有天,你在支付宝操作转账时,弹窗提示你因版本过低而导致转账失败。
如果弹窗内不仅仅提示你交易失败,还附上支付宝更新链接,大部分人可能都会顺手点击链接进行更新。如果这个链接是个钓鱼链接,直接获取了你的转账权限,那么代表你账户内的钱也会被无情转移。这次,就有一个用户遭遇了类似的情况。
Balancer部署至Avalanche以及在Gnosis Chain上启用中继器的提案已投票通过:3月8日消息,Balancer社区已经投票通过两项提案。其中BIP-205提案建议在Gnosis Chain上启用中继器并添加其他缺少的权限。BIP-206提案建议将Balancer部署到Avalanche。投票通过后Balancer DAO的贡献者将在未来2-3个月内在Avalanche上进行部署。[2023/3/8 12:49:22]
ComposeDB Beta版将部署在Ceramic主网:金色财经报道,ComposeDB Beta版现已在去中心化数据库协议Ceramic主网上线。ComposeDB 是一个分散式图形数据库,允许开发人员使用 GraphQL 和即插即用数据模型在 Ceramic 上构建可组合的 Web3 应用程序。[2023/3/1 12:36:37]
北京时间8月31日,CertiK天网系统(Skynet)检测到,Github用户“1400BitcoinStolen”1400枚比特币被盗事件的代币,已开始被输送到多个不同的地址当中。受害者在electrum的Githubissue中讲述了自己丢失了1400个比特币并贴出了自己的比特币钱包地址.
CertiK:Vivity项目Discord服务器遭到攻击:金色财经消息,据CertiK监测,Vivity项目Discord服务器遭到攻击。请社区用户不要点击链接,铸造或批准任何交易。[2022/10/22 16:35:12]
在区块链浏览器(参考链接3)中可以看到8月30日一共1404枚BTC从他的钱包中被取出,存入了黑客的钱包中。
Cere Network宣布推出去中心化数据即服务Vision 2.0:10月21日消息,去中心化数据云平台Cere Network宣布推出去中心化数据即服务(DaaS)Vision 2.0,旨在将数据控制权还给用户和内容创作者,Vision 2.0将支持去中心化数据云(DDC)及其所支持的Cere工具和服务套件,包括Cere去中心化内容交付网络、NFT铸造平台Freeport、Cere通用钱包、Cere NFT市场和内容管理系统(CMS)、Cere去中心化数据查看器(DDV)、以及通用NFT/内容注册表、Cere实时体验构建器(RXB)、改进的SDK/加密/解密包、视频流等。[2022/10/21 16:34:29]
事件还原与分析
该用户使用的是Electrum比特币钱包,上次使用是在2017年。此后Electrum已经发布了安全更新,但该用户一直没有安装。用户在使用Electrum进行交易时,钱包会向服务器广播一笔交易,如果这笔交易出现了问题,服务器将返回错误信息并以弹窗的形式展现给用户。3.3.2版本之前的Electrum钱包不会对服务器返回的错误信息进行验证,甚至还会对返回的信息进行html渲染。值得一提的是,任何人都可以去搭建一个Electrum节点服务器。如果一个用户连接到了攻击者的服务器并发起了一笔交易,服务器可以返回任何设计好的错误信息。比如返回一个让用户去更新Electrum钱包的错误信息,如下图所示。
然而,图中的链接指向了攻击者自己写的恶意软件,一旦用户下载安装该软件并把自己的钱包导入其中,钱包里所有的比特币就会被攻击者转走。这其实本质上是一种钓鱼攻击,但由于攻击者发出的钓鱼信息是通过Electrum官方钱包展示出来的,很多人都会信以为真。在本次事件中,受害者的钱包连接上了攻击者所控制的服务器,导致其收到了服务器发出的钓鱼信息,进而被攻击者转走了自己的所有比特币。Electrum钱包存在的该问题早在2018年底就引起了广泛讨论(参考链接4)。Electrum官方在2019年,钱包版本3.3.4中对该问题进行了修复,后续版本的Electrum钱包不再会将服务器返回的内容直接展示给用户,也不会对其进行html渲染。此外,由于旧版本的钱包仍然存在这个问题,因此所有的正常的服务器会对3.3版本之前的钱包进行拒绝服务攻击,以强制用户进行更新。CertiK安全团队建议
用户在使用钱包进行交易的时候,需确保钱包为最新版本,已防旧版本的钱包可能存在可被黑客利用的漏洞。用户在下载钱包更新的时候要注意验证下载URL是否与官方一致,在下载完成后要对钱包的签名进行验证。对于钱包开发团队,需要寻找专业团队做好测试工作,以免项目出现漏洞给用户带来损失。参考链接:1.https://github.com/spesmilo/electrum/issues/50722.https://zhuanlan.zhihu.com/p/539206883.https://www.blockchain.com/4.https://github.com/spesmilo/electrum/issues/49685.http://twitter.com/electrumwallet/status/1106479573917724672
标签:CERTRULECELEDSOCCERtrustwallet钱包怎么提币COLLECTIVE币seele币最新消息
编者按:本文来自巴比特资讯,作者:Kyle,星球日报经授权发布。9月10日,DeFi聚合收益协议yearn.finance创始人AndreCronje宣布将于几周后推出一款去中心化信贷协议Sta.
1900/1/1 0:00:00文|Eric翻译|xiao出品|PANews对于那些看过华尔街大片《大空头》(theBigShort)的人来说,其中有一个场景与以太坊交易费用问题有异曲同工之处.
1900/1/1 0:00:00原本周末时间段在没有外界因素影响时,动静基本上都会比较小,特别是在上周大饼经历了三天跌2000美元的情况,周末本应该是个让大家回去舔伤口的日子.
1900/1/1 0:00:00近期Defi上uniswap带来的流动性挖矿热潮,成为了2020年一个突如其来的大热点,甚至在最开始的时候都没有几个人在讨论uniswap,ampleforth,compound,YFI.
1900/1/1 0:00:00编者按:本文来自深潮TechFlow,作者:邦尼,Odaily星球日报经授权转载。错过了LINK、DeFi和以太坊,你还要错过波卡吗?在过去的一周内,波卡代币DOT涨了超过一倍.
1900/1/1 0:00:00翡翠刚出事没两天,珊瑚的关于RAM的合约也被黑客攻破了,目前翡翠事件已基本解决了,正如大白菜项目简介中所述:翡翠的项目方小哥终于顶不住来自TP等币圈福尔摩斯的压力。退回了脏款.
1900/1/1 0:00:00