買以太坊 買以太坊
Ctrl+D 買以太坊
ads
首頁 > 波場 > Info

metamask:金色觀察丨Hugh Karp為何自己承擔丟失37萬枚NXM的責任?_KAR

Author:

Time:1900/1/1 0:00:00

金色財經 區塊鏈12月22日訊? 鏈上互助保險平臺Nexus Mutual創始人Hugh Karp的個人錢包地址在世界標準時間12月14日星期一上午9點40分遭受到攻擊。在這次攻擊中,Hugh Karp被騙批準了一筆總計37萬枚NXM代幣的交易,這件事引發了加密社區的廣泛關注。

據Hugh Karp描述,在事發三天前的一個上午,他正在寫電子郵件,突然計算機屏幕變黑了2-3秒鐘,但很快就恢復了,當時他以為電腦可能只是發生了一些奇怪的事情,因此并沒有太在意。大約一個小時之后,他發現電腦上的磁盤受到感染,其中Metamask錢包擴展程序被黑客版本所替代。

金色財經挖礦數據播報:ETH今日全網算力下降3.03%:金色財經報道,據蜘蛛礦池數據顯示:

BTC全網算力135.290EH/s,挖礦難度18.60T,目前區塊高度663588,理論收益0.00000751/T/天。

ETH全網算力291.017TH/s,挖礦難度3554.07T,目前區塊高度11552512,理論收益0.00716834/100MH/天。

BSV全網算力0.747EH/s,挖礦難度0.10T,目前區塊高度667768,理論收益0.00120414/T/天。

BCH全網算力1.462EH/s,挖礦難度0.22,目前區塊高度668046,理論收益0.00061539/T/天。[2020/12/30 16:03:16]

但令人沒料到的是,Hugh Karp實際上直到12月14日星期一的時候才通過Metamask錢包擴展程序進行加密貨幣交易。當他想去Nexus Mutual應用程序提取一些挖礦獎勵的代幣的時候,MetaMask像往常一樣彈出提幣申請確認信息。但這也沒什么可奇怪的,因為每次交易都會彈出確認信息。但問題是,這個確認信息里包含了發送到Ledger的一筆欺詐性交易。結果,Hugh Karp不假思索地點擊了“確認”。

金色晚報 | 12月8日晚間重要動態一覽:12:00-21:00關鍵詞:Mt. Gox民事訴訟、Deribit、Facebook、支付寶、穩定幣總市值、CME BTC

1. 報告:Deribit控制著90%的加密貨幣期權交易。

2. CryptoQuant:Mt. Gox民事訴訟到期或是一個比特幣看跌信號。

3. 報告:加密基金資產管理規模達 150 億美元的歷史高位。

4. Facebook高管:計劃明年推出數字貨幣Diem和數字錢包Novi。

5. 支付寶關聯企業申請“一種區塊鏈數據的恢復方法和裝置”專利。

6. 數據:穩定幣總市值超250億美元。

7. CME BTC期貨本周\"18975-19205美元\"的缺口已回補。

8. 開發者Cody Burns所持ETC域名競標結束 ETC Labs現控制相關網站。[2020/12/8 14:37:18]

很快,這筆交易就出現在了Ledger上,而Hugh Karp也自然而然地在勾選交易信息后點擊了“批準”。實際上,如果Hugh Karp當時能檢查一下“收件人”地址和其他交易信息就可能發現其中的問題,但是由于Ledger還沒有直接支持NXM,因此交易信息中并沒有默認帶入收件人等相關可讀信息。緊接著,Hugh Karp就收到了MetaMask的通知提醒,告知交易已經完成,但Nexus Mutual應用程序仍在等待確認交易。直到這里,Hugh Karp才發現情況不對,于是檢查Etherscan,結果發現這筆錢轉到了黑客的地址。

金色相對論 | 楊玉梅:延續精投的投資邏輯 把每一個項目都做到極致:在本期金色相對論中,節點資本管理合伙人楊玉梅發言指出:長遠來看,整個行業的發展愈發成熟,不論應用落地還是行業人員素質等各方面都在不斷的提升,都在穩步發展。但短期來看,目前還找不到2017年或者2018年上半年那樣的猛烈行情。我相信隨著大環境的改善,整個行業未來是非常可期的。

節點的投資邏輯始終沒有變過,從創立之初一直專注于區塊鏈行業,致力于發現并尋找行業里的領袖企業,著力打造產業生態,形成協同發展的生態效應。在這樣的投資邏輯下,去尋找最有價值的項目和團隊。就目前的行情,我們更著重于技術本身、商業邏輯和團隊實力。節點資本從2016成立,從成立到現在共投了近300個項目。我們在前兩年是廣撒網的投資方式,投了200多個。但是從2019年開始,投資節奏全部放緩,采取精投的投資方式,鎖定了十個股權類的項目。今年我們依然延續精投的投資邏輯,為行業去尋找和挖掘更加優秀的項目及團隊,爭取所投項目皆精品,同時,我們也會對每一個所投企業加強投后服務,支持他們更快更好的發展,然后把每一個項目都做到極致。[2020/2/13]

結果就是,Hugh Karp把自己挖礦獎勵的錢直接發送給了黑客,這位黑客隨后將竊取的NXM代幣清算兌換成了比特幣和以太坊,接著又把這些資金分散到不同的地址和交易所。

金色晨訊 | 美聯儲或將加密貨幣市場崩盤列為監管壓力測試的風險之一:1.?美聯儲或將加密貨幣市場崩盤列為監管壓力測試的風險之一

2.美國議員提議將區塊鏈令牌從證券法規中豁免

3.反洗錢組織FATF將于10月-11月期間對日本進行審查

4.紐約州普拉茨堡市決定取消挖礦禁令

5.Fred Wilson:目前是投資比特幣的最佳時機

6.法院駁回原告對Ripple集體訴訟的還押動議

7.美國法院駁回了Mt. Gox前首席執行官的訴訟案

8.ofo上線折扣商城推押金“換購” 前區塊鏈合作項目GSE運作方隱現

9.馬耳他銀行拒絕為加密和區塊鏈企業開通賬戶 稱其超出風險范圍[2019/3/2]

原因調查

Hugh Karp認為,自己犯錯的地方在于沒有檢查“收件人”地址和其他交易信息就點擊了“批準”,這起事件的主要責任在于自己,以后在交易時應該多加小心。不過,在這需要指出的是,除非交易人很熟悉加密貨幣技術,否則很難在轉賬時候仔細查看相關信息,畢竟十六進制格式的信息是很難閱讀的。就Hugh Karp而言,他自己本身其實擁有足夠的技術知識,也理解這些信息代表的含義,但還是犯錯了,所以普通用戶在這里很更容易疏忽,繼而造成資金損失。

金色財經訊:直布羅陀公布區塊鏈創業公司監管框架草案,將于明年1月生效。[2017/10/16]

此外,他還表示自己之前一直在信任的網站獲取加密貨幣獎勵代幣,比如Nexus Mutual APP,因為畢竟在官方平臺上交易風險會比較低。但從本次黑客攻擊事件中發現,不管是不是可信站點,也不管交易價值是多少,每次確認交易之前都必須仔細檢查信息。

目前,Hugh Karp已經啟動調查本次黑客事件,希望能在社區的幫助下追蹤資金。根據Hugh Karp判斷,由于當時使用的是連接到Ledger的Metamask錢包,通過Nexus Mutual應用程序進行交互,電腦是Windows操作系統,因此目前Ledger上的私鑰是安全的,Nexus Mutual智能合約和資金也都沒有受到影響,這次事件應該只是一次個人攻擊。

此外,由于Hugh Karp不是開發人員,但他的瀏覽器已進入開發者模式,因此可以判斷這個操作很可能是由黑客執行的。而在調查過程中,他們還發現其他受害者也遭到了類似的攻擊,并與之進行了聯系。不過,本次攻擊似乎具有很高的針對性,因為黑客并沒有拿走受害者可能擁有的全部NXM代幣,所以Hugh Karp認為是黑客已事先為他專門部署了準備好的交易負載。

值得一提的是,這個黑客非常厲害,而且非常有才華,很可能是一個或多個來自大型技術團隊的成員。通過調查人員在Telegram上與一位黑客的簡短對話發現,基于他們的交易活動,這個黑客很可能身處在亞洲時區。而此后,估計攻擊事件還可能會持續發生,而且會影響越來越多人。

不僅如此,與過去大多數MetaMask黑客攻擊都是誘使用戶下載包含惡意代碼的虛假程序版本,然后竊走用戶私鑰不同的是,Hugh Karp的計算機已經損壞,磁盤里的MetaMask應用程序被篡改,這意味著瀏覽器擴展程序出現問題時不會出現警告信息。據了解,這個惡意擴展配置是從coinbene.team獲取的,調查人員也從這個域名追蹤到了一些IP地址。

來自Hugh Karp的忠告

一般來說,MetaMask的確是許多黑客攻擊的目標,但即便Hugh Karp已經非常謹慎地從正規渠道下載程序了,但他的電腦還是被感染了。所以如果想規避此類問題發生,可以盡量將資金分配到不同賬戶,這樣可以最大程度減少損失。此外,在簽名之前務必檢查一下硬件錢包的交易信息,尤其是在與智能合約交互的時候。可以參考下那些比較熟悉DeFi行業的用戶的做法,他們由于不太信任MetaMask,甚至會專門拿出一臺“干凈”的計算機來運行MetaMask,這臺設備只用來簽署交易,其他什么都不做。

目前相關調查工作已經過去一周時間了,Hugh Karp甚至還不知道自己的計算機是如何被入侵的。而來自殺軟件提供商卡巴斯基的專家已經在被感染的計算機上花費了大量時間允許完整診斷程序,不過目前還沒有任何結果,這項工作仍在進行中。而且到目前為止,只是在Etherscan上標記了黑客地址,但沒有任何有關黑客的開源情報,后續仍有許多事情要處理。

接下來,Hugh Karp將會拿出一部分募集到的資金,并將其捐贈為賞金,用于支持用戶體驗和安全性提升工作,以此鼓勵更多人開發個人錢包安全解決方案,并推動技術進步。

有意思的是,Hugh Karp還向黑客寫了一份公開信。在信中,Hugh Karp表達出了對黑客的敬意,同時勸說黑客可以利用自己出色的工作能力成為白帽黑客中的一員,出于正確的理由從加密貨幣社區中獲得一些榮譽,并且通過合法途徑賺錢,而不是把不義之財發送給幕后老板。

本文部分內容來自于Medium

Tags:ARPKARHUGmetamaskTARP價格KAREN幣HUGCOINmetamask安卓

波場
COV:短時暴跌超90% Cover Protocol遭攻擊代幣被增發已超萬億_VER

12月28日,推特網友DeFi LATAM表示,由于獎勵合同中的一個漏洞,CoverProtocol損失了200萬美元.

1900/1/1 0:00:00
VER:首發 | 賣意外險的保險公司也遭受了意外?Cover Protocol漏洞分析_COVER

本文由CertiK安全驗證團隊撰稿,授權金色財經首發。最近小區出現了一些流浪狗,聽說鄰居家有孩子看到狗嚇得就跑,結果反而被狗狂追咬了一口.

1900/1/1 0:00:00
區塊鏈:新聞周刊 | 央視報道比特幣價格創歷史新高_元宇宙平臺公司選幻霄

金色周刊是金色財經推出的一檔每周區塊鏈行業總結欄目,內容涵蓋一周重點新聞、行情與合約數據、礦業信息、項目動態、技術進展等行業動態。本文是其中的新聞周刊,帶您一覽本周區塊鏈行業大事.

1900/1/1 0:00:00
XRP:中幣(ZB)“說真的 區塊鏈”第六期:瑞波和SEC之斗_nbs幣最新消息

本文由中幣(ZB)研究院原創編輯下載全球領先的數字貨幣交易所中幣APP:www.zb.center/download大家好,好久不見!我是中幣運營主編樹莓.

1900/1/1 0:00:00
EFI:DeFi周刊 | DeFi用戶總數突破100萬 YFI創始人發布KP3R資金庫更新_XDEFI Wallet

DeFi周刊是金色財經推出的一檔每周DeFi領域的總結欄目,內容涵蓋本周重要的DeFi數據、DeFi項目動態等.

1900/1/1 0:00:00
USD:覓新 | 算法穩定幣持續升溫 黃立成攜秘銀“蹭熱度”_穩定幣

臨近年關,算法穩定幣出乎意料的火了。算法穩定幣,也稱為無抵押穩定幣,強調的是用算法來確保幣價的穩定性,而不是抵押法幣或者加密資產.

1900/1/1 0:00:00
ads