原文来源:BuidlerDAO随着美联储不断加息缩表,加密市场流动性不断减少,市场活跃度持续低迷进入熊市。作为市场上仅剩的这些「流动性」也就是我们这些韭菜的钱包也成为了子们虎视眈眈的对象。加密世界是个黑暗森林,Crypto带来财产所有权的同时也意味着一旦财产丢失或私钥泄露是几乎没有任何法律途径或方法可以挽回。为什么写这篇文章呢?因为菠菜的钱包被盗了,资产几乎被洗劫一空,讽刺的是,作为一个写过钱包安全相关的科普文章的老韭菜也翻车了。虽然失去了陪伴许久的钱包和内部资产,但遭遇这件事情后菠菜真真切切感受到了社区的温暖,并且得到了许多「家人们」的关心和帮助,甚至在社区一位小伙伴的帮助下在黑客手里抢救回来了近30个侥幸存活下来的NFT。虽然损失的资产无法找回了,但在本次「菠菜钱包被盗事件」中,有许多经历是可以科普的,希望这篇文章可以给行业提供一个受害活案例并给其他小伙伴敲响警钟,防止「惨案」再次发生。文章速览:01/我的钱包是如何被盗的?02/黑客是如何拿到我私钥的?03/我是如何在黑客手里抢救NFT的?04/如何实现同一区块完成所有操作?05/什么是MEV?MEV给以太坊带来什么影响?06/写在最后我的钱包是如何被盗的?
某天,推特上有一个人私信我,起初我并没有提起警觉,因为子的Twitter账号看起来像是一个正常用户。开始只是进行了一些闲聊,之后他开始问我是否愿意为cheelee这个项目输出内容并支付我报酬,且索要了一些我的作品进行验证,于是我把我的telegram给到了他,之后便在telegram上给我发了关于如何输出内容的一些细节和两个文件。下载并点击文件后什么都没有发生便意识到不对劲,于是打开小狐狸查看,不出所料,钱包被盗,所有的资产都被盗走,NFT也被直接卖给offer换成ETH转移。。黑客是如何拿到我私钥的?
Cardano生态最大Web3黑客松Cardano EMURGO BUILD 2023在DoraHacks.io开启报名:5月30日消息,由EMURGO Ventures主办的Cardano EMURGO BUILD 2023报名入口已在开发者激励平台DoraHacks.io开启。
作为Cardano生态中最大规模的Web3黑客马拉松,本此活动评审团来自EMURGO、EMURGO Ventures、Cardano Foundation、Input Output Global(IOG)、Binance、Republic Crypto和Wave Financial。活动总资助池超200万美元。项目提交截止时间为7月3日。
Cardano EMURGO BUILD 2023面向全球Web3开发人员,鼓励其基于Cardano网络,在Derivatives、Aggregators和Zero-Knowledge三大赛道上构建具有创新意义的dApp,以进一步丰富整个生态体系。[2023/5/30 11:48:13]
黑客是如何拿到我私钥的?
我的私钥加密保存在Chrome的小狐狸中,黑客是如何获取到我的私钥的?这得从Chrome这个浏览器说起:你敢想象吗?这个占据着全球66%市场份额的Chrome浏览器居然存在一个巨大的安全漏洞!这个漏洞是什么呢?如果你在下图路径打开你的Chrome浏览器的Default文件夹,你会发现一个叫LoginData的文件,这个文件存储着你在Chrome上保存的每一个密码,但如果你想直接打开去读它的话你会发现它是不可读的,显示的是一堆乱码,因为这个文件被AES算法加密过,暴力破解需要破到天荒地老,那么其实你在Chrome上保存的密码都是十分安全的,但问题出在哪?
zkSync将与buidl box合作于2月20日至3月19日举办首个zkSyncEra?系列黑客松:金色财经报道,基于ZKRollup的以太坊二层网zkSync宣布将与buidl box合作开启zkSyncEra?系列黑客松中的首个,此次黑客松于2月20日至3月19日举行,专注于帐户抽象和Web3安全,奖池为2.5万美元。[2023/2/18 12:15:04]
如果你再往前翻一个目录在UserData中你会发现这样一个文件叫LocalState,如果你打开他之后在里面搜索「encrypted」,你会发现后面有一串密钥,这个密钥是什么?就是需要暴力破解几百年才能破解的LoginDataAES算法解密的密钥串!这真是离谱他妈给离谱开门,离谱到家了!这相当于什么?相当于你用世界上最坚固的材料做了一个牢不可破的保险柜存放密码但你却把保险柜钥匙放在保险柜旁边,贼进来就直接拿着钥匙打开保险柜了!并且这串密钥串还是通过Windows系统本身的密码生成工具生成的,与生成的电脑ID是唯一绑定关系,也就是说加密解密都只能在这台电脑上进行,Chrome把解密的密钥串就这么明文保存在了本地,这样黑客只需要拿着密钥串进行解密就可以拿到我的所有密码。
LBank即将上线ANT和BUIDL交易:据悉,LBank将于2020年7月30日18:30(UTC+8)上线ANT/USDT、BUIDL/USDT交易对。并于7月30日18:00开启充值,31日开启提现。
为庆祝此次上线,LBank将于7月31日16:30 启动针对ANT、BUIDL的站内流动性挖矿活动。用户通过在指定交易对盘口的前10档挂单来获得奖励系数,并在隔日瓜分200枚 ANT,每日一轮,连续7天。更多详情请关注LBank官网公告。[2020/7/30]
MetaMask的密码并不保存在Chrome的密码文件中,为什么我的私钥会泄露呢?因为我的MetaMask用的密码跟我的习惯密码是一个密码,黑客拿到了习惯密码后进入MetaMask还不是分分钟的事情,于是乎,我的私钥泄露了。不仅如此,所有存在Chrome浏览器上的账户都泄露了,甚至Twitter和Google账户全部遭到了冻结。我是如何在黑客手里抢救NFT的?
在钱包被盗后,黑客在OpenSea上卖出了所有带有offer的NFT并转移走了所有的资金,万幸的是有一些NFT幸存了下来,其中除了ENS和一些没offer的NFT外,有一个刚mint不久的DeBox小蛇没有被卖掉,可能因为Opensea上存在一些BUG,这个NFT是我另外一个白单地址mint完后转过去的,不知道什么原因没有被显示出来,这使得它逃过了一劫,于是乎当我尝试往钱包中转gas的时候,我发现我的钱包遭遇了「清道夫攻击」,也可以称为抢gas机器人,我转进去的Gas费被瞬间转走了!什么是抢Gas机器人?就是一旦你往钱包中转Gas费,机器人就会立马检测到并将gas立马转移走,这类机器人通常活跃在被泄露私钥的钱包中。这个机器人也活跃在一种故意泄露私钥的局,就是子会故意泄露一个钱包里面有U的钱包私钥,但这个U是被合约拉黑了的无法转走,子盯上的就是你企图转走而往里面转的Gas,下图就是一个案例,感兴趣的小伙伴可以进去看看,但别往里面打Gas噢。
动态 | Nomic实验室为Ethereum区块链推出新的Buidler任务运行器:10月初,Nomic实验室获得了Ethereum 基金会大约5万美元的资助。这笔资金被用于处理名为Builder的任务运行器 。任务运行器是一个用于自动化重复任务的计算机程序。这使得测试、编译和部署代码更加顺畅和快速。Nomic实验室认为,Ethererum的第一个任务运行器不仅可以简化程序员的工作,还可以通过Ethereum 开发者工具实现更快的开发进度。Buidler将取代许多单调重复的任务,加速开发过程。[2018/10/29]
我的钱包在被抢gas机器人盯上之后就意味着我无法转移走我幸存的那些NFT,因为我没办法在钱包中转入gas去支付我转移走NFT的操作,难道说我的NFT要永远被困在钱包里了吗?就在这一筹莫展之时,社区的力量体现出来了,BuidlerDAO社区中有一位小伙伴站了出来帮助我在抢gas机器人手中把幸存的NFT给抢回来了!人间有真情人间有真爱!那么这位小伙伴到底是怎么做到的呢?首先让我们看看手动情况下需要多快时间可以在抢Gas机器人前面转走我的NFT,在区块链浏览器中可以看到当我转进去gas费,抢gas机器人在三个区块之后将所有gas转移走了,在以太坊合并后POS权益证明机制中一个区块的出块时间固定为12秒一个区块,那这是不是意味着我只要在前两个区块操作就可以快过机器人了呢??这样想就太天真了,如果是这么慢的速度那就都不好意思叫机器人了。
世界粮食计划署:“Building Blocks”项目成功服务10万名难民:外媒消息,近日,世界粮食计划署(WFP)已采用区块链技术来应对全球性饥饿问题。“Building Blocks”项目采用了以太坊的区块链技术,无需转移现金和食品,便完成与零售商和银行的结算。高效、廉价和安全地帮助WFP解决了10万名难民的饥饿问题。[2018/3/23]
在以太坊中,一笔交易的处理速度取决于你支付了多少Gas费,如果你想交易被更快的处理就需要支付更多的Gas费,Gas费的均价会随着以太坊的交易需求量而变化,如果按照正常情况下的Gas费用来算的话,处理一笔交易所需要的时间大概为30秒,这就意味着我如果想在抢Gas机器人抢走Gas之前把NFT抢救走就需要在36-30=6秒之内完成我的操作,这几乎是一个不可能完成的事情,因为我即便是在看到Gas到账后的第一时间就去转NFT,Metamask弹出界面的时间差不多就已经6秒了,那么要如何做到在Gas机器人转走Gas之前就把NFT转移走呢?
答案就是在同一个区块内完成往钱包里转Gas和转走NFT的操作,这样机器人就无法把Gas抢走了,因为机器人需要不停监控区块链浏览器来确认是否有Gas费转进钱包,如果在一个区块内完成了所有操作机器人即便检测到了区块,我也已经把NFT转走并且没有留下多余的Gas给机器人转了。如何实现同一区块完成所有操作?
这就需要使用到Flashbots的searcher-sponsored-tx功能,这个功能大部分都被用在私钥泄露被机器人监控的钱包上。懂技术的小伙伴可以直接在Github上查看:https://github.com/flashbots/searcher-sponsored-txFlashbots的这个功能支持一个钱包转Gas给另外一个钱包的同时附带交易事务,也就是同一区块完成所有操作,在区块链浏览器中可以看到转入Gas和调用合约都在16388251这个区块中完成。
顺便提一下什么是Flashbots,Flashbots是一群关注区块链的研究人员、Buidler和白帽人士组成的研究组织,致力于减轻最大可提取价值(MEV,MaximalExtractableValue)对有状态区块链带来的负面外部性。什么是MEV?MEV给以太坊带来了什么影?
最大可提取价值(MEV)是指通过在区块中添加和排除交易并更改区块中的交易顺序,可以从区块生产中提取的超过标准区块奖励和燃料费用的最大值。怎么理解呢?举个例子,首先我们要知道在以太坊中一个交易发起后,这笔交易会被放在mempool中等待被矿工打包,那么矿工就可以看到mempool中的所有交易,而矿工的权利是很大的,矿工掌握了交易的包含、排除和顺序。如果有人通过支付更多的Gas费贿赂矿工调整了交易池中的交易顺序而获利,这就属于一种最大可提取价值MEV。你可能在想矿工换一个交易顺序怎么就可以获利了呢?有一种MEV手段叫「三明治攻击」或「夹子攻击」,这种提取MEV的手段是通过在链上监控大额的DEX交易,比如有人想在Uniswap上购买价值100万美金的山寨币,而这一笔交易会将这个山寨币的价格拉高很多,在这笔交易被放入mempool的时候,监控机器人就可以检测到这一笔交易,这时机器人就贿赂打包这个区块的矿工将一笔买入这个山寨币的操作插队在这个人前面,随后在这个人的购买操作之后进行一个卖出的操作,就像一个三明治一样把这个进行大额DEX交易的人夹在中间,这样发动「三明治攻击」的人就从中获取了山寨币因为这个人大额交易拉盘的利润,而大额交易的这个人则造成了损失。除此之外,获取MEV的手段还包括DEX的套利,清算机器人等等,MEV的存在也一直给以太坊带来一些负面的影响,比如「三明治攻击」给用户带来的损失和更差的用户体验、抢跑者竞争导致的网络拥堵和高Gas费等,甚至的一定程度上威胁到了区块链的完整性,截至2023年1月,MEV带来的利润已经达到了6.8亿美元。
数据来源:https://explore.flashbots.net/Flashbots的出现照亮了MEV这个黑暗森林,Flashbots在MEV上做了许多的研究并开发了一些产品在一定程度上减少了MEV给以太坊带来的负面影响,虽然Flashbots无法解决MEV带来的问题,但在以太坊的新分片方案Danksharding中以太坊提出了一种新的机制来解决MEV问题,如果对Flashbots和MEV感兴趣的小伙伴可以查看以下链接。以太坊官方对于MEV的介绍Flashbots的官方网址最后有什么想说的吗?
钱包被盗后看到所有的加密资产和喜欢的NFT都没了之后心里十分难受的,身子最喜欢的DeBox一家子都没了。感谢社区的小伙伴在知道后一直陪着我帮我出谋划策,甚至抢救完NFT后DeBox项目方空投给菠菜一个NFT作为安慰,DeBox真的是一个有温度的团队,疯狂打Call。
关于钱包安全问题真的不可以大意,在此之前我也从未想过自己会成为被盗者之一。文章临近截稿时看到一个KOLNFTGOD的钱包也遭遇到了黑客攻击失去了所有的资产,并且所有的社交帐户都泄露被利用发了信息,原因是下载了谷歌广告链接中的虚假软件,类似于曾经的假TP钱包局,所以,千万不要下载任何来自陌生人的文件,下载所有软件的时候也一定要确认一遍是否是官方网址。除此之外,加密资产一定不要都放在热钱包中,资产放在冷钱包中一定是最安全的,Metamask的密码也最好不要使用习惯密码,因为Chrome上的Metamask插件不是绝对安全的,一定一定要去学习钱包安全的相关知识。
原地址
标签:GASNFTMEV以太坊ugas币预估价值PASTA Vault (NFTX)MEMEVENGERS以太坊币今日价格行情非小号
2022年10月21日,混合算法稳定币协议FraxFinance推出的以太坊流动性质押产品frxETH上线,截至今日,正好满100天的时间,frxETH从0增长到超8.14万枚.
1900/1/1 0:00:00为什么我认为Polygon将会成为未来2-3个月内的DeFi创新发生地?当人们专注于叙事时——建设者一直在努力解决问题。本文带你了解在Polygon上建立的独特、新颖的协议.
1900/1/1 0:00:00引言一直以来,NFT市场都在致力于解决「流动性不足」的问题,从NFT的估值定价、撮合方式等方面切入,许多优秀的产品和创新机制不断出现推进了NFT金融化的持续发展.
1900/1/1 0:00:00虽然美元可能不是最好的货币,但在2022年毫无疑问它仍然是最重要的货币。作为全球储备货币,美元有助于理解资产价格。资产的全球价格是由现金的可用性和资产供应驱动的.
1900/1/1 0:00:00以太坊创始人Vitalik在2022年7月8号发布了这样一条推特:代币经济学的第一定律是:不要从使用“代币经济学”这个词的人那里获取关于代币经济学的建议.
1900/1/1 0:00:00风投机构或将为自己的不当投资行为付出代价了。近期,美SEC正制定新规拟使投资者更容易就VC未尽职调查、不良投资等行为进行起诉,该提案最早可能于本季度完成.
1900/1/1 0:00:00