根据区块链安全审计公司Beosin旗下BeosinEagleEye安全风险监控、预警与阻断平台监测显示,11月2日消息,加密衍生品交易平台Deribit发布公告称其热钱包被盗,资金损失2800万美元,官方称目前客户资金安全,损失将由公司储备金弥补。
BeosinTrace对本次被盗资金进行实时追踪发现,Deribit热钱包被盗的2800万美元包括6947枚ETH、691枚BTC与约340万枚USDC,随即攻击者将USDC兑换为约2133枚ETH,目前攻击者地址持有9080枚ETH与691枚BTC。被盗资金依然在0xb0606f433496bf66338b8ad6b6d51fc4d84a44cd地址中。
NFT安全公司Web3 Builders完成700万美元种子轮融资,OpenSea Ventures等参投:10月18日消息,智能合约和 NFT 安全公司 Web3 Builders 宣布完成 700 万美元种子轮融资,Road Capital、OpenSea 的风险投资子公司、Sparkle Ventures、Picus Capital、ACME、TTV、G20、Global Founders Capital、Haven Ventures 和 Greylock 等参投。本轮融资将用于开发产品,增加新的人工智能和机器学习方法,并扩大团队。(coindesk)[2022/10/18 17:31:16]
Distributed Finance完成250万美元种子轮融资,Borderless Capital领投:金色财经报道,Distributed Finance宣布获得250万美元的种子轮融资,并利用部分资金收购了Algorand NFT市场Rand Gallery。Borderless Capital领投本轮融资,Algorand基金会、Eterna Capital、Big Brain Holdings和Fun Fair Ventures参投。
据悉,Distributed Finance旨在促进Algorand生态系统中非同质化代币(NFT)和去中心化自治组织(DAO)的发展。(The Block)[2022/8/24 12:44:15]
密码:密码不是私钥,是在创建账户时使用的密码;
私钥:一串十六进制字符,一个账户只有一个私钥且不能更改,如:0xA4356E49C88C8B7AB370AF7D5C0C54F0261AAA006F6BDE09CD4745CF54E0115A;
Axie Infinity Builders Program收到超2000份申请,最终12个项目入选:5月31日消息,周二,Axie Infinity开发商Sky Mavis宣布已经接受了Axie Infinity Builders Program中第一个由用户创建的项目。在2000多名申请者中,只有12个项目入选。
据悉,被选中的团队将获得至少1万美元的赠款,以AXS支付,用于资助项目开发。他们还将获得授权,以使用Axie Infinity品牌,以收入分成模式实现游戏盈利。其中值得一提的项目包括Across Lunacia(面向Axies NFTs的平台冒险游戏)和Mech Infinity(面向Axies及其独特能力的大逃杀游戏)。(Cointelegraph)[2022/6/1 3:54:05]
助记词:由于私钥通常不容易记忆,所以使用算法将其转化为了一串12~24个容易记住的单词,方便保存;
Deribit ETH期权市场未平仓头寸达4.33亿美元:9月1日,加密货币期权交易所Deribit发推称,经过周五(8月28日)期权结算后,ETH期权市场未平仓头寸已经回溯至4.33亿美元。[2020/9/1]
Keystore:JSON编码的文件,存储的是加密后的私钥。
那些私钥泄露导致的攻击案列有哪些?
这里针对项目方的私钥安全主要有三方面:私钥破解、社会工程学攻击、生态安全。比如Ronin事件累计损失6.5亿美元、WonderHero事件累计损失2,800,000美元、MarvinInu事件累计损失350,000美元、Harmony事件累计损失100,000,000美元、Wintermute事件累计损失1.6亿美元。
1、私钥破解
2022年9月20日,Beosin?EagleEye安全风险监控、预警与阻断平台监测显示,加密做市商Wintermute创始人EvgenyGaevoy在社交媒体上发文表示,Wintermute在DeFi黑客攻击中损失1.6亿美元。
动态 | 奥地利金融市场管理局向加密投资网站Bitcoin Trader发出警告:奥地利金融市场管理局(FMA)周三对加密投资网站Bitcoin Trader发出警告,通知潜在投资者该实体未被允许进行银行交易。FMA指出“Bitcoin Trade无权在奥地利开展需要许可证的银行交易。不允许接受其他方面为管理目的提供的资金。”(financemagnates)[2019/7/10]
之后Wintermute创始人在推特上称,其于6月份使用了Profanity工具创建钱包地址。
9月15日,根据1inchNetwork发布的报告称,Profanity工具存在密钥爆破风险。报告中提到的Profanity工具使用32位随机向量生成256位的私钥,这种方式可能存在安全风险。
首先,该工具生成私钥的算法为:
1)Profanity选取一个32位随机数,将其采用mt19937_64()填充为256位的种子私钥;
2)随后采用某种确定性密钥扩展算法将其扩展为200万个私钥;
3)计算私钥对应的公钥,并根据派生公钥进行一系列计算得到对应的以太坊地址;
4)反复「递增」,直到计算出对应的靓号地址。
攻击者提前计算出所有的密钥空间,即对应的种子私钥对应的所有公钥,并存储在哈希表中,接着从区块链浏览器上获取到某一笔交易签名,并从交易签名R、S、V值中恢复出公钥,同样将该公钥采用确定性密钥扩展算法扩展为200万个公钥,反复“递减”派生出的公钥,直到获取到种子公钥,最后再根据该值实现密钥破解。
2、针对项目方的社会工程学攻击
钓鱼攻击
1.网络钓鱼:这种方式是广撒网式的。它会向尽可能多的人发送恶意email,例如Opensea的钓鱼事件。
2.鱼叉式钓鱼:主要针对重要组织,黑客会针对重要单位的个人发钓鱼邮件。电脑一旦被入侵后,主要目的是窃取重要资料,因此会潜伏很长一段时间。只有在特定时间点,需要病或木马采取攻击行动时才会采取攻击行为暴露出来。
3.鲸钓攻击:目标是组织内的最高决策层,比如CEO,CFO等等。这些人可以获取非常有价值的信息,包括商业秘密和管理公司账户的密码。攻击者伪装成具有合法权限的个人或组织,比如向CEO发送电子邮件,假装公司的客户,请求付款。
木马攻击
有的攻击者通过Discord邀请用户参与新的游戏项目内测,或是通过群内私聊等方式发一个程序让你下载。也有邮件的形式,通常以内部系统升级等等理由,诱员工点击邮件链接下载对应升级文件。
一旦员工在电脑上运行木马,它会扫描你电脑上的文件,然后筛选出包含Wallet等关键词的文件,或者对用的敏感隐私信息上传到攻击者服务器,达到盗取资产、获取情报的目的。
3、生态安全问题
8月3日,Solana公链上Slope钱包发生大规模盗币事件,损失估算在600万美元左右。根据Solanafoundation提供的数据显示,近60%被盗用户使用Phantom钱包,30%左右地址使用Slope钱包,其余用户使用TrustWallet等,并且iOS和Android版本的应用都有相应的受害者。Beosin安全团队分析发现Slope钱包使用的Sentry服务,通过抓包发现此服务会在用户创建钱包时,将助记词和私钥等敏感数据发送到Slope的服务器o7e.slope.finance上,造成助记词或私钥泄露。
钱包安全的防范
关于钱包的安全防范,在这里我们简单聊一下钓鱼攻击。针对项目方的主要是鱼叉和鲸钓,网络钓鱼一般针对的普通用户。大家需要注意:
社交媒体信息交叉验证;使用防钓鱼插件;谨慎点击不明链接;谨慎下载不明文件。同时大额资产可存在冷钱包,以提高安全性;签名和授权方面更要注意拒绝盲签;签署交易时,反复确认签署内容;定期清理不必要的授权;进行资产交易可使用临时性钱包、网络钱包,钱包选择上面多使用主流钱包。
责任编辑:MK
TL;DR 为什么选择租赁系统? 基于对cryptogame未来的判断,如何融合非crypto玩家与crypto玩家体验,成了一个需要重视的命题.
今年8月,Telegram??创始人??PavelDurov在Telegram上称,基于TON拍卖钱包用户名的成功案例,想要为其?7亿用户推出Telegram用户名拍卖功能.
Sei是第一个支持订单簿交易的专用第1层区块链,旨在建立一个可靠、安全和高吞吐量的环境。DEX是加密货币中最为广泛采用的应用,但问题是:DEX选择"一刀切"的方法;网络拥堵使订单无法进行;性能普.
链上期权概述 目前链上的期权的玩法主要有三种:流动池做市订单簿结构化产品 订单薄 典型产品:Zeta,Psyoption,Opyn类似于dydx.
前言 有天本熊在OpenSea上闲逛时,想起自己当初没有买到艺术向项目RenArt的NFT后,便到他们的项目Discord中看看公售两个月后的社群状况,意外发现本来热闹的社群已经冷清起来.
昨天马斯克又在推特上发布了一张穿着推特t恤的柴犬的照片,顺便推动了狗狗币价格的最新上涨。他的举动也唤起了人们对这位亿万富翁过去发帖如何引发狗狗币疯狂上涨的回忆.