浏览器漏洞?空投猎人需警觉的安全问题_BTF:SCAN

上周发生一起黑客攻击事件,比特浏览器的许多用户于社群反应其私钥被盗,有猜测称该情况因使用比特指纹浏览器所致,开启了扩展数据同步的用户钱包有被盗风险,建议立即采取措施,转走钱包资产。比特浏览器是一款多账户管理工具,允许用户轻易建立多个 IP 的浏览器视窗分页。

目前单一用户最高被盗资产高达 6 万美金,并有超过 3,000 个钱包遭到资产损失,总损失高达 41 万美元。比特浏览器官方表示目前比特服务端缓存数据遭到黑客入侵导致用户的私钥外泄和资产被不法转移,已经报案,并联系 MetaMask 冻结黑客钱包。然而,由于缺乏透明度和即时的危机处理,部分用户对其采取的措施表示质疑和不信任。

Chrome浏览器已修复可盗取比特币私钥等信息的漏洞:4月17日消息,Chrome浏览器紧急修复了一个已经发现有在野利用的安全漏洞(CVE编号:CVE-2023-2033),利用该漏洞,受害者只要浏览了攻击者精心构造的恶意页面,攻击者即可在受影响的设备上执行任意代码,所造成的危害包括但不限于盗取比特币私钥、盗取通讯录、相册等敏感文件等,建议立即升级以避免被攻击。

如果使用的是诸如Microsoft Edge、猎豹浏览器、360安全浏览器等等使用了Chrome内核的浏览器的话,也需要升级至带有最新版本。(SecurityOnline)[2023/4/17 14:07:43]

而根据昨日 8/29 最新消息,慢雾首席信息安全官 23pds 在推特上表示:“关于比特浏览器大量用户被盗的情况,目前我们已经联合合作伙伴成功拦截了一部分在洗的资金。比特浏览器正在立案,立案成功慢雾会正式介入。”

加密货币质押供应商Staketab发布新一版Mina区块浏览器:加密货币质押供应商Staketab宣布推出新一版Mina区块浏览器。新版本区块浏览器改善了总体的信息查看功能,美化设计界面,并在数据库中添加了更多的公认账户,为交易账户提供更舒适的使用体验。下一个版本,Staketab将致力于完善Snark部分,以及时间锁页面和其他浏览器页面的图标。[2021/7/26 1:15:47]

指纹浏览器与空投猎人

对于空投猎人来说,如何防止多账号关联一直是重点研究的一件事,除了最基础的隔离链上地址之间的关联外,IP 隔离也是很多人在意的点,而指纹浏览器便是为了这需求诞生的产品。指纹浏览器可以模拟不同的浏览器指纹,防止账号关联和被封禁,这对于多账户操作如跨境电商、社交媒体、广告投放等业务来说相当有用。

BTFS团队发布官方数据浏览器BTFSscan:据官方最新消息,BTFS团队已经发布官方数据浏览器BTFSscan。据悉,BTFSscan是一款BTFS官方团队打造的数据浏览器,矿工可以通过BTFSscan浏览器快速浏览BTFS分布式存储网络中关键的数据,包括在线矿工数、全网已存储量、分数及地域分布情况、大矿工排名等。与此同时,BTFSscan即将与波场用户数最多的浏览器TRONSCAN进行资源整合,用户可通过TRONSCAN一键快速访问BTFSscan。矿工也可直接在BTFS host UI页面上进行一键访问,安全快捷。BTFSscan访问地址见原文链接。[2020/12/16 15:22:20]

浏览器与钱包安全问题

浏览器开发企业eyeo将使用区块链技术过滤假新闻:浏览器开发企业eyeo最近公布了一款使用区块链技术过滤假新闻的浏览器。该公司准备在未来将对假新闻提供正确反馈的用户奖励虚拟货币制度。[2018/6/20]

但同时需要注意的是,无论是比特浏览器还是其他第三方修改的浏览器,或是其他类似的多账户管理工具,用户都需要高度警觉以下几个安全问题:

浏览器或插件本身的安全性:由于此类型为了特殊需求衍生的浏览器大多在 Chrome 核心基础上修改,但在版本更新上可能因此会无法第一时间便更新至最新版本,以至于黑客能利用和新版本与第三方版本不同步的更新时差,在这段时间内找出漏洞攻击。因此,用户应选择信誉良好和安全性高的工具,并定期更新到最新版本。

用户自身的操作安全:私钥管理是大多是加密货币使用第一堂便需要学习的课程,但久而久之有许多用户因为被黑这件事自己从未遇过便忽视了其重要性,私钥是必须备份且绝对不建议联网储存的或与他人分享的,尽管许多平台皆保证皆会加密处理,但将自己财务风险暴露在其他人的软件上,仍不是个明智之举。

与第三方服务的互动:在链上与 Dapps 互动时需特别注意,是否为官方管道避免被仿冒的钓鱼网站走资产,而在与新协议互动式需要花费更多的时间来确保此项目是否有人背书或是团队是否正规,切勿一股脑上头便急忙的操作。

笔者观点

这次比特浏览器的黑客攻击事件是一个警钟,提醒所有涉足加密货币的个人和机构,特别是管理众多帐户地址的空投猎人或工作室,必须更加严格地注意自己的资讯安全和私钥管理,在这类型的第三方服务器下最好是使用无私钥的 AA 钱包,或是使用 wallet connect / coinbase wallet 等利用手机扫码操作的钱包,避免私钥直接曝露在第三方公司运营的平台上。

从比特浏览器官方的回应便可以知晓其团队对于区块链安全的了解有待提高,竟表示联系 MetaMask 冻结黑客钱包令人啼笑皆非。当资料泄漏一事发生在其他 Web2 使用者占多数的平台可能后果不是如此巨大,但当你的使用者大多是 Web3 用户时便不是这么一回事了。而对于用户来说只有建立全面的安全机制和紧急应对计划,才能在这个高风险但高报酬的领域中长期生存,毕竟为了空投奖励而损失本金便有些本末倒置了。

免责声明

本研究报告内的信息均来自公开披露资料,且本文中的观点仅作为研究目的,并不代表任何投资意见。报告中出具的观点和预测仅为出具日的分析和判断,不具备永久有效性。

白话区块链

神译局

Gryphsis Academy

新浪科技

元宇宙之心

金色早8点

Web3小律

MarsBit

ForesightNews

吴说区块链

TokenInsight

郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。

金智博客

[0:15ms0-9:646ms