摘要:根据当事人提供消息:手机是安卓的系统,品牌是联想MoTO手机,买来专门存放ETH的,平时不联网,只有转币的时候才联网几分钟。2017年4月22日,韩国比特币交易平台yapizon成为了黑客攻击的最新受害者,该交易所的员工在社交媒体上发布通知,确认有3,831BTC被盗,市场价约合500万美元。...
7 月15 日,凌晨02:195.55ETH不见了,客户存放在imtoken钱夹上。
纪元链(EBK)纪总将上币费预留在imtoken钱夹中的,在7 月14 日夜里22:00,准备转账显示失败,15日凌晨10分,:00断网休息。15日上午,当我准备再次转账时,我发现钱夹里的所有资产都被转移了。7月21日,纪先生通过各种渠道联系了imtoken孙先生。
以下是聊天内容:
imtoken的整个过程表达:ETH盗窃与imtoken无关,因客户私钥泄露,无法追回。如果需要追查,可以先发工单找人查具体流程。
根据双方提供的信息:手机是Android系统,品牌是联想MoTO手机,购买专门存储ETH,通常不联网,只有在货币转移时才联网几分钟。事件发生后,手机被送到北京一家著名的网络安全公司进行检查,手机中没有木马或其他安全问题。私钥锁在保险箱里,泄漏的可能性很小。 认为是 imtoken钱夹有安全漏洞。
这张图反映了盗币后ETH的流向。右上角是失主纪先生的地址,左下角是最后一枚硬币的下落。(左上角是空投币地址,可以忽略。)
近年来,以太坊被盗事件频发:
2017年7月19日,多签名钱夹Parity1.5或以上版本出现安全漏洞,15万只以太坊ETH被盗,总价值3000万美元。
2017年4月22日,韩国比特币交易平台yapizon成为黑客入侵的最新受害者。该交易所的工作人员在社交媒体平台上发出通知,确认有3831 BTC被盗,市场价约500万美元。相当于平台总资产的37.08%。用户将平摊全部损失
2016年8月4日,世界上最大的数字资产交易平台之一Bitfinex被盗了价值6000多万美元的BTC。
2016年6月17日,区块链行业最大的众筹项目Thedao(被攻击前) 拥有约1亿美元的资产)遭到攻击,导致300多万以太币资产被分离出Thedao 资产池。
2014年2月28日,世界上最大的比特币交易平台运营商宣布,85万比特币被盗,包括约75万比特币和Mt.Gox账户中约有10万比特币。根据2014年2月28日的交易情况,损失估计约为4.67亿美元。直接导致Mt.Gox破产。
根据黑客入侵盗币事件,区块链三加一可能出现以下情况:
1. 个人私钥泄露
根据当事人的反馈,私钥记录在纸上,锁在家里的保险箱里,这种可能性应该被排除在外。
2. 私钥被黑客破解
从理论上讲,黑客通过大量的哈希碰撞是合理的,但由于数对较多,这种可能性特别小。
3. 在使用软件的过程中注入木马
手机是Android系统,品牌是联想MoTO手机,购买专门存储ETH,通常不联网,只有在货币转移时才联网几分钟。事件发生后,手机被送到北京一家著名的网络安全公司进行检查,手机中没有木马或其他安全问题。这个选项也可以被排除在外。
4. 软件本身的漏洞imtoken
imToken 这是一款手机端轻钱包 App应用于2017年2月14日上架 ICO DApp ,发布Melonpor,但没有开源代码,因此不排除软件本身的漏洞。
5. 从非官方渠道下载Imtoken泄露私钥
使用第三方提供的方式下载 imToken
使用第三方提供的不可信的 Apple ID
由于区块链地址的匿名性,资产被盗难以发现和恢复。我希望通过这件事,我们能引起人们对自己数字资产的关注。
接下来,区块链三加一教你如何更好地保护自己的数字货币:
1、 APP应用程序应用程序安装不容易
下载钱夹时,请找到相应钱包的官网地址,不要安装来历不明的钱夹应用。
2、 白底黑字写下助记词
密码(及助记词)最好保存在心里,如果记不住就写下来,不要将截屏助记词存储在相册或连接数据传输或存储私钥中(Keystore、助记词),使用 QQ、微信等即时通讯软件传输私钥,千万不要随便泄露给别人。
3、 设置复杂的密码
4、 备份你的钱包
5、 不同的钱包分批存放
大多数加密货币钱包都是分散的钱包。一旦发生事故,客户资产丢失后很难恢复。如果你手里有很多数字货币,分批存放不同的钱包会更稳定、更安全。大量的数字货币被考虑用冷钱包存储。
6、 小心钓鱼软件中招
小心下载论坛和社区文件,不要点击来源不明的链接,避免钓鱼软件被招募,反复检查浏览的域名网站是否为山寨网站。
6、反复确认转币对象和地址
交易是不可逆转的,一旦打过去就是别人的,所以转账的时候要转账。反复确认转币对象和地址。
7、避免手机病毒、木马、木马
在区块链领域下载一些程序是不可避免的。建议存储区块链资产的手机应与通常的互联网手机分离,以免被病毒和木马程序窃取密码和资产。
8、不要贪图小便宜
还需要注意的是,一些空投糖块的注册链接在点击注册前要核对正确,以免得不偿失;最好把少量的数字货币存放在像货币这样可靠的交易所里,也许你能收到糖果的意想不到的惊喜。
9、交易所应对 USDT 更注重充提漏洞
2018年6月28日,一家安全公司突然发表言论:提示各大交易所尽快暂停 USDT 充值功能,并自查代码是否存在逻辑缺陷。
安全公司报道,交易所在USDT充值交易成功时存在逻辑缺陷,未检查区块链交易细节中的valid字段是否为true,导致“假充值”,客户成功向交易所充值USDT代币而不损失任何USDT,这些USDT可以正常使用。
由于USDT的价值不受市场因素的影响,它以固定的方向兑换美元。交易所通常使用它作为平台的标准货币(法定货币)。当币圈(Coin Circle)估计低潮时,用户也可以将其他代币转换为USDT进行保存。
经成都链安科技分析,漏洞是交易所可能没有核对用户USDT充值交易,导致用户可能“假充值”。根本原因是区块链Dapp开发对区块链接口开发了解不够,没有严格的安全控制。
10、EOS 假账号漏洞引起关注
如果 EOS 钱夹开发人员对节点的确定没有严格的判断,例如,至少应该判断 15 只有确定节点才能告知用户账号建立成功,那么就可能出现假账号攻击。
具体的漏洞攻击过程如下:首先,用户使用某个漏洞攻击过程 EOS 钱夹注册账号(例如 aaaabbbbcccc),钱夹提醒注册成功,但由于判断不严格,该账户的本质还没有成功注册。其次,客户立即将此账户带到某交易所进行现金提取操作。最后,如果这个过程在任何阶段作恶,就有可能再次抢注 aaaabbbbcccc 这个账户,导致用户提取到一个不再是自己账户的账户。
成都链安科技专注于区块链智能合约的安全,但安全并不是一件小事,无论是钱夹、交易所安全、区块链智能合约安全、区块链平台接口安全可靠还是平台本身的安全都非常重要。成都链安科技的建议是:回到不可逆的区块信息,然后提醒成功。具体技术流程如下:
1、push_transaction 后会获得 trx_id
2、请求接口 POST
/v1/history/get_transaction
3、回到参数中 block_num 小于等于 last_irreversible_block 即为不可逆
无论在哪个领域,安全问题一直是大家比较关注的问题。在区块链领域,安全挑战更大,情况更复杂。数字货币和token是区块链最重要的使用场景之一。区块链已经成为一个新兴的利益高速流通领域。如果没有“区块链安全”来维护交易所、智能合约和数字钱包,区块链美丽的数字世界生态场景将是空中城堡,区块链安全革命尚未成功,我们需要继续努力!
