精华内容
下载资源
问答
  • ETH昨日暴跌的原因终于找到了,竟是因为以太坊被盗了。6月12日,网络安全公司360 Netlab调查发现,因运行不安全的客户端Geth,在过去几个月里,被盗的以太坊价值超过了2000万美元。黑客通过扫描与以太坊网络进行通信...

    ETH昨日暴跌的原因终于找到了,竟是因为以太坊被盗了。6月12日,网络安全公司360 Netlab调查发现,因运行不安全的客户端Geth,在过去几个月里,被盗的以太坊价值超过了2000万美元。黑客通过扫描与以太坊网络进行通信的8545端口快速赚钱,寻找Geth客户端并窃取用户的数字货币。


    自2017年数字资产站上风口以后,大量的资金涌入,让很多不法分子盯上了这块肥肉,万能的以太今年就被黑了两次,这不今天又陷“黑客门”。昨日暴跌今日被盗,我是怎么熬过这两天一夜的,无人知道。

    以太坊被盗逾2000万美元数字资产,可能很多小伙伴会说,他丫的被盗跟我有一毛钱关系嘛。在这件事发生以前,我估计我也是那个甩话的人,随之抛之脑后,但这次却“中奖了”,摊上事了。

    资产被盗,黑客攻击,这种新闻天天有,但总感觉这种概率十万分之一的事情,自己没有那么好的运气,也不会发生在我这个平凡不能在平凡的人身上,直到自己一个账户数字资产不翼而飞,让我真的相信了黑客的真实存在。

    幸亏我是把我的所有资产分开,放在两个地方的,一小部分在交易所,一部分在钱包,交易所被盗的是近些时候新买的几个币,虽说数额不大,但都要重新购买,对于小市民的我来说,相信这段被盗经历会如同噩梦一样陪我一生。

    但如果是比特币和以太坊这种数字资产被盗,基本上就只能认栽了,相信找不回来,因为很现实的一个问题摆在大家面前,区块链的世界,没有后悔药,回滚的成本太高。何况今天被黑的是以太坊这样的系统,大部分人就如蝼蚁一般,我被盗的这点币对整个系统来说根本微不足道,但对于我来说却很重要。

    所以有时候我会思考,有没有解决这种完全去中心化的漏洞的办法,最近竟真的被我找到了,它可以给自己的数字资产购买保障,可以对交易所币种风险评测,预测出交易所要下架的币种,好像未来还能保障币价暴涨暴跌,它就是云保链CIC,一个致力于构建未来全球最大区块链生态的平台。

    最后感慨一下,未来如果交给上述中的完全去中心化,是很可怕的,还是交给像云保链CIC这样的去中心化靠谱些。

    展开全文
  • 由于以太坊被盗事件,引发大家对数字资产安全性担忧。事实上,类似的事件过去发生过,将来还可能会发生。 2017年7月19日,多重签名钱包Parity1.5及以上版本出现安全漏洞,15万个以太坊ETH被盗,共价值3000万美元。 ...

    由于以太坊被盗事件,引发大家对数字资产安全性担忧。事实上,类似的事件过去发生过,将来还可能会发生。

    2017年7月19日,多重签名钱包Parity1.5及以上版本出现安全漏洞,15万个以太坊ETH被盗,共价值3000万美元。

    2017年4月22日,韩国比特币交易平台yapizon成为了黑客攻击的最新受害者,该交易所的员工在社交媒体上发布通知,确认有3,831
    BTC被盗,市场价约合500万美元。相当于该平台总资产的37.08%。用户将平摊所有损失

    2016年8月4日全球最大的数字资产交易平台之一Bitfinex被盗了价值超过6000万美元的比特币。

    2016年6月17日,区块链业界最大的众筹项目TheDAO(被攻击前
    拥有1亿美元左右资产)遭到攻击,导致300多万以太币资产被分离出TheDAO 资产池。

    2014年2月28日,曾经世界规模最大的比特币交易平台运营商宣布,其交易平台的85万个比特币已经被盗一空,包括用户交易账号中约75万个比特币,以及Mt.Gox自身账号中的约10万个比特币。根据2014年2月28日的交易行情,损失估计约4.67亿美元。直接导致Mt.Gox破产。

    ……

    这些是数字资产领域这几年遭遇的影响比较大的被黑客攻击盗取数字资产事件,以太坊的这次被盗事件几乎可以说是在同一块石头上绊倒两次。

    以太坊重蹈覆辙

    Parity是目前以太坊使用最广泛的钱包之一,这次被盗事件与2016年6月份发生的the DAO事件相类似。The DAO事件也是由于智能合约代码的漏洞导致350万个以太币(当时价值5000万美元,如果以目前价格计算则为7亿多美元)被盗。

    The DAO事件发生后,以太坊创始人Vitalik Buterin提议修改以太坊代码,对以太坊区块链实施硬分叉,将黑客盗取资金的交易记录回滚,得到了社区大部分矿工的支持,但也遭到了少数人的强烈反对。最终坚持不同意回滚的少数矿工们将他们挖出的区块链命名为Ethereum Classic(以太坊经典,简称ETC),导致了以太坊社区的分裂。

    但本次Parity事件发生后,Vitalik Buterin迅速表示,因被盗取资金并非巨量,不考虑像上次那样实施硬分叉回滚交易。原因是:

    1. The Dao事件发生时,以太坊生态系统还没那么成熟;
    2. The Dao事件被盗的以太币数量要远超过这次被盗事件,因此更加危险;
    3. [最重要的是],本次攻击者可以立刻转移资金,(截至发稿,已经有报道称被盗的ETH被套现9万美元)因此硬分叉是不可能的。

    因而,以太币的价格在事件发生后并未大幅下跌,目前以太坊ETH的价格为213美元,以太坊经典ETC的价格为15美元。

    如何提高安全性?

    值得一提的是,签名钱包Parity出现的安全漏洞不是以太坊区块链本身的漏洞,而是智能合约代码的漏洞,所以我们不应对以太坊和区块链的安全性产生怀疑。此次事件也不会对区块链的应用带来严重的负面影响,类似的事件将来可能还会发生,这并不意味着区块链技术的末日。

    区块链从业人员应吸取教训,平台也要加强安全管理,以尽可能减少类似的安全事故。在笔者看来,在区块链和智能合约的设计与编码实践中,需做到以下几点:

    1. 简化区块链脚本语言设计,牺牲一部分图灵完备性换取安全性。
    2. 严格执行智能合约代码审查。
    3. 强化对智能合约程序员的培训。
    4. 在应用实践中要谨慎渐行。

    将逻辑抽象到共享库中的做法,虽然有助于提高代码可重用性并降低部署成本。但是,这次黑客攻击事件再次表明,我们需要在以太坊生态系统中制定一套严格的执行标准,以确保编码模式得到有效和安全的实施。否则,更多看上去不经意的错误都可能会带来灾难性的后果。

    笔者认为,数字资产确实存在受黑客攻击被盗的风险,但我们不能因噎废食,BTC也好、ETH也好,都是非常优秀的经济实验,其价值不会因为遭受攻击而消失。这个领域依然充满着机会,所以选择在靠谱、安全的数字资产量化交易平台比如WeQuant微宽网做量化交易是不错的,避免非理性投资。

    (本文所有观点不作为投资参考。币市波动较大,投资有风险,入市需谨慎。)

    展开全文
  • 最终的拍卖金额和被盗以太坊数量一致。 攻击者如何获得 GitHub 访问权限? SushiSwap 表示,恶意合约方 ArisoK3 将恶意提交 46da2b4420b34dfba894e4634273ea68039836f1 推送到Sushi 的 “miso-studio” 仓库。由于...

    768c20562ea0d2c857edd3d2340b3e3e.gif 聚焦源代码安全,网罗国内外最新资讯!

    编译:代码卫士

    SushiSwap(“寿司“)公司的首席技术官 Joseph Delong表示该公司的 MISO 平台遭软件供应链攻击。一名GitHub 昵称为 AristoK3 的”匿名合约方“访问了该项目的代码库并推送了一个恶意代码 commit,使后者分发在该平台的前端。

    SushiSwap 是一个平台驱动型去中心化金融 (DeFi) 平台,其最新服务MISO 在今年年初上线,可使项目在Sushi 网络上发布自己的令牌。

    攻击者干扰或劫持软件制造流程,插入恶意代码,导致制成品的大量客户受影响时就会发生软件供应链攻击。当用于软件构建中的代码库或个体组件受污染时、软件更新二进制被“木马化”时、代码签名证书被盗时、甚至当提供软件即服务的服务器受陷时就会发生软件供应链攻击。因此,成功的软件供应链攻击能够造成更广泛的影响和破坏。

    在MISO案例中,Delong 表示,“攻击者插入自己的钱包地址,在拍卖创建阶段取代了auctionWallet。“借此,攻击者盗取了864.8个以太坊,约折合300万美元。

    Delong 表示,目前仅有一家汽车市场的拍卖遭利用,受影响的拍卖已修复。最终的拍卖金额和被盗的以太坊数量一致。

    7f7175505c3ffaf513ee95680a53aa09.png

    攻击者如何获得 GitHub 访问权限?

    SushiSwap 表示,恶意合约方 ArisoK3 将恶意提交 46da2b4420b34dfba894e4634273ea68039836f1 推送到Sushi 的 “miso-studio” 仓库。由于该仓库是私有仓库,因此 GitHub对越权访客抛出404 “未找到”错误。那么,“匿名合约方“如何获得对项目仓库的访问权限?SushiSwap 应该在某个位置设置了审查进程。

    尽管任何人都可为GitHub 公开库做贡献,但仅有少数人能够访问或为私有仓库做贡献。即便如此,在理想情况下,提交也应当得到项目可信成员的审查和许可。

    密币追随者 Martin Krung是“吸血鬼攻击(对依赖于资产流动性协议的攻击)“的创造者,他认为攻击者的 pull 请求在并入代码库之前应该已得到审计,但贡献者反馈称并不存在”代码所有权“。

    SushiSwap 编译了一份粗略的分析,用于追踪攻击者并对多个数字化身份进行了引用。分析认为 GitHub 用户 AristoK3 和推特上昵称为 eratos1122 的用户有关,但后者的回复无法确认这一点。Eratos1122 回复称,“太疯狂了。请删除[报告]并向所有人道歉。否则,我将分享所有的MISO项目。“

    目前,分析中提到的数字身份尚未得到验证,攻击者身份不明,该公司也尚未置评。


    2cf51383d022c71ff956b4d6237d923f.png

    推荐阅读

    谷歌资助OSTIF审计8个重要开源项目,提升软件供应链安全

    外汇交易所巨头 Travelex 遭攻击暂停服务,详情不明

    Jenkins 内部服务器遭访问且被部署密币挖机

    原文链接

    https://arstechnica.com/information-technology/2021/09/cryptocurrency-launchpad-hit-by-3-million-supply-chain-attack/

    题图:Pixabay License

    本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

    45ec2b8e6b916f2928276c864e2dbeb8.png

    b50be0cc8ec5bc8ee2eb3b4113378831.png

    奇安信代码卫士 (codesafe)

    国内首个专注于软件开发安全的产品线。

       de05f494ac3eb4bd7a931b39c6773dd5.gif 觉得不错,就点个 “在看” 或 "赞” 吧~

    展开全文
  • 以太被盗问题解答

    千次阅读 2018-03-12 09:31:43
    最近在技术讨论群(QQ群: 659809063)和网上遇到很多以太坊被盗的问题,这种盗窃场景往往发生在初次接触以太坊的同学身上。今天就简单总结一下这种被盗的原因和场景。 被盗场景 下面是一段网上论坛寻求解答的...

    以太币被盗问题解答

    最近在技术讨论群(QQ群: 659809063)和网上遇到很多以太坊被盗的问题,这种盗窃场景往往发生在初次接触以太坊的同学身上。今天就简单总结一下这种被盗的原因和场景。

    被盗场景

    下面是一段网上论坛寻求解答的一个提问,也正是我们今天要讲的典型的以太币被盗场景。

    1、前一天晚上,我们用本地代码去连接阿里云以太坊节点(公链)服务器做交易,私钥文件(A地址)保存在服务器上,交易时,失败了,到etherscan查交易时发现以太币被转到一个不认识的地址(H地址),这时尚未意识到被盗,怀疑代码存在问题。

    2、第二天,往A地址转了点以太币,然后在服务器上的命令行做交易,命令行查询帐户以太币正常,解锁帐户后,交易失败,到etherscan查交易时发现以太币被转到昨天的地址(H地址),pending。

    3、我们分析可能是私钥泄漏、密码简单,于是在服务器上新创建了一个地址(B地址),密码变复杂了,又转了点以太币,更新的了以太坊客户端(从1.7.3更新到1.8.1),同样在服务器上的命令行做交易,命令行查询帐户以太币正常,解锁帐户后,交易又失败了,查得以太币被转走(H地址),pending。

    4、这次分析可能是服务器感染病毒,于是格式化服务器,重新搭建环境,创建帐户,转以太币,还是在命令行做交易,又发生了同样的问题,以太币被转走(K地址),pending
    这到底是什么问题,哪位大神遇到过,帮忙解答下,小弟不胜感激!!!

    问题还原及解答

    看到这里很多掉进此坑的朋友可能已经知道了被盗的原因,现在我们就分析一下,让后来者避免再重蹈覆辙。

    其实,这个问题的原因很简单,问题就出在以太坊的转账时的解锁机制。很明显,这位同学的以太坊节点是可以公网访问,没有限制入网ip。我们都知道,当发起转账交易时是需要进行解锁,看一下解锁的代码:

    func (s *PrivateAccountAPI) UnlockAccount(addr common.Address, password string, duration *uint64) (bool, error) {
        const max = uint64(time.Duration(math.MaxInt64) / time.Second)
        var d time.Duration
        if duration == nil {
            d = 300 * time.Second
        } else if *duration > max {
            return false, errors.New("unlock duration too large")
        } else {
            d = time.Duration(*duration) * time.Second
        }
        err := fetchKeystore(s.am).TimedUnlock(accounts.Account{Address: addr}, password, d)
        return err == nil, err
    }

    通过源代码我们可以看到,如果没有传递解锁时间参数,系统会默认将发起交易的账号解锁300秒。而以太币被盗就发生在这恐怖的300秒,在没有一点安全防护的节点服务器,这意味着在5分钟内,任何人都可以调用转账方法将此账户的以太币转到其他账户。黑客通过工具监听到某个地址被解锁,马上就调用该服务的该地址出高价手续费将余额全部转走。

    小结

    以上就是新手常见的被盗场景之一,或许你还正在疑惑为什么我发出交易的时候代码报转账手续费不足,而在这之前你的以太币已经不翼而飞。针对这个问题最简单的防护措施就是确保服务器的访问限制。至于更高级的安全防护新手很难做的,也是一个很大的课题,后面的文章中会陆续讲解。

    原文链接:http://www.choupangxia.com/topic/detail/3

    更多资讯

    **获取更多资讯,请关注微信公众号:程序新视界。或加入QQ技术交流群:659809063。
    本人诚接以太坊相关研发及技术支持(以太坊接口封装&代币开发等),如有需要请联系QQ:541075754。非诚勿扰。**
    这里写图片描述

    获得一对一技术咨询请扫码加入知识星球(小密圈)
    这里写图片描述

    展开全文
  • 本文讲的是以太坊钱包客户端 Parity 遭黑客攻击,价值3000万美元的以太币被盗,近日,有消息称有人通过利用以太坊钱包客户端 Parity 漏洞窃取了超过 15.3 万以太币,其价格超过三千万美元。据了解,该漏洞允许黑客从...
  • 明年,以太坊将发布大规模更新,这将开启其网络速度和可扩展性方面的改进。但是,以太坊2.0区块链还有很长的路要走,可能要花几年的时间。以太坊的未来将如何发展,五年内以太坊的价格将是多少?请通过我们的2020和...
  • 以太坊系列 - 以太坊硬分叉和升级足迹 Olympic | 2015 年 5 月 9 日 以太坊区块链于 2015 年7 月正式公开上线。而在这之前的临门一脚是 Olympic——第 9 个也是最后一个开放的测试网,用以进行概念验证(PoC),让...
  • 星期二下午,距离以太坊君士坦丁堡升级大约48小时前,有五项协议计划上线,重点是短期的扩展解决方案和减产。有报道称,升级将被推迟。最近,CoinDesk的Christine Kim和Nikhilesh De 报道了此事。这两位记者解释说,...
  • 2017年12月15日,以太坊基金会发布消息显示,以太坊浏览器 Mist 有可能导致私钥被盗的风险,这一漏洞被定义为非常严重,所有版本的 Mist 都会受到影响,不过其他以太坊钱包并未受到影响。  &...
  • 以太坊白皮书

    2021-02-01 02:51:53
    目录以太坊(Ethereum ):下一代智能合约和去中心化应用平台历史作为状态转换系统的比特币挖矿默克尔树其它的区块链应用脚本以太坊以太坊账户消息和交易以太坊状态转换函数代码执行区块链和挖矿应用令牌系统金融衍生...
  • 以太坊的快速入门:这是一种区块链技术应用,旨在使其用例超越支付范围。以太坊属于通用型区块链,完全开源,面向大众,并拥有自己的原生数字货币ETH。 作为去中心化平台,以太坊还有自己的编程语言Solidity,程序员...
  • 最近区块链漏洞不要太火,什么交易所用户被钓鱼导致 APIKEY 泄漏,代币合约...经过一段时间的恶补,让我从以太坊智能合约 “青铜I段” 升到了 “青铜III段”,本文将从以太坊智能合约的一些特殊机制说起,详细地剖...
  • 以太坊2.0去中心化钱包,支持生成钱包文件,私钥,记助词,离线交易,币种兑换 ETHKK官网:https://www.ethkk.com/​​​​​​​ ====================================================================== ...
  • 打开以太坊官方钱包,在菜单栏中选择 ACCOUNTS -> BACKUP -> ACCOUNTS,你会看到一个 keystore 文件夹,在里面保存你创建过的钱包账户,以 UTC--2016-08-16....... 格式命名的 JSON 文件,这就是你的 keystore 文件...
  • 区块链数字货币——以太坊黑色情人节事件

    万次阅读 多人点赞 2021-06-14 10:38:08
    区块链慢慢进入我们的视野,越来越多人参与区块链研究当中,但很多人没有安全知识,安全意识薄弱,很容易让攻击者有空可钻,今天我就带大家看看以太坊情人节事件。 以太坊 以太坊(英语:Ethereum)是一个开源的有...
  • 科普|以太坊私钥存储文件

    万次阅读 2018-02-21 13:14:37
    我们都知道,在区块链的世界中,私钥是你有用某一地址的唯一标识。丢失了私钥就等于丢失...以太坊的客户端或图形界面帮助我们因此了底层复杂的密码实现,唯一需要我们做的就是保存好(多出备份)keystore下面的加密...
  • 9.当以太坊从PoW 转到PoS,很多旷工因为经济的原因可能会继续使用旧的PoW协议,以太坊将会采用什么方式来激励旷工继续支持新的网络? Vitalik Buterin:从PoW到PoS的过渡将会是渐进的,并且会分阶段来进行。第一...
  • 以太坊使用及代币开发实战

    万次阅读 2018-07-03 02:45:07
    你在学习以太坊入门过程中是否遇到过以下问题: 不知如何部署安装 geth 节点? 不知如何进行 geth 节点的命令操作? 不知为何公有链的数据同步、geth 程序问题接连不断? 想调用 JSON-RPC 接口却一头雾水? 想发...
  • 掘金翻译计划 — 区块链分舵成立啦 ...如果你想要了解什么是以太坊,知道它的工作原理和用途,却不愿陷入技术细节,这个教程就是为你准备的。 重要说明:本教程假设读者已对区块链技术有基本的了解。如果不熟...
  • 以太坊 Input Data 解析

    2021-10-13 15:02:56
    前言 前段时间,Poly Network 被盗事件的一个小插曲,一地址向黑客地址转账在 input data 中告知其 USDT 已被冻结,不要使用 USDT,黑客...在以太坊协议中,当交易(transaction)为合约创建时,input data 是账户初
  • 2019年02月19日,以太坊链上惊现一笔只有0.1 ETH 的交易,然而交易者却给出了高达2,100 个 ETH 的手续费,按当时 ETH 969元一枚计算,该笔意外操作,让打包这笔交易的矿工意外收获了约 200万人民币。 无独有偶,这...

空空如也

空空如也

1 2 3 4 5 ... 20
收藏数 1,565
精华内容 626
关键字:

以太坊被盗