丢币一直是加密世界中老生常谈的话题,无论是个人用户还是交易所都曾因为数字资产被盗而麻烦上身。
作为罪魁祸首的黑客,早已成为个人用户的眼中钉、交易所的肉中刺。他们总是与加密货币形影不离,即使行情再不好,也总能捞到油水。令人不可思议的是,这次捞油水的还出来大放厥词。
01
近日,一位名为“Daniel”的黑客向一家加密媒体承认,他利用“SIM卡交换”绕过双重身份验证盗窃了总共价值50万美元的加密货币。
1.黑客给电信公司打电话,哭诉自己的SIM卡丢失了;
3.通过拦截双重身份验证文本或窃取存储在电子邮件账户中的密码。
据Micky.com报道,使用这种方法,每年都有数千万美元的加密资产被盗。尽管电信供应商声称他们有标准的协议来防止这种行为,但Daniel透露,总有办法说服他们的客户服务人员。
Connected 2023: Web3社交黑客马拉松在DoraHacks.io正式启动:据官方消息,Connected 2023: A Web3 Social Hackathon项目申请入口已在开发者激励平台DoraHacks.io开启。本次活动由Web3社交图谱协议CyberConnect和BNB Chain联合举办,利用DoraHacks平台支持的自由组织黑客马拉松工具发起。活动赞助商来自Notifi、Lit、Livepeer和XMTP,总资助池超50,000美元,项目提交截止时间为3月10日。[2023/2/17 12:13:36]
他说:“例如,你打电话假装在瑞典电信公司Tele2工作,请他们帮你转接一个号码。”。一旦号码被重定向,他就会使用Gmail或Outlook中的“忘记密码”选项来获取账户凭据。
动态 | 澳大利亚黑客承认其于去年盗取了价值45万美元的XRP:据Cointelegraph消息,澳大利亚公民Katherine Nguyen承认其在2018年1月盗窃了10万多枚XRP,价值45万美元 。Nguyen侵入了一个姓氏相同的男子的电子邮件帐户。 然后她开始偷他所有的XRP,两天后打开了他的账户。据报道,在查找和逮捕她之前已对盗窃案进行了10个月的调查。 Nguyen此后对盗窃罪表示认罪,并面临牢狱之灾。今年10月将举行特别听证会,以解决一些事实争议,并决定对她的判决。[2019/8/24]
Daniel承认,他没有任何罪恶感,因为他从来没有见过那些被他称为“倒霉鬼”的受害者,事实上,他还把责任归咎于“倒霉鬼”没有使用更好的安全措施。
根据分析公司CipherTrace的一份报告,SIM卡交换已成为一种越来越流行的技术。
动态 | 黑客为挖矿攻击路由器 降维提示用户注意互联网安全:从今年4月份至今,黑客利用了约210,000台MikroTik路由器上存在的安全漏洞,通过此漏洞将挖矿木马Coinhive的Javascript注入用户浏览器访问的每个网页,最终迫使每台连接的电脑在不知情的情况下为黑客挖掘门罗币。
降维安全提示:黑客利用用户私人财产挖矿已成常态化。用户除了及时对自己的电脑、手机安装最新系统更新外,路由器安全也应放在日常关注之列。及时的安装安全补丁可以有效降低用户的路由器被攻破的风险,避免成为黑客非法挖矿的帮凶。[2018/8/4]
02
公开资料显示,今年年初,一个名叫JoelOritz的20岁美国加州男子成为第一个因劫持SIM卡而入狱的人。
本月早些时候,也有来自美国密歇根州的9个人被指控密谋通过劫持SIM卡窃取价值约240万美元的数字货币。黑客团伙遍布美国和爱尔兰,自称为"TheCommunity"。
动态 | 韩国黑客接连袭击交易所致保险业区块链业保险态度消极:接连发生的韩国交易所遭到黑客袭击事件,甚至影响到了韩国区块链行业的保险业务。为了防止万一,众多虚拟货币交易所加入的韩国区块链协会一直在努力引进保险业的承保。对于当初承保的保险公司来说,参与区块链行业的保险业务可能会成为商机,但在见证了虚拟货币交易的不稳定事件后,保险公司纷纷持消极观望态度。[2018/6/29]
1.不使用手机号码进行双重身份认证,而是使用Google或Authy代替;
黑客盗币使出的手段五花八门,除了SIM卡交换外,利用“假充值”漏洞的黑客也相当猖獗。
03
5月2日,交易所BitoPro的XRP遭遇攻击,导致价格出现崩盘现象,损失约700万个XRP。据慢雾安全团队的溯源分析,这起攻击的本质原是BitoPro对接XRP时,充值校验不严谨,出现假充值漏洞。
前几日,降维安全实验室也发消息称,关注到不少项目方/交易所在确认客户交易时,只检测了是否存在交易哈希(txhash),并未检测交易状态(txstatus)。这样容易遭受“假充值(FakeCharge)”攻击。恶意用户只需要发起延迟交易,并在随后的实际延迟交易中造成硬失败(hard_fail),就可以不使用任何EOS,完成充值/押注等操作。
业内人士表示,“假充值”本质其实就是一种“空手套白狼”的行为,黑客利用交易所充值漏洞把钱包中并不存在的加密货币存入交易所账号,再通过交易套现或者套成其它币种并将其转走。部分交易所可能存在仅根据交易回执状态和链上确认次数对交易结果作判断,忽略了对账户实际状态的检查。
但事实上,这里的交易回执状态显示成功仅仅表明上链成功,并不代表完成了实际转账,如果交易所据此承认该笔转账就会产生虚假转账问题。除此之外,还有些交易所的充值校验代码并不严谨,黑客只需在客户端代码上稍动手脚就可以使无效交易变得有效。
据加密货币数据公司Chainalysis的研究资料显示,从2009年诞生到今年3月初,比特币已经有287-379万枚永久丢失,丢失的数量占到比特币总量的17%-23%,价值超过150亿美元。
而截至目前,全球数字货币交易所因安全问题损失金额已超29亿美金,假充值攻击作为一种频现的攻击方式,可以让攻击者轻易获取目标交易所资产,造成巨额损失。
04
资产安全一直是数字世界的重中之重,而黑客却成了安全的克星。但是,正如世界上的人千差万别一样,黑客也极富个人特色。
五一假期的最后一天,程序员的大本营被黑客攻击了。黑客放言“不交比特币赎金,就公开用户私有代码”,并给了十天限期。受到攻击的不仅仅是GitHub的私有库,其他代码托管网站GitLab、Bitbucket也同样受到了攻击。
这是司空见惯的勒索事件。慢雾科技创始人余弦表示,GitHub成为供应链攻击的重灾区,开发者活跃的地方,不仅存在后门仓库,还可能因为自己账号被黑,进而导致自己的仓库被偷偷植入后门。在区块链领域,历史上已经有几起被披露的供应链攻击事件,现在、未来还会有,开发者应该安全加固好自己的账号,包括:密码、双因素、私钥等,虽然这是个很简单的事,但总有人就是懒或无知或缺乏敬畏。
2014年8月15日,黑客从比特儿盗走了5000万个NXT币,价值约为1000万人民币。原因是比特儿平台将所谓的冷钱包私钥放在了服务器上,使得NXT并没有实现冷存储,于是获得钱包私钥的黑客将币取走。
有意思的是,当时平台和黑客谈判,愿意支付110个比特币作为赎金以赎回丢失的平台币,但最终结果是黑客拿走了比特币,也未归还NXT。比特儿也因为这个事件成为当时圈内的大笑话。
2014年12月,白帽黑客Johoe从某钱包里“盗取”了300枚BTC。原因是在钱包软件升级过程中产生了技术问题,导致临时性安全漏洞出现,这个安全漏洞仅仅存在了2个多小时,但还是给了Joheo机会。有趣的是,事后,Johoe如数归还了盗取的比特币。
今年3月份,日本媒体宣布,Monacoin被盗案终于水落石出,这名盗取了1500万日元的黑客是个“爱玩”的未成年。当警察问他盗币原因时,他回答说:“我发现了别人不知道的作弊漏洞,就想当个电子游戏玩一玩。”
然而,“利”字边上一把刀,有道是:君子爱财,取之有道。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。