朋友们,真的真的不要乱点链接和色图啊!!!
TheBlock昨天发布了一个黑客报告,详细阐述了Axie被盗走了5.4亿美刀的事件细节。原文地址:https://www.theblock.co/post/156038/how-a-fake-job-offer-took-down-the-worlds-most-popular-crypto-game是的,就是那个Axie~
而这次价值5.4亿的损失,仅仅是因为下载了一个pdf文档。整个事件简而言之就是黑客通过了一张pdf格式的假offer,诱骗Axie的一位工程师下载 ,进而渗透到Ronin网络中(基于 Axie Infinity 社区创建的以太坊侧链),最终成功盗取加密资产。
事情原委
事情因一个虚假的招聘广告而起。Axie Infinity开发商Sky Mavis的一位员工在Linkdln收到了一家公司的工作邀请。
有的朋友可能不太清楚,这种通过Linkdln挖人的方式在外资企业非常常见,在经过多轮面试之后,这位工程师拿到了一份有着诱人薪水的offer。但不幸的是,这只是黑客们注册的虚假公司,事实上根本就不存在。黑客骗取这位工程师下载了一份工资“报价”的PDF,而就是这个动作,让黑客将间谍软件渗透到了Ronin系统的基础设施,并且接管了Ronin网络9个验证器中的4个。简单解释一下,Ronin一共有9个验证器,只要一笔交易或者说创建区块的提议被其中的5个通过,就可以顺利进行,也就是说此时黑客还差一个验证器就可以为所欲为了。
他们的下一个目标是Axie DAO.这是一个为支持游戏生态系统而成立的自治组织,也有用验证节点的权限。Sky Mavis 曾在 2021 年 11 月相 DAO 寻求帮助,以处理繁杂的交易负荷,所以Axie DAO 允许 Sky Mavis 代表其签署各种交易。但尽管这项合作在12月就停止了,权限并没有取消,所以当黑客攻下了Sky Mavis系统之后,就可以获得DAO的验证。至此5/9的目标达成,然后。。
在攻击之后,Sky Mavis立即将其验证节点增加到了11个,并表示长期目标是增加到100个以上以保证安全。
Defi的安全性面临前所未有的挑战
之所以做这样的报告分享是想提醒大家,世界上的所有公司都面临这样的安全风险,不管是加密货币,还有数据、企划、专利技术等等一系列的地方面临着安全问题。上个礼拜发生的数据泄露事件足以为我们每个人敲响警钟,对于普通人影响大不大我不知道,至少孙哥的电话是肯定被打爆了。
Defi作为近些年来快速聚集资金的板块,全是真金白银的,自然也受到黑客们的格外照顾。根据theblock的数据,今年,DeFi 黑客攻击的速度迅速加快,损失的资金总额超过 20 亿美元。1 月 1 日,这个数字为 7.6 亿美元。
类似的事件发生已经不是头一次了,也不会是最后一次,这正是加密货币的基本特征之一,所以更需要我们不断反思,并且完善安全限制措施。
为了你和别人,永远不要裸泳
后疫情时代,我们对于网络的依存度达到了前所未有的高度,尤其是分布式办公等形式的出现,让商业网络安全脆弱的一面暴露了出来。现在没出现问题,不代表之后不会发生。虽然公司不是你开的,但倒闭了对大家都没有好处。
我暂时总结了以下几点,也欢迎大家在评论区里分享:1.警惕任何人给你给你发送的PDF文件、或是链接。对于重要网址链接,不要用眼睛看,最好是先在虚拟机里过一遍再点,现在制作短网址是很简单的。比如下面这个,https://sourl.cn/caniV2其实是我另一篇文章的链接。最近在推特和DC也出现了这类骗gas费的东西,大家也要警惕。
2.现在很多专业的工程师都已经不在Linkedln上使用真名了,他们知道这个网站是非常危险的,黑客通过信息可以通过鱼叉式网络钓鱼电子邮件和短信轻松瞄准公司中的每个人,而对此Linkedln毫无办法,也不负有任何责任。3.不要用同一台设备工作和上网冲浪,尤其是当你的工作电脑可以访问公司巨大的数据库和资金账户时,再多的安全措施都不如换一台电脑保险。4.把平时经常用于支付的银行卡和加密钱包当做热钱包,把主要资金,平时并不怎么用的那些放进冷钱包,分开管理,一定程度上隔离风险。总而言之,
现在黑客大体上都是通过细化的个人进行突破,不论是公共的DAO、公司、还是工作网络,私人的钱包、账号、还是信息数据,你要进入那个世界,先学会管住自己。人家摸金都还知道点个蜡烛,进了墓室不乱摸乱碰。我们小胳膊小腿的,珍惜小命。
-END-
来源:金色财经
| 欢迎光临 优惠论坛 (https://tcelue.cc/) | Powered by Discuz! X3.1 |