TWI:黑客大規模攻擊推特狂攬BTC，幣安、蘋果、亞馬遜，甚至奧巴馬都敢惹？_ITT

本文作者：CertiK安全團隊，巴比特資訊經授權發布。

“你給我100紅包，我明兒給你200怎么樣。”

敢發紅包篤定能收到回饋的，怕是只有最信任的人了。法制節目經常會播放一些類似的騙局來警示大家。然而能上當的本質還是在于這兩個字：信任。

北京時間2020年7月16日凌晨三點左右，CertiK安全團隊的研究人員檢測到，著名社交網站推特上多位有影響力的大V賬戶被盜。這些被盜的賬戶全部都發布了如下的比特幣釣魚信息。

“為了回饋大家，現在對大家進行回饋。你只要給以下地址轉賬1000美金，我就返還你2000美金。活動僅限半小時！”

JPEG'd：JPEG'd合約未被黑客攻擊，NFT與財庫資金安全:7月31日消息，DeFi公共產品JPEG'd發推稱，pETH-ETH曲線池遭遇攻擊。允許借用NFT的金庫合約是安全的，仍在正常運行。NFT與財庫資金安全。JPEG'd合約沒有被黑客攻擊，是安全的。

金色財經此前報道，據Beosin旗下Beosin EagleEye安全風險監控、預警與阻斷平臺監測顯示，JPEG'd遭遇攻擊，損失至少約1000萬美元。JPEG'd遭遇攻擊的根本原因在于重入，攻擊者在調用remove_liquidity函數移除流動性時通過重入add_liquidity函數添加流動性，由于余額更新在重入進add_liquidity 函數之前，導致價格計算出現錯誤。[2023/7/31 16:08:05]

以上圖片內容均來自CertiK安全專家截圖

此次黑客攻擊始于區塊鏈行業，如Gemini交易所、Coinbase交易所、幣安交易所的CEO趙長鵬、Tron的CEO孫宇晨，區塊鏈媒體Coindesk，均受到攻擊并發布相關消息。

LMEX聯交所聲明：平臺遭黑客入侵被盜15萬USDT，平臺目前資不低債:5月27日，LMEX聯交所在社群發布關于交易所運營調整通知：

社群的伙伴們,首先感謝社區用戶的一直陪伴與支持,平臺的快速發展，遠遠超出了平臺計劃。超出平臺系統的負荷，昨天上線交易對，本該是平臺與大家最期待的一天，但計劃趕不上變化，針對昨天與現在進行公開以下說明：

1.昨天開通交易對,大量會員涌進登陸，導致APP卡頓嚴重，同時黑客還系統進行了入侵與攻擊。

2.由于充值與提現過于龐大,平臺區塊掉線，形成充值與提現未能及時到賬。

3.目前平臺數據庫產生很大的LB空洞，目前在核查數據的情況與修復。

4.昨天平臺黑客入侵被盜USDT，核實大概是15萬USDT,單幣最大52000USDT。

5.目前平臺市場恐慌嚴重，平臺目前資不低債。

6.平臺需要5天左右時間修復與核實數據,待平臺核實結束,公開發布處理結果與下一步計劃。

7.目前期間，平臺關閉充提。[2020/5/27]

動態 | 黑客控制英國零售商Tesco的官方推特賬戶并試圖騙取比特幣:據thenextweb報道，黑客昨天控制了英國跨國零售商Tesco的官方推特賬戶，并敦促該賬戶的追隨者將比特幣發送到錢包地址并承諾他們將收到兩倍的價值。幸運的是，并沒有追隨者將資金存入黑客的錢包地址。此外，黑客還決定轉發并冒充比爾蓋茨，將該超市的推特名改為@Billgatesmsc，并將該帳戶的原始個人資料圖片替換為比爾蓋茨。[2019/6/26]

以上圖片內容均來自CertiK安全專家截圖

后來索性在推特上呈現了病式傳播，包括比爾·蓋茨，亞馬遜創始人Jeffbezos,彭博社創始人Bloomberg，蘋果官方賬號，特斯拉CEOElonMusk,著名歌手侃爺KenyeWest、美國前總統奧巴馬和約瑟夫·拜登等人的賬號，無一幸免。

動態 | 巴克萊銀行贊助黑客馬拉松探索衍生品合約處理:據cointelegraph消息，英國投資銀行巴克萊銀行于8月9日發布公告稱，正在贊助黑客馬拉松尋找最佳區塊鏈解決方案以提高衍生品合約處理效率。在為期兩天的DerivHack黑客馬拉松中，參與者將有機會實施他們的想法并將ISDA通用域模型（CDM）應用于分布式賬本技術。該活動的最終目標是找到在衍生品合約的交易后處理中使用案例的方法。根據公告，巴克萊將制定具有挑戰性的案例來模擬衍生品市場，例如對交易后交易處理的改革、提高效率的步驟、以及在ISDA CDM中提供樣本交易數據以實施它們。[2018/8/10]

以上圖片內容均來自CertiK安全專家截圖

黑客攻擊了著名社交網站推特，一個大家都不怎么相信就連美國前總統賬戶也會被黑的一個網站。利用了民眾對推特的信任以及名人的公信力，讓大家認為這次活動是真的。

動態 | 美國醫學測試巨頭遭黑客索要比特幣以解鎖計算機:據華爾街日報報道，美國醫學測試巨頭LabCorp正在處理其遭受的網絡攻擊。該公司周一表示，已發現僅限于其診斷網絡的“可疑活動”，其藥物開發部門Covance未受到影響。據知情人士透露，該公司似乎遭到了一種名為SamSam的勒索軟件的攻擊。今年早些時候，亞特蘭大國際機場也曾遭到SamSam襲擊。該公司發言人表示，已將其網絡部分脫機，將暫時減緩測試處理和客戶對測試結果的訪問速度。根據國家健康信息共享和分析中心的警報，每臺計算機，勒索軟件向該公司索要價值6000美元的比特幣或52500美元以完成解鎖。其中一位知情人士表示，該公司無意滿足勒索軟件的任何要求，并計劃更換受影響的設備。目前該公司發言人拒絕就任何贖金發表評論。[2018/7/20]

到目前為止，黑客的賬戶一共收到了12.86個BTC，折合美金118,209刀，人民幣825,805元。

黑客交易地址信息截圖

目前網絡上的謠言

1.Twitter員工賬戶被黑，黑客獲得管理后臺訪問權限

在telegram上爆出的截圖疑似是Twitter員工的后臺管理界面。黑客可以通過后臺管理界面修改用戶郵箱，之后把重置密碼的鏈接發送到自己控制的郵箱中，以此來取得目標賬戶的控制權。

2.黑客利用最近爆出的漏洞攻擊Twitter服務器，獲得管理后臺訪問權限

在昨天，一個關于Windows的DNS服務器的漏洞被公開，攻擊者可以通過發送特定的請求，從而遠程執行任意的代碼。有人就此提出了這樣一個猜想：Twitter有一個公開的MSDNS服務器，這個服務器并沒有對CVE-2020-1350進行修復，攻擊者通過此漏洞獲取了該服務器的控制權，而因為WindowsDNS服務器是核心網絡組件，該漏洞可引發蠕蟲式傳播，且無需用戶交互和身份驗證，攻擊者由此進入了Twitter內部的后臺管理界面，然后通過該界面修改用戶郵箱，把重置密碼的鏈接發送到自己控制的郵箱中，以此來取得目標賬戶的控制權。

Twitter官方回應

目前各個賬戶被黑的原因還未被官方公開，推特也于北京時間當日凌晨5：45分進行了官方回復，表示會盡快調查原因。

隨后Twitter表示在調查期間，某些用戶的發推和重置密碼的功能可能會無法使用。

安全措施及建議

社交網站一兩個賬號被盜的事件也許經常有，但是大規模被黑客襲擊的事件，也許又能算作2020魔幻一年的大事記了。在這里CertiK安全團隊整理了一些加強Twitter賬戶安全的措施。

1.取消被授權使用你Twitter賬戶的應用

登陸Twitter后，在More->Settingsandprivacy->Account->Dataandpermissions->Appsandsessions里面可以看到當前被授權獲取你Twitter相關權限的應用和登陸了的Sessions。CertiK安全團隊推薦定期檢查被授權的Apps,及時移除不必要的Apps.登出可疑的Sessions.

2.開啟二次驗證

登陸Twitter后，在More->Settingsandprivacy->Account->Security->Two-factorauthentication界面開啟二次驗證，二次驗證的方法有手機短信,GoogleAuthenticationapp，和物理形式的SecurityKey。使用二次驗證可以防止黑客在接觸到用戶的賬號密碼的情況下，盜取用戶賬號。

無效的漏洞賞金計劃？

在安全上的投入不足

Twitter在HackerOne漏洞賞金平臺上面有設置漏洞賞金計劃(https://hackerone.com/twitter).有人指出了Twitter對于Accounttakeover(賬號盜取)類型的漏洞，只給予7700美金的獎勵，而這次黑客利用此類漏洞，已經盜取了10萬美金以上的金額。這樣的對比，引人深思。

安全對于一個公司來講，沒被黑的時候覺得無所謂，不愿意在安全上投入金錢。而真正在被黑之后，所造成的損失是不可計量的。

在這里，CertiK想提醒大家，就算是看起來非常厲害的推特，也可能會遭到黑客攻擊。所以不要過于相信某個項目有著百分之百的安全，一旦有了0.00000000000001%的可能性被攻擊，按照墨菲定律，也一定會發生。因此在安全上的投入，是必不可少的。

Tags：WITTWIITTTTETwittelon BOSSElon Buys TwitterKittenFinanceStatter Network

波場