。
順便給大家計算了一下
37萬NXM=833萬美金
事件經過
去中心化保險項目Nsure Network已啟用面向承保人的流動性激勵:據官方消息,去中心化保險項目Nsure Network發推稱,面向承保人(Underwriters)的流動性激勵現已啟用,現在用戶可參與承保,并根據每日快照兌現NSURE獎勵。目前的APR可達513%,總質押代幣數:409754,每天獎勵代幣數為5760。[2021/4/10 20:06:09]
整個攻擊流程如下:
攻擊者賬戶地址為:0x09923e35f19687a524bbca7d42b92b6748534f25
部分攻擊獲得代幣已經通過交易
保險項目Ins3目前承保鎖倉量(TVL)突破千萬美元:據官方消息, 截止到2月20日,Ins3原創保險,承保鎖倉量(TVL)突破千萬美元。Ins3保險作為Heco和Conflux保險賽道的首發原創項目,未來將開發更多特色保險產品,完善保險生態體系。已上線“BAG下水險”,“LendHub本金保證險”“MDEX挖礦合約保證險”等特色保險產品。
Ins3保險可以全面覆蓋區塊鏈協議和去中心化組織 (DAO),為各種加密數字資產場景提供全方位的保障服務。[2021/2/20 17:34:31]
0xfe2910c24e7bab5c96015fb1090aa52b4c0f80c5b5c685e4da1b85c5f648558a在1inch.exchange進行交易。
DeFi保險項目COVER開啟Pickle Finance被盜事件賠付投票:新型DeFi保險項目COVERProtocol已開啟DeFi收益聚合協議PickleFinance被盜近2000萬美元DAI賠付投票,目前該賠付已有61張投票,均為支持賠付,已累計逾5240枚治理代幣COVER。[2020/11/22 21:39:37]
攻擊交易地址:
0x4ddcc21c6de13b3cf472c8d4cdafd80593e0fc286c67ea144a76dbeddb7f3629
DeFi保險項目Nexus Mutual總鎖定資產創歷史新高 達8960萬美金:11月18日消息,北京時間今日凌晨,DeFi保險項目Nexus Mutual發布推特,稱其總鎖定資產創歷史新高,達8960萬美金。[2020/11/18 21:09:16]
圖一:攻擊交易細節截圖
根據官方披露細節,攻擊者通過獲得HughKarp個人計算機的遠程控制后,對計算機上使用的Metamask插件進行修改,并誤導其簽署圖一中的交易——這筆交易最終將巨額代幣轉移到攻擊者的賬戶中。
CertiK團隊根據目前已有信息,推測Hugh在日常使用Metamask時,被攻擊者修改后的插件生成了這筆巨額代幣的轉賬請求,隨后Hugh使用他的硬件錢包簽名了這筆交易。
作為一個應用,瀏覽器插件和普通網站的前端組成是相似的,它們都由HTML和JavsScript搭建而成。瀏覽器插件的代碼會存在用戶的電腦中。關于黑客是如何修改的Metamask插件的,因此CertiK團隊做出以下猜測:1.黑客在獲得了在HughKarp的個人電腦的控制權后,通過遠程桌面打開瀏覽器,直接安裝了修改過后的Metamask插件。2.黑客在HughKarp的個人電腦上找到了Metamask插件的安裝路徑,對其中代碼進行了修改,在修改完成后,將修改后的插件加載到瀏覽器中。3.黑客利用瀏覽器自帶的的命令行工具,修改瀏覽器安裝的插件。
官方披露的細節中提到了HughKarp使用的是硬件錢包,但并未說明是哪款硬件錢包。應是Trezor或者Ledger之一,因為Metamask只支持以上兩個硬件錢包。在使用硬件錢包的情況下,Metamask中的交易需要在硬件錢包中進行確認并使用存在硬件錢包中的私鑰簽名。目前上面兩款硬件錢包在硬件的確認交易時,硬件屏幕上都會顯示轉賬接受地址,以供使用者進行最終確認。此次攻擊中,黑客應該無法修改硬件屏幕中交易確認界面顯示的地址,由此推測HughKarp在硬件錢包上進行最終確認時,并未留意到交易的對象是黑客的地址。
圖二:Ledger確認交易時的屏幕顯示
來源:?https://www.youtube.com/watch?v=9_rHPBQdQCw
安全建議
區塊鏈保險平臺創始人賬號被攻擊,更是說明了保險的重要性。
高密度爆發的黑客事件是一個警示。
在區塊鏈的網絡世界中無論你是什么人,擁有怎樣的角色身份,黑客不會因為你的僥幸心理就繞過你,安全事故造成的損失可能會發生在每個人身上。
而且就算使用硬件錢包,人也不可能一輩子百分之一百不犯錯誤。
CertiK前些時間發布的系列文章精確的闡述了保險的不可或缺性。
CertiK安全驗證團隊根據此次攻擊,提出如下安全建議:
1.任何安全系統和操作環境不僅需要程序安全驗證,更加需要專業的滲透測試來對整體產品安全進行驗證。
2.為了確保數字資產不因任何非技術原因遭受損失,項目方應及時為項目產品購買保險,增加項目方和投資者的安全保障方案,確保其因受到攻擊所造成的損失可以被及時補償。
用你的錢包投票。 Ledger已經失去了用戶的信任。7月份泄露的客戶信息,早已提供給那些愿意付出代價的人,而現在,這些信息是免費的.
1900/1/1 0:00:00DeFi的發展速度快得讓人吃驚,但其用戶體驗卻一直難以跟上,這給新用戶帶來了很大的障礙。目前已經有很多項目試圖在改善這種用戶體驗,比如Argent通過將資金存儲在智能合約錢包中來實現這一目的,而.
1900/1/1 0:00:00作者:秦曉峰 來源:Odaily星球日報 有些DeFi項目如果出現問題,可以通過保險挽回損失。但如果保險公司被攻擊了,又該怎么辦?28日晚上,DeFi保險項目CoverProtocol遭遇黑客攻.
1900/1/1 0:00:00相信現在很多剛踏入加密領域的新人最先接觸的概念就是DeFi了。DeFi是英文單詞DecentralizedFinance的縮寫,稱為分布式金融或去中心化金融.
1900/1/1 0:00:00Messari近日發布研報“Bitcoin2020Review:TheYeartheInstitutionsArrived”.
1900/1/1 0:00:00原文?|:TheBlockJohnDantoni?編譯:PANewsTheBlockResearch分析了123家加密貨幣現貨和衍生品交易所,這些交易所一部分是地域型的,一部分是國際化交易所.
1900/1/1 0:00:00