本文作者:CertiK安全团队,巴比特资讯经授权发布。
“你给我100红包,我明儿给你200怎么样。”
敢发红包笃定能收到回馈的,怕是只有最信任的人了。法制节目经常会播放一些类似的局来警示大家。然而能上当的本质还是在于这两个字:信任。
北京时间2020年7月16日凌晨三点左右,CertiK安全团队的研究人员检测到,著名社交网站推特上多位有影响力的大V账户被盗。这些被盗的账户全部都发布了如下的比特币钓鱼信息。
“为了回馈大家,现在对大家进行回馈。你只要给以下地址转账1000美金,我就返还你2000美金。活动仅限半小时!”
CZ:正在缩小BSC Token Hub跨链桥漏洞黑客身份:金色财经报道,加密货币交易所Binance首席执行官CZ表示,已在执法部门帮助下缩小了此前盗取了BNBChain上5.7亿美元资产的攻击者身份的可能范围。赵长鹏表示,目前仍在试图确定攻击者身份,但执法部门提供的线索已经使其调查范围缩小。此外,赵长鹏还表示能够冻结大约80%到90%的区块链数据,阻止目标资金被黑客窃取。[2022/10/24 16:37:21]
以上图片内容均来自CertiK安全专家截图
此次黑客攻击始于区块链行业,如Gemini交易所、Coinbase交易所、币安交易所的CEO赵长鹏、Tron的CEO孙宇晨,区块链媒体Coindesk,均受到攻击并发布相关消息。
以上图片内容均来自CertiK安全专家截图
后来索性在推特上呈现了病式传播,包括比尔·盖茨,亚马逊创始人Jeffbezos,彭博社创始人Bloomberg,苹果官方账号,特斯拉CEOElonMusk,著名歌手侃爷KenyeWest、美国前总统奥巴马和约瑟夫·拜登等人的账号,无一幸免。
警惕KuCoin黑客正利用Uniswap出货砸盘:据PeckShield旗下资产追踪平台CoinHolmes数据显示,自09月27日下午3时以来,CoinHolmes监控到标记为KuCoin黑客的多个地址,正持续将盗取的大量OCEAN代币转入去中心化交易所Uniswap进行砸盘出货,PeckShield安全人认为,黑客此举很可能对OCEAN关联交易对价格产生较大幅度波动影响,建议在OCEAN提供了流动性的LP尽快移除相关流动性。据悉,KuCoin被盗资产目前经中心化交易所会面临较大的封堵压力,因此黑客正尝试通过去中心化交易所进行。[2020/9/27]
以上图片内容均来自CertiK安全专家截图
黑客攻击了著名社交网站推特,一个大家都不怎么相信就连美国前总统账户也会被黑的一个网站。利用了民众对推特的信任以及名人的公信力,让大家认为这次活动是真的。
“推特遭大规模黑客入侵\"登上微博热搜榜第31位:“推特遭大规模黑客入侵”登上微博热搜榜第31位,关注度21.83万。此外,该话题的阅读量超过1亿。较早前消息,推特遭大规模黑客入侵,多位名人政要和官方账号受影响。金色财经此前报道,多数黑客均宣传了名为CryptoForHealth的加密局。[2020/7/16]
到目前为止,黑客的账户一共收到了12.86个BTC,折合美金118,209刀,人民币825,805元。
黑客交易地址信息截图
目前网络上的谣言
1.Twitter员工账户被黑,黑客获得管理后台访问权限
在telegram上爆出的截图疑似是Twitter员工的后台管理界面。黑客可以通过后台管理界面修改用户邮箱,之后把重置密码的链接发送到自己控制的邮箱中,以此来取得目标账户的控制权。
动态 | 加密货币钱包Gate Hub遭黑客攻击 近1000万美元的XRP被盗:据LiveBitcoinNews.com 6月7日消息,加密货币钱包服务Gate Hub近日在其网站声明中表示,其遭遇了黑客攻击,损失了近1000万美元的XRP,并表示,虽然目前尚不确定黑客是如何获得这笔钱的,但该公司高管们认为,黑客“滥用了API来实施攻击”。[2019/6/8]
2.黑客利用最近爆出的漏洞攻击Twitter服务器,获得管理后台访问权限
在昨天,一个关于Windows的DNS服务器的漏洞被公开,攻击者可以通过发送特定的请求,从而远程执行任意的代码。有人就此提出了这样一个猜想:Twitter有一个公开的MSDNS服务器,这个服务器并没有对CVE-2020-1350进行修复,攻击者通过此漏洞获取了该服务器的控制权,而因为WindowsDNS服务器是核心网络组件,该漏洞可引发蠕虫式传播,且无需用户交互和身份验证,攻击者由此进入了Twitter内部的后台管理界面,然后通过该界面修改用户邮箱,把重置密码的链接发送到自己控制的邮箱中,以此来取得目标账户的控制权。
动态 | 日本交易所Zaif因黑客攻击损失近6000万美元:据zdnet报道,日本加密货币交易所Zaif今天宣布,在今年夏天的黑客攻击中损失了价值5967万美元的公司和用户资金。该公司于9月17日发现,在一天后确认了这一情况,并向当局提出并报告。目前调查人员仍然在收集细节,但Zaif表示,黑客攻击发生在9月14日,更准确地说是当地时间17:00到19:00之间,当时攻击者从该公司的“热钱包”中偷走了三种的加密货币,分别为BTC、BCH及MonaCoin。Zaif团队今天早些时候暂停了用户存取服务,而工作人员正在确保黑客已不再其网络中。[2018/9/20]
Twitter官方回应
目前各个账户被黑的原因还未被官方公开,推特也于北京时间当日凌晨5:45分进行了官方回复,表示会尽快调查原因。
随后Twitter表示在调查期间,某些用户的发推和重置密码的功能可能会无法使用。
安全措施及建议
社交网站一两个账号被盗的事件也许经常有,但是大规模被黑客袭击的事件,也许又能算作2020魔幻一年的大事记了。在这里CertiK安全团队整理了一些加强Twitter账户安全的措施。
1.取消被授权使用你Twitter账户的应用
登陆Twitter后,在More->Settingsandprivacy->Account->Dataandpermissions->Appsandsessions里面可以看到当前被授权获取你Twitter相关权限的应用和登陆了的Sessions。CertiK安全团队推荐定期检查被授权的Apps,及时移除不必要的Apps.登出可疑的Sessions.
2.开启二次验证
登陆Twitter后,在More->Settingsandprivacy->Account->Security->Two-factorauthentication界面开启二次验证,二次验证的方法有手机短信,GoogleAuthenticationapp,和物理形式的SecurityKey。使用二次验证可以防止黑客在接触到用户的账号密码的情况下,盗取用户账号。
无效的漏洞赏金计划?
在安全上的投入不足
Twitter在HackerOne漏洞赏金平台上面有设置漏洞赏金计划(https://hackerone.com/twitter).有人指出了Twitter对于Accounttakeover(账号盗取)类型的漏洞,只给予7700美金的奖励,而这次黑客利用此类漏洞,已经盗取了10万美金以上的金额。这样的对比,引人深思。
安全对于一个公司来讲,没被黑的时候觉得无所谓,不愿意在安全上投入金钱。而真正在被黑之后,所造成的损失是不可计量的。
在这里,CertiK想提醒大家,就算是看起来非常厉害的推特,也可能会遭到黑客攻击。所以不要过于相信某个项目有着百分之百的安全,一旦有了0.00000000000001%的可能性被攻击,按照墨菲定律,也一定会发生。因此在安全上的投入,是必不可少的。
比原链基金会牵头成立的IEEE区块链身份密钥管理规范工作组,正在火热招募工作组成员,感兴趣的组织机构请立即点击表单登记.
1900/1/1 0:00:00作者:比推特约撰稿人ClaireWuIDO,是继ICO和IEO之后又一个风靡币圈的创新。IDO的意思是InitialDecentralizedFinanceOffering.?DeFi在2020.
1900/1/1 0:00:00监管当局正在考虑的问题是,目前应该将一切与虚拟资产有关的行为同步纳入制度约束范围?还是首先针对一部分经营者进行约束监管.
1900/1/1 0:00:00一、BSN与公链强强联合中国区块链服务网络BSN?将于8月10日向全球的dApp开发者开放其服务。此举是中国成为目前唯一全球区块链企业基础设施提供商计划的一部分.
1900/1/1 0:00:00据比推数据,在刚刚增发了1.2亿美元之后,最为流行的稳定币Tether的市值已经突破100亿美元大关.
1900/1/1 0:00:00最近据日本媒体报道,日美欧等七国集团正在积极推进央行数字货币方面的合作,拟协调于8月底到9月上旬在美国举行的G7峰会首脑会议上进行讨论.
1900/1/1 0:00:00