evilcos
0 關注
2 粉絲
2 點讚數
0 分享數
貼文
全部
影片
最近的一些安全靈魂拷問,我肯定都有答案的,而且答案也都給過。但我真不喜歡廢話,問題的評論區很精彩,你真的想提高這方面的認知可以多參考、多琢磨...
相信自己,炒幣都可以賺的那麼多,安全絕對沒問題!😊
相信自己,炒幣都可以賺的那麼多,安全絕對沒問題!😊
現在還有人會把明文助記詞直接地乖乖地備份在密碼管理器裏?
現在還有人截圖助記詞直接丟相冊做備份的?
一個月薪 $5K 的工程師保管着 $10M 資產,然後你相信他,是因爲他不敢挪用,還是因爲他沒辦法挪用?
如果你的梯子程序沒貓膩,但你配置的代理線路作惡,可以直接中間人攻擊你的 Google/X/Binance/OKX 嗎?如果你是黑客(控制這條代理線路的人),你會怎麼做?
回顧了下,這周,幣圈個人玩家尋求我們幫助的被盜事件裏,大額的,超 100 萬美金的兩個,超 200 萬美金的一個,超 650 萬美金的一個。
小額的就不多說了,麻了。
這裏分享個心得:安全風險是躲在視野盲區裏的魔鬼,你看不到,但一定在,總有某個場景,某個時刻,這個魔鬼就會跳出來。
沒人可以倖免,但任何人都有機會、都可以大大提升自己的韌性/健壯性/可靠性…
踩坑是最好的教育,希望你只是踩了個把小坑。
小額的就不多說了,麻了。
這裏分享個心得:安全風險是躲在視野盲區裏的魔鬼,你看不到,但一定在,總有某個場景,某個時刻,這個魔鬼就會跳出來。
沒人可以倖免,但任何人都有機會、都可以大大提升自己的韌性/健壯性/可靠性…
踩坑是最好的教育,希望你只是踩了個把小坑。
如果你的錢包歷史記錄/消息提醒等出現如視頻這樣的歷史記錄,不用緊張,你的助記詞/私鑰沒有泄露,也沒異常授權。
出現這類交易的技術原理有兩種:
1/ 假 Token 合約代碼裏的事件日誌僞造(如圖2/3/4),由於 Token 本身就是假的,合約代碼就可以控制輸出的日誌細節,錢包/區塊瀏覽器會基於日誌細節做出相關的消息通知及歷史記錄。這是基本原理,不展開解釋,記住就好。這個特性被假 Token 利用就可能讓用戶恐慌,以爲錢包出現了什麼異常,這個時候就要求錢包做好風險提醒了,如視頻及圖所示提醒還是挺明顯的。
...
出現這類交易的技術原理有兩種:
1/ 假 Token 合約代碼裏的事件日誌僞造(如圖2/3/4),由於 Token 本身就是假的,合約代碼就可以控制輸出的日誌細節,錢包/區塊瀏覽器會基於日誌細節做出相關的消息通知及歷史記錄。這是基本原理,不展開解釋,記住就好。這個特性被假 Token 利用就可能讓用戶恐慌,以爲錢包出現了什麼異常,這個時候就要求錢包做好風險提醒了,如視頻及圖所示提醒還是挺明顯的。
...
立場影響甚至決定了個人情緒及判斷,比如被盜/被騙事件發生後,我們的出發點是及時幫受害者止損及追回損失,我們可能會聯合儘可能多的資源來應對,哪怕這個做法看去很中心化。
我尊重那些捍衛去中心化精神的人,前提是這個人被盜了,他不會有動用中心化力量的念頭或者動作。
作惡之人首先打破規則,你還幫其思考,非得用僞善來迷惑自己迷惑他人?
正確的做法是什麼?一個系統如果你真的要捍衛去中心化精神,那你就不能只是喊 don't be evil 不要做惡,而應該設計成 can't be evil 不能做惡。如果真的出了什麼安全事故,沒有任何人可以動用中心化力量來干預,或者說動用的成本非常之高。那麼即使有這種動用中心化力量的念頭,也執行不了。
還是那句話,這是個黑暗森林,多學些安全知識武裝好自己,至少可以提升自己被黑的門檻。
我尊重那些捍衛去中心化精神的人,前提是這個人被盜了,他不會有動用中心化力量的念頭或者動作。
作惡之人首先打破規則,你還幫其思考,非得用僞善來迷惑自己迷惑他人?
正確的做法是什麼?一個系統如果你真的要捍衛去中心化精神,那你就不能只是喊 don't be evil 不要做惡,而應該設計成 can't be evil 不能做惡。如果真的出了什麼安全事故,沒有任何人可以動用中心化力量來干預,或者說動用的成本非常之高。那麼即使有這種動用中心化力量的念頭,也執行不了。
還是那句話,這是個黑暗森林,多學些安全知識武裝好自己,至少可以提升自己被黑的門檻。
揭露一些假冒安全公司的騙子團伙:
@JascottRecovery @SHIELDHUNTER_PR @BCRescue_ @ben__ethh
這些都是打着可以幫用戶解決錢包被盜等安全問題,然後讓用戶被二次傷害的犯罪團伙…
不過吧,我這種揭露是治標不治本的…希望大家不要被盜,如果不小心被盜了,也務必冷靜,不要再輕易相信任何人。
@JascottRecovery @SHIELDHUNTER_PR @BCRescue_ @ben__ethh
這些都是打着可以幫用戶解決錢包被盜等安全問題,然後讓用戶被二次傷害的犯罪團伙…
不過吧,我這種揭露是治標不治本的…希望大家不要被盜,如果不小心被盜了,也務必冷靜,不要再輕易相信任何人。
一個安全建議,如果你資金被盜了,錢包地址最好可以公示出來(擔心隱私的話可以適當隱去中間一些字符),或者至少學習下下面這個玩家,他公示了黑客地址。
爲什麼會有這個建議呢?是因爲另一個被盜用戶,他的案子有執法介入,調查時發現黑客地址的資金來源這個玩家,差點就要繼續查下去了...我通過各種歷史數據排除了這個玩家的嫌疑,否則可能都麻煩了。
現在的一些黑客,特別喜歡嫁禍,你到時候承擔的不僅是資金被盜的痛苦,還有可能後續的執法調查配合...被當作嫌疑人也是不好受的...
爲什麼會有這個建議呢?是因爲另一個被盜用戶,他的案子有執法介入,調查時發現黑客地址的資金來源這個玩家,差點就要繼續查下去了...我通過各種歷史數據排除了這個玩家的嫌疑,否則可能都麻煩了。
現在的一些黑客,特別喜歡嫁禍,你到時候承擔的不僅是資金被盜的痛苦,還有可能後續的執法調查配合...被當作嫌疑人也是不好受的...
我們 @MistTrack_io 自己的 MCP 上線測試中,目前體驗效果還不錯,使用有門檻:
1 你本地得有 Claude/Cursor 等支持 MCP 的客戶端,參考:https://t.co/mIGFaQflg2
2 你需要 MistTrack API Key,需要付費:https://t.co/sEN6HkgYT4
然後,你就可以用自然語言給這個整合了 MistTrack MCP 的 AI 客戶端提需求了。
鏈上風險及追蹤分析將會變更更簡單,這是我們的一小步,也是未來 Crypto 安全分析工作的一大步。😃
開源地址:https://t.co/rJECN2R5th
https://t.co/IsCCKMNx8c 地址:
1 你本地得有 Claude/Cursor 等支持 MCP 的客戶端,參考:https://t.co/mIGFaQflg2
2 你需要 MistTrack API Key,需要付費:https://t.co/sEN6HkgYT4
然後,你就可以用自然語言給這個整合了 MistTrack MCP 的 AI 客戶端提需求了。
鏈上風險及追蹤分析將會變更更簡單,這是我們的一小步,也是未來 Crypto 安全分析工作的一大步。😃
開源地址:https://t.co/rJECN2R5th
https://t.co/IsCCKMNx8c 地址:
⚠️一位玩家發來的截圖,不過他相信 Chrome,點擊“是的,繼續”,然後進入了假冒 @ChangeNOW_io 的釣魚網站(注意截圖裏的字母 e,在黑手冊我提過 Punycode 這種釣魚方式),然後被盜 2 萬多刀資產...
這就是 Chrome 的坑了,推薦機制沒做好,給用戶推薦了釣魚網站...用戶本來是訪問真網站的...😭
這就是 Chrome 的坑了,推薦機制沒做好,給用戶推薦了釣魚網站...用戶本來是訪問真網站的...😭
最近,假 Zoom 會議軟件投毒攻擊幣圈有一定影響力的項目方或人士,有幾個小細節會比較“猛”,需要再次提醒大家注意的:
1/ Zoom 鏈接在 Telegram/X 等看去都是真實官方域名,但實際上是通過小技巧欺騙僞造的,點開後必然不會是官方域名(牢記 https://t.co/yC8gGpF4gJ 及 https://t.co/RxetCoPUh4),這點需要特別注意
2/ 引誘你下載假 Zoom 開會的人都是那種特別有話術,讓你覺得不大可能是假的,且這類的有個關鍵點是你到時候看到的與會人,視頻顯示其實是用 deepfake 僞造的...不用懷疑,AI 時代視頻及語音僞造可以非常逼真...
3/ 控制目標電腦後,就是後續各種攻擊延伸了,不限於目標電腦本機已有相關權限、資金,如果是技術人員電腦,有相關雲平臺權限,那後續就更糟糕了...
如果你遇到這類威脅,需要幫助可以聯繫我們。這裏只是拿 Zoom 舉例子,其他會議軟件,名字千奇百怪的,多上心就行。
1/ Zoom 鏈接在 Telegram/X 等看去都是真實官方域名,但實際上是通過小技巧欺騙僞造的,點開後必然不會是官方域名(牢記 https://t.co/yC8gGpF4gJ 及 https://t.co/RxetCoPUh4),這點需要特別注意
2/ 引誘你下載假 Zoom 開會的人都是那種特別有話術,讓你覺得不大可能是假的,且這類的有個關鍵點是你到時候看到的與會人,視頻顯示其實是用 deepfake 僞造的...不用懷疑,AI 時代視頻及語音僞造可以非常逼真...
3/ 控制目標電腦後,就是後續各種攻擊延伸了,不限於目標電腦本機已有相關權限、資金,如果是技術人員電腦,有相關雲平臺權限,那後續就更糟糕了...
如果你遇到這類威脅,需要幫助可以聯繫我們。這裏只是拿 Zoom 舉例子,其他會議軟件,名字千奇百怪的,多上心就行。
😵💫每逢假期妖孽多...昨天還比較風平浪靜,今天已經三起被盜事件,其中兩起與 Telegram 裏的騙局有關,熟人號被盜,騙子根據聊天記錄上下文來精心做局,發送的語音也是模擬出來的(現在有些 AI 工具非常方便基於歷史語音進行模擬)...不能只信一個源,涉及資金的,務必建立另一個可信源驗證機制...
登入探索更多內容