木星链 木星链
Ctrl+D收藏木星链
首页 > PEPE > 正文

TRU:CertiK:Github用户1400枚比特币被盗事件分析

作者:

时间:1900/1/1 0:00:00

有天,你在支付宝操作转账时,弹窗提示你因版本过低而导致转账失败。

如果弹窗内不仅仅提示你交易失败,还附上支付宝更新链接,大部分人可能都会顺手点击链接进行更新。如果这个链接是个钓鱼链接,直接获取了你的转账权限,那么代表你账户内的钱也会被无情转移。这次,就有一个用户遭遇了类似的情况。

Balancer生态收益治理平台Aura Finance已上线Arbitrum:6月21日消息,Balancer生态收益治理平台Aura Finance宣布上线Arbitrum。此前消息,Aura Finance社区已经投票通过有关在Arbitrum上进行战略跨链部署的提案。[2023/6/21 21:52:01]

北京时间8月31日,CertiK天网系统(Skynet)检测到,Github用户“1400BitcoinStolen”1400枚比特币被盗事件的代币,已开始被输送到多个不同的地址当中。受害者在electrum的Githubissue中讲述了自己丢失了1400个比特币并贴出了自己的比特币钱包地址.

CertiK:谨防Twitter上宣传的Finale空投网站:金色财经消息,据CertiK官方推特发布消息,谨防Twitter上宣传的Finale空投网站,并勿与finale.website钓鱼网站互动,该网站目前连接了一个已知的wallet drainer。[2023/6/15 21:40:10]

在区块链浏览器(参考链接3)中可以看到8月30日一共1404枚BTC从他的钱包中被取出,存入了黑客的钱包中。

Certora完成3600万美元B轮融资,Jump Crypto领投:5月17日消息,为区块链智能合约提供安全分析工具的以色列公司Certora完成3600万美元B轮融资,Jump Crypto领投,Tiger Global、Galaxy Digital、Electric Capital、ACapital、Framework Ventures、Coinfund、Lemniscap、Coinbase、VMware等参投。(The Block)[2022/5/17 3:22:59]

Balancer上线Polygon网络:7月1日消息,Balancer上线Polygon,Balancer官方表示将与Polygon合作提升DeFi流动性,降低交易费用。Balancer将会在Polygon网络进行流动性挖矿。[2021/7/1 0:20:52]

事件还原与分析

该用户使用的是Electrum比特币钱包,上次使用是在2017年。此后Electrum已经发布了安全更新,但该用户一直没有安装。用户在使用Electrum进行交易时,钱包会向服务器广播一笔交易,如果这笔交易出现了问题,服务器将返回错误信息并以弹窗的形式展现给用户。3.3.2版本之前的Electrum钱包不会对服务器返回的错误信息进行验证,甚至还会对返回的信息进行html渲染。值得一提的是,任何人都可以去搭建一个Electrum节点服务器。如果一个用户连接到了攻击者的服务器并发起了一笔交易,服务器可以返回任何设计好的错误信息。比如返回一个让用户去更新Electrum钱包的错误信息,如下图所示。

然而,图中的链接指向了攻击者自己写的恶意软件,一旦用户下载安装该软件并把自己的钱包导入其中,钱包里所有的比特币就会被攻击者转走。这其实本质上是一种钓鱼攻击,但由于攻击者发出的钓鱼信息是通过Electrum官方钱包展示出来的,很多人都会信以为真。在本次事件中,受害者的钱包连接上了攻击者所控制的服务器,导致其收到了服务器发出的钓鱼信息,进而被攻击者转走了自己的所有比特币。Electrum钱包存在的该问题早在2018年底就引起了广泛讨论(参考链接4)。Electrum官方在2019年,钱包版本3.3.4中对该问题进行了修复,后续版本的Electrum钱包不再会将服务器返回的内容直接展示给用户,也不会对其进行html渲染。此外,由于旧版本的钱包仍然存在这个问题,因此所有的正常的服务器会对3.3版本之前的钱包进行拒绝服务攻击,以强制用户进行更新。CertiK安全团队建议

用户在使用钱包进行交易的时候,需确保钱包为最新版本,已防旧版本的钱包可能存在可被黑客利用的漏洞。用户在下载钱包更新的时候要注意验证下载URL是否与官方一致,在下载完成后要对钱包的签名进行验证。对于钱包开发团队,需要寻找专业团队做好测试工作,以免项目出现漏洞给用户带来损失。参考链接:1.https://github.com/spesmilo/electrum/issues/50722.https://zhuanlan.zhihu.com/p/539206883.https://www.blockchain.com/4.https://github.com/spesmilo/electrum/issues/49685.http://twitter.com/electrumwallet/status/1106479573917724672

标签:TRURUMELECLECBEP2 TrueUSDopenaurumElectronic USDELEC币

PEPE热门资讯
EFI:DeFi流动性挖矿利益方与风险分析

近期Defi上uniswap带来的流动性挖矿热潮,成为了2020年一个突如其来的大热点,甚至在最开始的时候都没有几个人在讨论uniswap,ampleforth,compound,YFI.

1900/1/1 0:00:00
EFI:DeFi生态演变:以太坊原创,波场、EOS山寨模仿?

DeFi发展到现在,圈内外对它的态度产生了极其明显的差别:一部分人认为现在的DeFi已经明显过热,甚至离崩盘都不远了,而另一部分人的观点则截然相反,认为这波热潮才刚刚开始.

1900/1/1 0:00:00
区块链:央行邹平座:科技革命与价值函数| 2020新趋势峰会

整理|秦晓峰出品|Odaily星球日报 8月28日,「2020新区势·区块链科技金融峰会」在北京举办.

1900/1/1 0:00:00
SHI:Sushiswap“打错币”事件:我想省下Gas费,却丢了40万美元

作者|秦晓峰编辑|Mandy出品|Odaily星球日报 DeFi流动性挖矿爆红,造富神话当前,之前踏空的老韭菜也按捺不住,纷纷下场。但你永远不知道,意外和暴富,哪一个会先来.

1900/1/1 0:00:00
CELO:加密稳定币报告:稳定币市值升至175.44亿美元,EOS上的DeFi持续升温

快速预览目前,主要稳定币的市场流通市值达到175.44亿美元,与上周相比增长9.81亿美元。过去一周,Tether在以太坊上增发了2.7亿USDT,在Tron上增发了5亿USDT.

1900/1/1 0:00:00
ENT:别再洗了,好玩吧就是跑路了

七月份的时候,鉴叔写了一篇关于好玩吧的项目预警《好玩吧即将香港上市:究竟是起飞?还是跑路?》狠狠怼了好玩吧“八月香港上市”的局,并且在文末做出了大胆预测。不出意外,后台收到了很多Diss.

1900/1/1 0:00:00