有天,你在支付宝操作转账时,弹窗提示你因版本过低而导致转账失败。
如果弹窗内不仅仅提示你交易失败,还附上支付宝更新链接,大部分人可能都会顺手点击链接进行更新。
如果这个链接是个钓鱼链接,直接获取了你的转账权限,那么代表你账户内的钱也会被无情转移。
这次,就有一个用户遭遇了类似的情况。
北京时间8月31日,CertiK天网系统 (Skynet) 检测到,Github用户“1400BitcoinStolen”1400枚比特币被盗事件的代币,已开始被输送到多个不同的地址当中。
受害者在electrum的Github issue中讲述了自己丢失了1400个比特币并贴出了自己的比特币钱包地址.
在区块链浏览器(参考链接3)中可以看到8月30日一共1404枚BTC(价值1670万美元)从他的钱包中被取出,存入了黑客的钱包中。
CasperLabs宣布与亚马逊云计算服务(AWS)建立合作关系:据官方消息,CasperLabs与亚马逊云计算服务(AWS)建立合作关系,在Casper网络上建设的开发者和组织将能够直接部署节点基础设施,并通过 AWS规划用于产品测试的私有网络。
据悉,AWS自2006年推出以来,已经为全球十几万家企业提供支持。AWS业务范围已覆盖近200个国家,开发者可以更轻松地构建智能合约或其它启动Casper节点快速开发和产品原型设计的解决方案。
CasperLabs 首席执行官 Mrinal Manohar 表示:Casper 一直致力于为企业提供在 Web3 环境中高效批量设计、测试、迭代和部署的最佳解决方案。
根据合作内容,企业可通过 AWS 无缝对接 CasperLabs 的专业服务,让企业设计和部署区块链解决方案。[2021/8/24 22:34:47]
该用户使用的是Electrum比特币钱包,上次使用是在2017年。此后Electrum已经发布了安全更新,但该用户一直没有安装。
用户在使用Electrum进行交易时,钱包会向服务器广播一笔交易,如果这笔交易出现了问题,服务器将返回错误信息并以弹窗的形式展现给用户。
3.3.2版本之前的Electrum钱包不会对服务器返回的错误信息进行验证,甚至还会对返回的信息进行html渲染(参考链接4)。
值得一提的是,任何人都可以去搭建一个Electrum节点服务器。如果一个用户连接到了攻击者的服务器并发起了一笔交易,服务器可以返回任何设计好的错误信息。比如返回一个让用户去更新Electrum钱包的错误信息,如下图所示。
然而,图中的链接指向了攻击者自己写的恶意软件,一旦用户下载安装该软件并把自己的钱包导入其中,钱包里所有的比特币就会被攻击者转走。
这其实本质上是一种钓鱼攻击,但由于攻击者发出的钓鱼信息是通过Electrum官方钱包展示出来的,很多人都会信以为真。
在本次事件中,受害者的钱包连接上了攻击者所控制的服务器,导致其收到了服务器发出的钓鱼信息,进而被攻击者转走了自己的所有比特币。
Electrum钱包存在的该问题早在2018年底就引起了广泛讨论(参考链接4)。
Electrum官方在2019年,钱包版本3.3.4中对该问题进行了修复,后续版本的Electrum钱包不再会将服务器返回的内容直接展示给用户,也不会对其进行html渲染。
此外,由于旧版本的钱包仍然存在这个问题,因此所有的正常的服务器会对3.3版本之前的钱包进行拒绝服务(DoS)攻击,以强制用户进行更新(参考链接5)。
用户在使用钱包进行交易的时候,需确保钱包为最新版本,已防旧版本的钱包可能存在可被黑客利用的漏洞。
用户在下载钱包更新的时候要注意验证下载URL是否与官方一致,在下载完成后要对钱包的签名进行验证。
对于钱包开发团队,需要寻找专业团队做好测试工作,以免项目出现漏洞给用户带来损失。
参考链接:
1. https://github.com/spesmilo/electrum/issues/5072
2. https://zhuanlan.zhihu.com/p/53920688
3. https://www.blockchain.com/btc/tx/2db616f5b4545805dc1de59bc65b21b548c0d553ab187fa1625ef73c727f1e54
4. https://github.com/spesmilo/electrum/issues/4968
5. http://twitter.com/electrumwallet/status/110647957391772467
自6月份以来,DeFi中的两个最有代表性的应用的Compound和Uniswap中锁定的数字资产出现了快速的增长。这两个DeFi应用最近受到市场如此高度的欢迎,它对我们有什么样的启示呢? Compound是一个抵押贷款应用。任何有闲置的数字资产的用户都可以将其闲置资产放到Compound的池中供别的用户借贷。
BTC日间持续下行,市场成交冷淡 根据火币交易平台数据显示,比特币今日上冲无力,自早间起一路下行,相继跌破11850和11500支撑位,现在仍在持续下跌中,已完全反包昨日涨幅。但目前来看成交量并没有放大,多头处于非常不积极的状态,不能对价格形成有力的托底支撑。
过去一年,美联储三次降息,带动全球30多个国家的中央银行跟进降息,最终货币市场利率降至数十年来的最低水平,并向全球市场注入了超过20万亿美元的流动性。 动态审视,影响未来一年国际金融市场的主要因子除了供求关系外,还有来自四个方面的关键力量,即经济增长、货币政策、财政政策与地缘,多元因素的共振与联动最终造就出市场的基本生态与总体走向。
两个国家,对金融未来的两种愿景。“科技冷战时代来了,而美国并没有赢”,Ripple联合创始人Chris Larsen最近在The Hill的一篇评论文章中写道。他认为,中国“有一个百年一遇的机会,可以夺走美国对全球金融体系的管理权,包括其用数字人民币取代美元的最终目标。” 西方开放和自由的价值观可能会在这个新的金融秩序中丧失。
文章系金色财经专栏作者币圈北冥供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别,谨防上当。 行情在弱势区域运行,和昨天观点一致,实打实的阴线且不论背后是何种原因造成,所形成的套牢筹码会抑制短期上升势头,短期内想涨会比较困难。
过去几个月来,DeFi(去中心化金融)展呈爆炸式增长。根据8月31日的数据统计,DeFi加密资产的价格近4个月来分别平均上涨了42.9%,56%,60.5%和168.4%。