木星链 木星链
Ctrl+D收藏木星链
首页 > KuCoin > 正文

INT:Deribit 热钱包被盗 2800 万美元,钱包安全需要注意什么?

作者:

时间:1900/1/1 0:00:00

根据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,11月2日消息,加密衍生品交易平台Deribit发布公告称其热钱包被盗,资金损失2800万美元,官方称目前客户资金安全,损失将由公司储备金弥补。

BeosinTrace对本次被盗资金进行实时追踪发现,Deribit热钱包被盗的2800万美元包括6947枚ETH、691枚BTC与约340万枚USDC,随即攻击者将USDC兑换为约2133枚ETH,目前攻击者地址持有9080枚ETH与691枚BTC。被盗资金依然在0xb0606f433496bf66338b8ad6b6d51fc4d84a44cd地址中。

某巨鲸过去一周从Binance和Gate提出约2.6万枚ETH后进行质押:金色财经报道,据Lookonchain监测,某巨鲸地址过去一周从Binance和Gateio中提取26,132枚ETH(约合5000万美元),随后将ETH进行质押。[2023/6/25 21:59:14]

密码:密码不是私钥,是在创建账户时使用的密码;

私钥:一串十六进制字符,一个账户只有一个私钥且不能更改,如:0xA4356E49C88C8B7AB370AF7D5C0C54F0261AAA006F6BDE09CD4745CF54E0115A;

Luna Classic计划于3月31日升级v2.0.0,计划引入AI功能:3月30日消息,Terra Luna Classic核心开发组Joint L1 Task Force提交了第二季度的计划和预算,其中一项是计划于3月31日升级Luna Classic v2.0.0,其中包含对Cosmos SDK v0.45.13和Tendermint v34.24的升级,以及测试v2.0.0升级和构建测试网,为Ziggy USTC repeg和部署v2.1.0提供技术建议和开发支持。社区已表示支持Joint L1 Task Force小组的Q2计划。核心开发人员和教授Edward Kim表示,该升级对于推进将AI功能引入Terra Classic链的计划是必要的。

Edward Kim此前曾暗示将在链上引入人工智能(AI) 和机器学习 (ML) 解决方案。[2023/3/30 13:35:52]

助记词:由于私钥通常不容易记忆,所以使用算法将其转化为了一串12~24个容易记住的单词,方便保存;

部分Genesis索赔被以面值的25%至35%售出:金色财经报道,Xclaim的首席战略官Andrew Glantz表示,在Genesis申请破产之后,已确认了三笔索赔交易,平均价值超过100万美元,在面值的25%至35%之间。周二的一份文件显示,一笔400万美元的索赔被卖给了Jefferies Leveraged Credit Products LLC。

据悉,Xclaim是专注于提供交易加密索赔的平台。此前消息,1月20日,Genesis及其贷款子公司提交第11章破产申请文件。[2023/2/3 11:44:09]

Keystore:JSON编码的文件,存储的是加密后的私钥。

那些私钥泄露导致的攻击案列有哪些?

这里针对项目方的私钥安全主要有三方面:私钥破解、社会工程学攻击、生态安全。比如Ronin事件累计损失6.5亿美元、WonderHero事件累计损失2,800,000美元、MarvinInu事件累计损失350,000美元、Harmony事件累计损失100,000,000美元、Wintermute事件累计损失1.6亿美元。

AEX:拟每月将部分平台资产打折转让给客户以换取AUSD销毁:1月8日消息,加密交易平台 AEX 发布《平台情况说明及解决方案 (2)》,称当前部分平台高管的强制措施仍未解除,预计短期内不具有解除的可能性。并在此前「软性兑付」方案的基础上增加方案 2,以进一步增加客户的选择空间,加快客户的资金回流速度。具体措施包括:

1. AEX 会委托第三方律所及第三方管理公司,在遵从可税性、合法性的前提下,将部分回款预期相对能预知的项目权益,以较低折扣转让给客户(一般为 2-4 折),法币交割。(据悉,资产包括影视作品票房收益权、将要上市的企业股票等期限、回报都相对有预知范围的资产。)

2. 参与前提是客户实名签署权益购买合同、完成《合格投资者问卷》、并按规则发送指定数量的 AUSD 至黑洞地址销毁(根据项目不同而不同)以获得抢购资格,每个项目发布时,会在项目公告中,单独约定销毁所需的 AUSD。

3. 项目及参与方式由第三方公司通过公众号发布(预计 1 月中旬发布首个项目),每个项目拟支持 1-49 人参与,客户通过联系客户经理完成合同事项,如最终本项目参与人数超过 49 人,则以销毁 AUSD 时间在先的客户为准,预计每月会推出 1-2 个项目,客户可以选择性参与。[2023/1/8 11:01:18]

1、私钥破解

Kraken高管:NFT将像10年前的比特币一样具有颠覆性和创新性:金色财经报道,澳大利亚加密货币交易所Kraken的总经理Jonathon Miller表示,尽管NFT的市场活动和销售量在9月份有所放缓,但我们仍然看到机构层面的积极采用信号,以及使用案例的持续增长。他说,该公司仍然“看好NFT空间”,并相信它将“像10年前的比特币一样具有颠覆性和创新性”。

不过他也承认NFT行业仍然“处于起步阶段”,大规模采用的最大障碍是“噩梦般的用户体验”,他说“很难对那些想要数字艺术的人说,你必须安装一个钱包,你必须加入交易所。(Cointelegraph)[2022/10/14 14:27:39]

2022年9月20日,Beosin?EagleEye安全风险监控、预警与阻断平台监测显示,加密做市商Wintermute创始人EvgenyGaevoy在社交媒体上发文表示,Wintermute在DeFi黑客攻击中损失1.6亿美元。

之后Wintermute创始人在推特上称,其于6月份使用了Profanity工具创建钱包地址。

9月15日,根据1inchNetwork发布的报告称,Profanity工具存在密钥爆破风险。报告中提到的Profanity工具使用32位随机向量生成256位的私钥,这种方式可能存在安全风险。

首先,该工具生成私钥的算法为:

1)Profanity选取一个32位随机数,将其采用mt19937_64()填充为256位的种子私钥;

2)随后采用某种确定性密钥扩展算法将其扩展为200万个私钥;

3)计算私钥对应的公钥,并根据派生公钥进行一系列计算得到对应的以太坊地址;

4)反复「递增」,直到计算出对应的靓号地址。

攻击者提前计算出所有的密钥空间,即对应的种子私钥对应的所有公钥,并存储在哈希表中,接着从区块链浏览器上获取到某一笔交易签名,并从交易签名R、S、V值中恢复出公钥,同样将该公钥采用确定性密钥扩展算法扩展为200万个公钥,反复“递减”派生出的公钥,直到获取到种子公钥,最后再根据该值实现密钥破解。

2、针对项目方的社会工程学攻击

钓鱼攻击

1.网络钓鱼:这种方式是广撒网式的。它会向尽可能多的人发送恶意email,例如Opensea的钓鱼事件。

2.鱼叉式钓鱼:主要针对重要组织,黑客会针对重要单位的个人发钓鱼邮件。电脑一旦被入侵后,主要目的是窃取重要资料,因此会潜伏很长一段时间。只有在特定时间点,需要病或木马采取攻击行动时才会采取攻击行为暴露出来。

3.鲸钓攻击:目标是组织内的最高决策层,比如CEO,CFO等等。这些人可以获取非常有价值的信息,包括商业秘密和管理公司账户的密码。攻击者伪装成具有合法权限的个人或组织,比如向CEO发送电子邮件,假装公司的客户,请求付款。

木马攻击

有的攻击者通过Discord邀请用户参与新的游戏项目内测,或是通过群内私聊等方式发一个程序让你下载。也有邮件的形式,通常以内部系统升级等等理由,诱员工点击邮件链接下载对应升级文件。

一旦员工在电脑上运行木马,它会扫描你电脑上的文件,然后筛选出包含Wallet等关键词的文件,或者对用的敏感隐私信息上传到攻击者服务器,达到盗取资产、获取情报的目的。

3、生态安全问题

8月3日,Solana公链上Slope钱包发生大规模盗币事件,损失估算在600万美元左右。根据Solanafoundation提供的数据显示,近60%被盗用户使用Phantom钱包,30%左右地址使用Slope钱包,其余用户使用TrustWallet等,并且iOS和Android版本的应用都有相应的受害者。Beosin安全团队分析发现Slope钱包使用的Sentry服务,通过抓包发现此服务会在用户创建钱包时,将助记词和私钥等敏感数据发送到Slope的服务器o7e.slope.finance上,造成助记词或私钥泄露。

钱包安全的防范

关于钱包的安全防范,在这里我们简单聊一下钓鱼攻击。针对项目方的主要是鱼叉和鲸钓,网络钓鱼一般针对的普通用户。大家需要注意:

社交媒体信息交叉验证;使用防钓鱼插件;谨慎点击不明链接;谨慎下载不明文件。同时大额资产可存在冷钱包,以提高安全性;签名和授权方面更要注意拒绝盲签;签署交易时,反复确认签署内容;定期清理不必要的授权;进行资产交易可使用临时性钱包、网络钱包,钱包选择上面多使用主流钱包。

责任编辑:MK

标签:INTETHUSDTERMINT币LuckTogethertrustwallet没有usdtTwister CASH SYSTEM

KuCoin热门资讯
COM:数据挖掘:币安/火币/OKX 营收与用户

本文主要用到使用的数据收集与分析逻辑:三大所均有收入销毁平台币的行为币安交易所每季度拿出20%收入来回购BNB并销毁。火币交易所每季度拿出20%收入来回购HT并销毁.

1900/1/1 0:00:00
NFT:聪明钱的套利方法,你都跟上了吗?

介绍聪明钱SmartMoney在不受监管的加密货币世界中,有人可以通过各种方式来发展它优势,比如说1.通过在该领域工作并认识合适的人,2.在正确的TG电报alpha群组中.

1900/1/1 0:00:00
ETH:新手指导:羊毛党如何轻松参与潜在空投

最近带社区撸毛,学习过程中发现好多攻略要么不说人话,要么喜欢堆资料,要么过于琐碎不成体系,没几个对小白友好的,纯属个人意,干脆我来写写.

1900/1/1 0:00:00
IDO:a16z:艺术不死,只是以生成 AI 的形式存在

也许我们从生成人工智能中看到的最令人费解的含义是,与“创造力将是人类独创力的最后堡垒”的普遍观点相反,实际上将相当困难的创造性任务自动化似乎比将相对简单的编程任务自动化要容易得多.

1900/1/1 0:00:00
NFT:NFT+体育:卡塔尔世界杯有哪些NFT看点!

有人说没有冷门的世界杯不是真正的世界杯!11月22日,卡塔尔世界杯小组赛C组第1轮比赛中,沙特爆冷2:1逆转阿根廷队,成了今年世界杯的第一个冷门.

1900/1/1 0:00:00
MEV:Multicoin Capital:MEV中的价值流

在阅读本文之前,请确保你对MEV有一定的了解。关于矿工可提取价值以及搜索者和区块生产者之间市场结构的入门知识,请参见TokenizingMEV这篇文章.

1900/1/1 0:00:00