OVCode:黑客：没有内疚，这是“倒霉鬼”应得的_COVC币

丢币一直是加密世界中老生常谈的话题，无论是个人用户还是交易所都曾因为数字资产被盗而麻烦上身。

作为罪魁祸首的黑客，早已成为个人用户的眼中钉、交易所的肉中刺。他们总是与加密货币形影不离，即使行情再不好，也总能捞到油水。令人不可思议的是，这次捞油水的还出来大放厥词。

01

近日，一位名为“Daniel”的黑客向一家加密媒体承认，他利用“SIM卡交换”绕过双重身份验证盗窃了总共价值50万美元的加密货币。

1.黑客给电信公司打电话，哭诉自己的SIM卡丢失了；

3.通过拦截双重身份验证文本或窃取存储在电子邮件账户中的密码。

据Micky.com报道，使用这种方法，每年都有数千万美元的加密资产被盗。尽管电信供应商声称他们有标准的协议来防止这种行为，但Daniel透露，总有办法说服他们的客户服务人员。

黑客再次通过“Vanity Adress”漏洞中获得价值近100万美元的ETH:金色财经报道，一名“0x9731F”的黑客再次通过以太坊“虚名地址（Vanity Adress）”漏洞中获得价值近 100万美元的 ETH。据悉，黑客使用了一个名为“Profanity”的工具生成以太坊“虚名地址”，手段与此前对做市商 Wintermute 的 1.6 亿美元攻击手法极为相似。另据 PeckShield 披露数据，该黑客于 9 月 25 日 窃取了 732 枚 ETH，然后将资金直接转移到现已获准的加密货币混合器 Tornado Cash。不过，攻击发生之后 Profanity 开发人员已采取措施确保没有人继续使用该工具，相关代码已被开发人员置于不可编译的状态且未设置为接收更多更新，存储库也已被归档。[2022/9/26 22:30:52]

他说：“例如，你打电话假装在瑞典电信公司Tele2工作，请他们帮你转接一个号码。”。一旦号码被重定向，他就会使用Gmail或Outlook中的“忘记密码”选项来获取账户凭据。

报告：2020年加密盗窃及黑客事件有所减少 但DeFi领域犯罪活动正持续增长:据路透社1月28日消息，CipherTrace报告显示，由于加密市场各部分参与者增强了安全系统，2020年加密货币盗窃、黑客攻击及欺诈事件造成的损失下降了57％，损失额已降至19亿美元（这一数字在2019年45亿美元），但与此同时，“DeFi”领域的犯罪活动正在持续增长。[2021/1/28 14:15:59]

Daniel承认，他没有任何罪恶感，因为他从来没有见过那些被他称为“倒霉鬼”的受害者，事实上，他还把责任归咎于“倒霉鬼”没有使用更好的安全措施。

根据分析公司CipherTrace的一份报告，SIM卡交换已成为一种越来越流行的技术。

02

公开资料显示，今年年初，一个名叫JoelOritz的20岁美国加州男子成为第一个因劫持SIM卡而入狱的人。

孙宇晨将向追踪推特黑客者提供100万美元奖金:金色财经报道，今日在大量推特帐户遭到黑客入侵并传播加密货币局后，BitTorrent首席执行官兼波场创始人孙宇晨宣布，将向追踪黑客并提供相关数据的人提供一百万美元奖金。孙宇晨表示：“我们正在与推特紧密沟通，以立即解决此问题并使我们的帐户恢复正常。我们始终会谨慎处理我们的帐户，安全且负责任地进行操作，将我们的帐户安全性提高到最高标准。这只进一步说明了社会迫切需要采用去中心化的、无需信任的软件和服务。”[2020/7/16]

本月早些时候，也有来自美国密歇根州的9个人被指控密谋通过劫持SIM卡窃取价值约240万美元的数字货币。黑客团伙遍布美国和爱尔兰，自称为"TheCommunity"。

1.不使用手机号码进行双重身份认证，而是使用Google或Authy代替；

声音 | Block.one：81%与黑客相关的漏洞都是由于密码管理不善造成的:昨天，Block.one 发布文章《区块链将成为密码不安全性的解决方案》。文章写道：根据2018年的Verizon数据泄漏调查报告，81%与黑客相关的漏洞都是由于密码管理不善造成的。文章还认为，基于区块链协议构建的用户与应用之间的交互以及额外使用硬件密钥，可创建无缝且无密码的体验，并在用户上线时提供更强大和受保护的环境。[2019/2/2]

黑客盗币使出的手段五花八门，除了SIM卡交换外，利用“假充值”漏洞的黑客也相当猖獗。

03

5月2日，交易所BitoPro的XRP遭遇攻击，导致价格出现崩盘现象，损失约700万个XRP。据慢雾安全团队的溯源分析，这起攻击的本质原是BitoPro对接XRP时，充值校验不严谨，出现假充值漏洞。

前几日，降维安全实验室也发消息称，关注到不少项目方/交易所在确认客户交易时，只检测了是否存在交易哈希(txhash)，并未检测交易状态(txstatus)。这样容易遭受“假充值(FakeCharge)”攻击。恶意用户只需要发起延迟交易，并在随后的实际延迟交易中造成硬失败(hard_fail)，就可以不使用任何EOS，完成充值/押注等操作。

业内人士表示，“假充值”本质其实就是一种“空手套白狼”的行为，黑客利用交易所充值漏洞把钱包中并不存在的加密货币存入交易所账号，再通过交易套现或者套成其它币种并将其转走。部分交易所可能存在仅根据交易回执状态和链上确认次数对交易结果作判断，忽略了对账户实际状态的检查。

但事实上，这里的交易回执状态显示成功仅仅表明上链成功，并不代表完成了实际转账，如果交易所据此承认该笔转账就会产生虚假转账问题。除此之外，还有些交易所的充值校验代码并不严谨，黑客只需在客户端代码上稍动手脚就可以使无效交易变得有效。

据加密货币数据公司Chainalysis的研究资料显示，从2009年诞生到今年3月初，比特币已经有287-379万枚永久丢失，丢失的数量占到比特币总量的17%-23%，价值超过150亿美元。

而截至目前，全球数字货币交易所因安全问题损失金额已超29亿美金，假充值攻击作为一种频现的攻击方式，可以让攻击者轻易获取目标交易所资产，造成巨额损失。

04

资产安全一直是数字世界的重中之重，而黑客却成了安全的克星。但是，正如世界上的人千差万别一样，黑客也极富个人特色。

五一假期的最后一天，程序员的大本营被黑客攻击了。黑客放言“不交比特币赎金，就公开用户私有代码”，并给了十天限期。受到攻击的不仅仅是GitHub的私有库，其他代码托管网站GitLab、Bitbucket也同样受到了攻击。

这是司空见惯的勒索事件。慢雾科技创始人余弦表示，GitHub成为供应链攻击的重灾区，开发者活跃的地方，不仅存在后门仓库，还可能因为自己账号被黑，进而导致自己的仓库被偷偷植入后门。在区块链领域，历史上已经有几起被披露的供应链攻击事件，现在、未来还会有，开发者应该安全加固好自己的账号，包括：密码、双因素、私钥等，虽然这是个很简单的事，但总有人就是懒或无知或缺乏敬畏。

2014年8月15日，黑客从比特儿盗走了5000万个NXT币，价值约为1000万人民币。原因是比特儿平台将所谓的冷钱包私钥放在了服务器上，使得NXT并没有实现冷存储，于是获得钱包私钥的黑客将币取走。

有意思的是，当时平台和黑客谈判，愿意支付110个比特币作为赎金以赎回丢失的平台币，但最终结果是黑客拿走了比特币，也未归还NXT。比特儿也因为这个事件成为当时圈内的大笑话。

2014年12月，白帽黑客Johoe从某钱包里“盗取”了300枚BTC。原因是在钱包软件升级过程中产生了技术问题，导致临时性安全漏洞出现，这个安全漏洞仅仅存在了2个多小时，但还是给了Joheo机会。有趣的是，事后，Johoe如数归还了盗取的比特币。

今年3月份，日本媒体宣布，Monacoin被盗案终于水落石出，这名盗取了1500万日元的黑客是个“爱玩”的未成年。当警察问他盗币原因时，他回答说：“我发现了别人不知道的作弊漏洞，就想当个电子游戏玩一玩。”

然而，“利”字边上一把刀，有道是：君子爱财，取之有道。

标签：OVCOVCodeODECODCOVC币Ogcnode

MATIC热门资讯