火星链 火星链
Ctrl+D收藏火星链
首页 > 非小号 > 正文

HUG:金色观察丨Hugh Karp为何自己承担丢失37万枚NXM的责任?

作者:

时间:1900/1/1 0:00:00

金色财经区块链12月22日讯?链上互助保险平台NexusMutual创始人HughKarp的个人钱包地址在世界标准时间12月14日星期一上午9点40分遭受到攻击。在这次攻击中,HughKarp被批准了一笔总计37万枚NXM代币的交易,这件事引发了加密社区的广泛关注。

据HughKarp描述,在事发三天前的一个上午,他正在写电子邮件,突然计算机屏幕变黑了2-3秒钟,但很快就恢复了,当时他以为电脑可能只是发生了一些奇怪的事情,因此并没有太在意。大约一个小时之后,他发现电脑上的磁盘受到感染,其中Metamask钱包扩展程序被黑客版本所替代。

但令人没料到的是,HughKarp实际上直到12月14日星期一的时候才通过Metamask钱包扩展程序进行加密货币交易。当他想去NexusMutual应用程序提取一些挖矿奖励的代币的时候,MetaMask像往常一样弹出提币申请确认信息。但这也没什么可奇怪的,因为每次交易都会弹出确认信息。但问题是,这个确认信息里包含了发送到Ledger的一笔欺诈性交易。结果,HughKarp不假思索地点击了“确认”。

金色晚报 | 10月19日晚间重要动态一览:12:00-21:00关键词:美联储、俄罗斯央行、日本瑞穗银行、数字人民币、以太坊

1. 国务院副总理刘鹤:统筹推进包括区块链技术在内的三类新型基础设施建设。

2. 美联储主席鲍威尔:美联储尚未决定发行数字货币。

3. 数字人民币红包试点结束总交易额超876万元。

4. 俄罗斯央行:数字卢布或帮助减少俄罗斯经济对美元的依赖。

5. 日本瑞穗银行和支付巨头JCB将试行区块链数字身份系统。

6. 瑞士联邦财政部就区块链全面条例进行磋商。

7. 北京三中院推出区块链电子公告系统。

8. 数据:近24小时以太坊上Dex交易量约为3.92亿美元。

9. ETH 2.0开发人员:信标链Beacon Chain版本1.0.0的候选版本0已发布。

10. 以太坊EIP-1559进展更新:DoS风险仍是落地最大障碍。[2020/10/19]

很快,这笔交易就出现在了Ledger上,而HughKarp也自然而然地在勾选交易信息后点击了“批准”。实际上,如果HughKarp当时能检查一下“收件人”地址和其他交易信息就可能发现其中的问题,但是由于Ledger还没有直接支持NXM,因此交易信息中并没有默认带入收件人等相关可读信息。紧接着,HughKarp就收到了MetaMask的通知提醒,告知交易已经完成,但NexusMutual应用程序仍在等待确认交易。直到这里,HughKarp才发现情况不对,于是检查Etherscan,结果发现这笔钱转到了黑客的地址。

金色财经挖矿数据播报 | ETH今日全网算力上涨2.31%:金色财经报道,据蜘蛛矿池数据显示:

BTC全网算力123.959EH/s,挖矿难度17.56T,目前区块高度645497,理论收益0.00000804/T/天。

ETH全网算力220.192TH/s,挖矿难度2780.17T,目前区块高度10739702,理论收益0.00936458/100MH/天。

BSV全网算力1.995EH/s,挖矿难度0.26T,目前区块高度649892,理论收益0.00045106/T/天。

BCH全网算力2.614EH/s,挖矿难度0.36T,目前区块高度650108,理论收益0.00034432/T/天。[2020/8/27]

结果就是,HughKarp把自己挖矿奖励的钱直接发送给了黑客,这位黑客随后将窃取的NXM代币清算兑换成了比特币和以太坊,接着又把这些资金分散到不同的地址和交易所。

金色相对论 | 孙泽宇:区块链透明可追溯等特性完美契合公益慈善领域:在本期金色相对论中,针对“您更看好区块链在哪些方面的落地?”的提问,创世资本创始合伙人孙泽宇表示:这次疫情中,群众可能更关心的是由湖北省红十字会所暴露出来的种种问题引发的慈善信任危机。而区块链的去中心化、透明可追溯的特性完美契合公益慈善领域。能够确保大家能够全程透明的看到物资的流向,提高大家对慈善的信任度与参与感,再配合上IOT,也将会对紧缺的人力有极大的帮助与改善。其他方面,除了物联网与溯源,数据安全存储跟数据共享等会是比较相对应的落地方案,对抗疫也会有很大的帮助。[2020/2/13]

原因调查

HughKarp认为,自己犯错的地方在于没有检查“收件人”地址和其他交易信息就点击了“批准”,这起事件的主要责任在于自己,以后在交易时应该多加小心。不过,在这需要指出的是,除非交易人很熟悉加密货币技术,否则很难在转账时候仔细查看相关信息,毕竟十六进制格式的信息是很难阅读的。就HughKarp而言,他自己本身其实拥有足够的技术知识,也理解这些信息代表的含义,但还是犯错了,所以普通用户在这里很更容易疏忽,继而造成资金损失。

分析 | 金色盘面:BTC期货合约持仓变化:金色盘面综合分析: 据OKEX数据显示,目前做多账户69%,做空账户31%,多头持仓比例22.69%,空头持仓比例19.27%,从数据看,做多账户优势明显,空头短线承压,但随着价格不断推高,风险也在加剧。截止发稿,季度BTC0928合约价格为7231美元,现货价格为7259美元,贴水28美元,市场做多热情有所减弱,注意做好风险控制。[2018/9/3]

此外,他还表示自己之前一直在信任的网站获取加密货币奖励代币,比如NexusMutualAPP,因为毕竟在官方平台上交易风险会比较低。但从本次黑客攻击事件中发现,不管是不是可信站点,也不管交易价值是多少,每次确认交易之前都必须仔细检查信息。

金色财经现场报道 金丘科技CEO左鹏:私有链、联盟链、公有链是区块链的三大组成部分:金色财经现场报道,在2018全球区块链精英峰会上,金丘科技CEO左鹏表示:私有链、联盟链、公有链是区块链的三大组成部分,联盟链还是需要中心化组织来推动的,社会治理的场景是适合使用联盟链的;在娱乐行业,可以直接将明星资源Token化,这本身就在虚拟经济和IT经济中,与传统经济的冲突其实不大,而且自带流量。跨境支付在落后国家中会有很多机会,公链会在这些方面实现落地应用。[2018/4/28]

目前,HughKarp已经启动调查本次黑客事件,希望能在社区的帮助下追踪资金。根据HughKarp判断,由于当时使用的是连接到Ledger的Metamask钱包,通过NexusMutual应用程序进行交互,电脑是Windows操作系统,因此目前Ledger上的私钥是安全的,NexusMutual智能合约和资金也都没有受到影响,这次事件应该只是一次个人攻击。

此外,由于HughKarp不是开发人员,但他的浏览器已进入开发者模式,因此可以判断这个操作很可能是由黑客执行的。而在调查过程中,他们还发现其他受害者也遭到了类似的攻击,并与之进行了联系。不过,本次攻击似乎具有很高的针对性,因为黑客并没有拿走受害者可能拥有的全部NXM代币,所以HughKarp认为是黑客已事先为他专门部署了准备好的交易负载。

值得一提的是,这个黑客非常厉害,而且非常有才华,很可能是一个或多个来自大型技术团队的成员。通过调查人员在Telegram上与一位黑客的简短对话发现,基于他们的交易活动,这个黑客很可能身处在亚洲时区。而此后,估计攻击事件还可能会持续发生,而且会影响越来越多人。

不仅如此,与过去大多数MetaMask黑客攻击都是诱使用户下载包含恶意代码的虚假程序版本,然后窃走用户私钥不同的是,HughKarp的计算机已经损坏,磁盘里的MetaMask应用程序被篡改,这意味着浏览器扩展程序出现问题时不会出现警告信息。据了解,这个恶意扩展配置是从coinbene.team获取的,调查人员也从这个域名追踪到了一些IP地址。

来自HughKarp的忠告

一般来说,MetaMask的确是许多黑客攻击的目标,但即便HughKarp已经非常谨慎地从正规渠道下载程序了,但他的电脑还是被感染了。所以如果想规避此类问题发生,可以尽量将资金分配到不同账户,这样可以最大程度减少损失。此外,在签名之前务必检查一下硬件钱包的交易信息,尤其是在与智能合约交互的时候。可以参考下那些比较熟悉DeFi行业的用户的做法,他们由于不太信任MetaMask,甚至会专门拿出一台“干净”的计算机来运行MetaMask,这台设备只用来签署交易,其他什么都不做。

目前相关调查工作已经过去一周时间了,HughKarp甚至还不知道自己的计算机是如何被入侵的。而来自杀软件提供商卡巴斯基的专家已经在被感染的计算机上花费了大量时间允许完整诊断程序,不过目前还没有任何结果,这项工作仍在进行中。而且到目前为止,只是在Etherscan上标记了黑客地址,但没有任何有关黑客的开源情报,后续仍有许多事情要处理。

接下来,HughKarp将会拿出一部分募集到的资金,并将其捐赠为赏金,用于支持用户体验和安全性提升工作,以此鼓励更多人开发个人钱包安全解决方案,并推动技术进步。

有意思的是,HughKarp还向黑客写了一份公开信。在信中,HughKarp表达出了对黑客的敬意,同时劝说黑客可以利用自己出色的工作能力成为白帽黑客中的一员,出于正确的理由从加密货币社区中获得一些荣誉,并且通过合法途径赚钱,而不是把不义之财发送给幕后老板。

本文部分内容来自于Medium

标签:KARHUGARP区块链KARA价格HUG价格arpa币价为什么不涨区块链存证是什么意思

非小号热门资讯
LBank:上线 | AOFEX即将上线FXS(Frax Share)

尊敬的用户:AOFEX即将上线FXS,具体详情如下:充值、提币业务已开启交易:将在充值人数和数量满足交易量需求时,第一时间开启FXS交易业务.

1900/1/1 0:00:00
MAR:关于WBF上线POND的公告

尊敬的用户:POND将在WBF创新区上线POND/USDT交易对,具体时间安排如下:充币时间:2020-12-2214:00交易时间:2020-12-2215:00提币时间:2020-12-22.

1900/1/1 0:00:00
FIN:Nexus Mutual 创始人称黑客位于亚洲时区,不期待收回资金,希望黑客走上「正道」

链闻消息,链上互助保险平台NexusMutual创始人HughKarp更新「被盗37万枚NXM」一事调查进展称,已与一位黑客在Telegram进行了交谈,从他们的交易活动来看位于亚洲时区.

1900/1/1 0:00:00
Gate.io:Gate.io 已发充值FIN领超级空投福利活动奖励公告

Gate.io充值FIN领超级空投福利活动已圆满结束,根据活动规则,我们已为符合规则的用户发放了活动奖励。用户可进入“账户管理—我的资金—账单明细”查询奖励发放情况.

1900/1/1 0:00:00
COIN:Filecoin/FIL分叉币崛起?一天涨150%!——OXT是啥?

这里是IPFS资讯快车,想进filecoin技术交流群的以及与圈内大佬深入沟通,或者了解更多FIL资讯,深入了解FIL的(+V:FIL101).

1900/1/1 0:00:00
okex:OKEx关于NEAR杠杆交易、余币宝及永续合约正式上线的公告

尊敬的OKEx用户:OKEx将于2020年12月21日18:00(HKT)在网页端、APP端及API正式上线NEAR杠杆交易、余币宝及NEARUSDT永续合约.

1900/1/1 0:00:00