原文來源:BuidlerDAO隨著美聯儲不斷加息縮表,加密市場流動性不斷減少,市場活躍度持續低迷進入熊市。作為市場上僅剩的這些「流動性」也就是我們這些韭菜的錢包也成為了騙子們虎視眈眈的對象。加密世界是個黑暗森林,Crypto帶來財產所有權的同時也意味著一旦財產丟失或私鑰泄露是幾乎沒有任何法律途徑或方法可以挽回。為什么寫這篇文章呢?因為菠菜的錢包被盜了,資產幾乎被洗劫一空,諷刺的是,作為一個寫過錢包安全相關的科普文章的老韭菜也翻車了。雖然失去了陪伴許久的錢包和內部資產,但遭遇這件事情后菠菜真真切切感受到了社區的溫暖,并且得到了許多「家人們」的關心和幫助,甚至在社區一位小伙伴的幫助下在黑客手里搶救回來了近30個僥幸存活下來的NFT。雖然損失的資產無法找回了,但在本次「菠菜錢包被盜事件」中,有許多經歷是可以科普的,希望這篇文章可以給行業提供一個受害活案例并給其他小伙伴敲響警鐘,防止「慘案」再次發生。文章速覽:01/我的錢包是如何被盜的?02/黑客是如何拿到我私鑰的?03/我是如何在黑客手里搶救NFT的?04/如何實現同一區塊完成所有操作?05/什么是MEV?MEV給以太坊帶來什么影響?06/寫在最后我的錢包是如何被盜的?
某天,推特上有一個人私信我,起初我并沒有提起警覺,因為騙子的Twitter賬號看起來像是一個正常用戶。開始只是進行了一些閑聊,之后他開始問我是否愿意為cheelee這個項目輸出內容并支付我報酬,且索要了一些我的作品進行驗證,于是我把我的telegram給到了他,之后便在telegram上給我發了關于如何輸出內容的一些細節和兩個文件。下載并點擊文件后什么都沒有發生便意識到不對勁,于是打開小狐貍查看,不出所料,錢包被盜,所有的資產都被盜走,NFT也被直接賣給offer換成ETH轉移。。黑客是如何拿到我私鑰的?
BNBChain Builder Grant公布2月份獲勝項目為Frank lin DAO和identity.com:3月21日消息,BNB Chain公布BNBChain Builder Grant計劃2月份獲勝項目,分別為Franklin DAO和identity.com。其中,Franklin DAO團隊由該領域各種DeFi協議和項目的代表以及專注于開發、研究和投資的委員會組成,該團隊計劃為其成員提供有趣的教育體驗。Identity.com是一個身份驗證非營利組織,提供開源、去中心化的生態系統,其網關協議使經過驗證的信息能夠以合規和安全的方式在鏈上訪問。
據悉,BNBChain通過BNBChainBuilderGrant捐贈計劃每月投入最高50萬美元定期支持潛力項目。[2023/3/21 13:16:47]
黑客是如何拿到我私鑰的?
我的私鑰加密保存在Chrome的小狐貍中,黑客是如何獲取到我的私鑰的?這得從Chrome這個瀏覽器說起:你敢想象嗎?這個占據著全球66%市場份額的Chrome瀏覽器居然存在一個巨大的安全漏洞!這個漏洞是什么呢?如果你在下圖路徑打開你的Chrome瀏覽器的Default文件夾,你會發現一個叫LoginData的文件,這個文件存儲著你在Chrome上保存的每一個密碼,但如果你想直接打開去讀它的話你會發現它是不可讀的,顯示的是一堆亂碼,因為這個文件被AES算法加密過,暴力破解需要破到天荒地老,那么其實你在Chrome上保存的密碼都是十分安全的,但問題出在哪?
Base 公布“Build on Base”賞金獲勝方為 Decent AI、Rhinestone 和 Inheritable:3月21日消息,Coinbase Layer 2 網絡 Base 公布 ETHDenver BUIDLathon 的“Build on Base” 1.5 萬 USDC 賞金獲勝方,包括 Decent AI、Rhinestone 和 Inheritable。
其中,Decent AI 創建了一個去中心化的市場,基于相互激勵運行 AI 模型。Rhinestone 是一個使用(修改的)Diamond Proxies(ERC-2535)的帳戶抽象(ERC-4337)的模塊化實現。Inheritable 是一種用于安全、去中心化繼承的 Web3 遺囑解決方案,錨定在 Base 上并由 Weavechain 提供支持。[2023/3/21 13:16:46]
如果你再往前翻一個目錄在UserData中你會發現這樣一個文件叫LocalState,如果你打開他之后在里面搜索「encrypted」,你會發現后面有一串密鑰,這個密鑰是什么?就是需要暴力破解幾百年才能破解的LoginDataAES算法解密的密鑰串!這真是離譜他媽給離譜開門,離譜到家了!這相當于什么?相當于你用世界上最堅固的材料做了一個牢不可破的保險柜存放密碼但你卻把保險柜鑰匙放在保險柜旁邊,賊進來就直接拿著鑰匙打開保險柜了!并且這串密鑰串還是通過Windows系統本身的密碼生成工具生成的,與生成的電腦ID是唯一綁定關系,也就是說加密解密都只能在這臺電腦上進行,Chrome把解密的密鑰串就這么明文保存在了本地,這樣黑客只需要拿著密鑰串進行解密就可以拿到我的所有密碼。
BNB Chain Builder Grant 11 月受贈項目公布:Owl Protocol 和 BlockVision:12月6日消息,BNB Chain 公布 BNB Chain Builder Grant 11 月受贈項目方,包括無代碼、動態 NFT 工具開發項目 Owl Protocol 和 Web3 數據基礎設施公司 BlockVision。
據悉,BNB Chain 通過該捐贈計劃每月投入 50 萬美元定期支持潛力項目,每月 1 日到 7 日接受申請。[2022/12/6 21:26:26]
MetaMask的密碼并不保存在Chrome的密碼文件中,為什么我的私鑰會泄露呢?因為我的MetaMask用的密碼跟我的習慣密碼是一個密碼,黑客拿到了習慣密碼后進入MetaMask還不是分分鐘的事情,于是乎,我的私鑰泄露了。不僅如此,所有存在Chrome瀏覽器上的賬戶都泄露了,甚至Twitter和Google賬戶全部遭到了凍結。我是如何在黑客手里搶救NFT的?
在錢包被盜后,黑客在OpenSea上賣出了所有帶有offer的NFT并轉移走了所有的資金,萬幸的是有一些NFT幸存了下來,其中除了ENS和一些沒offer的NFT外,有一個剛mint不久的DeBox小蛇沒有被賣掉,可能因為Opensea上存在一些BUG,這個NFT是我另外一個白單地址mint完后轉過去的,不知道什么原因沒有被顯示出來,這使得它逃過了一劫,于是乎當我嘗試往錢包中轉gas的時候,我發現我的錢包遭遇了「清道夫攻擊」,也可以稱為搶gas機器人,我轉進去的Gas費被瞬間轉走了!什么是搶Gas機器人?就是一旦你往錢包中轉Gas費,機器人就會立馬檢測到并將gas立馬轉移走,這類機器人通常活躍在被泄露私鑰的錢包中。這個機器人也活躍在一種故意泄露私鑰的騙局,就是騙子會故意泄露一個錢包里面有U的錢包私鑰,但這個U是被合約拉黑了的無法轉走,騙子盯上的就是你企圖轉走而往里面轉的Gas,下圖就是一個案例,感興趣的小伙伴可以進去看看,但別往里面打Gas噢。
Web3技術公司Virtual Nation Builders宣布收購FHM公司:金色財經報道,Web3 技術公司Virtual Nation Builders表示,它收購了FHM公司,該公司創建了南非第一個在全球交易所上市的工作證明加密貨幣safcoin。作為Web3公司收購FHM的結果,該加密貨幣現在將 \"上市并將其所有數字用例和平臺合并到新的VNB建立的Cowrie交易所和伙伴關系中\"。[2022/9/19 7:04:50]
我的錢包在被搶gas機器人盯上之后就意味著我無法轉移走我幸存的那些NFT,因為我沒辦法在錢包中轉入gas去支付我轉移走NFT的操作,難道說我的NFT要永遠被困在錢包里了嗎?就在這一籌莫展之時,社區的力量體現出來了,BuidlerDAO社區中有一位小伙伴站了出來幫助我在搶gas機器人手中把幸存的NFT給搶回來了!人間有真情人間有真愛!那么這位小伙伴到底是怎么做到的呢?首先讓我們看看手動情況下需要多快時間可以在搶Gas機器人前面轉走我的NFT,在區塊鏈瀏覽器中可以看到當我轉進去gas費,搶gas機器人在三個區塊之后將所有gas轉移走了,在以太坊合并后POS權益證明機制中一個區塊的出塊時間固定為12秒一個區塊,那這是不是意味著我只要在前兩個區塊操作就可以快過機器人了呢??這樣想就太天真了,如果是這么慢的速度那就都不好意思叫機器人了。
Incredibuild完成3500萬美元B輪融資,Hiro Capital領投:6月27日消息,分布式軟件和游戲開發加速平臺Incredibuild 完成3500萬美元B輪融資,Hiro Capital領投,Insight Partners參投,估值已接近8億美元。
這筆最新融資將推動Incredibuild在人工智能、元宇宙等眾多行業的創新和增長。Incredibuild 模式與點對點網絡相似,其想法是在任何給定時間,組織網絡中都有空閑CPU,然后有效地劃分繁重的代碼并將其分發到這些CPU實時運行處理。另據Incredibuild公司首席執行官Tami Mazel Shachar透露,去中心化金融“絕對是該公司在不久將來的一個選擇和一個需要專注的領域。”(PR Newswire)[2022/6/28 1:34:47]
在以太坊中,一筆交易的處理速度取決于你支付了多少Gas費,如果你想交易被更快的處理就需要支付更多的Gas費,Gas費的均價會隨著以太坊的交易需求量而變化,如果按照正常情況下的Gas費用來算的話,處理一筆交易所需要的時間大概為30秒,這就意味著我如果想在搶Gas機器人搶走Gas之前把NFT搶救走就需要在36-30=6秒之內完成我的操作,這幾乎是一個不可能完成的事情,因為我即便是在看到Gas到賬后的第一時間就去轉NFT,Metamask彈出界面的時間差不多就已經6秒了,那么要如何做到在Gas機器人轉走Gas之前就把NFT轉移走呢?
答案就是在同一個區塊內完成往錢包里轉Gas和轉走NFT的操作,這樣機器人就無法把Gas搶走了,因為機器人需要不停監控區塊鏈瀏覽器來確認是否有Gas費轉進錢包,如果在一個區塊內完成了所有操作機器人即便檢測到了區塊,我也已經把NFT轉走并且沒有留下多余的Gas給機器人轉了。如何實現同一區塊完成所有操作?
這就需要使用到Flashbots的searcher-sponsored-tx功能,這個功能大部分都被用在私鑰泄露被機器人監控的錢包上。懂技術的小伙伴可以直接在Github上查看:https://github.com/flashbots/searcher-sponsored-txFlashbots的這個功能支持一個錢包轉Gas給另外一個錢包的同時附帶交易事務,也就是同一區塊完成所有操作,在區塊鏈瀏覽器中可以看到轉入Gas和調用合約都在16388251這個區塊中完成。
順便提一下什么是Flashbots,Flashbots是一群關注區塊鏈的研究人員、Buidler和白帽人士組成的研究組織,致力于減輕最大可提取價值(MEV,MaximalExtractableValue)對有狀態區塊鏈帶來的負面外部性。什么是MEV?MEV給以太坊帶來了什么影?
最大可提取價值(MEV)是指通過在區塊中添加和排除交易并更改區塊中的交易順序,可以從區塊生產中提取的超過標準區塊獎勵和燃料費用的最大值。怎么理解呢?舉個例子,首先我們要知道在以太坊中一個交易發起后,這筆交易會被放在mempool中等待被礦工打包,那么礦工就可以看到mempool中的所有交易,而礦工的權利是很大的,礦工掌握了交易的包含、排除和順序。如果有人通過支付更多的Gas費賄賂礦工調整了交易池中的交易順序而獲利,這就屬于一種最大可提取價值MEV。你可能在想礦工換一個交易順序怎么就可以獲利了呢?有一種MEV手段叫「三明治攻擊」或「夾子攻擊」,這種提取MEV的手段是通過在鏈上監控大額的DEX交易,比如有人想在Uniswap上購買價值100萬美金的山寨幣,而這一筆交易會將這個山寨幣的價格拉高很多,在這筆交易被放入mempool的時候,監控機器人就可以檢測到這一筆交易,這時機器人就賄賂打包這個區塊的礦工將一筆買入這個山寨幣的操作插隊在這個人前面,隨后在這個人的購買操作之后進行一個賣出的操作,就像一個三明治一樣把這個進行大額DEX交易的人夾在中間,這樣發動「三明治攻擊」的人就從中獲取了山寨幣因為這個人大額交易拉盤的利潤,而大額交易的這個人則造成了損失。除此之外,獲取MEV的手段還包括DEX的套利,清算機器人等等,MEV的存在也一直給以太坊帶來一些負面的影響,比如「三明治攻擊」給用戶帶來的損失和更差的用戶體驗、搶跑者競爭導致的網絡擁堵和高Gas費等,甚至的一定程度上威脅到了區塊鏈的完整性,截至2023年1月,MEV帶來的利潤已經達到了6.8億美元。
數據來源:https://explore.flashbots.net/Flashbots的出現照亮了MEV這個黑暗森林,Flashbots在MEV上做了許多的研究并開發了一些產品在一定程度上減少了MEV給以太坊帶來的負面影響,雖然Flashbots無法解決MEV帶來的問題,但在以太坊的新分片方案Danksharding中以太坊提出了一種新的機制來解決MEV問題,如果對Flashbots和MEV感興趣的小伙伴可以查看以下鏈接。以太坊官方對于MEV的介紹Flashbots的官方網址最后有什么想說的嗎?
錢包被盜后看到所有的加密資產和喜歡的NFT都沒了之后心里十分難受的,身子最喜歡的DeBox一家子都沒了。感謝社區的小伙伴在知道后一直陪著我幫我出謀劃策,甚至搶救完NFT后DeBox項目方空投給菠菜一個NFT作為安慰,DeBox真的是一個有溫度的團隊,瘋狂打Call。
關于錢包安全問題真的不可以大意,在此之前我也從未想過自己會成為被盜者之一。文章臨近截稿時看到一個KOLNFTGOD的錢包也遭遇到了黑客攻擊失去了所有的資產,并且所有的社交帳戶都泄露被利用發了詐騙信息,原因是下載了谷歌廣告鏈接中的虛假軟件,類似于曾經的假TP錢包騙局,所以,千萬不要下載任何來自陌生人的文件,下載所有軟件的時候也一定要確認一遍是否是官方網址。除此之外,加密資產一定不要都放在熱錢包中,資產放在冷錢包中一定是最安全的,Metamask的密碼也最好不要使用習慣密碼,因為Chrome上的Metamask插件不是絕對安全的,一定一定要去學習錢包安全的相關知識。
原地址
Odaily星球日報譯者|余順遂 天橋資本創始人AnthonyScaramucci表示,他正在投資一家由FTXUS前總裁BrettHarrison成立的加密貨幣公司.
1900/1/1 0:00:00摘要 本文為a16z為金融穩定委員會的“加密資產活動的國際監管”主題活動所撰寫的評論信,主要分為三部分:1.討論DeFi&CeFi之間的區別.
1900/1/1 0:00:00原文作者:Tripoli原文編譯:0x11,ForesightNews本周早些時候,我在以太坊基金會舉辦的RedditAMA上提出了一個問題.
1900/1/1 0:00:00近日,市場回暖。局部熱點開始浮現,而SHIB則取得約20%的單日漲幅。不僅如此,SHIB生態的幣種漲幅也頗為可觀,BONE、LEASH的行情均快速上揚.
1900/1/1 0:00:00“OGtown”是華語cryptopunks社區授權的文章專欄本期特邀嘉賓介紹88punk:陳序,元宇宙智庫MetaZ創始人、CoindeskChina前聯合出版人、中國punksOG.
1900/1/1 0:00:00原文作者:wesely 獨角獸企業一般是指那些估值達到了10億美元以上的初創公司,據區塊鏈 投資 平臺BlockchainCoinvestors發布的最新報告顯示,截至12月初.
1900/1/1 0:00:00