北京時間12月14日晚5點40分,CertiKSkynet天網監控發現一筆來自NexusMutual創始者HughKarp賬戶的巨額交易,該交易轉移共37萬NXM代幣到不明賬戶中。
CertiK安全驗證團隊迅速展開調查分析,認為該次交易是針對HughKarp賬戶的黑客攻擊。
順便給大家計算了一下
37萬NXM=833萬美金
事件經過
整個攻擊流程如下:
攻擊者賬戶地址為:0x09923e35f19687a524bbca7d42b92b6748534f25
DeFi保險項目Nexus Mutual推出新shield挖礦:DeFi保險項目Nexus Mutual推出新shield挖礦,用戶在Reflexer Finance質押,可獲得常規NXM獎勵以及每枚質押的NXM可獲得0.00046 FLX。此次挖礦持續至150 FLX分配完畢。[2021/4/27 21:04:11]
部分攻擊獲得代幣已經通過交易
0xfe2910c24e7bab5c96015fb1090aa52b4c0f80c5b5c685e4da1b85c5f648558a在1inch.exchange進行交易。
Conflux和Heco同步上線首個原創保險項目,Ins3推出首個“中心化交易所CDS保險”:據 Ins3官方消息,計劃于最近正式推出:首個“中心化交易所CDS保險”,保障用戶在okex、幣安、火幣等中心化交易所的資產安全。
Ins3團隊解釋稱,如中心化交易所出現連續30天交易所無法讀取行情、資產,執行提幣或者連續180天無法執行提幣的情況,則Ins3賠付用戶本金損失。相較于NXM和Yinsure,Ins3團隊自主研發資本模型,投資模型,保險精算定價等模型使其在去中心化程度和保險范圍上有了重大升級。用戶可以使用 Ins3 獲得獨立于交易所的第三方保險。[2021/1/29 14:21:22]
攻擊交易地址:
DeFi保險項目Nexus Mutual于TrueFi上啟動護盾挖礦:12月3日,DeFi保險項目Nexus Mutual官方宣布,已于TrustToken旗下無抵押借貸DeFi協議TrueFi上啟動護盾挖礦(Shield Mining)。
注:護盾挖礦主要針對新協議上線。項目可將治理型代幣獎勵給保險合約中的Nexus質押者以促進新協議啟動 。[2020/12/3 23:01:21]
0x4ddcc21c6de13b3cf472c8d4cdafd80593e0fc286c67ea144a76dbeddb7f3629
YFI創始人保險項目yinsure.finance已上線,首批支持Aave等6個項目:8月31日消息,YFI創始人AC保險項目yinsure.finance已上線,首批支持項目為Aave、Balancer、Compound、Curve、Synthetix,以及YFI。
據悉,yinsure.finance產品將包含三個核心部分:承保金庫(Insurer Vaults)、投保金庫(Insured Vaults)和索賠治理(Claim Governance)。承保金庫的保險服務是由LP提供的,但是可以獲得相關的費用作為收入。首個上線的承保金庫是USDC,首個提供的投保金庫是yVault中的yUSD(包裹的yCRV)資產。
該產品涵蓋Balancer、Compound、Curve、Synthetix和yearn.finance的保險合約部署,無需KYC/AML。以NFT(基于ERC721)的形式將保險單代幣化。承保人是Nexus Mutual。yinsure.finance正在針對這些產品完成測試和實際演練,然后將面向有限的用戶開放。
yearn創始人表示,保險單代幣化意味著可以由一般市場進行風險調整。這也意味著分銷商可以在二級市場上購買和轉售,同時允許將來有其他基于保險的衍生產品。[2020/8/31]
圖一:攻擊交易細節截圖
根據官方披露細節,攻擊者通過獲得HughKarp個人計算機的遠程控制后,對計算機上使用的Metamask插件進行修改,并誤導其簽署圖一中的交易——這筆交易最終將巨額代幣轉移到攻擊者的賬戶中。
CertiK團隊根據目前已有信息,推測Hugh在日常使用Metamask時,被攻擊者修改后的插件生成了這筆巨額代幣的轉賬請求,隨后Hugh使用他的硬件錢包簽名了這筆交易。
作為一個應用,瀏覽器插件和普通網站的前端組成是相似的,它們都由HTML和JavsScript搭建而成。瀏覽器插件的代碼會存在用戶的電腦中。關于黑客是如何修改的Metamask插件的,因此CertiK團隊做出以下猜測:1.黑客在獲得了在HughKarp的個人電腦的控制權后,通過遠程桌面打開瀏覽器,直接安裝了修改過后的Metamask插件。2.黑客在HughKarp的個人電腦上找到了Metamask插件的安裝路徑,對其中代碼進行了修改,在修改完成后,將修改后的插件加載到瀏覽器中。3.黑客利用瀏覽器自帶的的命令行工具,修改瀏覽器安裝的插件。
官方披露的細節中提到了HughKarp使用的是硬件錢包,但并未說明是哪款硬件錢包。應是Trezor或者Ledger之一,因為Metamask只支持以上兩個硬件錢包。在使用硬件錢包的情況下,Metamask中的交易需要在硬件錢包中進行確認并使用存在硬件錢包中的私鑰簽名。目前上面兩款硬件錢包在硬件的確認交易時,硬件屏幕上都會顯示轉賬接受地址,以供使用者進行最終確認。此次攻擊中,黑客應該無法修改硬件屏幕中交易確認界面顯示的地址,由此推測HughKarp在硬件錢包上進行最終確認時,并未留意到交易的對象是黑客的地址。
圖二:Ledger確認交易時的屏幕顯示
來源:https://www.youtube.com/watch?v=9_rHPBQdQCw
安全建議
區塊鏈保險平臺創始人賬號被攻擊,更是說明了保險的重要性。
高密度爆發的黑客事件是一個警示。
在區塊鏈的網絡世界中無論你是什么人,擁有怎樣的角色身份,黑客不會因為你的僥幸心理就繞過你,安全事故造成的損失可能會發生在每個人身上。
而且就算使用硬件錢包,人也不可能一輩子百分之一百不犯錯誤。
CertiK前些時間發布的系列文章精確的闡述了保險的不可或缺性。
CertiK安全驗證團隊根據此次攻擊,提出如下安全建議:
1.任何安全系統和操作環境不僅需要程序安全驗證,更加需要專業的滲透測試來對整體產品安全進行驗證。
2.為了確保數字資產不因任何非技術原因遭受損失,項目方應及時為項目產品購買保險,增加項目方和投資者的安全保障方案,確保其因受到攻擊所造成的損失可以被及時補償。
Tags:INSANCNCEHUGObtain InsuranceLevel FinanceBalance.FinanceHUG幣
尊敬的HCoin用戶: 大宗未釋放份額兌換HCoin平臺合約分紅股權,第二十五期分紅已經發放完畢.
1900/1/1 0:00:00Gate.io全新理財福利產品——“天天理財”已于10月12日正式上線,每天中午12點至少一場理財福利,賺主流幣理財收益.
1900/1/1 0:00:00金色財經?區塊鏈12月14日訊?當加密貨幣項目進入到代幣發行階段之后,創始團隊常常會感到“不安”.
1900/1/1 0:00:00時間到了2020年,幣圈的熱潮已經成為眾人的共識,特別是今年比特幣減半以及ETH2.0的誕生,Filecoin恰逢此時間點又姍姍上線,至此徹底將幣圈推向了高潮.
1900/1/1 0:00:00Filecoin改進協議包含Filecoin網絡的一組基本管理原則。它概述了Filecoin的愿景以及制定影響網絡未來的決策所涉及的原則,流程和相關方。它還描述了如何提出和批準對這些規則的改進.
1900/1/1 0:00:00要論2020年最受期待的項目,Filecoin必然名列前茅。近期,不少礦工朋友來咨詢關于Fileoin挖礦的問題,想要了解Filecoin所帶來機會和參與門檻等問題.
1900/1/1 0:00:00