排名靠前却极度危险 一款在 Chrome 商店中排名很高的以太坊钱包扩展正在窃取用户助记词。它把盗取行为隐藏在极小的链上交易中。许多用户因其排名而信任它。 友好界面背后的陷阱 该扩展名为 “Safery: Ethereum Wallet”,声称提供安全的钱包管理。Socket 的研究人员发现,用户创建或导入钱包时,扩展会把助记词编码为伪造的 Sui 风格地址。 助记词如何被悄悄送走 扩展使用黑客控制的钱包发送极小额度的 SUI。地址中包含助记词的编码片段。攻击者可解码并随时盗走资产。整个过程看起来像普通交易。 明显的可疑信号 扩展没有评论,品牌混乱,存在语法错误,并使用 Gmail 开发者。用户应认真检查工具,保护助记词,并监控小额交易,因为小额也可能有风险。 术语说明:……
微软改变了 Windows 10 的更新策略。用户必须支付费用或保持登录 Microsoft 账户。 两种更新方式 付费更新 – 获取安全补丁而不共享个人数据。以前免费,现在收费。 保持登录 – 免费更新会收集数据。微软在你登录时跟踪使用情况和遥测数据。 隐私与加密风险 未更新系统容易成为恶意软件、勒索软件和键盘记录器的目标。加密钱包和账户面临风险。持续登录增加了额外风险。 意义 安全已成为商品。用户必须权衡隐私与保护。加密用户应检查系统安全。
一种名为 ModStealer 的新型恶意软件出现了。它攻击 macOS、Windows 和 Linux 系统上的加密钱包,窃取私钥、证书和浏览器钱包扩展。 隐形的恶意软件 苹果安全公司 Mosyle 发现了该恶意软件。令人震惊的是,它在上传至 VirusTotal 后几乎一个月未被杀毒软件发现。黑客因此抢得先机。 该程序预装代码,用于窃取密钥、凭证和登录信息。它甚至针对 Safari 和 Chromium 浏览器中的钱包扩展。在 macOS 上,它伪装成后台代理运行。研究人员认为其服务器在芬兰,但通过德国路由掩盖来源。……
苹果的新 iPhone 17 不只是一次常规升级,它为加密用户增加了一层防护。核心功能是 Memory Integrity Enforcement (MIE),像护盾一样保护内存,阻止黑客入侵钱包。 什么是 MIE? MIE 会标记内存访问,阻止常见的错误,比如越界访问和释放后使用。这类漏洞占软件缺陷的 70%。 为什么加密用户需要关注 安全公司 Hacken 表示,MIE 让攻击者更难也更贵去劫持签名过程。对于频繁签名或资金量大的用户,这是重大改进。 不是万能的 MIE……
Vitalik Buterin想控制以太坊的燃气混乱。 他和Toni Wahrstätter提出EIP-7983,为每笔交易设定1677万气单位上限。 为什么设限? 目前一笔交易就能吃掉整个区块的燃气。 容易遭受拒绝服务攻击,网络不稳定。 这个限额让气费分配更均匀,提高安全性与性能。 zkVM更开心了 限额鼓励将大交易分成小块。 超过上限的交易直接被拒。 矿工和验证者仍能调整区块的总气限制。 对用户有影响吗? 大多数DeFi应用本就低于这个限制。 几乎不会影响开发者和用户。 Vitalik也计划简化以太坊并保护数字隐私。
伊朗最大的加密货币交易所Nobitex遭遇1亿美元的黑客攻击。作为回应,央行将所有交易平台的营业时间限制为每天10点到晚上8点。 一个名为Gonjeshke Darande的亲以色列黑客组织声称对此负责。他们攻入系统并转移了热钱包中的加密资产。这不是为了钱,是政治动机。 更疯狂的是,他们烧掉了这些加密货币,也就是说将其转入无法访问的钱包地址。 Nobitex的资金流超过110亿美元,比伊朗其他10大交易所总和还多。它是伊朗加密市场的核心。 Chainalysis表示,白天的运营更有利于应对攻击,因此制定了宵禁。 被盗的加密货币包括比特币、以太坊、Solana、XRP和狗狗币。Nobitex封锁了外部访问,并将资金转移到冷钱包中。 平台称储备基金将承担全部损失。但目前用户访问仍然关闭,大家得耐心等待。 在伊朗与以色列的紧张局势下,这场黑客事件只会让局势更加紧张。
千万别信TikTok上的便宜钱包 一位用户因在抖音上购买折扣冷钱包而损失690万美元加密货币。 SlowMist表示钱包的私钥在出厂时已被泄露,几个小时内资金被盗光。 骗局从购买那一刻开始 冷钱包原本是用来保护加密资产,但很多“新”的其实已被篡改。 抖音的电商功能让骗子有机可乘。SlowMist警告:折扣钱包多是陷阱。 几个小时资金就被洗走 比特大陆前员工Hella称受害者是他的朋友,对方深夜打电话求助。 钱包是个“热陷阱”,资金被通过柬埔寨的Huiwang网络迅速洗走。 几乎没有追回的希望 虽然SlowMist跟踪了资金流向,但追回几率极低。 23pds警告: “别为了省几百块,赌掉你所有的积蓄。” 还有更多威胁:设备携带恶意软件 中国一打印机厂商被指在驱动中捆绑恶意程序,导致超95万美元比特币被盗。 卡巴斯基发现大量预装恶意软件的假安卓手机。
比特币似乎坚不可摧,直到量子计算机出现。 信任的诞生 2008年,Satoshi Nakamoto 在金融危机后推出了比特币。它采用ECC加密算法保护资金。 至今无人攻破。连黑石集团都支持它。 量子威胁 量子计算机不是逐步计算,而是并行处理多个任务。 专家预测5年内可破解比特币加密,有人说更快。 2.2万亿美元的风险 只要一个钱包被破解,整个比特币的信誉和市值就可能崩塌。 目前有约620万个BTC存放在高风险地址。 什么是Q日? Q日是量子计算机可破坏当前加密技术的那天。数据已被“收集现在,解密以后”。 区块链数据永久公开,旧交易也难逃攻击。 有什么解决办法? 完全更新到量子安全加密需要硬分叉,风险高。 更可行的是混合解决方案、智能密钥和安全层。 现在行动,否则灭亡 比特币一向保守,但这次不能再等了。……
又一起加密货币漏洞事件 一款MEV(最大可提取价值)机器人刚刚损失了价值18万美元的以太坊(ETH)。为什么?因为有人忘记了锁好“前门”——数字化来说。 区块链安全公司SlowMist在4月8日报道了这一事件。攻击者发现了该机器人访问控制的漏洞,并轻松提取了116.7 ETH。 发生了什么? 威胁研究员弗拉基米尔·索博列夫(Vladimir Sobolev)这样解释:→ 攻击者创建了一个虚假的流动性池。→ 机器人毫不知情地将ETH兑换成了池中无价值的代币。→ 游戏结束。 更糟糕的是?这一切都发生在一次交易中——快速、安静、致命。 快速响应…但损失已造成 大约25分钟后,机器人的拥有者提供了赏金,希望能找回ETH。同时,他们迅速部署了一个新的机器人——这次加强了安全性。 这不是MEV机器人第一次遭遇破坏。早在2023年,另一起漏洞事件就让机器人损失了2500万美元。显然,教训没有吸取。 假MEV机器人指南正在增加 索博列夫还警告了一种日益增长的骗局趋势——网络上的假MEV机器人教程。这些不正规的教程通过承诺轻松盈利来吸引初学者,但实际上,它们只是窃取你的加密货币。 小贴士:如果一个随机的YouTube视频告诉你“轻松ETH”——那可能只是骗子的轻松赚钱方式。
关闭 DEX 聚合器加密交易所 OKX 因安全问题暂停了其 Web3 去中心化交易聚合器。在此之前,发现朝鲜 Lazarus 组织试图利用 DeFi 服务进行攻击。 加强安全措施在 Bybit 近期遭遇黑客攻击后,OKX 为其 Web3 DEX 聚合器实施了黑客地址检测系统。该系统可以实时跟踪和拦截可疑地址,以防止非法活动。 洗钱风险引发担忧据彭博社报道,OKX 的……
