本文作者:CertiK安全團隊,巴比特資訊經授權發布。
“你給我100紅包,我明兒給你200怎么樣。”
敢發紅包篤定能收到回饋的,怕是只有最信任的人了。法制節目經常會播放一些類似的騙局來警示大家。然而能上當的本質還是在于這兩個字:信任。
北京時間2020年7月16日凌晨三點左右,CertiK安全團隊的研究人員檢測到,著名社交網站推特上多位有影響力的大V賬戶被盜。這些被盜的賬戶全部都發布了如下的比特幣釣魚信息。
“為了回饋大家,現在對大家進行回饋。你只要給以下地址轉賬1000美金,我就返還你2000美金。活動僅限半小時!”
ERC-7265提案者:DeFi熔斷機制可將黑客損失減少70%:金色財經報道,去年是加密貨幣黑客攻擊最嚴重的一年,至少有31億美元從DeFi協議中被盜,其中65%來自跨鏈橋。發布DeFi熔斷機制(ERC-7265)提案的Hydrogen Labs智能合約開發人員Diyahir Campos表示,DeFi熔斷機制可將黑客損失減少70%,但熔斷機制并不適合所有DeFi協議,也不能保證協議本身的安全,熔斷機制將由DeFi項目選擇加入。擬議的標準并非沒有爭議,DeFi研究員Chris Blec是懷疑者之一,擔心熔斷機制可能被用于潛在的邪惡目的。[2023/7/7 22:23:51]
以上圖片內容均來自CertiK安全專家截圖
此次黑客攻擊始于區塊鏈行業,如Gemini交易所、Coinbase交易所、幣安交易所的CEO趙長鵬、Tron的CEO孫宇晨,區塊鏈媒體Coindesk,均受到攻擊并發布相關消息。
去中心化組織Badger DAO遭遇黑客攻擊,目前已暫停所有交易:12月 2日,據官方 Discord 消息,去中心化組織 Badger DAO 遭遇黑客攻擊,用戶資產在未經授權的情況下被轉移。據開發人員初步清點受損資產后表示,本次事件中已損失 13.6 萬枚 bcvxCRV、6.4 萬枚 bveCVX、38 枚 ibBTC/sBTC、13 bibBTC/sBTC,以及 19 枚 DIGG。目前已暫停所有交易。[2021/12/2 12:45:58]
以上圖片內容均來自CertiK安全專家截圖
后來索性在推特上呈現了病式傳播,包括比爾·蓋茨,亞馬遜創始人Jeffbezos,彭博社創始人Bloomberg,蘋果官方賬號,特斯拉CEOElonMusk,著名歌手侃爺KenyeWest、美國前總統奧巴馬和約瑟夫·拜登等人的賬號,無一幸免。
化名黑客正制作Beeple NFT作品的假冒版本:名叫“Monsieur Personne”的化名黑客正在制作世界上最昂貴的NFT的假副本。該黑客創建了著名加密藝術家Beeple的NFT作品“Everydays:The First 5000 Days”的偽造NFT,真品在3月11日的佳士得拍賣會上以6900萬美元的價格賣出。根據黑客的博客文章,其目的是“展示NFT的炒作情況多么荒謬”。(coindesk)[2021/4/28 21:04:58]
以上圖片內容均來自CertiK安全專家截圖
黑客攻擊了著名社交網站推特,一個大家都不怎么相信就連美國前總統賬戶也會被黑的一個網站。利用了民眾對推特的信任以及名人的公信力,讓大家認為這次活動是真的。
動態 | Upbit黑客錢包地址再轉出200枚ETH:Whale Alert監測數據顯示,北京時間17:04,Upbit一黑客錢包地址(0x8b1b315c開頭)向未知錢包地址(0x1b1685f1)轉出200 ETH,價值約合28641美元。交易哈希值為:0xded3dd0fd3a9ef989c70761343b68b115788f1c971a769e7e4a6cc4f2405246d。[2020/1/7]
到目前為止,黑客的賬戶一共收到了12.86個BTC,折合美金118,209刀,人民幣825,805元。
黑客交易地址信息截圖
目前網絡上的謠言
1.Twitter員工賬戶被黑,黑客獲得管理后臺訪問權限
在telegram上爆出的截圖疑似是Twitter員工的后臺管理界面。黑客可以通過后臺管理界面修改用戶郵箱,之后把重置密碼的鏈接發送到自己控制的郵箱中,以此來取得目標賬戶的控制權。
被黑客索要比特幣贖金的Ticketfly網站已部分恢復運營:據btcmanager消息,在被黑客攻擊勒索比特幣,被迫暫時關閉網站近四天后,美國音樂會票務網站Ticketfly網站已部分恢復運營。[2018/6/5]
2.黑客利用最近爆出的漏洞攻擊Twitter服務器,獲得管理后臺訪問權限
在昨天,一個關于Windows的DNS服務器的漏洞被公開,攻擊者可以通過發送特定的請求,從而遠程執行任意的代碼。有人就此提出了這樣一個猜想:Twitter有一個公開的MSDNS服務器,這個服務器并沒有對CVE-2020-1350進行修復,攻擊者通過此漏洞獲取了該服務器的控制權,而因為WindowsDNS服務器是核心網絡組件,該漏洞可引發蠕蟲式傳播,且無需用戶交互和身份驗證,攻擊者由此進入了Twitter內部的后臺管理界面,然后通過該界面修改用戶郵箱,把重置密碼的鏈接發送到自己控制的郵箱中,以此來取得目標賬戶的控制權。
Twitter官方回應
目前各個賬戶被黑的原因還未被官方公開,推特也于北京時間當日凌晨5:45分進行了官方回復,表示會盡快調查原因。
隨后Twitter表示在調查期間,某些用戶的發推和重置密碼的功能可能會無法使用。
安全措施及建議
社交網站一兩個賬號被盜的事件也許經常有,但是大規模被黑客襲擊的事件,也許又能算作2020魔幻一年的大事記了。在這里CertiK安全團隊整理了一些加強Twitter賬戶安全的措施。
1.取消被授權使用你Twitter賬戶的應用
登陸Twitter后,在More->Settingsandprivacy->Account->Dataandpermissions->Appsandsessions里面可以看到當前被授權獲取你Twitter相關權限的應用和登陸了的Sessions。CertiK安全團隊推薦定期檢查被授權的Apps,及時移除不必要的Apps.登出可疑的Sessions.
2.開啟二次驗證
登陸Twitter后,在More->Settingsandprivacy->Account->Security->Two-factorauthentication界面開啟二次驗證,二次驗證的方法有手機短信,GoogleAuthenticationapp,和物理形式的SecurityKey。使用二次驗證可以防止黑客在接觸到用戶的賬號密碼的情況下,盜取用戶賬號。
無效的漏洞賞金計劃?
在安全上的投入不足
Twitter在HackerOne漏洞賞金平臺上面有設置漏洞賞金計劃(https://hackerone.com/twitter).有人指出了Twitter對于Accounttakeover(賬號盜取)類型的漏洞,只給予7700美金的獎勵,而這次黑客利用此類漏洞,已經盜取了10萬美金以上的金額。這樣的對比,引人深思。
安全對于一個公司來講,沒被黑的時候覺得無所謂,不愿意在安全上投入金錢。而真正在被黑之后,所造成的損失是不可計量的。
在這里,CertiK想提醒大家,就算是看起來非常厲害的推特,也可能會遭到黑客攻擊。所以不要過于相信某個項目有著百分之百的安全,一旦有了0.00000000000001%的可能性被攻擊,按照墨菲定律,也一定會發生。因此在安全上的投入,是必不可少的。
Tags:TERWITTWITTEGlitter FinanceElon Buys TwitterPepe TwinsBitterFly
資產管理巨頭富達成為加拿大上市礦業公司Hut8上月公募的最大投資者。根據最近的一份文件顯示,富達購買了此次Hut8發行股票份額中的71%,也就是說,富達現在擁有Hut810.6%的流通股票.
1900/1/1 0:00:00自從十多年前創建以來,比特幣就與世界各地的監管者保持著緊張的關系。美國早在2012年就考慮了關閉比特幣的可能性,據報道,就在上個月,美國總統唐納德·特朗普告訴財政部長史蒂夫·姆努欽將重點放在比特.
1900/1/1 0:00:00寫在前面:近來Defi項目的爆發已引發很多人的關注,比如知名投資機構Placeholder的合伙人ChrisBurniske便評論稱“DeFi對以太坊的影響,更甚于ICO”,但現實情況卻是.
1900/1/1 0:00:007月16日消息,基于以太坊的Defi借貸協議Aave已通過代幣銷售的方式,獲得FrameworkVentures和ThreeArrowsCapital這兩家投資基金的300萬美元融資.
1900/1/1 0:00:00區塊鏈行業生態初步凸顯,產業區塊鏈成為新基建政策紅利下的重要趨勢,如何在風口中順勢而為,帶領團隊企業實現業務增長?為解答上述問題,7月14日,由巴比特主辦的首屆產業區塊鏈創新年中論壇在線上召開.
1900/1/1 0:00:00互聯網發展到現在,經歷了Web1.0和Web2.0兩個階段,Web3.0的概念是以太坊聯合創始人GavinWood在2014年提出來的,它的愿景是打破巨頭公司的壟斷,讓數據的價值回歸個人.
1900/1/1 0:00:00