加密貨幣交易所 加密貨幣交易所
Ctrl+D 加密貨幣交易所
ads
首頁 > TUSD > Info

Github用戶1400枚比特幣被盜事件分析_LEC:ECTR

Author:

Time:1900/1/1 0:00:00

有天,你在支付寶操作轉賬時,彈窗提示你因版本過低而導致轉賬失敗。

如果彈窗內不僅僅提示你交易失敗,還附上支付寶更新鏈接,大部分人可能都會順手點擊鏈接進行更新。

如果這個鏈接是個釣魚鏈接,直接獲取了你的轉賬權限,那么代表你賬戶內的錢也會被無情轉移。

這次,就有一個用戶遭遇了類似的情況。

北京時間8月31日,CertiK天網系統(Skynet)檢測到,Github用戶“1400BitcoinStolen”1400枚比特幣被盜事件的代幣,已開始被輸送到多個不同的地址當中。

盡管Q2凈虧損5.54億美元,Galaxy Digital仍在關注更多行業并購:8月8日消息,Galaxy Digital正在考慮收購,旨在為其核心業務增加新的領域。Galaxy Digital創始人兼首席執行官Michael Novogratz指出,該公司有10億美元現金可供支出,并將繼續籌集資金,著眼于達成交易。我想更加激進一些,我們正在關注(潛在收購目標)。代幣化,這個領域對我個人很有吸引力。這是我的目標之一,但我認為我們可以多些耐心。

Novogratz表示,他預計傳統金融公司將在今年晚些時候加大力度,參與加密貨幣行業的并購。他說:“今年我們沒有太多的資金,但我仍然覺得,在時間和資金方面,我們正在向我們的空間進軍。此外,Novogratz還指出,加密礦業是一個需要更多資本投資的領域。我們認為,我們在該領域的借貸和潛在整合方面都可以發揮作用。

此前消息,Galaxy Digital第二季度凈虧損達5.547億美元,虧損同比擴大近三倍。該公司去年同期報告虧損1.829億美元。(The Block)[2022/8/9 12:10:57]

受害者在electrum的Githubissue中講述了自己丟失了1400個比特幣并貼出了自己的比特幣錢包地址。

Voyager Digital 2021財年報告:總營收達1.75億美元,獲利5600萬美元:10月29日消息,加密資產經紀商Voyager Digital Ltd.今天宣布,已提交了截至2021年6月30日財年的全年合并財務報告,并向股東提供業務和運營更新。2021財年財務和業務里程碑如下:

- 總營收從20財年的100萬美元增至1.75億美元;

- 營業收入為5600萬美元,相比之下,20財年的營業虧損為1100萬美元;

- 總認證用戶從2020年6月30日的8.6萬增至175萬;

- 截至2020年6月30日,總充值賬戶從2.3萬個增至66.5萬個;

- 總資產管理規模從2020年6月30日的3500萬美元增長到26億美元;

- 在關鍵領域擴大了領導團隊;

- 將員工人數從2020年6月30日的36人增至2021年6月30日的141人;

- 投資并發展了與Blockdaemon的戰略合作伙伴關系,以提供增強的質押能力。(PR Newswire)[2021/10/29 6:20:20]

Galaxy Digital創始人:樂意幫助馬斯克將特斯拉資產負債表轉換成比特幣:針對昨日埃隆?馬斯克問及將特斯拉資產負債表轉換為比特幣的可能性,Galaxy Digital創始人Mike Novogratz剛剛表示:“GLXY會很樂意幫忙的。也許會激發我接下來紋一個BTC goes to Mars(比特幣登上火星)的紋身。”

今日早些時候消息,12月20日,MicroStrategy首席執行官建議埃隆?馬斯克將特斯拉資產負債表從美元轉換為比特幣,對此,馬斯克詢問道,如此大的交易是否有可能。[2020/12/21 15:53:07]

在區塊鏈瀏覽器(參考鏈接3)中可以看到8月30日一共1404枚BTC從他的錢包中被取出,存入了黑客的錢包中。

Galaxy Digital CEO:比特幣1.4萬美元的目標將比預期更快實現:7月2日消息,Galaxy Digital首席執行官Mike Novogratz表示,比特幣1.4萬美元的目標將比預期更快實現。他稱,當BTC突破10000美元或10200美元時,它將比人們預期的更快到14000美元。他補充說,盡管比特幣在過去幾年中的采用情況基本上是積極的,但是采用的緩慢仍是它的主要障礙。(AMBCrypto)[2020/7/2]

事件還原與分析

該用戶使用的是Electrum比特幣錢包,上次使用是在2017年。此后Electrum已經發布了安全更新,但該用戶一直沒有安裝。

用戶在使用Electrum進行交易時,錢包會向服務器廣播一筆交易,如果這筆交易出現了問題,服務器將返回錯誤信息并以彈窗的形式展現給用戶。

3.3.2版本之前的Electrum錢包不會對服務器返回的錯誤信息進行驗證,甚至還會對返回的信息進行html渲染。

值得一提的是,任何人都可以去搭建一個Electrum節點服務器。如果一個用戶連接到了攻擊者的服務器并發起了一筆交易,服務器可以返回任何設計好的錯誤信息。比如返回一個讓用戶去更新Electrum錢包的錯誤信息,如下圖所示。

然而,圖中的鏈接指向了攻擊者自己寫的惡意軟件,一旦用戶下載安裝該軟件并把自己的錢包導入其中,錢包里所有的比特幣就會被攻擊者轉走。

這其實本質上是一種釣魚攻擊,但由于攻擊者發出的釣魚信息是通過Electrum官方錢包展示出來的,很多人都會信以為真。

在本次事件中,受害者的錢包連接上了攻擊者所控制的服務器,導致其收到了服務器發出的釣魚信息,進而被攻擊者轉走了自己的所有比特幣。

Electrum錢包存在的該問題早在2018年底就引起了廣泛討論(參考鏈接4)。

Electrum官方在2019年,錢包版本3.3.4中對該問題進行了修復,后續版本的Electrum錢包不再會將服務器返回的內容直接展示給用戶,也不會對其進行html渲染。

此外,由于舊版本的錢包仍然存在這個問題,因此所有的正常的服務器會對3.3版本之前的錢包進行拒絕服務攻擊,以強制用戶進行更新。

CertiK安全團隊建議

用戶在使用錢包進行交易的時候,需確保錢包為最新版本,已防舊版本的錢包可能存在可被黑客利用的漏洞。

用戶在下載錢包更新的時候要注意驗證下載URL是否與官方一致,在下載完成后要對錢包的簽名進行驗證。

對于錢包開發團隊,需要尋找專業團隊做好測試工作,以免項目出現漏洞給用戶帶來損失。

參考鏈接:

1.https://github.com/spesmilo/electrum/issues/5072

2.https://zhuanlan.zhihu.com/p/53920688

3.https://www.blockchain.com/btc/tx/2db616f5b4545805dc1de59bc65b21b548c0d553ab187fa1625ef73c727f1e54

4.https://github.com/spesmilo/electrum/issues/4968

5.http://twitter.com/electrumwallet/status/1106479573917724672

Tags:LECECTECTRELEhubblechainProspectors GoldelectronicmediaHelena Financial

TUSD
觀察 | 區塊鏈為何能成全球貿易“助推器”?_區塊鏈:CEO

本文來源:中國新聞網 作者:夏賓 區塊鏈正成為全球貿易的天然“助推器”。正在此間舉行的2020年中國國際服務貿易交易會上,如何利用區塊鏈技術,讓國際貿易伙伴更好地消除壁壘、建立信任,成為討論的一.

1900/1/1 0:00:00
BKSBEX交易平臺上線DApp應用中心,助力區塊鏈應用落地_APP:DAP

應用中心的概念最早出現于互聯網時代,指的是為用戶提供便捷的一站式服務,其包括軟件挑選、下載、管理、更新、評價等,為第三方軟件商提供可靠、方便、快捷、高效的軟件發布、銷售和推廣的平臺.

1900/1/1 0:00:00
比特幣新一輪牛市?數據顯示:鯨魚和機構正在囤積比特幣_比特幣:BTC

9月19日,隨著比特幣的價格突破1.11萬美元,鯨魚活動和Bakkt的歷史最高成交量表明勢頭增強.

1900/1/1 0:00:00
Coinmetrics報告:DeFi熱潮助推以太坊鏈上轉移價值超越比特幣_以太坊:COIN

自9月初以來,市場的大部分注意力都集中在比特幣、以太坊和一些主流競爭幣的價格上,截至發稿時,加密市場仍然面臨著巨大的向下壓力.

1900/1/1 0:00:00
DeFi的下半場怎么走?_DEFI:REFI幣

9月9日,包括慢霧和派盾在內的兩家區塊鏈安全公司發布安全提醒稱:EOS上的DeFi流動性挖礦項目EMD疑似跑路.

1900/1/1 0:00:00
“礦機賣光,下半年可以休息了”,比特幣礦機產能緊張調查_比特幣:區塊鏈

“礦機全部賣光了,我們下半年可以休息了。”“我這有5000萬,誰有貨馬上付錢!”吳說區塊鏈從多個渠道獲悉,神馬、嘉楠、億邦等主流礦機廠商今年現貨、期貨乃至絕大多數庫存都已售罄.

1900/1/1 0:00:00
ads