INT:Deribit 热钱包被盗 2800 万美元，钱包安全需要注意什么？

根据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示，11月2日消息，加密衍生品交易平台Deribit发布公告称其热钱包被盗，资金损失2800万美元，官方称目前客户资金安全，损失将由公司储备金弥补。

BeosinTrace对本次被盗资金进行实时追踪发现，Deribit热钱包被盗的2800万美元包括6947枚ETH、691枚BTC与约340万枚USDC，随即攻击者将USDC兑换为约2133枚ETH，目前攻击者地址持有9080枚ETH与691枚BTC。被盗资金依然在0xb0606f433496bf66338b8ad6b6d51fc4d84a44cd地址中。

Google Hotels新增对加密友好旅游预定平台Travala.com的支持:7月6日消息，Google Hotels新增对加密友好旅游预定平台Travala.com的支持，Travala.com表示，Travala.com是首家被Google Hotels列出的“加密货币原生”旅游预定平台。[2023/7/6 22:20:05]

密码：密码不是私钥，是在创建账户时使用的密码；

私钥：一串十六进制字符，一个账户只有一个私钥且不能更改，如：0xA4356E49C88C8B7AB370AF7D5C0C54F0261AAA006F6BDE09CD4745CF54E0115A；

BitPay宣布用户现在可以通过Apple Pay来购买ETH:金色财经报道，加密货币支付服务提供商BitPay宣布用户现在可以通过Apple Pay来购买ETH。[2023/4/15 14:05:31]

助记词：由于私钥通常不容易记忆，所以使用算法将其转化为了一串12~24个容易记住的单词，方便保存；

Keystore：JSON编码的文件，存储的是加密后的私钥。

那些私钥泄露导致的攻击案列有哪些？

这里针对项目方的私钥安全主要有三方面：私钥破解、社会工程学攻击、生态安全。比如Ronin事件累计损失6.5亿美元、WonderHero事件累计损失2,800,000美元、MarvinInu事件累计损失350,000美元、Harmony事件累计损失100,000,000美元、Wintermute事件累计损失1.6亿美元。

1、私钥破解

2022年9月20日，Beosin?EagleEye安全风险监控、预警与阻断平台监测显示，加密做市商Wintermute创始人EvgenyGaevoy在社交媒体上发文表示，Wintermute在DeFi黑客攻击中损失1.6亿美元。

Clearpool将于Q1推出非托管机构借贷平台Clearpool Prime:2月7日消息，去中心化借贷市场Clearpool将在今年Q1推出非托管机构借贷平台Clearpool Prime，机构借款人在通过KYC后，将能够在Clearpool Prime上创建许可借款池，并设置自己的贷款条款，如规模、期限和利率，还可邀请贷款人加入此贷款池。[2023/2/7 11:51:24]

之后Wintermute创始人在推特上称，其于6月份使用了Profanity工具创建钱包地址。

元宇宙游戏Roblox：俄罗斯市场活跃玩家用户量突破200万:金色财经报道，元宇宙游戏巨头Roblox利用Electronic ArtsInc.、Ubisoft Entertainment SA（育碧）和Nintendo Co.等公司撤出俄罗斯的契机在当地市场积极拓展，目前其活跃玩家用户量已经突破200万，而且还与Gucci、Ralph Lauren和Chipotle等品牌达成了元宇宙广告合作计划，包括推出奢侈品中心Gucci Twon和虚拟餐厅Chipotle。（beincrypto）[2022/9/11 13:22:48]

9月15日，根据1inchNetwork发布的报告称，Profanity工具存在密钥爆破风险。报告中提到的Profanity工具使用32位随机向量生成256位的私钥，这种方式可能存在安全风险。

首先，该工具生成私钥的算法为：

1）Profanity选取一个32位随机数，将其采用mt19937_64()填充为256位的种子私钥；

NFT社区平台Based完成350万美元融资，Progression Fund领投:金色财经消息，NFT社区平台Based宣布完成350万美元种子轮融资，Progression Fund领投，Hannah Grey、Collab+Currency、Palm Tree Crew、Franklin Templeton、GFR、以及一批天使投资人参投。

据悉，Based用户可以在朋友圈和社区中展示NFT内容，同时也能轻松查看朋友圈和群组里发布的NFT活动和他们关注的NFT项目，并且通过NFT在数字世界中建立人与人之间的关系。[2022/8/4 2:57:42]

2）随后采用某种确定性密钥扩展算法将其扩展为200万个私钥；

3）计算私钥对应的公钥，并根据派生公钥进行一系列计算得到对应的以太坊地址；

4）反复「递增」，直到计算出对应的靓号地址。

攻击者提前计算出所有的密钥空间，即对应的种子私钥对应的所有公钥，并存储在哈希表中，接着从区块链浏览器上获取到某一笔交易签名，并从交易签名R、S、V值中恢复出公钥，同样将该公钥采用确定性密钥扩展算法扩展为200万个公钥，反复“递减”派生出的公钥，直到获取到种子公钥，最后再根据该值实现密钥破解。

2、针对项目方的社会工程学攻击

钓鱼攻击

1.网络钓鱼：这种方式是广撒网式的。它会向尽可能多的人发送恶意email，例如Opensea的钓鱼事件。

2.鱼叉式钓鱼：主要针对重要组织，黑客会针对重要单位的个人发钓鱼邮件。电脑一旦被入侵后，主要目的是窃取重要资料，因此会潜伏很长一段时间。只有在特定时间点，需要病或木马采取攻击行动时才会采取攻击行为暴露出来。

3.鲸钓攻击：目标是组织内的最高决策层，比如CEO，CFO等等。这些人可以获取非常有价值的信息，包括商业秘密和管理公司账户的密码。攻击者伪装成具有合法权限的个人或组织，比如向CEO发送电子邮件，假装公司的客户，请求付款。

木马攻击

有的攻击者通过Discord邀请用户参与新的游戏项目内测，或是通过群内私聊等方式发一个程序让你下载。也有邮件的形式，通常以内部系统升级等等理由，诱员工点击邮件链接下载对应升级文件。

一旦员工在电脑上运行木马，它会扫描你电脑上的文件，然后筛选出包含Wallet等关键词的文件，或者对用的敏感隐私信息上传到攻击者服务器，达到盗取资产、获取情报的目的。

3、生态安全问题

8月3日，Solana公链上Slope钱包发生大规模盗币事件，损失估算在600万美元左右。根据Solanafoundation提供的数据显示，近60%被盗用户使用Phantom钱包，30%左右地址使用Slope钱包，其余用户使用TrustWallet等，并且iOS和Android版本的应用都有相应的受害者。Beosin安全团队分析发现Slope钱包使用的Sentry服务，通过抓包发现此服务会在用户创建钱包时，将助记词和私钥等敏感数据发送到Slope的服务器o7e.slope.finance上，造成助记词或私钥泄露。

钱包安全的防范

关于钱包的安全防范，在这里我们简单聊一下钓鱼攻击。针对项目方的主要是鱼叉和鲸钓，网络钓鱼一般针对的普通用户。大家需要注意：

社交媒体信息交叉验证；使用防钓鱼插件；谨慎点击不明链接；谨慎下载不明文件。同时大额资产可存在冷钱包，以提高安全性；签名和授权方面更要注意拒绝盲签；签署交易时，反复确认签署内容；定期清理不必要的授权；进行资产交易可使用临时性钱包、网络钱包，钱包选择上面多使用主流钱包。

责任编辑：MK

标签：SINNFTPROINTsinoc币价格能不能上涨SNFT价格CPRO币PRINTS

火币下载热门资讯