原文作者:DanielChong,Harpie联合创始人
原文编译:杨树
2月19日,攻击者使用了看似「毫无技巧」的电子邮件网络钓鱼攻击,成功从一名?OpenSea?用户手中盗走了254个?NFT,其中包含价值不菲的?Decentraland?和BoredApeYachtClub系列藏品。这位用户收到了伪造的电子邮件并被要求批准智能合约,而在用户批准了合约之后,黑客顺利地从被钓鱼用户的钱包中提走了NFT。
发送给用户的仿冒网站电子邮件
到目前为止,网络钓鱼是人们在Web2和Web3中损失资金的最常见方式,不过在Web3中,由于智能合约的额外风险点,所以问题更严重。
Distyl AI与OpenAI组建服务联盟并完成700万美元种子轮融资:金色财经报道,生成式AI公司Distyl AI宣布已与OpenAI组建服务联盟并完成了700万美元种子轮融资,对冲基金Coatue和Dell Technologies Capital联合领投,Nat Friedman(前GitHub首席执行官)、Brad Gerstner(Altimeter创始人、首席执行官)和 Jim Cash博士(哈佛商学院教授)参投。Distyl AI表示将利用新资金推动生成式AI与工作流进行无缝集成,并提供人工智能研究(例如 GPT-4)和基础设施(例如专用实例)支撑。(tullahomanews)[2023/4/14 14:03:43]
我们必须从OpenSea网络钓鱼攻击中吸取三个主要的安全教训,以便对未来的攻击保持警惕。
ETC Cooperative致宝二爷公开信:放弃ETH PoW分叉,矿工应该转移到ETC:8月9日消息,ETC Cooperative在致宝二爷的公开信中表示,其认为以太坊POW分叉不会成功,甚至会是一件非常困难的事情。此次硬分叉不像ETH/ETC分裂的时候那样简单,那时只要继续挖矿和继续运行相同的客户端软件,而此次测试网分叉的代码中的每一个都需要删除POS转换逻辑,禁用难度炸弹,同时更新链ID以提供保护。挖矿软件也可能需要分叉/更新。这将需要与钱包供应商合作,以同意支持 ETHW;并将需要与交易所合作,同意支持ETHW。此外,ETC Cooperative认为,离合并只有几个星期了。现在做任何事情都太晚了。在ETH/ETC分裂的时候,没有DeFi或稳定币,所以没有什么真正的破坏。现在,ETH上的大部分价值是以代币形式存在的,而不仅仅是原生的以太坊。因此,PoW新链对现有的ETH用户来说毫无意义。大项目很可能会明确选择关闭他们在PoW新链上的智能合约——以避免用户的混乱和损失。这是一个巨大的、艰巨的协调任务,而合并尚且只有几周的时间,如今的繁荣在Pow新链上大概率不会重现。
ETC Cooperative呼吁,还有时间来取消这个分叉,它的存在只会造成更多的混乱,并且在最初的拉盘后将不可避免地失败,因为它将没有任何用户。ETC Cooperative称,正如Barry Silbert(DCG首席执行官)所说,“除ETC外,我们完全支持ETH PoS,并且不会支持任何ETH PoW分叉。ETH矿工应该转移到ETC,以使他们的收入长期最大化”。
据悉,中国加密矿工Chandler Guo(宝二爷)表示将分叉以太坊区块链并将新网络称为“ETH POW”后,分叉的想法在过去两周内获得了关注。[2022/8/9 12:12:14]
1.通过智能合约窃取加密货币容易
Opera安卓浏览器已将加密货币购买功能扩展到31个国家:Opera安卓浏览器已将加密货币购买功能扩展到31个国家,用户可以使用Visa或Mastercard借记卡直接从Opera的内置加密钱包中购买比特币和以太坊。(The Block)[2020/3/30]
大多数?DeFi?协议使用的经典Approval合约
「Approval」几乎是所有基于智能合约的代币的功能,当用户「Approval」另一个钱包时,就意味着允许该钱包稍后从用户自己的钱包中转移代币。例如,如果我「Approval」我「0x123」钱包的?USDC?和无聊猿NFT,那「0x123」就可以将这些代币转出。
声音 | Tim Draper:预计未来OpenNode将被广泛采用:据CryptoGlobe消息,亿万富翁风险资本家Tim Draper预测,在可预见的未来,支持闪电网络(LN)的多层比特币支付处理平台OpenNode将被广泛采用。他认为,比特币交易平台将能够与更成熟的支付网关竞争,包括由VISA建立的支付网关。 当最近被问及熊市期间人们是否更专注于开发产品时,Draper证实,许多公司一直在构建各种与加密货币相关的解决方案,以便更容易地“转移比特币”。此前2018年12月消息,Tim Draper向比特币支付处理器OpenNode投资125万美元。[2019/4/8]
大多数DeFi协议都使用「Approval」作为将资产转移到协议的主要方法。
「Icephishing」是微软创造的一个术语,是指一种诱用户批准黑客地址的行为。只需单击MetaMask窗口中的一个按钮,用户就可以将资金的完全访问权限授予黑客,而这正是此次OpenSea网络钓鱼期间发生的事情。
2.很难判断何时被智能合约网络钓鱼
你能看出区别吗?
电子邮件网络钓鱼是大多数人不再担心的事情:现代垃圾邮件过滤器和多年的经验使电子邮件网络钓鱼对于大多数精明的用户来说已成为过去。
相比之下,Web3存在一些挑战,使得从常规合约中识别网络钓鱼合约变得更加困难。
在上面示例的顶部,会看到签名时使用的网站URL并不相同:左侧是「uniswap.org」,右侧是「unLswap.org」。如果用户没有抓住容易忽略的细节并签署合约,对不起,这样就会丢失钱包中的所有USDC。
虽然网站URL是一种经典的网络钓鱼策略,但是当执行黑客攻击时唯一需要的只是按下批准按钮时,它的危害就会变得很大。
3.严重缺乏为加密用户构建的反网络钓鱼技术
Gmail的自动垃圾邮件过滤器,每天可保护数百万人免受网络犯罪的侵害
也许反网络钓鱼技术的最大例子是垃圾邮件过滤器:它已成为互联网上经常被忽视的重要基石。也正因为垃圾邮件过滤器会自动检测几乎所有的网络钓鱼攻击,因此Web2网络钓鱼攻击已经失去了大部分效力。
然而,在Web3中,几乎没有任何保护措施来防止用户意外地从「unlswap.org」或「sushl.com」批准合约,我们有责任仔细观察,从而确保永远不会犯错误。
由于网络钓鱼通常很容易避免,因此在现代互联网中长大的人,往往会轻视网络钓鱼的有效性以及那些被网络钓鱼的人。
实际上,由于易于执行和投资回报,网络钓鱼仍然是最常见的网络犯罪类型。为了规避加密中的网络钓鱼,开发人员社区需要联合起来开发软件,使网络钓鱼者更难窃取资金。
OpenSea这些大型加密项目可能成为网络钓鱼攻击的目标
DeathStar提出的防范网络钓鱼攻击的新思路
而在不久前刚刚结束的EthDenver2022上,一个名为DeathStar的项目脱颖而出,该项目旨在通过开源良性flashbots来解决网络钓鱼问题。
这些flashbots可在资金从钱包中转出时进行检测,一旦检测到资金是转移到不受信任的地址时,MEV领跑者就会立即以两倍Gas费发送一个交易,把用户的所有资产转移到备用地址。。我提到这一点只是为了鼓励其他开发人员继续考虑其他方法来阻止网络钓鱼攻击。
尽管网络钓鱼攻击和具有简单而不成熟的内涵,但成为它们牺牲品的危险是非常真实的。由于Web3如此年轻,因此在Web3生态里建立起更好的保护措施来对抗它们之前,与网络钓鱼面对面将是司空见惯的事情。
每一次成功的局背后,都会有一个用户停止使用Web3,而Web3生态在没有任何新用户的情况下,将无处可去。
郑重声明: 本文版权归原作者所有, 转载文章仅为传播更多信息之目的, 如作者信息标记有误, 请第一时间联系我们修改或删除, 多谢。