本文由CertiK供稿,授权金色财经首发。
北京时间12月14日晚5点40分,CertiK Skynet天网监控发现一笔来自Nexus Mutual创始者Hugh Karp账户的巨额交易,该交易转移共37万NXM代币到不明账户中。
CertiK安全验证团队迅速展开调查分析,认为该次交易是针对Hugh Karp账户的黑客攻击。
顺便给大家计算了一下
37万NXM=833万美金。
事件经过
整个攻击流程如下:
攻击者账户地址为:
0x09923e35f19687a524bbca7d42b92b6748534f25
部分攻击获得代币已经通过交易
0xfe2910c24e7bab5c96015fb1090aa52b4c0f80c5b5c685e4da1b85c5f648558a
以太坊近24小时销毁4,964枚ETH:12月20日消息,据Tokenview链上数据显示,近24小时内,以太坊产出14,457.6枚ETH,销毁4,964.41枚ETH;平均每分钟销毁3.45枚ETH,24小时销毁率34.34%。[2021/12/20 7:50:25]
在1inch.exchange进行交易。
攻击交易地址:
0x4ddcc21c6de13b3cf472c8d4cdafd80593e0fc286c67ea144a76dbeddb7f3629
图一:攻击交易细节截图
根据官方披露细节, 攻击者通过获得Hugh Karp个人计算机的远程控制后,对计算机上使用的Metamask插件进行修改, 并误导其签署图一中的交易——这笔交易最终将巨额代币转移到攻击者的账户中。
去中心化借贷协议Aave发布V2版 新增抵押品还款和降低Gas费等功能:去中心化借贷协议Aave发布V2版,旨在进一步推进去中心化发展,AaveV2版本将引入一系列新功能,从抵押还款方面,新版本功能允许用户通过在1笔交易中直接用抵押品付款来去除杠杆化或平仓。从债务标记和信用委托方面,用户的债务状况将被标记(用户将收到代表其债务的代币)。债务的标记化使Aave协议中的本地信用委托成为可能,用户可以通过冷钱包进行本地头寸管理和针对特定用户的流动性挖矿策略。从固定利率存款方面,可预测的存款利率为流动性提供者提供了明确的收入保证,而不受市场变化的约束。从借款利率方面,可以将借款利率锁定在一定时间段内锁定,提高了稳定的借款利率。私募方面,为了满足机构需求,Aave协议将允许政府开放的私募市场来支持各种标记化资产。此外,本次版本还包括优化Gas费,实现对本机GasToken支持,进一步帮助用户降低交易成本。增加安全性和债务、抵押保证金交易功能,以及增加特定的治理功能等。[2020/8/15]
CertiK团队根据目前已有信息,推测Hugh在日常使用Metamask时,被攻击者修改后的插件生成了这笔巨额代币的转账请求,随后Hugh使用他的硬件钱包签名了这笔交易。
作为一个应用,浏览器插件和普通网站的前端组成是相似的,它们都由HTML和JavsScript搭建而成。浏览器插件的代码会存在用户的电脑中。
关于黑客是如何修改的Metamask插件的,CertiK团队做出以下猜测:
1. 黑客在获得了在Hugh Karp的个人电脑的控制权后,通过远程桌面打开浏览器,直接安装了修改过后的Metamask插件。
2. 黑客在Hugh Karp的个人电脑上找到了Metamask插件的安装路径, 对其中代码进行了修改, 在修改完成后,将修改后的插件加载到浏览器中。
3. 黑客利用浏览器自带的的命令行工具, 修改浏览器安装的插件。
官方披露的细节中提到了Hugh Karp使用的是硬件钱包, 但并未说明是哪款硬件钱包。
应是Trezor或者Ledger之一,因为Metamask只支持以上两个硬件钱包。
在使用硬件钱包的情况下,Metamask中的交易需要在硬件钱包中进行确认并使用存在硬件钱包中的私钥签名。
目前上面两款硬件钱包在硬件的确认交易时,硬件屏幕上都会显示转账接受地址,以供使用者进行最终确认。
此次攻击中,黑客应该无法修改硬件屏幕中交易确认界面显示的地址,由此推测Hugh Karp在硬件钱包上进行最终确认时,并未留意到交易的对象是黑客的地址。
图二:Ledger确认交易时的屏幕显示
来源: https://www.youtube.com/watch?v=9_rHPBQdQCw
区块链保险平台创始人账号被攻击,更是说明了保险的重要性。
高密度爆发的黑客事件是一个警示。
在区块链的网络世界中无论你是什么人,拥有怎样的角色身份,黑客不会因为你的侥幸心理就绕过你,安全事故造成的损失可能会发生在每个人身上。
而且就算使用硬件钱包,人也不可能一辈子百分之一百不犯错误。
CertiK安全验证团队根据此次攻击,提出如下安全建议:
1. 任何安全系统和操作环境不仅需要程序安全验证,更加需要专业的渗透测试来对整体产品安全进行验证。
2. 为了确保数字资产不因任何非技术原因遭受损失,项目方应及时为项目产品购买保险,增加项目方和投资者的安全保障方案,确保其因受到攻击所造成的损失可以被及时补偿。
标签:TAMETAmetamaskTIKbitstamp交易平台百科MetaVisa ProtocolMetaMask官方下载TIK币
随着区块链被纳入新基建,区块链的发展备受关注。“过去一年,区块链的污名化、理想化问题已解决。”中国信息通信研究院云计算与大数据研究所所长何宝宏在不久前举办的《读懂区块链》新书发布会上发表了这一观点。他认为,当前,政策的密集落地正在推动区块链产业进入全新的发展阶段。从应用上看,金融仍然是区块链第一大应用场景,与此同时,政务应用的场景也在不断增多。
区块链社交平台 Kin 的开发商 Kik 宣布将于 12 月 15 日开始将加密货币 Kin 迁移至 Solana 区块链。 在迁移之前,Solana 将进行一次主网升级,以实现一些针对 Kin 的新优化。 在迁移过程中,余额为 1 美元或 1 美元以上的 Kin 账户将被优先考虑。
文章系金色财经专栏作者币圈北冥供稿,发表言论仅代表其个人观点,仅供学习交流!金色盘面不会主动提供任何交易指导,亦不会收取任何费用指导交易,请读者仔细甄别防上当。
在四次试图突破19600万美元的阻力位失败后,比特币(BTC)的价格现在停滞在19000美元以下。从近期来看,四个因素表明,相比彻底突破近20000美元的历史高点,回调的可能性更大。交易员和技术分析师大多对比特币的近期价格走势持谨慎态度,似乎在等待比特币建立明确的支撑位或突破其历史高位。
各种比特币期货和期权指标显示,投资者将比特币每一次下跌都视为买入良机。 12月11日,比特币(BTC)跌至17580美元的低点,尽管一些分析师预测看跌,但投资者仍相对冷静。本周收盘时,比特币的价格可能与开始时持平,但比特币的基本面已经变得更加健康。
Rust语言发展如火如荼,以太坊生态内的编程语言都是Solidity(或者Vyper),但Rust的优越性一直备受加密货币项目和开发者喜爱,那以太坊生态怎么办?以太坊开发了Fe,一个和Rust联系起来的语言。为安全性出现的语言。 以下为开发者Christoph叙述Fe的文章,金色财经编译呈现,以飨读者。
区块见闻